You are on page 1of 281

SI - seguridad informática

EDUBP | SEG | cuarto cuatrimestre

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 1


í ndice

 presentación 3

 programa 4
contenido módulos

 mapa conceptual 6

 macroobjetivos 6

 agenda 7

 material 8
material básico
material complementario

 glosario 8

 módulos *
m1 | 11
m2 | 34
m3 | 64
m4 | 218


* cada módulo contiene:
microobjetivos
contenidos
mapa conceptual
material
actividades
glosario

evaluación 281

impresión total del documento 281 páginas !

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.2


p r e s e n t ación

Ya está a pocos “metros” de la llegada de


esta Licenciatura en Gestión de la Seguridad
Ciudadana, lo que no significa que pueda
reducir la marcha ni bajar la guardia todavía,
todo lo contrario: le recomiendo tomar un gran
respiro antes de adentrarnos en el estudio de
cuestiones legales que hacen a la Seguridad,
especialmente a la Seguridad Informática o de
la Información.

Seguramente Ud. está acostumbrado a tratar cuestiones técnicas de seguridad.


Ahora ¿está habituado a los efectos legales de esas medidas de seguridad que
ha implementado? Espero que sí, de lo contrario, le propongo que se arremangue
para meternos de lleno al tratamiento de la seguridad de la información desde
la visión legal.
Rescato uno de los párrafos de los Fundamentos de esta Licenciatura que dice:
“Gestionar la seguridad implica, hoy por hoy, contemplar múltiples aspectos que
van desde lo psicológico a lo sociológico; desde lo administrativo a lo legislativo,
desde lo tecnológico a lo jurídico, etc.”

Por suerte, no nos dejaron afuera,


aunque se colocó como extremos a
la tecnología y al Derecho, por lo que
nosotros en esta materia tendremos
como desafío hacer que esos
extremos se acerquen para conformar
las dos caras de una misma moneda.

La Seguridad siempre tiene por objeto proteger algo. Por ejemplo, la Seguridad
Pública protege al Estado en su conjunto; la Seguridad Vial, que las personas
transiten adecuadamente; la Seguridad Personal, las vidas humanas; la
Corporativa, las empresas; la Seguridad Financiera las transacciones
económicas que realizan el Estado y las empresas… Pero ¿qué protege la
Seguridad Informática?
En este contexto, en la actualidad se está ampliando el concepto de Seguridad
Informática, designándola como Seguridad de la Información, lo que nos da la
pista de cuál es el objeto protegido: exactamente, se protege a la INFORMACIÓN.
¿Cualquier tipo o clase de información? No, ya que los chismes o rumores
no tienen protección legal, pero la información que contienen sus creaciones
intelectuales sí, mediante lo que se ha llamado la protección de la Propiedad

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 3


Intelectual.
También varias clases de datos, contenida en la flamante ley de Delitos
Informáticos; las comunicaciones entre personas, no sólo están protegidas
en la Constitución Nacional sino también en lo que respecta a las redes de
comunicación abiertas y cerradas.

No nos olvidemos de la información


personal, entre ellas la sensible,
como nuestra afiliación política o
religiosa, que está garantizada por la
Ley Nacional de Protección de Datos
Personales; o la información “personal”
de las empresas, que está contemplada
en la Ley Nacional de Confidencialidad
de la Información prohibiendo a sus
empleados divulgarla.

Migrando al ámbito comercial, toda la información transaccional que se


intercambian los operadores bancarios, empresariales, exportadores,
consumidores, entre muchos otros, se agrupa en el comercio electrónico y se
protege tanto por la encriptación de sus comunicaciones como por la inclusión
de la firma digital.
Seguramente ya los preocupé al mencionarles algunas de las tantas leyes que
vamos a tratar; pero mi objetivo no es asustarlos, sino desafiarlos a que al
concluir este módulo ustedes se sientan seguros de incluir la faz legal en sus
análisis sobre una violación a la Seguridad de la Información.
¿Están preparados? Entonces, empecemos…

p r o g rama

Módulo I: Seguridad de la Información.

Unidad 1: Seguridad de la información


Seguridad informática y Seguridad de la Información. Definiciones y relaciones.
Pilares. Amenazas. Tipos de Controles. El control de la información y su legalidad
en el ámbito laboral y comercial. Requisitos básicos. Ley 24.766. Normas
Internacionales. Violaciones e Incumplimientos

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.4


Módulo II: Tratamiento de la Información según el Sujeto.

Unidad 2: Información Personal


El derecho a la intimidad y a la autodeterminación informativa. Aspectos
Básicos: Datos personales; Archivo, registro, base o banco de datos.
Clasificación, tratamiento y cesión. Principios: Legalidad, Calidad, Lealtad,
Finalidad, Consentimiento, Seguridad, Confidencialidad de los Datos. Derecho
de información. Derecho de Acceso: gratuidad, excepciones. Derechos de: a)
Actualización; b) Rectificación; c) Integración; d) Bloqueo; e) Confidencialidad; y
f) Supresión. Derecho al Olvido.

Unidad 3: Información Empresarial


Las personas jurídicas y sus datos personales. Características. La empresa y
sus activos intangibles: concepto, características, valuación. Protección jurídica
de los activos intangibles: regímenes de protección, tipos de PI, elementos
comunes, caracteres particulares.

Módulo III: Protecciones a la Información.

Unidad 4: Tecnológicas
Firma Digital: Concepto. Características. Firma Electrónica. Ley 25.506 y
sus reglamentaciones. Problemática. Tercero de Confianza. Características.
Implementaciones Internacionales. Criptografía. Diferencias con la Firma Digital.
Implementación.

Unidad 5: Laborales
Información corporativa vs. personal. Información común vs. sensible. Políticas
de confidencialidad de la información empresaria. Persona responsable.
Organización y manejo de la información interna. Ley 24.766: Alcances. Medios
de comunicación: Política interna de la empresa. Permisos y restricciones.
Correo electrónico: Corporativo vs. personal.  Webmail. Control de tráfico y de
contenido. Archivos adjuntos: Característica de la información enviada. Telefonía
celular. Mensajes de texto y otros. Jurisprudencia.

Unidad 6: Contractuales
Contratos de confidencialidad: Modelo. Análisis. Contratación electrónica,
legislación. Tiempo, formación y ejecución del contrato. Principio de la
autonomía de la voluntad. Sistemas de pago: online y off-line. Seguridad en las
transacciones: factura digital. Solución de diferendos.

Módulo IV: Defensas por Ataques a la Información.

Unidad 7: Contractuales
Violación de acuerdos de confidencialidad. Incumplimiento contractual.
Ejecución de cláusula penal.

Unidad 8: Laborales
Ley de Contrato de Trabajo. Auditoría de la Seguridad de la Información: El
proceso de auditoría. Aspectos legales a tener en cuenta. Resguardo de la
información recabada. Posibilidad de utilizar en juicio. Sanciones contempladas
en la ley 24.766 de confidencialidad.

Unidad 9: Penales
Delitos cometidos contra la Tecnología: Concepto. Características. Acceso
no autorizado a sistemas informáticos. Daño y Sabotaje informático. Delitos
cometidos por medio de la utilización de la Tecnología: Concepto. Características.

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 5


Pornografía infantil. Fraudes Informáticos. Delitos contra la Propiedad Intelectual.
Interceptación de Comunicaciones – Correo Electrónico. Calumnias e Injurias y
sus particularidades en Internet.

m a p a c o n c eptual

m a c r o o b j etivos

 Comprender las problemáticas y los efectos que se generan entre la


información y las nuevas tecnologías a los fines de proteger dicha esta
información.
 Identificar el tipo de información que está en juego, su sensibilidad
desde la perspectiva del titular de la información, para la recomendación
de las medidas de seguridad a implementar.
 Definir las políticas de administración de la información tanto preventiva
como reactivamente para evitar la fuga de la información que calificó
como sensible y alertar sobre las acciones que se deben activar.
 Definir y/o colaborar en la definición de las acciones que se deben activar
para sancionar al autor de una fuga de información en consonancia con
lo dispuesto por la ley aplicable.
 Analizar si la información está debidamente protegida por el titular de la
información ante un caso de fuga de la información y si se ha configurado
un reclamo contractual, laboral o penal.

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.6


a genda

Porcentaje de tiempo estimado por módulo

MÓDULOS SEGURIDAD DE LA PORCENTAJES ESTIMADOS


INFORMACIÓN
1 10%
2 30%
3 30%
4 30%
TOTAL 100%

Cantidad de semanas por módulo

SEMANAS MÓDULOS SEGURIDAD DE LA INFORMACIÓN


1 2 3 4

1er Parcial

2º Parcial

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 7


m a terial

Material básico

Para el abordaje de la presente asignatura Usted deberá estudiar los temas


desarrollados en los contenidos de cada módulo.

Material complementario

FERNÁNDEZ DELPECH, Horacio: Internet: su problemática jurídica. Editorial


Lexis-Nexis Abeledo-Perrot. Buenos Aires, 2000.
LORENZETTI, Ricardo L: Comercio electrónico. Editorial Abeledo-Perrot. Buenos
Aires, 2001.
TOBARES CATALÁ, Gabriel H. y CASTRO ARGÜELLO, Maximiliano J.: Delitos
informáticos. Editorial Advocatus. Córdoba, 2010.

g l osario

Archivo, registro, base o banco de datos: Indistintamente, designan al


conjunto organizado de datos personales que sean objeto de tratamiento o
procesamiento, electrónico o no, cualquiera que fuere la modalidad de su
formación, almacenamiento, organización o acceso.

Autodeterminación Informativa: Derecho fundamental, derivado del derecho


general a la privacidad, que se concreta en la facultad de toda persona para
ejercer control sobre la información personal que le concierne, contenida en
registros públicos o privados, especialmente -pero no exclusivamente- los
almacenados mediante medios informáticos.

Captación de la telecomunicación: Es la obtención e individualización, a través


de medios técnicos, del contenido de una telecomunicación que se produce
entre dos o más puntos o destinos.

Correspondencia de telecomunicaciones: Toda comunicación que se efectúe


por los medios de telecomunicaciones públicos o privados autorizados.

Criptografía: Procedimiento por medio del cual se convierte un texto, mensaje,


archivo, documento, etc., de su formato normal a otro normalmente ilegible o
ininteligible para quien no posea la clave necesaria para revertir el proceso.
Puede ser simétrica o asimétrica, según se emplee la misma clave, o bien dos
claves diferentes pero matemáticamente relacionadas entre sí, para encriptar y
desencriptar, respectivamente.

Datos informatizados: Los datos personales sometidos al tratamiento o


procesamiento electrónico o automatizado.

Datos personales: Información de cualquier tipo referida a personas físicas o de

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.8


existencia ideal determinadas o determinables.

Datos sensibles: Datos personales que revelan origen racial y étnico, opiniones
políticas, convicciones religiosas, filosóficas o morales, afiliación sindical e
información referente a la salud o a la vida sexual.

Derivación de la telecomunicación: Es la modificación de la ruta de la


telecomunicación con el fin de permitir su observación remota, sin modificar su
contenido y características originales.

Disociación de datos: Todo tratamiento de datos personales de manera que la


información obtenida no pueda asociarse a persona determinada o determinable.

Empresa: La organización instrumental de medios personales, materiales e


inmateriales, ordenados bajo una dirección para el logro de fines económicos
o benéficos.

Empresario: A quien dirige la empresa por sí, o por medio de otras personas,
y con el cual se relacionan jerárquicamente los trabajadores, cualquiera sea
la participación que las leyes asignen a éstos en la gestión y dirección de la
“empresa”.

Establecimiento: La unidad técnica o de ejecución destinada al logro de los


fines de la empresa, a través de una o más explotaciones.

Información asociada: Debe entenderse por tal, toda la información original, no


alterada por proceso alguno, que permita individualizar el origen y destino de las
telecomunicaciones, tales como registros de tráfico, identificación y ubicación del
equipo utilizado, y todo otro elemento que torne factible establecer técnicamente
su existencia y características.

Información asociada: Debe entenderse por tal, toda la información original, no


alterada por proceso alguno, que permita individualizar el origen y destino de las
telecomunicaciones, tales como registros de tráfico, identificación y ubicación del
equipo utilizado, y todo otro elemento que torne factible establecer técnicamente
su existencia y características.

Lugar de observación remota: Son los centros de monitoreo del órgano del
Estado encargado de ejecutar las interceptaciones, desde los cuales se efectúa
la observación de las telecomunicaciones.

Observación remota: Es la observación de las telecomunicaciones efectuada


desde las centrales de monitoreo del órgano del Estado encargado de ejecutar
las interceptaciones.

Observación remota: Es la observación de las telecomunicaciones efectuada


desde las centrales de monitoreo del órgano del Estado encargado de ejecutar
las interceptaciones.

Prestador: Es el licenciatario del servicio de Telecomunicaciones, en cualquiera


de sus formas o modalidades, presentes o futuras.

Responsable de archivo, registro, base o banco de datos: Persona física o de


existencia ideal pública o privada, que es titular de un archivo, registro, base o
banco de datos.

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 9


Software: Es la expresión organizada de un conjunto de órdenes o instrucciones
en cualquier lenguaje de alto nivel, de nivel intermedio, de ensamblaje o de
máquina, organizadas en estructuras de diversas secuencias y combinaciones,
almacenadas en medio magnético, óptico, eléctrico, discos, chips, circuitos o
cualquier otro que resulte apropiado o que se desarrolle en el futuro, previsto para
que una computadora o cualquier máquina con capacidad de procesamiento de
información ejecute una función específica, disponiendo o no de datos, directa
o indirectamente.

Telecomunicación: Toda transmisión, emisión o recepción de signos, señales,


escritos, imágenes, sonidos o informaciones de cualquier naturaleza, por hilo,
radioelectricidad, medios ópticos u otros sistemas electromagnéticos.

Telecomunicaciones: Toda transmisión, emisión o recepción de signos, señales,


escritos, imágenes, sonidos o informaciones de cualquier naturaleza, por hilo,
cable eléctrico, atmósfera, radio electricidad, medios ópticos y/u otros medios
electromagnéticos, o de cualquier clase existentes o a crearse en el futuro.

Titular de los datos: Toda persona física o persona de existencia ideal con
domicilio legal o delegaciones o sucursales en el país, cuyos datos sean objeto
del tratamiento al que se refiere la presente ley.

Trabajo: Toda actividad lícita que se preste en favor de quien tiene la facultad de
dirigirla, mediante una remuneración.

Tratamiento de datos: Operaciones y procedimientos sistemáticos, electrónicos


o no, que permitan la recolección, conservación, ordenación, almacenamiento,
modificación, relacionamiento, evaluación, bloqueo, destrucción, y en general
el procesamiento de datos personales, así como también su cesión a terceros a
través de comunicaciones, consultas, interconexiones o transferencias.

Usuario: Es toda persona física o jurídica que utiliza los servicios de un prestador.

Usuario de datos: Toda persona, pública o privada que realice a su arbitrio el


tratamiento de datos, ya sea en archivos, registros o bancos de datos propios o
a través de conexión con los mismos.

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.10


m ó dulos

m1

m1 microobjetivos

 Distinguir claramente que el objeto a proteger es la información valiosa


de la organización, para así elaborar correctamente la política interna.

 Valorar el carácter central de la información en sus tres pilares


fundamentales, confidencialidad, integridad y disponibilidad, que
permita distinguir la organización de las demás organizaciones.

 Reconocer que para la debida protección de la información existen


estamentos reglamentarios que se deben conocer, a saber: Legal,
Normativo y Contractual, a fin de asignar las responsabilidades y
sanciones según sea aplicable a la organización.

 Identificar los estándares internacionales comunes a todo el mundo para


el resguardo de la información valiosa que posibilite tomar una decisión
informada sobre cuál es el estándar que más se adecua a la propia
organización.

m1 contenidos

Unidad 1: Seguridad de la Información

1. Seguridad informática y Seguridad de la Información.

Al adentrarse en el Módulo 1 de la materia “Tecnología en Seguridad” cuando


se trabajó con la definición de Seguridad, se vio que estaba constituida por tres
tipos de medios que deben asociarse como partes integrantes de un todo; a
saber:

 Medios humanos: constituidos por el personal de seguridad, tanto pública


como privada.
 Medios técnicos: pasivos o físicos y activos o electrónicos.
 Medios organizativos: planes, normas y estrategias.

Estos últimos medios son los que veremos en esta materia, especialmente los
relacionados al aspecto normativo o regulatorio. Es decir, qué leyes, normas,
reglamentos o códigos deben implementarse o existen y se deben cumplir para
garantizar la Seguridad.
Existen muy diversas medidas de seguridad en función de lo que se quiera

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 11


proteger, por ejemplo el Estado Nacional, la Patria, la seguridad pública, la vial,
fluvial, terrestre; o si queremos proteger la vida de los seres humanos, de la
flora o de la fauna; para lo cual deberemos elaborar una estrategia de seguridad
particular para cada uno de ellos.

Ahora bien, nuestra preocupación estará


centrada en la información, que en
muchos casos integrará los objetos antes
mencionados. Puede que la información a
proteger sea la de la Secretaría de Información
del Estado o el plan de negociación de la
deuda en default que elaboró el Ministerio
de Economía para presentarle a los bonistas
que no adhirieron al plan anterior.

Puede también referirse a la información del listado de personas que integran


la Aduana o la Gendarmería Nacional y que están avocadas a la lucha contra
el narcotráfico y el tráfico ilegal de bienes por las fronteras de nuestro país.
Pero puede ser información que registran los hospitales públicos respecto de las
personas con HIV o los niños con tratamientos oncológicos. Bajando un poco
la mira, la información puede referirse al listado de propietarios de un barrio
cerrado, con discriminación de cantidad de hijos (nombres, edades, sexos,
colegios, actividades extracurriculares, etc.), autos (características y patentes),
frecuencias de ingreso y egreso, entre tantos otros datos que el personal de
custodia puede relevar sin mayores inconvenientes, procesarlos y elaborar un
perfil de cada familia que le sería extremadamente útil a un tercero inescrupuloso.
Coincidirán conmigo que la información ha tomado un valor inestimable que
antes nunca se pensó, ya que en el pasado lo importante era tener bienes de
producción para ser próspero: hoy, si consigo el dato que van a modificar el
valor del dólar y compro antes de su modificación, no necesito más que un
celular para ser millonario. Antes, quien decidía un secuestro, tenía que tener un
auto y un lugar donde alojar al secuestrado y proveerle de alimento, hoy con los
secuestros express sólo se necesita información.
Con esta introducción, avancemos en el programa.

2. Definiciones y relaciones.

En un comienzo, únicamente se hablaba de “Seguridad Informática”, pero este


concepto fue mutando, ampliándose para migrar a uno más amplio que es la
“Seguridad de la Información”.
Comenta el Lic. Cristian Borghello, Director de Segu-Info, que cuando se habla
de Seguridad Informática, muchas personas ya se hacen una idea bastante
acabada sobre lo que se está hablando y sobre lo que esta actividad o disciplina
involucra. Aunque, ¿son siempre estas “conclusiones” correctas o concluyentes?
A 1
Quizás, para el inconsciente colectivo y para un usuario corriente, estas
conclusiones son acertadas o al menos sirven como marco de referencia pero,

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.12


como profesional, usted debe tener una definición acabada que luego permita
obtener nuevos enunciados y permita llegar a entablar relaciones con otras
actividades, como por ejemplo el derecho.
La “parte divertida” de la profesión suele asociarse (nuevamente en forma
parcial y segmentada) al hacking, los grandes robos de cuentas bancarias que
Hollywood ha implantado en nuestro cerebro, el acceso ilimitado a cualquier tipo
de información, el manejo “modo dios” de herramientas tecnológicas o cualquier
actividad relacionada a un conocimiento que poseen personas que viven en
sótanos o garajes, y que generalmente aún no han terminado su desarrollo como
adultos…
Pero, la “parte aburrida” del tema y sobre la que pocos hablan, es que trabajar
en seguridad también se refiere a la educación, la privacidad, la gestión, el
conocimiento sobre políticas, legislación y derecho y, sobre todo, llevar adelante
una ética en el desarrollo de la profesión que los directores de películas han
dejado de lado.

Es aquí –continúa Borghello-


donde aparece la primera
definición, la seguridad
informática se refiere a la
protección de un activo
relacionado con la tecnología
como puede ser una
computadora, un disco rígido,
un teléfono móvil o la red más
grande jamás creada por el
hombre como lo es Internet.

Es decir, dentro del ámbito de la Seguridad Informática está elaborar los métodos
que impidan el acceso a activos tecnológicos, ya sea mediante la implementación
de usuarios y claves de acceso, llaves, e-tokens o huellas dactilares, entre
muchas otras opciones. A 2

Pero como nuestro objeto de estudio no son los activos tecnológicos, es decir
computadoras, servidores y demás, sino la información que se encuentra
almacenada en ella y en otros dispositivos más tradicionales, es que nos
focalizaremos en el estudio de la Seguridad de la Información, que incluye
entre sus medidas de protección a la Seguridad Informática pero que es mucho
más amplia en su alcance y estudio.
Aquí cabría preguntarse, ¿Toda información debe ser protegida?
Obviamente que no, los chismes, los chistes, seguramente no son objeto de
protección, salvo que un cómico de profesión los haya debidamente registrado
bajo las normas de Derecho de Autor. Tampoco debe protegerse la información
genérica que las personas intercambian diariamente.
Como máxima rectora podemos elaborar la siguiente:

“Toda información es de libre circulación, salvo aquella


que haya sido debidamente protegida”

Es decir, ubicándonos en el rol del “generador de la información”, debemos


entender que toda persona estará autorizada a utilizar la información que le
brinde, a no ser que le haya debidamente advertido de la necesidad de protegerla
del acceso por terceros.

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 13


Entonces, cuando como generador he advertido sobre su protección, se
deben activar todas las medidas de seguridad, y en caso de violación todas las
herramientas para su bloqueo y sanción.

3. Pilares

A tal efecto, es oportuno mencionar que la Seguridad de la Información cuenta


con tres pilares fundamentales, a saber: confidencialidad, integridad y
disponibilidad.

Se puede definir la información confidencial, como aquella que


quien la ha generado sólo desea compartirla con determinadas
personas y por propósitos muy específicos y delimitados.

Se puede definir la información integral, como aquella que


permanece intacta, exacta y completa cuando es transmitida
entre su generador y sus receptores, salvo que los cambios
y modificaciones estén autorizados y sean notificados e
incorporados a la información protegida.

Se puede definir la información disponible, como aquella que


puede ser consultada por las partes autorizadas cada vez que
sea necesario para el fin por el que se la divulgó.

4. Amenazas

Estos pilares de confidencialidad, integridad y disponibilidad sufren


constantemente amenazas por muy variados motivos y circunstancias, entre las
cuales mencionaremos las siguientes:

Interceptación

Esta amenaza atenta contra la confidencialidad de la información y sucede


cuando llega a manos de un tercero que no estuvo entre los designados por
su emisor. Dos ejemplos: El primero, el guardia abre el sobre que trae el sello
“CONFIDENCIAL” para supuestamente evaluar si esa información está bien
dirigida al presidente de la compañía. El segundo, el gerente de sistemas
controla el contenido de todos los correos electrónicos y sus archivos adjuntos
para verificar si están en consonancia con el cargo que ejerce en la compañía.

Modificación

Esta amenaza atenta contra la integridad de la información, ya que se modifica


su contenido, adulterándolo antes de que sea conocido por su destinatario.
Un ejemplo sería el caso de un empleado de una empresa de análisis de
riesgo crediticio cambia en la base de datos, que es luego consultada por el
Banco Provincia para evaluar si le otorga el préstamo hipotecario solicitado, la
calificación de su novia de “Situación 5 –Irrecuperable” por “Situación 1– Estado
Normal”.

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.14


Otro caso podría ser el de un soldado encargado de reclutar a quienes asistirán
a las fuerzas de seguridad en Haití, que reemplaza en el listado a su primo por
otro soldado para que sea convocado a tal misión de paz.

Interrupción

Esta amenaza atenta contra la disponibilidad de la información, ya que cuando


el destinatario quiere acceder a la información protegida no puede hacerlo por
haberse interrumpido su disponibilidad. Tal sería el caso de una gerencia de
sistemas desde la que se accede indebidamente a la computadora asignada
al Gerente de Personal y se elimina el expediente digital que se ha labrado en
contra del empleado que acosó a su compañera. Por acciones de un tercero, se
bloquea el acceso desde las IP (protocolo de Internet) de la empresa contratista
a la Web donde la Fuerza Aérea alojó los diseños, mapas, especificaciones
técnicas del proyecto de fabricación de un avión de guerra.

Las amenazas antes descriptas pueden conjugarse entre ellas afectando


proporcionalmente los pilares de la Seguridad de la Información. Por ejemplo,
si se intercepta una comunicación, para modificar parte de su contenido y
reenviarlo a sólo alguno de los destinatarios originales, se estará afectando
primero la confidencialidad, luego la integridad y finalmente la disponibilidad.
A esta altura, no debería sorprenderle lo fácil que puede ser “pinchar” un teléfono.
Conozca los métodos legales e ilegales que podrían afectar su práctica en http://
www.lanacion.com.ar/nota.asp?nota_id=828195. Veamos ahora cómo podemos
hacer para controlar la seguridad de la información.

5. Tipos de controles

Reconociendo que la organización maneja información sensible, confidencial,


propietaria o como quiera calificársela, y habiendo implementado medidas de
seguridad de esa información, sólo resta controlar que esa información, su
calificación y las medidas protectoras estén funcionando correctamente, y en su
caso, implementar las medidas correctivas.
Este control puede ser preventivo, detectivo, correctivo y disuasivo.

Preventivo

Estos controles están focalizados tanto en elaborar la normativa aplicable a


la clasificación de la información como a su instrumentación. Por ejemplo, si
considero que la información que voy a intercambiar con un potencial proveedor
es comercialmente sensible, entonces se debe previamente celebrar un contrato
de confidencialidad que me proteja y establezca qué personas del proveedor
podrán acceder a dicha información sensible.

Detectivo

Una vez realizadas las acciones anteriores, debe implementar controles


periódicos y aleatorios sobre toda la información protegida para evaluar si
existen procedimientos que no se están cumpliendo, y de ser así, si se produjo
alguna fuga y perjuicio para la empresa.

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 15


Correctivo

De encontrarse alguna novedad en el procedimiento de evaluación, se deberá


analizar su impacto en la organización y en función de éste, las medidas a tomar.
Por ejemplo, si sólo se relevó que no se cumplió con una parte del procedimiento
por ser extremadamente burocrático, es recomendable modificarlo. Si en
cambio, se relevó que el sistema implementado ha sido superado por las nuevas
tecnologías, entonces se deberá actualizarla incorporando la última tecnología.

Disuasivo

En el caso que se haya producido una fuga de la información protegida,


entonces la organización deberá activar las investigaciones correspondientes
a fin de dilucidar dónde se produjo la fuga, quién o quiénes participaron, qué
información fue afectada y demás consideraciones relacionadas.
Una vez determinados estos extremos, la organización deberá activar las
sanciones, ya sea por incumplimiento contractual, por deslealtad laboral o por
delitos penales, con dos claros objetivos: por un lado, sancionar al autor; y por el
otro, disuadir a los demás empleados de actuar de similar manera. Todas estas
alternativas serán analizadas a lo largo de la materia.

6. El control de la información y su legalidad en el ámbito laboral y comercial.


Requisitos básicos. Ley 24.766.

Como se mencionara anteriormente, los procesos de Seguridad de la Información


cuentan con un aspecto normativo que debe contabilizarse entre lo tantos otros
aspectos que harán finalmente que la empresa u organización cuente con un
sistema de gestión segura de la información.
Como todo ámbito regulatorio, está pensado para brindar seguridad a las partes,
que ante un caso de violación de los parámetros establecidos se podrá accionar
judicialmente buscando en primer lugar el cese de las acciones dañosas, y en
segundo lugar la reparación del daño, si es que hubo alguno, mediante una justa
indemnización.
Debe destacarse que la organización deberá cumplir con determinadas exigencias
legales en función de su actividad, su circunstancia y sus relaciones; así como
con exigencias contractuales fijadas por sus clientes y proveedores en lo que
respecta al manejo de la información que ellos le envíen para su tratamiento.
Al aspecto legal y al contractual, también se le debe sumar el aspecto interno,
el normativo, que se aplica en organizaciones intermedias que responden a
organizaciones superiores, como es por ejemplo el caso de la Dirección de
Tránsito Municipal que responde a una Secretaría y al Intendente.

Sintetizando, al implementar procesos de seguridad de la información se debe


contemplar la legislación vigente, que es aplicable a todo ciudadano; la normativa
vigente, que es aplicable a todo integrante de una organización; y las cláusulas
contractuales, que son aplicables sólo a las partes firmantes del contrato.

6.1 Marco legal


Empecemos por los aspectos legales a tener en cuenta:
La República Argentina ha dictado la ley 24.766 IC 1 de Confidencialidad, cuyo
título completo es “LEY DE CONFIDENCIALIDAD SOBRE INFORMACION
Y PRODUCTOS QUE ESTEN LEGITIMAMENTE BAJO CONTROL DE UNA
PERSONA Y SE DIVULGUE INDEBIDAMENTE DE MANERA CONTRARIA A
LOS USOS COMERCIALES HONESTOS”, está promulgada desde diciembre
de 1996.
Esta ley, siguiendo los lineamientos internacionales en la materia, establece

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.16


parámetros que deben cumplirse para que la ley sea aplicable y exigible.
En primer lugar, habilita tanto a las personas físicas como a las jurídicas
(empresas) a que impidan que su información comercialmente sensible sea: 1)
divulgada; 2) adquirida; y 3) utilizada, por terceros sin su consentimiento y en
forma comercialmente deshonesta.
En segundo lugar, se deben cumplir tres requisitos:

1) Que sea secreta, es decir que a una persona que se mueve en el mismo
ambiente le sea muy difícil acceder a esta información. Por ejemplo, si
estamos hablando de información sobre un producto médico oncológico, un
oncólogo no tendría que tener fácil acceso a estos datos, si lo tiene, ya no
cumple con esta exigencia.
2) Que tenga un valor comercial por ser secreta; en este punto estamos
descartando toda información que sentimental, ética o moralmente sean
sensibles. Por ejemplo, si se publica que uno de los médicos que está
trabajando en el producto oncológico secreto, es a su vez uno de los
pacientes porque tiene un cáncer terminal, será un problema distinto y no
alcanzado por esta ley. Para que esté protegida por esta ley, la información
debe ser comercialmente valiosa, en este caso para el laboratorio.
3) Que el titular haya tomado todas las precauciones posibles y razonables
para custodiarla. Por un lado, se exige que quien tiene la tarea de custodiar
la información haya sido diligente y haya implementado todas las medidas
posibles, como pueden ser sellos de “confidencial” en los impresos o de
agua en los documentos electrónicos; acceso mediante usuario y contraseña;
asignación de atribuciones en las redes internas, entre tantas otras medidas
aplicables. Por otro lado, se establece la limitante de “las circunstancias”
de tiempo, lugar, recursos y demás aspectos vinculados a la protección de
esa puntual información. La razonabilidad juega aquí un papel fundamental,
ya que no estoy obligado a hacer más allá de lo que para el negocio y la
operatoria involucrada se estila –es costumbre– hacer. A modo de ejemplo,
no puedo tener más guardias de seguridad que empleados involucrados en
el proyecto comercialmente sensible.

Luego, la ley hace bien en aclarar qué entiende por usos comerciales deshonestos,
enumerando entre ellos al abuso de confianza, la instigación a la infracción, al
engaño.
En su artículo 2º, la ley vuelve a limitar su alcance, estableciendo que se aplicará
a la información que conste en documentos, medios electrónicos o magnéticos,
discos ópticos, microfilmes, películas u otros elementos similares. Si se lee este
artículo al revés, se concluirá que toda información, para estar protegida por
esta ley, debe necesariamente estar almacenada en algún soporte que pueda ser
recuperada y leída. No está protegida la información verbal ni los chismes, que
han quedado afuera, al menos de esta ley.
El artículo 3º tiene gran relevancia en el ámbito laboral, no sólo en la relación
de dependencia, sino en el “mundo laboral”, porque hace una descripción
bien amplia de las situaciones comerciales y de negocios en las que se puede
encontrar una persona cuando recibe información confidencial. A esta amplitud,
la limita con la exigencia que se hayan cumplido los presupuestos anteriores y,
lo más importante, que se la “haya prevenido sobre su confidencialidad”.
Cumplidos todos estos extremos, quien recibe la información confidencial deberá
abstenerse de usarla y de revelarla sin causa justificada o sin consentimiento. Lo
que nos lleva a reiterar la máxima rectora antes elaborada:

“Toda información es de libre circulación,


salvo aquella que haya sido debidamente protegida”

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 17


Esta ley argentina es muy similar en su esencia a las demás leyes promulgadas
por los países de Latinoamérica, Norteamérica y Europa, ya que todas, con
algunas variantes, buscan proteger la información comercialmente sensible y
desalentar cualquier intento de fuga de información.
Pensemos por ejemplo qué pasaría si la banca suiza no tuviera secreto bancario:
luego de que un fallo de la Justicia norteamericana obligara al banco UBS a
revelar datos de cuentas secretas en busca de evasores, Ivan Pictet, presidente
de la fundación Geneva Financial Centre, estimó que, sin la vigencia de las leyes
actuales, el sector pasará de representar de un 12% a un 6% del PBI.
Amplíe el análisis de este supuesto en http://www.lanacion.com.ar/nota.
asp?nota_id=1102919

6.2 Marco normativo


Una vez analizado el marco legal aplicable, se debe analizar el marco normativo
que se encuentre vigente en su organización. Es decir, la ley aplica a todos y
el marco normativo sólo a los integrantes de determinada organización, que ha
fijado las pautas internas que se deberán cumplir al tratar información comercial,
política o gubernamentalmente sensible.
Por ejemplo, una fundación dedicada al estudio de una enfermedad terminal,
puede establecer que a la base de datos de enfermos terminales sólo acceda el
cuerpo ejecutivo de la fundación; que a la base de médicos voluntarios acceda
la gerencia; y a la base de auspiciantes y amigos de la fundación acceda toda
la administración. Asimismo, establecer que para que cada uno acceda deberá
ingresar su nombre de usuario y contraseña; que si la computadora permanece
inactiva por 15 minutos se bloqueará; y que, para exportar los datos almacenados,
deberá realizarlo con la autorización de un superior jerárquico.
El marco normativo sólo tiene efectos dentro de la organización, por lo que
aquellos terceros que tengan acceso a dicha información por contrato o por
cualquier otro motivo legal, no estarán obligados a cumplir con tales normas,
salvo que cuando se establezca el vínculo por contrato o cualquier otro,
claramente se especifique que deberá cumplir estrictamente con lo dispuesto en
el marco normativo que se acompaña al documento que se firma.
Lo invito a que lea todo el punto 12 del Modelo de Política de Seguridad de
la Información para Organismos de la Administración Pública Nacional IC 2
aprobada por la Oficina Nacional de Tecnologías de Información (ONTI) de la
Subsecretaría de Gestión Pública de la Jefatura de Gabinetes de Ministros de
la República Argentina en el que podrá encontrar información necesaria para el
cumplimiento de los requisitos legales.

Sistema de Gestión de la Seguridad de la Información

Dentro del marco normativo es oportuno mencionar que a nivel internacional se


han elaborado distintos sistemas de gestión de la seguridad de la información
(SGSI) para facilitar la implementación puertas adentro de la organización, con
el objeto de garantizar que los riesgos de la seguridad de la información sean
conocidos, asumidos, gestionados y minimizados por la organización, de una
forma documentada, sistemática, estructurada, repetible, eficiente y adaptada a
los cambios que se produzcan en los riesgos, el entorno y las tecnologías.
Recuerde que la confidencialidad, integridad y disponibilidad de la información
declarada sensible son cuestiones medulares para lograr la competitividad,
rentabilidad de la organización, así como para mantener la imagen institucional
para lograr los objetivos de la organización y asegurar beneficios buscados.
A tal fin, se debe implementar el conocido ciclo continuo PDCA (Plan – Do –
Check – Act), que en castellano es Planificar-Hacer-Verificar-Actuar, como surge
del cuadro agregado a continuación:

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.18


Existen muchas opciones de SGSI, entre las que se destacan los siguientes
modelos:

 ISO/IEC 27001:2005 Requerimientos para un SGSI.


 ISO/IEC 27002:2005 Código de Práctica de Seguridad de la Información.
 ISO/IEC 2700x (familia completa de normas 2700x).
 ISO/IEC 13335 partes 1 a 5.
 Common criteria ISO 15408 (Criterio común de evaluación).
 SSE-CMM (System Security Engineering- Capability Maturity Model) ISO
21827.
 Serie 800 del NIST.
 Cobit (Objetivos de Control para Tecnologías de la Información).
 ITIL (IT Infrastructure Library) Security Management.
 ISF (Information Security Forum).

Finalizando este punto, le detallo los principales sitios web, en inglés, donde
podrá profundizar en los modelos.

Normas ISO:http://www.iso.org/iso/home.htm
Serie 800: http://www.nist.gov/
Itil: http://www.itil.org
ISF:: https://www.securityforum.org/html/frameset.htm

La organización puede elaborar su propio marco normativo o seguir los


parámetros establecidos y consensuados internacionalmente. También puede
optar por uno intermedio, adoptando los parámetros internacionales con algunas
modificaciones que hacen a las particularidades de la organización en donde se
implementarán. De ser así, quien modifique la norma deberá tener un acabado
conocimiento de ella y la implicancia que las modificaciones puedan generar en
su estructura armónica.

A continuación, se verán los aspectos legales/normativos que están distribuidos


en todo el estándar COBIT.

En primer lugar, debemos recordar que los Objetivos de Control para la Información
y la Tecnología relacionada (COBIT®) brindan buenas prácticas a través de
un marco de trabajo de dominios y procesos, y presentan las actividades en
una estructura manejable y lógica. Están enfocadas más en el control y menos

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 19


en la ejecución, con el objetivo de optimizar las inversiones habilitadas por la
Tecnología de la Información (TI); asegurar la entrega del servicio y brindar una
medida contra la cual juzgar el desempeño de las diversas áreas y gestiones.

COBIT, según informa en el Resumen Ejecutivo ( http://www.itgi.org/Content/


NavigationMenu/Members_and_Leaders/COBIT6/Obtain_COBIT/CobiT4_
Espanol.pdf), consiste en alinear las metas de negocio con las metas de TI,
brindando métricas y modelos de madurez para medir sus logros, e identificando
las responsabilidades asociadas de los dueños de los procesos de negocio y de
TI. El enfoque hacia procesos de COBIT se ilustra con un modelo de procesos,
el cual subdivide TI en 34 procesos de acuerdo a las áreas de responsabilidad
de planear, construir, ejecutar y monitorear, ofreciendo una visión de punta a
punta de la TI. Los conceptos de arquitectura empresarial ayudan a identificar
aquellos recursos esenciales para el éxito de los procesos, es decir, aplicaciones,
información, infraestructura y personas.

Con esta brevísima introducción, nos focalicemos en el ámbito legal donde las
normas COBIT hacen hincapié en la necesidad de contar con un área jurídica
que sirva de soporte al proyecto, al igual que las demás áreas de la empresa.
Este punto ratifica lo dicho anteriormente, ya que la organización debe sacarse
de la cabeza que el área legal está solo para solucionar problemas laborales y
de incumplimientos contractuales, tiene una gran misión “preventiva” que es a
donde apuntan las normas COBIT.

A modo de ejemplo, en la sección Planear y Organizar (PO) se incorpora como


numeral 1.4 la Plan Estratégico de TI, en donde se recomienda crear un plan
estratégico que defina, en cooperación con los interesados relevantes, cómo
TI contribuirá a los objetivos estratégicos de la empresa (metas) así como los
costos y riesgos relacionados. A su vez, aconseja que el plan estratégico incluya
un presupuesto de la inversión, las fuentes de financiamiento, la estrategia
de obtención, la estrategia de adquisición, y los requerimientos legales y
regulatorios. Asimismo, en el apartado PO3.3 que se refiere al “Monitoreo de
Tendencias y Regulaciones Futuras”, recomienda establecer un proceso para
monitorear las tendencias ambientales del sector / industria, tecnológicas, de
infraestructura, legales y regulatorias.

Pasando a la sección de Adquirir e Implementar (AI) en su numeral AI2.7


titulado “Desarrollo de Software Aplicativo”, propone asegurar que todos los
aspectos legales y contractuales se identifiquen y direccionen para el software
aplicativo desarrollado por terceros. Esta recomendación está en sintonía con
la modificación introducida a la ley 11.723 de Propiedad Intelectual por la ley
25.036 que se mencionara en módulos siguientes.

En el apartado Entregar y Dar Soporte (DS), al tratar la cuestión de la


administración de los riesgos del proveedor (DS2.3) aconseja asegurar que los
contratos firmados con los proveedores estén de acuerdo con los requerimientos
legales y regulatorios de los estándares universales del negocio, debiendo
considerar también acuerdos de confidencialidad (NDAs), contratos de garantía,
viabilidad de la continuidad del proveedor, conformidad con los requerimientos
de seguridad, proveedores alternativos, penalizaciones e incentivos, etc.

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.20


Concluyendo, vemos que las normas COBIT, tomadas aquí como ejemplo,
pretenden que la organización tenga en cuenta todos los ámbitos y aspectos
involucrados, entre ellos el aspecto contractual, legal y regulatorio, recomendando
en cada uno de los procesos requerir la asistencia legal.

6.3 Marco contractual


Siguiendo con la relación de un tercero con la organización, propietaria de la
información confidencial, es común que para proteger dicha información, antes
de realizar cualquier tipo de actividad bilateral, las partes celebren un Contrato
de Confidencialidad, como el que se analizará en el Módulo 3 de la presente
materia.
Este contrato es aplicable a las conversaciones y comunicaciones que tengan
las partes mientras analizan el negocio y estudian la viabilidad de ejecutarlo
exitosamente. No exige que se haya convenido los términos y condiciones que
regularán el negocio puntual. Por ejemplo, si las partes no llegan a un acuerdo,
porque el precio es muy alto, porque la forma de pago es muy desventajosa,
porque lo que entendieron que era el negocio al final no resultaba serlo, entre un
sinnúmero de posibilidades, cada una de las partes estará obligada únicamente
a mantener secreto sobre la información que recibió durante tales gestiones.
Si del estudio realizado el negocio prospera, las partes firmarán un contrato
específico e incluirán en su articulado una cláusula especial relacionada al
tratamiento de la información sensible por parte del personal que debe conocerla
para cumplir diligentemente con el objeto del contrato.

7. Violaciones e Incumplimientos
En primer lugar, se habló de la ley de Confidencialidad, por lo que ante un
caso de incumplimiento de esta ley, el titular de la información podrá solicitar
a la Justicia que haga cesar las conductas ilícitas y también podrá ejercer las
acciones civiles destinadas a prohibir el uso de la información no divulgada y
obtener la reparación económica del perjuicio sufrido. Además, podrá hacer una
denuncia penal, en caso que estime que se haya violado alguna disposición del
Código Penal. Detalles que se analizarán en el módulo 4 de la presente materia.
En segundo lugar, se trató el marco normativo de una organización, en tal caso si
un empleado incumple con las exigencias impuestas por su empleador podrá ser
sancionado por su superior aplicando las penalidades que establezca la norma
de seguridad de la información, si es que tiene una sección de penalidades
específicas; podrá también ser sancionado en función de la Ley Laboral aplicable
si es un empleado privado o en función de la ley del Empleado Público si se
desempeña en un organismo público.
Por ejemplo, en la Política de Seguridad de la Información de la ONTI,
en el apartado 12.4 se establece que todo incumplimiento se sancionará
administrativamente conforme lo dispuesto por las normas estatutarias,
escalafonarias y convencionales que rigen al personal de la Administración
Pública Nacional.
Si Ud. debe redactar la política de seguridad de su organización, se recomienda
establecer parámetros generales de buena conducta, que en caso de su no
observancia serán castigados por lo que disponga una ley más general. De
lo contrario, si Ud. elabora normas muy detalladas de cumplimiento y sus
sanciones, es muy posible que en el corto plazo quede desactualizado y que no
haya previsto todas las circunstancias que se puedan generar, dejando una gran
“laguna” que más que beneficios le producirá inconvenientes.
En tercer lugar, se trató el acuerdo de confidencialidad en el ámbito contractual.
En estos casos las violaciones al secreto se deben caracterizar como
incumplimientos contractuales y se debe acudir a la Justicia reclamando la justa
indemnización, salvo que se haya pactado en el contrato el monto que la otra
parte abonará en caso de utilizar la información comercialmente sensible para

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 21


otros fines distintos a los previstos.
Un posible caso de violación de la norma es el investigado por el Juez Canicoba,
que busca elementos para determinar si Guillermo Moreno, Secretario de
Comercio Interior, habría violado información estadística del INDEC: http://
edant.clarin.com/diario/2010/05/26/elpais/p-02200016.htm

8. Conclusión
La Información es cada vez más el elemento de mayor valor en las organizaciones,
ya que cuando es certera, detallada y actualizada permite tomar decisiones
muy bien fundamentadas que seguramente resultarán en grandes beneficios
comerciales y económicos. Es por ello, que se deben implementar sistemas de
gestión de la seguridad de la información que involucre a todos sus actores con
el claro objetivo de proteger la información que distingue a la organización de
las demás.

Lo invito a que lea el Material Adicional que seleccionamos para este Módulo:

 Conceptos y Caracterización de la Seguridad Informática IC 3


 ¿Respondo si mi WiFi está liberada? IC4
 Los ISP deben controlar el tráfico de sus clientes IC 5
 La Seguridad de la Información IC 6
 Norma IRAM ISO IEC 17799 IC 7
 Teclado Virtual para Banca Electrónica IC 8

m1 |contenidos| AA

asistente académico 1

En la nota “La Seguridad y el Derecho, hermanos sin relación” encontrará una


comparación entre los conceptos de Seguridad Informática, Seguridad de la
Información y Derecho, que le servirá de ayuda para comprender la especificidad
de cada concepto.
http://www.segu-info.com.ar/articulos/98-seguridad_vs_derecho.htm

m1 |contenidos| AA

asistente académico 2

El e-Token es un pequeño generador digital de códigos, que protege sus


operaciones bancarias online. Estos códigos se modifican en forma constante
y nunca se repiten, ofreciéndole mayor seguridad a la hora de manejar sus
cuentas a través de Internet. Cada e-Token es único, personal e intransferible.
Para conocer más sobre e-tokens, explore https://www.pcbanking2g.hsbc.com.
ar/1/2/p2g_hbar_idv/informacion-para-el-usuario/e-token-mas-informacion

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.22


m1 |contenidos | IC

información complementaria 1

Ley Nº 24.766

LEY DE CONFIDENCIALIDAD SOBRE INFORMACION Y PRODUCTOS QUE


ESTEN LEGITIMAMENTE BAJO CONTROL DE UNA PERSONA Y SE DIVULGUE
INDEBIDAMENTE DE MANERA CONTRARIA A LOS USOS COMERCIALES
HONESTOS.

LEY Nº 24.766

Sancionada: Diciembre 18 de 1996.


Promulgada: Diciembre 20 de 1996.
El Senado y Cámara de Diputados de la Nación Argentina reunidos en Congreso,
etc. sancionan con fuerza de Ley:

ARTICULO 1°- Las personas físicas o jurídicas podrán impedir que la


información que esté legítimamente bajo su control se divulgue a terceros o sea
adquirida o utilizada por terceros sin su consentimiento de manera contraria a
los usos comerciales honesto, mientras dicha información reúna las siguientes
condiciones:
a) A, sea secreta en el sentido de que no sea, como cuerpo o en la configuración,
reunión precisa de sus componentes, generalmente conocida ni fácilmente
accesible para personas introducidas en los círculos en que normalmente se
utiliza el tipo de información en cuestión; y
b) Tenga un valor comercial por ser secreta; y
c) Haya sido objeto de medidas razonables, en las circunstancias, para
mantenerla, secreta, tomadas por la persona que legítimamente la controla.
Se considerará que es contrario a los usos comerciales honestos el incumplimiento
de contratos, el abuso de confianza, la instigación a la infracción y adquisición
de información no divulgada por terceros que supieran o no, por negligencia
grave, que la adquisición implicaba tales practicas.

ARTICULO 2°- La presente ley se aplicará a la información que conste en


documentos, medios electrónicos o magnéticos, discos ópticos, microfilmes,
películas u otros elementos similares.

ARTICULO 3°- Toda persona que con motivo de su trabajo, empleo, cargo,
puesto, desempeño de su profesión o relación de negocios, tenga acceso a
una información que reúna las condiciones enumeradas en el artículo 1° y sobre
cuya confidencialidad se los haya prevenido, deberá abstenerse de usarla y de
revelarla sin causa justificada o sin consentimiento de la persona que guarda
dicha información o de su usuario autorizado.
II
Protección de la información solicitada por la autoridad sanitaria como requisito
para la aprobación de productos

ARTICULO 4°- Para los casos en que se solicite la aprobación del registro o
autorización de comercialización de productos que utilicen nuevas entidades
químicas que no tengan registro previo ni en la Argentina ni en cualquier otro
país, deberá presentarse a la autoridad sanitaria local información que acredite
la eficacia e inocuidad del producto. En la medida que esta información reúna

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 23


los requisitos del artículo 1° y sea resultado de un esfuerzo técnico y económico
significativo, será protegida contra todo uso comercial deshonesto tal como se
define en la presente ley y no podrá ser divulgada

ARTICULO 5°- Para el caso de productos que tengan registro o autorización de


comercialización en la Argentina o en países del anexo I, incluido el caso señalado
en el artículo anterior una vez que se haya otorgado el registro en la Argentina
o en alguno de esos países del anexo I, la autoridad sanitaria local procederá a
la aprobación o autorización de comercialización de productos similares. A esos
efectos la autoridad sanitaria local, para otorgar la inscripción de especialidades
medicinales o farmacéuticas similares a las que se encuentran autorizadas en el
país o en países del anexo I, solicitará que se presente únicamente la siguiente
información, distinta a la mencionada en el artículo anterior:
a) Del producto: nombre propuesto para el mismo; fórmula (definida y verificable);
forma o formas farmacéuticas en que se presentara; clasificación farmacológica,
haciendo referencia al número de código -si existiere- de la clasificación
internacional de medicamentos de la Organización Mundial de la Salud (OMS);
condición de expendio;
b) Información técnica: método de control; periodo de vida útil; método de
elaboración de acuerdo con prácticas adecuadas de fabricación vigente y datos
sobre bioequivalencia o biodisponibilidad del producto respecto de los similares;
c) Proyecto de rótulos y etiqueta que deberán contener las siguientes
inscripciones: nombre del laboratorio, dirección del mismo, nombre del Director
Técnico, nombre del producto y nombre genérico en igual tamaño y realce,
fórmula por unidad de forma farmacéutica o porcentual, contenido por unidad de
venta, fecha de vencimiento, forma de conservación y condición de venta, número
de partida y serie de fabricación; y la leyenda MEDICAMENTO AUTORIZADO
POR EL MINISTERIO DE SALUD Y ACCION SOCIAL, Certificado N°;
d) Proyecto de prospectos que reproducirá; las inscripciones no variables de
los rótulos y etiquetas; la acción o acciones farmacológicas y terapéuticas que
se atribuyen al producto con indicaciones clínicas precisas y con advertencias,
precauciones y, cuando corresponda, de antagonismos, antidotismos e
interacciones medicamentosas y de los efectos adversos que puedan llegar
a desencadenar, posología habitual y dosis máximas y mínimas, forma de
administración, presentaciones y riesgo de habituación adictiva en caso de
determinadas formas de uso indebido;
e) En el caso de especialidades medicinales o farmacéuticas importadas de los
países incluidos en el Anexo II que forma parte integrante de la presente, además
de la información requerida en los incisos precedentes, deberá acompañarse un
certificado de la autoridad sanitaria del país de origen. Previa a la solicitud de
registro o importación ante la autoridad sanitaria local, el producto en cuestión
deberá estar comercializado en el país de origen.
La elaboración de las especialidades medicinales o farmacéuticas a que se
refiere, el presente artículo deberá llevarse a cabo en laboratorios farmacéuticos
cuyas p1antas se encuentren aprobadas por entidades gubernamentales de
países de alta vigilancia sanitaria o por el Ministerio de Salud y Acción Social,
que cumplan con las normas de elaboración y control de calidad, exigidas por la
autoridad sanitaria nacional.
Una vez presentada la información solicitada en este artículo, el Ministerio de Salud
y Acción Social tendrá un plazo de 120 días corridos para expedirse, contados
a partir de la presentación de la solicitud de inscripción de la especialidad
medicinal o farmacéutica. La aprobación del registro o de la autorización de
comercialización establecida al amparo de los procedimientos de aprobación
para productos similares establecidos en este artículo, por parte de la autoridad
administrativa local, no implica el uso de la información confidencial protegida
por la presente ley.

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.24


El régimen del presente artículo será comprensivo para:
I. Las solicitudes de registro de especialidades medicinales a elaborarse en
nuestro país y aquellas a importarse de países incluidos en el Anexo II que
resulten similares a otras ya inscriptas en el Registro; y
II. Las solicitudes de registro de especialidades medicinales a elaborarse en
nuestro país, similares a las autorizadas para su consumo público en al menos
uno de los países que integran el Anexo I, aún cuando se tratara de una novedad
dentro del Registro de la Autoridad Sanitaria

ARTICULO 6°- En los casos que se enumeran más abajo además de la


información requerida en el artículo 5°, deberá presentarse a la autoridad sanitaria
local, información que acredite la eficacia e inocuidad del producto. Los casos
referidos son los siguientes:
a) Elaboración en el país de productos que no tengan registro previo en
la Argentina, salvo la excepción prevista en el artículo anterior, para las
especialidades medicinales autorizadas en algunos de los países del Anexo 1;
b) Importación desde un país del Anexo II de esta ley que no tuviera similares
inscriptos en el registro de la autoridad sanitaria local aún cuando estuviera
autorizada y comercializada en el país de origen;
c) Importación de productos manufacturados en países no incluidos en los
Anexos I y II de la presente ley, y no autorizados para su consumo en alguno de
los países del Anexo I.

ARTICULO 7°- Cuando la comercialización de los productos a registrar requiera


la autorización del Instituto Argentino de Sanidad y Calidad Vegetal y del Servicio
Nacional de Sanidad Animal o los nuevos organismos a crearse dependientes
de la Secretaría de Agricultura, Pesca y Alimentación del Ministerio de Economía
y Obras y Servicios Públicos, dicho organismo fijará la normativa administrativa
correspondiente, creando un sistema de clasificación, archivo y reserva de
documentación que asegure la protección de la propiedad intelectual, de acuerdo
al artículo 1° de la presente ley, de la información científica y técnica que le fuera
suministrada para la inscripción de productos fitosanitarios y zoosanitarios.

ARTICULO 8°- Cuando se trate de un producto o procedimiento protegido por


una patente de invención, cualquier tercero podrá utilizar la invención antes del
vencimiento de la patente, con fines experimentales y para reunir la información
requerida para la aprobación de un producto o procedimiento por la autoridad
competente para su comercialización con posterioridad al vencimiento de la
patente.

ARTICULO 9º- La información a que se refiere este Capítulo, será protegida


mientras reúna los requisitos del artículo 1°; por lo tanto no estará protegida la
información que hubiera caído en el dominio público en cualquier país, por la
publicación de cualquiera de los datos protegidos, la presentación de todos o
partes de los mismos en medios científicos o académicos, o por cualquier otro
medio de divulgación.

ARTICULO 10.- Quedará exceptuado de la protección del artículo 4°, la


información cuya publicación sea necesaria para proteger al público o cuando
se adopten medidas para garantizar la protección de dicha información contra
todo uso comercial deshonesto.
III
Acciones por infracción a la ley

ARTICULO 11- La protección conferida por esta ley no crea derechos exclusivos
en favor de quien posea o hubiera desarrollado la información.

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 25


El acceso por terceros a la información de manera contraria a los usos comerciales
honestos, dará derecho a quien la posea a ejercer las siguientes acciones:
a) Solicitar medidas cautelares destinadas a hacer cesar las conductas ilícitas.
b) Ejercer acciones civiles destinadas a prohibir el uso de la información no
divulgada y obtener la reparación económica del perjuicio sufrido.

ARTICULO 12- Quien incurriera en la infracción de lo dispuesto en la presente


ley en materia de confidencialidad, quedará sujeto a la responsabilidad
que correspondiera conforme con el Código Penal, y otras normas penales
concordantes para la violación de secretos, sin perjuicio de la responsabilidad
penal en que se incurra por la naturaleza del delito.

ARTICULO 13- Los funcionarios de los organismos intervinientes serán pasibles


de las acciones que pudieran corresponder por aplicación del artículo anterior,
más la pena de exoneración y multa.

ARTICULO 14- La presente ley será aplicable en lo que respecta a la información


referida en el artículo 4° a partir del 1° de enero del año 1997, siempre que se
refiera a productos nuevos en los términos del artículo 4° de la ley 24.481.

ARTICULO l5- Comuníquese al Poder Ejecutivo.


DADA EN LA SALA DE SESIONES DEL CONGRESO ARGENTINO, EN BUENOS
AIRE, A LOS DIECIOCHO DIAS DEL MES DE DICIEMBRE DEL AÑO MIL
NOVECIENTOS NOVENTA Y SEIS.
Alberto R. Pierri. -Carlos F. Ruckauf. -Juan Estrada. -Edgardo Piuzzi.

ANEXO I
Estados Unidos
Japón
Suecia
Confederación Helvética
Israel
Canadá
Austria
Alemania
Francia
Reino Unido
Países Bajos
Bélgica
Dinamarca
España
Italia

ANEXO II
Commonwealth de Australia
Estados Unidos de México
República Federativa de Brasil
República de Cuba
República de Chile
República de Finlandia
República de Hungría
Irlanda
República Popular China
Gran Ducado de Luxemburgo
Reino de Noruega
Nueva Zelanda

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.26


Decreto 1607/96
Bs. As., 20/2/96

POR TANTO:
Téngase por Ley de la Nación Nº 24.766 cúmplase, comuníquese, publíquese,
dése a la Dirección Nacional del Registro Oficial y archívese. -MENEM. -Jorge A.
Rodriguez. -Guido Di Tella.

m1 |contenidos | IC

información complementaria 2

Modelo de Política de Seguridad de la Información para Organismos de la


Administración Pública Nacional

Política de Seguridad de la Información


Por Matías Altamira*
La Oficina Nacional de Tecnologías de Información (ONTI) ha aprobado mediante
la Disposición nro. 06 del 3 de agosto de 2005, la Política de Seguridad de la
Información Modelo, en el cual deben basarse los organismos públicos para
dictar o adecuar sus políticas de seguridad.
En la redacción de la Política participaron especialistas en seguridad informática
de diversos organismos públicos, como SIGEN, AGN, AFIP, ANSeS, Dirección de
Protección de Datos Personales, CITEFA, Ministerio de Economía, de Defensa,
Fuerza Aérea, Banco Nación y la UTN – Buenos Aires.
El Modelo se compone de 12 capítulos, los 3 primeros de introducción y los 9
restantes de contenidos de las distintas áreas abordadas, que han tenido por
basamento a la norma ISO/IRAM 17799 de Seguridad de la Información, que
comentáramos hace tiempo atrás.
Dentro de los objetivos planteados, se busca administrar la seguridad de la
información dentro del organismo y establecer un marco gerencial para iniciar
y controlar su implementación, así como para la distribución de funciones
y responsabilidades, garantizando la aplicación de medidas de seguridad
adecuadas en los accesos de terceros a la información del Organismo.
Respecto a la seguridad del personal, el Modelo tiende a reducir los riesgos de
error humano, comisión de ilícitos, uso inadecuado de instalaciones y manejo
no autorizado de la información. Para ello, le informará al personal ingresante
las responsabilidades en materia de seguridad, incluyéndolas en los acuerdos a
firmarse y verificando su cumplimiento durante el desempeño del individuo como
empleado y establecerá Acuerdos de Confidencialidad con todo el personal
y usuarios externos de las instalaciones de procesamiento de información.
También, garantizará que los usuarios estén al corriente de las amenazas,
incidentes e incumbencias en materia de seguridad de la información, y se
encuentren capacitados para respaldar la Política de Seguridad del Organismo
en el transcurso de sus tareas normales.
Con relación al control de accesos, es un objetivo del Modelo concientizar a los
usuarios respecto de su responsabilidad frente a la utilización de contraseñas y
equipos y garantizar la seguridad de la información cuando se utiliza computación
móvil e instalaciones de trabajo remoto.
La seguridad informática es un asunto pendiente que tanto la Administración
Pública como los privados deben asumir. Este Modelo es la oportunidad para
iniciar esta compleja tarea, que de respetarlo fielmente será significativamente
más amigable.

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 27


*Abogado especializado en Internet y Comercio Internacional
http://www.matiasaltamira.com.ar

m1 |contenidos | IC

información complementaria 3

Conceptos y Caracterización de la Seguridad Informática


Por Matías Altamira*

En el Foro Latinoamericano Alfa-Redi, el Sr. Jeimy José Cano Martínez, Ingeniero


de Sistemas y Computación de la Universidad de los Andes de Colombia, al
discutir sobre la seguridad informática en el ámbito de la banca electrónica o
e-banking, ha resumido la columna vertebral de la Seguridad Informática, que es
digno de reproducir.
El Ing. Cano Martínez, sostiene que la seguridad informática es un concepto
intangible, que implica una comprensión relacional de elementos como la
tecnología, los procesos y las personas como factores fundamentales para que
dicho concepto sea fruto de la interrelación de los mencionados factores.
La complejidad o no de la seguridad informática –continúa– está en los ojos
de los observadores que participan de los procesos que integran la gestión de
seguridad de la información. Por tanto, el plan que se formule deberá combinar
las expectativas de los usuarios, las condiciones y características de seguridad,
los procesos y procedimientos que los acompañen en el contexto de un gobierno
de la seguridad de la información, donde se materialicen las necesidades e
interacciones de cada uno de los participantes y los resultados esperados.
La seguridad de la información es una cultura que inicia en el individuo, éste como
primer custodio de su información personal. Traducir esta primera impresión
en el contexto corporativo es un paso clave para fortalecer las propuestas y
esquemas que en este sentido la organización desarrolle.
Las iniciativas de cultura en seguridad de la información exigen informar, capacitar,
entrenar y formar a las personas en temas relacionados con la protección de los
datos tanto personales como empresarios. Muchas veces la concientización se
queda en informar, su primera etapa, y ahí es donde se inician las limitaciones
de muchos enfoques.
Finalmente, el Ing. Colombiano sostiene que el Estado como garante de los
derechos de los ciudadanos debe comprender claramente que la información en
todos sus medios (incluidos los informáticos) es un bien jurídicamente tutelable,
con propiedades inherentes y claras como la confidencialidad, integridad y
disponibilidad. En este sentido, cualquier vulneración de estas propiedades es
causal de una conducta reprochable que debe ser objeto de revisión y análisis
por parte de las instituciones, para así procurar mayores niveles de atención
y eficacia por parte del Estado, que generen una dinámica positiva, propia de
las organizaciones que cuentan con sistemas de gestión de la seguridad de la
información.

*Abogado especializado en Internet y Comercio Internacional


http://www.matiasaltamira.com.ar

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.28


m1 |contenidos | IC

información complementaria 4

¿Respondo si mi WiFi está liberada?


Por Matías Altamira

La Agencia Española de Protección de Datos (AEPD) y varios jueces


españoles han desestimado denuncias cuyos autores canalizaron sus delitos
por las conexiones inalámbricas de terceros, según informa Público.es
La noticia es que en los últimos meses jueces y organismos oficiales, como
la AEPD están archivando casos o resolviendo a favor de los acusados, al alegar
que ellos no habían cometido ese delito y demostrar que tenían su conexión WiFi
desprotegida.
Se menciona el caso de un juez de Galicia que archivó unas diligencias
por delito de injurias, cuando el acusado se defendió asegurando que tenía la
conexión inalámbrica sin proteger con una clave de acceso, y manifestando
que fue otra persona la que, usando su línea, cometió los actos injuriosos.
Para comprobar la verosimilitud técnica del argumento, el magistrado pidió un
informe pericial a la Brigada de Información Tecnológica (BIT), quien dio la razón
al acusado y el juez archivó el caso.
Otro caso citado, afecta a un policía implicado en la Operación Ninja, contra
la pornografía infantil, que por fortuna para él, los investigadores de la Guardia
Civil no encontraron archivos comprometedores en su ordenador y sopesaron la
posibilidad de que fuera otra persona la que traficó con las imágenes a través de
la conexión WiFi del agente.
Los investigadores de delitos en Internet, no solo consiguen la dirección
IP (que identifica la computadora desde la que se realiza la conexión) para
llevar a alguien al juzgado, sino que previa autorización judicial, entran en las
computadoras de los sospechosos y buscan pruebas concluyentes en el disco
duro.
Consultado el director de la AEPD, Artemi rallo, dijo que “Es todo un
problema, pero las responsabilidades son personales y para imputar a una
persona hay que identificarla. En entornos WiFi, con direcciones IP dinámicas,
donde hay usuarios múltiples, no puedes imputar a nadie y la conducta queda
impune”.
Quien es titular de un bien debe responder por su buen o mal uso, salvo
que demuestre fuerza mayor. Si asimilamos la conexión WiFi a un auto y con
éste se atropella a una persona, su dueño no se liberará de responsabilidad
por dejarlo estacionado con las llaves puestas. Todo propietario debe tomar las
precauciones necesarias para evitar abusos de sus bienes.
Otra cuestión es si la conexión WiFi con sus características técnicas puede
dar eficazmente con su autor, por lo que tampoco se lo puede responsabilizar
por ser el titular de la conexión inalámbrica, debiendo el damnificado aportar
más pruebas que lo sindiquen como autor y responsable.

*Abogado especializado en Internet y Comercio Internacional


http://www.matiasaltamira.com.ar

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 29


m1 |contenidos | IC

información complementaria 5

Los ISP deben controlar el tráfico de sus clientes


Por Matías Altamira*

El Poder Ejecutivo Nacional dictó el Decreto1563/2004 reglamentando


los artículos 45 bis, 45 ter y 45 quáter que fueran incorporados por la Ley
Nº 25.873 a la ley nacional de telecomunicaciones a fin de establecer las
condiciones técnicas y de seguridad que deberán cumplir los prestadores de
servicios de telecomunicaciones en relación con la captación y derivación de las
comunicaciones para su observación remota por parte del Poder Judicial o del
Ministerio Público.
Los nuevos artículos 45 obligan a los prestadores a disponer de los
recursos humanos y tecnológicos necesarios para la captación y derivación de
las comunicaciones; a registrar y sistematizar los datos filiatorios y domiciliarios
de sus usuarios y clientes y los registros de tráfico de comunicaciones cursadas
por los mismos por el plazo de diez años; y finalmente expresan que el Estado
nacional asume la responsabilidad por los eventuales daños y perjuicios que
pudieran derivar para terceros de tales exigencias.
Por su parte, el Decreto en sus considerando expresa que el objetivo de
la ley es combatir el delito, y a la par servir al esquema de seguridad colectivo
de la Nación, ello mediante la utilización de modernas herramientas de
captación y monitoreo de comunicaciones de las redes públicas y/o privadas
de telecomunicaciones, cualquiera sea su naturaleza, origen o tecnología, en
tanto operen en el territorio nacional, orientado a desbaratar las amenazas que
resultan factibles de vislumbrar.
Es importante destacar que por un lado se le exige a los prestadores la
captación de la telecomunicación y por el otro la provisión de los datos de tráfico
de sus abonados. El Dec. 1563/04 define a la captación como la obtención e
individualización del contenido de una telecomunicación lo que se diferencia
ampliamente del registro de tráfico que es un informe de los e-mail enviados
y recibidos y sus lugares de origen y destino y todo otro elemento que torne
factible establecer técnicamente su existencia y características. Información que
únicamente puede requerir el Poder Judicial o por el Ministerio Público fundado
en la legislación vigente.
Lo destacable es que por la redacción de la norma y de su decreto
reglamentario cualquier dependencia del Poder Judicial o del Ministerio Público
podrá requerir tal información, lo que habilita a aquellas partes cuyas pruebas
sean e-mail intercambiados con su contraparte, por ejemplo para demostrar una
relación comercial o laboral, a oficiar a los Proveedores de Servicios de Internet,
para que les informen tanto del tráfico como del contenido de las comunicaciones
en cuestión.
*Abogado especializado en Internet y Comercio Internacional
http://www.matiasaltamira.com.ar

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.30


m1 |contenidos | IC

información complementaria 6

La Seguridad de la Información

Por Matías Altamira*


En la actual Sociedad de la Información, se ha mundialmente reconocido el
valor estratégico que tiene la información, por lo que desde distintos organismos
y sectores se ha tratado de establecer parámetros o estándares respecto del
grado de protección que se debe tener al manejar información comercialmente
sensible propia y de asociados.
La información puede existir en muchas formas, ya sea impresa,
electrónicamente, en imágenes o difundida verbalmente. Cualquiera sea su
forma o sus medios de distribución o almacenaje, siempre debe ser protegida
adecuadamente de una amplia gama de amenazas, tales como el fraude asistido
por computadora, espionaje, sabotaje, vandalismo, incendio o inundación,
ataques mediante virus informáticos, “hacking” y denegación de servicio, a lo que
se le debe sumar la dificultad de controlar los accesos por la interconexión de las
redes públicas y privadas y el uso compartido de los recursos de información.
Para ello se debe implementar un conjunto de controles, entre los que
se destacan políticas, prácticas, procedimientos, estructuras organizacionales y
funciones del software, a fin de garantizar que se logren los objetivos específicos
de seguridad de la organización. Estos objetivos deberán contemplar la
preservación de la confidencialidad, garantizando que la información sensible
sea accesible sólo por aquellas personas autorizadas a tener acceso a ella; de la
integridad, asegurando su exactitud y totalidad y sus métodos de procesamiento;
y de la disponibilidad, para que los usuarios autorizados tengan acceso a ella y
a sus recursos relacionados cuando sea necesario, características que definen a
la Seguridad de la Información.
En esta línea de acción la Organización Internacional de Normalización
(ISO) y a la Comisión Electrotécnica Internacional (CEI), en forma conjunta
dictaron la norma ISO/IEC 17799, basados en BS 7799 del British Standards
Institution y que fuera adoptada por el Instituto Argentino de Normalización
(IRAM) como la norma IRAM-ISO-IEC 17799.
Si su organización no ha adoptado todavía un programa de protección
definido de la información, la ISO 17799 puede servir de parámetro para que
lo defina, utilizándola como guía para configurar la política de seguridad de su
empresa, debiendo requerir la participación de sus empleados, proveedores
y clientes para obtener una total implementación y aplicación y así garantizar
la continuidad comercial, minimizar el potencial daño y maximizar su estimado
retorno.

*Abogado especializado en Internet y Comercio Internacional


http://www.matiasaltamira.com.ar

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 31


m1 |contenidos | IC

información complementaria 7

Norma IRAM ISO IEC 17799


Por Matías Altamira*

La norma IRAM ISO IEC 17799 –recomendada en la nota anterior– es un


código de buenas prácticas empresariales para la gestión de la seguridad de
la información, involucrando a todos los activos de un sistema de información:
hardware, software, estructura de los datos y personal.
La organización debe identificar sus requerimientos de seguridad aplicando
tres recursos principales: El primero consiste en evaluar los riesgos que enfrenta,
es decir las amenazas a los activos, las vulnerabilidades y probabilidades de
ocurrencia y estimándose su potencial impacto; el segundo recurso son requisitos
legales, reglamentarios y contractuales que debe cumplir la organización, sus
socios comerciales, contratistas y prestadores de servicios; y el tercero es el
conjunto de principios, objetivos y requisitos para el procesamiento de la
información que respaldan las operaciones de la organización.
La Norma trata en el apartado 12.1 los requisitos legales, haciendo
especial mención al software dentro de los derechos de propiedad intelectual
y recomendando controles que van desde la publicación de la política y
procedimientos, concientización del personal y sus sanciones disciplinarias
hasta la implementación de registros de activos y controles de instalación de
productos con licencia y software autorizado.
Asimismo, se recomienda que los registros importantes de la organización
estén tanto protegidos contra pérdida, destrucción y falsificación como
clasificados en diferentes tipos, (de base de datos, de transacciones, operativos)
y se establezca el tipo de medios de almacenamiento (papel, microfichas,
medios magnéticos u ópticos), aconsejándose que para el caso de los medios
electrónicos se garantice la capacidad de acceso a los datos durante todo el
período de retención.
Una cuestión sensible en toda organización es el uso inadecuado de los
recursos de procesamiento de información (por ej. computadoras), sugiriendo la
ISO que sea considerada como uso indebido y sujeto a acciones disciplinarias,
para lo que se requerirá que todos los usuarios estén al corriente del alcance
preciso del acceso permitido.
Finalmente, se trata la recolección de evidencia que respalde una acción
contra una persona u organización en cumplimiento de los procedimientos
internos o de las leyes pertinentes, cumpliendo con los requisitos de validez,
calidad y totalidad de la evidencia detallados en la ISO 17799.
En caso de requerir mayor información se puede ingresar a www.iram.
com.ar o a www.iso.org

***

*Abogado especializado en Internet y Comercio Internacional


http://www.matiasaltamira.com.ar

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.32


m1 |contenidos | IC

información complementaria 8

Para visualizar esta información complementaria dirijasé al sector respectivo en


la Plataforma.

m1 material

Material básico

Para el abordaje de la presente asignatura Usted deberá estudiar los temas


desarrollados en los contenidos de cada módulo.

Material complementario

FERNÁNDEZ DELPECH, Horacio: Internet: su problemática jurídica. Editorial


Lexis-Nexis Abeledo-Perrot. Buenos Aires, 2000.
LORENZETTI, Ricardo L: Comercio electrónico. Editorial Abeledo-Perrot. Buenos
Aires, 2001.

m1 actividades

m1 | actividad 1

Acuerdo de confidencialidad

Situación:
Una empresa local productora de software firma con una multinacional productora
de cine un contrato por el que la primera le desarrollará un programa para filmar
desde el espacio escenas realizadas en el desierto. Cada una deberá compartir
información comercialmente sensible sobre cómo piensa ejecutar el innovador
proyecto, por lo que las áreas legales han redactado la siguiente cláusula a
incorporarse al contrato:

“Las Partes acuerdan que toda la información, datos, estadísticas,


detalles de planos, pliegos, fotografías, filmaciones, audios
que se intercambien entre las Partes por cualquier medio
de comunicación, ya sea oral, escrita, visual, etc. serán
considerados confidenciales y deberán ser resguardados como
cada Parte resguarda su propia información confidencial.”

Por favor, analice la cláusula a la luz de los conceptos brindados en este módulo
y manifieste si está bien o mal redacta y por qué motivo.

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 33


m1 | actividad 2

Sanciones por violación a la Confidencialidad

Analice el reglamento interno de su organización/organización en la que trabaja


en busca de:

1.- Los parámetros de Confidencialidad de la Información, es decir, si se detalla


qué información es considerada confidencial y sus fundamentos.
2.- Los procesos internos que deben respetarse, es decir, quién le debe asignar
ese carácter, si tiene o no intervención del área legal, si se especifica quién
puede tener acceso o quién otorga/quita la autorización, etc.
3.- Las sanciones por violación a la confidencialidad. Suponiendo que los
puntos anteriores fueron ampliamente respondidos y completados, cuáles
son las sanciones por divulgar la información sensible y si esa sanción tiene
graduaciones.

En el supuesto que su organización no tenga un reglamento interno o que el


reglamento no hace mención alguna al manejo de la información confidencial,
deberá redactar una política de confidencialidad que debiera ser aplicable a su
organización, respondiendo a los tres puntos arriba mencionados.

m1 glosario

Diríjase a la página 8 para leer el contenido de este glosario.

m ó dulos

m2

m2 microobjetivos

 Conocer las características principales y los alcances de la Ley Nacional


de Protección de Datos Personales, No. 25.326, tanto para proteger sus
datos personales como para utilizar correctamente las bases de datos
en sus organizaciones.
 Reconocer que la organización en la que se desempeña también es
Titular de Datos Personales, a fin de tratarlos en cumplimiento con los
parámetros legales fijados sin que se los menosprecie en el manejo
diario.
 Reconocer que la organización posee activos intangibles protegidos
por los Derechos de Propiedad Intelectual, para que sean utilizados
con el previo consentimiento de su titular y conociendo sus riesgos y
consecuencias en caso de no hacerlo.

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.34


m2 contenidos

Tratamiento de la Información según el Sujeto

Unidad 2: Información Personal

Introducción

Como viéramos en la introducción al primer módulo y a esta materia, la


información, como bien susceptible de ser recolectado, almacenado y tratado,
ha logrado subir al podio de los bienes más preciados de una sociedad.
El estar en el podio tiene, como todas las cosas, sus aspectos positivos y
negativos. Entre los positivos, está que hoy puedo conocer en detalle la
actividad económica de una persona, con solo adquirir un informe de riesgo
crediticio; también puedo saber su historia clínica tanto los informes médicos
como los resultados de laboratorios, imágenes y demás estudios realizados,
ya que todos ellos últimos han sido prolijamente digitalizados. Haciendo una
búsqueda en Internet sobre la persona, puedo conocer si ha publicado obras
literarias, pictóricas, cinematográficas, o si participa en congresos y convenciones
internacionales, si es profesor en alguna universidad, si tiene un blog propio o
generado por terceros criticando su actuar, entre una infinidad de información
sobre la persona en la que estoy interesado, que cruzada prolijamente me puede
otorgar un perfil pormenorizado del sujeto en cuestión.

Entre los segundos, es decir los aspectos negativos del manejo indiscriminado
y casi infinito de la información de una persona, se destaca principalmente que la
persona analizada pierde casi por completo su intimidad, ya que muchos ámbitos
de su vida se conjugan en un solo y único informe. Antes la persona tenía la
posibilidad de diferenciar sus gustos y sus amistades, separar su vida según el
ámbito en el que se encontrara (artístico, profesional, deportivo, familiar, etc.),
sin generar contacto o vínculo alguno entre ellos.

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 35


Era común decir “No sabía que además de ser Policía eras el violinista de la
Orquesta Sinfónica de la Provincia”, ahora es común oír “¡Así que integrás la
Orquesta Sinfónica! Te ví en las fotos de Juan en Facebook, que hace mucho
que la integra.”

Estas situaciones positivas y negativas deben balancearse y esa es la misión


del Derecho, a través del instituto del Hábeas Data A 1 . Es decir, es muy
importante para la sociedad conocer datos de sus contratistas y proveedores,
de sus empleados y de sus clientes; pero también es igualmente importante
que estas personas puedan limitar con ciertos parámetros la información que se
difunde de ellos.
Así lo entendieron los legisladores cordobeses, que fueron los primeros en
incorporar el instituto del habeas data en la Constitución de la Provincia, en su
artículo 50, que textualmente dice:

Artículo 50 Toda persona tiene derecho a conocer lo que de él


conste en forma de registro, la finalidad a que se destina esa
información, y a exigir su rectificación y actualización. Dichos
datos no pueden registrarse con propósitos discriminatorios
de ninguna clase ni ser proporcionados a terceros, excepto
cuando tenga un interés legítimo. La ley reglamenta el uso de
la informática para que no se vulneren el honor, la intimidad
personal y familiar y el pleno ejercicio de los derechos.

A nivel nacional, el hábeas data se introduce con la reforma constitucional de


1994 en el Artículo 43 párrafo tercero, como una modalidad de acción de amparo,
que textualmente dice:

Artículo 43: Toda persona podrá interponer esta acción (acción


expedita y rápida de amparo, siempre que no exista otro medio
judicial más idóneo) para tomar conocimiento de los datos
a ella referidos y de su finalidad, que consten en registros o
bancos de datos públicos, o los privados destinados a proveer
informes, y en caso de falsedad o discriminación, para exigir
la supresión, rectificación, confidencialidad o actualización
de aquellos. No podrá afectarse el secreto de las fuentes de
información periodística.

Esta norma implícitamente reconoce el derecho a la información, a través de la


circulación de datos personales, al legitimar la existencia de bases de datos o
registros destinados a proveer informes, tanto públicos como privados.
Varios años después, se dicta la Ley Nacional de Protección de los Datos
Personales número 25.326 IC 1 (LPDP), que como ley específica perfecciona
la acción de Hábeas Data contemplada en la Constitución Nacional, para
permitir que sea ejercida tanto por casos de falsedad o discriminación, como
por cualquier incumplimiento de las obligaciones allí impuestas. El legislador
nacional toma como modelo la Ley Orgánica española 5/92 del 29 de Octubre
de 1992, denominada LORTAD (Ley Orgánica de Regulación del Tratamiento
Automatizado de Datos de España) que luego fuera modificada.

Incorpora una Autoridad de Control, con competencias y poderes jurídicos para


hacer cumplir la ley, que a través del decreto reglamentario Nº 1558/2001, le
asigna tal rol a la Dirección Nacional de Protección de Datos Personales, que se
desempeñará en el ámbito de la Secretaría de Justicia y Asuntos Legislativos del

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.36


Ministerio de Justicia, Seguridad y Derechos Humanos de la Nación.
Como dice en su sitio web http://www.jus.gov.ar/datos-personales.aspx, la
Dirección Nacional de Protección de Datos Personales –DNPDP– es el órgano
de control creado en el ámbito Nacional, para la efectiva protección de los datos
personales; tiene a su cargo el Registro de las Bases de Datos, instrumento
organizado a fin de conocer y controlar las bases de datos tanto públicas
como privadas; asesora y asiste a los titulares de datos personales recibiendo
las denuncias y reclamos efectuados contra los responsables de los registros,
archivos, bancos o bases de datos por violar los derechos de información, acceso,
rectificación, actualización, supresión y confidencialidad en el tratamiento de
los datos. Es decir, tiene por función investigar si la base de datos denunciada
da cumplimiento o no a los principios que establece la ley y las disposiciones
reglamentarias.
Con esta breve introducción, pasemos a desarrollar el programa del presente
Módulo, para lo cual le recomiendo que tenga a mano la ley 25.326, ya que
analizaremos muchos de sus artículos y es de gran relevancia para la comprensión
su lectura textual.

1. El derecho a la intimidad y a la autodeterminación informativa.

Como dijimos en la introducción y como seguramente todos hemos


experimentado, antes era necesario viajar el pueblo de donde era mi potencial
proveedor para saber si era un buen empresario o si le debía a cada santo una
vela. Es decir, la información detallada y precisa estaba, pero sólo era de acceso
en su pueblo y siempre que se lograra dar con quienes habían negociado con él,
y suponiendo que fueran justos y se acordaran tanto de sus acciones positivas
como negativas. Hoy, también se puede visitar su pueblo, pero ahora sólo para
corroborar los datos que surgen en los informes de riesgo crediticio, gracias a
las Tecnologías de la Comunicación.
Esta realidad torna indispensable delimitar una nueva frontera de la intimidad,
entendida como la esfera del individuo en la que éste puede desenvolverse sin
sufrir injerencia de ninguna especie; y del honor de la persona, que la proteja
frente a la utilización mecanizada e indiscriminada de sus datos personales,
garantizando que un elemento objetivamente provechoso para la Humanidad no
redunde en perjuicio para las personas, como sostiene la Exposición de Motivos
de la LORTAD española.
También la Corte Suprema de Justicia de la Nación declara que “…en la era de
las computadoras el derecho a la intimidad ya no puede reducirse a excluir a
los terceros de la zona de reserva sino que se traduce en la facultad del sujeto
de controlar la información personal que de él figura en los registros…” (CSJN
13-2-1.996 autos: “Dirección General Impositiva c/ Colegio Público de Abogados
de la Capital Federal)
A la luz de estas leyes novedosas, nace el derecho humano fundamental
a la “protección de los datos personales”, también denominado como
“autodeterminación informativa” o “control de los datos personales”, que
es un derecho personalísimo que se distingue y diferencia de otros derechos
de la persona como la intimidad o privacidad, la imagen, el honor o la identidad
personal, integrándose en el amplio contexto de la libertad y la identidad personal.

Podemos definir a la “Autodeterminación Informativa” como la


facultad de toda persona para ejercer control sobre su información
personal, almacenada en registros públicos o privados, preferentemente
informatizados o digitalizados.

Dentro del concepto de control, la persona puede exigir la modificación,


actualización, rectificación o eliminación de los registros por ser erróneos,

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 37


caducos o prescriptos.
Para ejercer este control es preciso conocer ciertos aspectos básicos, que
analizaremos a continuación.

2. Aspectos Básicos: Datos personales; Archivo, registro, base o banco de


datos. Clasificación, tratamiento y cesión.

Es indispensable partir de la definición de Datos Personales, que la Ley 25.326


incorpora en su Artículo 2º como la información de cualquier tipo sobre personas
físicas o de existencia ideal determinadas o determinables.
Entonces, son los datos de una persona o de una sociedad u organización, que
directamente se refieran a ella, por ejemplo “la Universidad Blas Pascal, que está
en la Avenida Donato Alvarez, en el Barrio de Argüello, de la Ciudad de Córdoba,
República Argentina y que su sitio web es www.ubp.edu.ar.
Pero también, puede ser determinable, es decir que estamos hablando de la
persona cuya identidad puede establecerse, directa o indirectamente, mediante
la asignación de un número o código, o uno o varios elementos específicos
característicos de su identidad. Por ejemplo, “El chico rubio y gordo que trabaja
en el archivo de la Universidad”, no estoy diciendo directamente “Fulano” pero
estoy dando los necesarios elementos para que un tercero pueda fácilmente
“determinar” que estoy hablando de Fulano. También puede ser “El proveedor
N°15789”, entró al sistema y veo a quién se refiere, si no es que con ese solo
dato ya lo pueda identificar.
Entre los Datos Personales, se destacan por requerir una mayor protección los
Datos Sensibles, que están contemplados en el párrafo 2º del Artículo 2º de la
ley, y que se refieren a los datos que revelan el origen racial y étnico, opiniones
políticas, convicciones religiosas, filosóficas o morales, afiliación sindical e
información referente a la salud o a la vida sexual.
Tanto los Datos Personales en general como los Datos Sensibles, para estar
alcanzados por la protección de esta Ley, deben estar almacenados en Archivos,
registros, bases o bancos de datos, que según el párrafo 3º del mismo artículo
2º, estos conceptos “... indistintamente, designan al conjunto organizado de
datos personales que sean objeto de tratamiento o procesamiento, electrónico
o no, cualquiera que fuere la modalidad de su formación, almacenamiento,
organización o acceso...”
¿Según esta definición, la lista de Contactos que tengo en mi celular estaría
alcanzada por esta ley? La respuesta obviamente es que no. El artículo 24 de la
Ley Nº 25.326 textualmente dispone que:

ARTICULO 24.- Los particulares que formen archivos, registros


o bancos de datos que no sean para un uso exclusivamente
personal deberán registrarse conforme lo previsto en el artículo
21.

Es decir, el tratamiento de datos personales que tengan como finalidad el uso


interno, personal o doméstico está excluido del régimen de la ley, porque además
ello implicaría inmiscuirse en los papeles privados de las personas.
Esta exclusión tiene dos principales razones: la primera es que es
constitucionalmente inaceptable que una ley regule el uso de los contactos
personales; y la segunda es que sería de implementación imposible controlar la
aplicación de la ley en cada agenda de cada argentino.
Ya tenemos los Datos y los Archivos, ahora pasemos al manejo que de ambos se
hace, para lo que es necesario avocarse al Tratamiento de datos personales,
que consiste en las operaciones y procedimientos sistemáticos, electrónicos o
no, que permitan la recolección, conservación, ordenamiento, almacenamiento,

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.38


modificación, relacionamiento, evaluación, bloqueo, destrucción, y en general
el procesamiento de datos personales, así como también su cesión a terceros a
través de comunicaciones, consultas, interconexiones o transferencias.
Por ejemplo, cuando quiero saber si Fulano es cliente mío, entro a la base de
clientes, le pido su DNI, consulto por este dato (lo que se llama relacionamiento,
es decir un dato se relaciona con una persona) y me informa que Fulano sí es
cliente mío bajo el N° 341006, entonces paso de la base de Clientes a la base de
Deudores para consultar si tiene facturas impagas con su número de cliente y
me informa que no tiene deuda impaga, por lo que voy al sistema de facturación
y realizo la venta que originó todo este tratamiento de datos.
A esta venta tomada como ejemplo, la hago a través de una Tarjeta de Crédito,
por lo que debo necesariamente Ceder Datos Personales a la administradora
de la tarjeta o a su Banco emisor para que verifiquen su saldo y autoricen la
compra, entendiendo por cesión de datos personales a toda comunicación de
los mismos a un tercero.
El artículo 11 de la Ley Nº 25.326 define como requisitos de legitimidad para
la cesión a los siguientes: A) que la cesión se realice para el cumplimiento de
los fines directamente relacionados con el interés legítimo del cedente y del
cesionario; y 2) con el previo consentimiento del titular de los datos, salvo
algunas excepciones.
Quien reciba estos datos será el Cesionario, que también está obligado a cumplir
las disposiciones de la ley, según lo dispone el Art. 11 inc. 4 al establecer que “...
el cesionario quedará sujeto a las mismas obligaciones legales y reglamentarias
del cedente y éste responderá solidaria y conjuntamente por la observancia de
las mismas ante el organismo de control y el titular de los datos de que se trate...”
Ya vimos todo el circuito que tienen los datos de Fulano para poder comprar,
pero ¿quién es Fulano? Fulano es el Titular de los Datos Personales, es
decir la persona física (Juan Fulano) o de existencia ideal (Fulano S.R.L.) con
domicilio legal o delegaciones o sucursales en el país cuyos datos son objeto de
tratamiento al que se refiere la presente ley. (Artículo 2, párrafo 7). Es importante
mencionar que las personas jurídicas también son titulares de información
personal, principalmente de índole económica, por lo que necesitan de una
protección adecuada.
Sabiendo que Fulano es el Titular de los datos personales tratados, debemos
ahora conocer quién es el Responsable de la Base de Datos donde se
encuentran los datos de Fulano, para principalmente saber a quién dirigirse en
el ejercicio de los derechos contemplados en la ley analizada, y en caso de
incumplimiento, a quién reclamar judicialmente. Remitiéndonos a la Ley 25.326,
ésta define como Responsable, a la persona física o de existencia ideal, pública
o privada, que es titular de un archivo, registro o banco de datos. (Artículo 2
párrafo 5º)
La caracterización de Titular debe interpretarse en un sentido amplio, concibiendo
tanto a la propiedad de la base de datos como a su administración y decisión
sobre el destino de los datos allí almacenados.
Otro actor que aparece en la ley y que también es responsable por el tratamiento
de datos personales, es el “Usuario”, que según el Art. 2 párrafo 8º es toda
persona, pública o privada, que realice a su arbitrio el tratamiento de datos, ya
sea en archivos, registros o bancos de datos propios o a través de conexión
con los mismos. Es decir, se diferencia del Titular, ya que pueden perfectamente
coexistir, siendo el Usuario quien realice efectivamente el procesamiento del
archivo y quien abuse de la información allí almacenada.

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 39


3. Principios: Legalidad, Calidad, Lealtad, Finalidad, Consentimiento,
Seguridad, Confidencialidad de los Datos.

La ley local y las leyes internacionales han plasmado ciertas directrices


que regulan la utilización de archivos y bancos de datos personales, con el
principal objetivo de preservar los derechos de las personas ante el tratamiento
indiscriminado de datos personales

a) Principio de Legalidad

La ley 25.326 establece que para que una base de datos sea lícita deberá estar
inscripta en el Registro de Bases de Datos de la Dirección Nacional de Protección
de Datos, según lo disponen sus artículos 21 y 24.
Una vez inscripta la base de datos, su utilización deberá cumplir acabadamente
con los principios allí establecidos, y bajo ningún motivo podrá tener finalidades
contrarias a la ley y la moral pública.

b) Principio de Calidad

Este principio está contemplado en los incisos 1º, 2º y 5º del Artículo 4º y exige
que los datos tratados sean: 1) ciertos; 2) adecuados, 3) pertinentes; 4) no
excesivos con relación al ámbito y la finalidad para los que se hubieren obtenido;
y 5) que su recolección no sea por medios desleales, fraudulentos o en forma
contraria a las disposiciones de la presente ley.
En concreto, el legislador le permite al responsable de la base de datos
almacenar cuantos datos el Titular le haya permitido, bajo la condición que se
comprometa a tener una base de datos impecable, actualizada y sólo con los
datos necesarios para su actividad, ni uno de más.

c) Principio de Lealtad

La ley a través de este principio de Lealtad, le exige al responsable de la base


de datos que recoja los datos directamente, con el consentimiento expreso e
informado del Titular, y no haya prestado su consentimiento porque la recolección
se hizo por medios desleales o fraudulentos o contrarios a la finalidad de la ley.
Veamos un ejemplo. Quiero armar una base de datos con personas que les
gusta jugar al tenis, entonces organizo por la radio un sorteo de una raqueta
entre los que llamen esa mañana. Después uso esos datos para invitarlos a
mi nuevo club de tenis y para ofrecerles paquetes de viajes para ir a distintos
torneos. Lo cierto es que el que participó brindó sus datos sólo para el torneo,
nunca prestó su consentimiento para recibir innumerables ofertas vinculadas de
alguna manera con el tenis.
Ante esta muy común operatoria de recolección de datos, la ley, a través de su
Artículo 6º le impone al Responsable el deber de información en el acto de
recolección, especificando claramente la finalidad o el destino para la cual serán
tratados sus datos y quiénes son los posibles destinatarios de la información;
si es obligatorio o no responder al cuestionario; qué consecuencias pueden
generarse al brindarlos, al negarse a hacerlo, y al dar datos inexactos; y cómo
hace el Titular para acceder luego a esos datos, rectificarlos o eliminarlos.

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.40


d) Principio de Finalidad

Este principio está contemplado en el Artículo 4º que dispone que los datos que
se recojan no puedan ser utilizados para finalidades distintas o incompatibles
con aquellas que motivaron su obtención.
Siguiendo con el ejemplo del tenis, los recolecté para el sorteo de la raqueta
que ya pasó, y ahora estoy organizando un viaje, como tengo todos esos datos
valiosos y no los quiero desperdiciar, les envío esta nueva promoción.
Si hacemos esto claramente vamos a incumplir con la ley, no sólo porque le
pedimos sus datos con una finalidad específica y ahora le estamos dando otro
destino, sino también porque una vez concluido el sorteo de la raqueta debí haber
eliminado esos datos, en cumplimiento del inciso 7º del Artículo 4º. Esta cláusula
ordena la destrucción del dato innecesario o que haya perdido la pertinencia a
los fines para los cuales hubiese sido recolectado.

e) Principio del Consentimiento

Este principio es el pilar fundamental de la estructura de la ley. El Titular


del dato tiene que dar su consentimiento libre, expreso e informado y debe
constar por escrito o por otro medio que permita se le equipare de acuerdo a las
circunstancias. Nada de incluir el consentimiento en la letra chica del contrato
de adhesión.
 Sin embargo, existen algunas excepciones a la manifestación del
consentimiento, a saber: que se obtengan de fuentes de acceso público
irrestricto, por ejemplo la guía telefónica o la AFIP;
 que se recaben para el ejercicio de funciones propias del Estado o en
virtud de una obligación legal, por ejemplo control policial en ruta;
 que se limiten al nombre, documento, identificación tributaria o
previsional, fecha de nacimiento y domicilio, que se conocen como los
de libre circulación;
 que deriven de una relación contractual, científica o profesional del titular
y resulten necesarios para su desarrollo o cumplimiento;
 cuando sean operaciones que realicen las entidades financieras, en
cumplimiento de la ley que las regula.

f) Principio de Seguridad

Este Principio de Seguridad está contemplado en el Artículo 9, fija la atención


tanto sobre la seguridad técnica, para evitar filtraciones, intrusiones o
destrucciones de información, como en la seguridad personal, exigiendo que el
personal avocado al tratamiento de datos personales suscriba un compromiso
de confidencialidad, con el claro objetivo de generar confianza en los Titulares
de los Datos Personales, quienes son al fin y al cabo los que deben prestar su
consentimiento para que sus datos sean tratados.
Si el responsable de la Base de Datos no implementa medidas técnicas que
protejan la seguridad e integridad de la información, su registro está prohibido,
será ilegal. (Art. 9.2) Sanción que concuerda con los principios antes desarrollados,
ya que será inútil cumplir con los principios de calidad, pertinencia y finalidad
en el tratamiento de datos personales, si por deficiencias en sus sistemas, otros
sujetos, mediante accesos no autorizados pudieran apropiarse de su contenido
para aplicarlo a fines ilícitos.
La seguridad informática debe consistir en medidas técnicas y de organización.
Por un lado, el Responsable debe procurarse el equipamiento tecnológico
necesario para brindar seguridad física y lógica a los archivos, con el claro
objetivo de evitar la pérdida y destrucción, ya sea por causas de la naturaleza,

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 41


por virus o por accesos no autorizados. Por otro lado, el Responsable debe,
desde el área de Recursos Humanos, implementar acciones de capacitación
periódica del personal en esta materia.
La norma detalla las vulnerabilidades que puede sufrir el sistema de seguridad,
tales como adulteración, pérdida, consulta o tratamiento no autorizado, por lo que
exige adoptar los recaudos necesarios para detectar desviaciones intencionales
o no de información, lo que conlleva la necesaria puesta en funcionamiento de
mecanismos de seguridad que dejen registrados de modo inviolable los accesos
a los archivos, las cesiones y transferencias de datos operadas, así como
cualquier otra operación efectuada sobre la base de datos.
Estos accesos indebidos y no autorizados derivan en delitos penales, que serán
analizados en el Módulo 4 de la presente Materia.
Reforzando el apartado de medidas de seguridad para el tratamiento y
conservación de datos personales, la Dirección Nacional de Protección de
Datos Personales dictó la Disposición 11/2006, por la que aprueba medidas de
seguridad que deberán observar los responsables y usuarios de bases de datos
públicos no estatales y privados.

En la Disposición, se establecen tres niveles de seguridad, básico, medio y


crítico, según la naturaleza de la cuestión tratada, y en función del nivel son las
medidas de seguridad, que variarán de acuerdo a:

 la mayor o menor necesidad de garantizar la confidencialidad e integridad


de la información contenida en el Banco de Datos;
 la naturaleza de los datos;
 la correcta administración de los riesgos a que están expuestos;
 el mayor o menor impacto que tendría en las personas el hecho que
la información registrada no reúna las condiciones de integridad y
confiabilidad debidas.

g) Deber de Confidencialidad

El deber de Confidencialidad está contemplado en el Artículo 10, expresando


que el Responsable y todas las personas que intervienen en cualquier fase
del procesamiento de datos personales están obligados al secreto profesional
respecto de los mismos, que se mantiene aún después de finalizada la relación
laboral, el contrato de locación de servicios o el vínculo que fuere con el
Responsable de la base de datos.
El legislador le asignó tanto valor a este deber, que lo elevó al nivel del “secreto
profesional”, es decir no es una cuestión contractual, sino una relación profesional,
que si por ejemplo quien trata los datos es Abogado estará no sólo obligado a la
confidencialidad por esta ley, sino también por su ley de colegiatura, que le exige
mayores recaudos que los aquí establecidos. Más celoso debe ser el cuidado
aún, si el profesional está sometido a las leyes financieras y bancarias, donde el
secreto bancario juega un rol estelar.
Respecto de los empleados del Responsable, que también deben guardar
confidencialidad, es común que para asegurar su cumplimiento firmen un
compromiso de confidencialidad.

4. Derecho de información. Derecho de Acceso: gratuidad, excepciones.


Derechos de: a) Actualización; b) Rectificación; c) Integración; d) Bloqueo;
e) Confidencialidad; y f) Supresión. Derecho al silencio y al olvido.

Pasemos ahora a los Derechos que la Ley Nacional de Protección de Datos


Personales le otorga al Titular del dato en su Capítulo III.
Para ello, es oportuno recordar que la autodeterminación informativa está

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.42


conformada por un conjunto de derechos que son el derecho a conocer; el
derecho a acceder; y el derecho a rectificar.

Derecho de información.

Este derecho a conocer o derecho de información está contemplado en el Artículo


13 y es la facultad que toda persona tiene de solicitar al organismo de control,
en nuestro caso la Dirección Nacional de Protección de Datos Personales,
información relativa a la existencia de archivos de información personal, su
finalidad registrada y la identidad y domicilio del Titular.
La Dirección Nacional de Protección de Datos Personales ha cumplimentado con
esta obligación que le asigna la ley mediante la implementación en su sitio web
http://www.jus.gov.ar/datos-personales.aspx/ una sección de consulta de Bases
de Datos Registradas.

Derecho de Acceso: Gratuidad. Excepciones

El Artículo 14 regula el Derecho de Acceso o Hábeas Data que tiene toda persona
para conocer los datos que entes públicos o privados tienen sobre ella. Para
tener acceso, el Titular del Dato debe formular la petición verbal o por escrito,
en cuyo caso puede ser mediante formularios, carta documento, fax, correo
electrónico, etc., al Responsable de la base, acreditando en todos los casos
su identidad. Este pedido de Acceso a la Información personal es gratuito en
intervalos de seis meses, salvo que demuestre un interés legítimo para acceder a
su información nuevamente, como por ejemplo que deba presentar ese informe
ante las autoridades judiciales.
El Responsable de la base de datos debe contestar el pedido en un plazo de
10 días, cuyo texto debe ser claro, en lenguaje accesible y no puede contener
codificaciones, es decir que no puede utilizar un lenguaje técnico o específico
del rubro en el que se desempeña. Si no puede evitar las codificaciones, debe
agregar una explicación de ellas.
Dependiendo de cómo haya sido el requerimiento será la respuesta. Por
ejemplo, si la persona interesada se apersonó al local del Responsable, éste
puede evacuar la consulta mostrándole en pantalla la información que tiene
almacenada del Titular requirente. En cambio, si cursó su pedido por escrito, es
recomendable que conteste por la misma vía.
Este Derecho de Acceso tiene algunas excepciones en su implementación
contempladas en el Artículo 17, que se fundamentan principalmente en la
defensa de la Nación, defensa del orden, de la seguridad pública, de derechos
o intereses de terceros, cuando se obstaculice una actuación judicial o
administrativa en curso que investigue sobre el cumplimiento de obligaciones
tributarias o previsionales, cuando impida el desarrollo de actividades de control
de la salud, o el control del medio ambiente, cuando impida o genere dificultad en
la investigación de delitos penales o verificación de infracciones administrativas.

Derecho de Rectificación, Confidencialidad, Actualización, Supresión y


Bloqueo

Estos Derechos están contemplados en el Artículo 16 y serán aplicables según


cada caso. Así, el Derecho de Rectificación será efectivo ante el conocimiento
de que el Responsable está almacenando datos falsos, erróneos o inexactos del
Titular. Por ejemplo, que Fulano está casado con Mengana y la realidad es que
estuvo casado y ahora está divorciado.
Por su parte, el Derecho de Supresión operará cuando los datos sean
inadecuados, impertinentes o excesivos, de acuerdo a los principios de calidad
o sujeción al fin del registro que se analizaran con anterioridad. Como ejemplo se

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 43


puede citar, cuando no existió consentimiento, casos de recolección prohibida,
datos sensibles, o que se hubiere realizado la recolección con deslealtad o
resulten caducos o innecesarios, por ejemplo, el sorteo de la raqueta de tenis ya
se realizó exitosamente y no es necesario mantener los datos de los participantes.
También el Titular puede ejercitar su Derecho de Confidencialidad, cuando si
bien el dato es cierto no es necesario su difusión a terceros, es decir la información
seguirá debidamente almacenada pero dentro de la organización y no estará
disponible a terceros. Al respecto, lea los artículos ¿Hasta cuándo estaré en la
Web de Tribunales IC 2 ? y Primero Masividad luego Confidencialidad IC 3.
El Titular podrá a su vez solicitar el bloqueo de la información, hasta que
se verifique la veracidad de la información almacenada, si se considera
manifiestamente discriminatorio, falso o inexacto, en cumplimiento de lo
dispuesto por el inciso 6º del Artículo 16º.
Otro Derecho concedido al Titular es el de Actualización de datos obsoletos,
por ejemplo cuando se está informando la existencia de una deuda impaga,
cuando en realidad se canceló hace un año; o se informa un domicilio que no
corresponde más, entre muchos otros casos.
En todos estos casos, el Titular debe presentar el reclamo al Responsable, quien
tiene sólo cinco días hábiles de recibido para comprobar la exactitud y veracidad
del reclamo y modificar el dato almacenado o ratificar la información que se está
brindando a terceros. Caso contrario, queda habilitada la vía judicial.

Derecho al Silencio y al Olvido

El Derecho al Silencio y al Olvido está regulado en el 4º párrafo del Artículo


26, con el claro objetivo de hacer cesar los obstáculos que las personas tienen
para reinsertarse en el mercado bancario y financiero al estar negativamente
informado en las bases de riesgo crediticio.
La ley establece dos plazos para efectivizar el Derecho al Olvido, el primero
es a los cinco años de generada la deuda y la segunda es a los dos años de
cancelada o de alguna manera extinguida la obligación, lo que ocurra primero.
Claramente, su objetivo es evitar que el individuo quede prisionero de su pasado.
En este caso no se está discutiendo la veracidad o no de la información, sino si
se ha cumplido o no el plazo de penalización del deudor moroso.

Al concluir esta Unidad, no sólo hemos destacado los aspectos positivos de la


difusión de información personal, sino también los aspectos negativos, pero lo
más importante es que hemos repasado todos los derechos que las personas
–titulares de datos- pueden ejercer ante el conocimiento de esos aspectos
negativos, así como las responsabilidades que asumen quienes manejen, traten,
utilicen datos personales de terceros.
Habiendo analizado los datos personales de los individuos, pasemos ahora a
analizar los datos personales de las organizaciones como personas jurídicas
que son.

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.44


Unidad 3: Información Empresarial

1. Las Personas Jurídicas y sus Datos Personales. Características

Como viéramos en la Unidad 1 del presente Módulo, las Empresas también están
protegidas por la Ley Nacional de Protección de Datos, ya que el Artículo 1º de la
ley dispone en su párrafo 2º que: “Las disposiciones de la presente ley también
serán aplicables, en cuanto resulte pertinente, a los datos relativos a personas de
existencia ideal.”
Asimismo, al definir “Datos Personales” en su Artículo 2º establece que es la
“Información de cualquier tipo referida a personas físicas o de existencia ideal
determinadas o determinables”.
Como también lo mencionáramos en su oportunidad, los datos personales no se
refieren al honor sino a la información privada y es con relación a esa información
que las organizaciones están contempladas y protegidas por esta ley.
Para ilustrar lo mencionado, vale comentar el caso resuelto por el Tribunal
de Apelaciones del 3er Circuito de los Estados Unidos que sostuvo que las
corporaciones también son personas y su información privada también está
protegida por el Acta de Libertad de Información. Esto sucedió en el juicio AT&T
Inc. v. Federal Communications Commission, donde el Juez Michael A. Chagares
sostuvo que la Comisión Federal de Comunicaciones (FCC) se equivocó al
sostener que AT&T no tenía derecho a ejercer la excepción dispuesta en el
artículo 7 (c) del Acta, conocida como FOIA (Free of Information Act).

El caso se generó cuando en Agosto de 2004 AT&T le informó a la FCC que


en una investigación interna se había descubierto ciertas irregularidades en la
facturación que la compañía le había hecho a un colegio de Connecticut por
el programa “E-Rate”, que fue implementado para brindar a los colegios y
bibliotecas acceso a las telecomunicaciones y servicios relacionados. Ante esta
denuncia, la FCC inició una investigación y en Diciembre de 2004 acordó con
AT&T el pago de USD 500.000 y la implementación de un programa correctivo.
Algunos meses después, la empresa CompTel presentó una solicitud a la FCC
de acceso a la totalidad del expediente de AT&T, en ejercicio de los derechos
contemplados en la FOIA. Esta solicitud fue rechazada, lo que generó dos juicios,
uno por CompTel exigiendo el acceso y el otro por AT&T exigiendo el respeto de
la privacidad de sus datos personales, según la excepción 7 c) de la FOIA.

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 45


Esta excepción provee protección a la información personal almacenada en
los registros de las Autoridades de Contralor, para evitar que su divulgación
pueda ser razonablemente considerada una invasión injustificada a la privacidad
personal.

La FCC argumentó que cuando el Congreso redactó esta excepción pensó


únicamente en los seres humanos, que es el significado cotidiano y común que
se le da a la palabra personal, por eso en la excepción 6ª exige que el tratamiento
de la información médica no afecte la privacidad personal.

AT&T respondió que para evaluar el significado de “personal” en esa excepción


se debe remitir al capítulo de las definiciones de la FOIA, donde incluye a las
corporaciones, por lo que toda documentación incorporada en la investigación
está protegida.

Ante estas posiciones, el Juez Chagares, sostuvo que no toda información


recabada está protegida y ordenó remitir el caso a la FCC para que sea ésta
quien balancee los intereses y derechos en juego y resuelva qué información
puede ser difundida a terceros.

Respecto de las características distintivas de los datos personales de


las personas jurídicas con respecto a las personas físicas, se concentran
principalmente en los requisitos para ejercer los derechos otorgados por la ley.
Por ejemplo, vemos que el artículo 14 de la ley 25.326 exige que el titular acredite
su identidad para solicitar acceso a los datos personales. En el caso de las
personas jurídicas, quien solicite deberá acreditar estar debidamente autorizado
por la sociedad o institución que representa para ejercer en nombre de ella ese
derecho.
Revisando algunas de las Preguntas Frecuentes de la Dirección Nacional
de Protección de Datos Personale, http://www.jus.gov.ar/datos-personales/
preguntas-frecuentes.aspx, vemos que explica que el tratamiento de datos es
ilícito cuando el titular no hubiere prestado su consentimiento libre, expreso e
informado. El consentimiento informado está precedido de una explicación al
titular de acuerdo a su nivel social y cultural.
En el caso de las empresas y organizaciones, al consentimiento lo tiene que
prestar quien esté facultado por estatuto para obligar a la sociedad, y en muchos
casos, por resolución de la asamblea o del directorio, como sucede cuando
una sociedad decide abrir una cuenta en una entidad bancaria. Por otra parte,
la explicación debe realizarse a los socios quienes decidirán por votación si
aceptan o no que los datos de su organización sean tratados, manteniéndose la
exigencia de realizar una explicación de acuerdo al nivel social y cultural de los
miembros de la sociedad.

2. La empresa y sus activos intangibles: concepto, características, valuación.


Las personas se preocupan e interesan por proteger su honor, por generar en los
otros una buena imagen, por ser atractivos e interesantes así como respetados
por sus pares, por ocupar un lugar en la sociedad, en concreto por ser querido
y estimado. Objetivos que se desvanecen o se ven afectados cuando se publica
información negativa tanto económica, física como socialmente.
Ahora bien, ¿las empresas u organizaciones tienen un honor que cultivar y
proteger? Seguramente que sí. Pensando rápidamente todos queremos comprar

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.46


el auto en una concesionaria reconocida y respetada; queremos trabajar con
empresas que tengan desarrollos de última generación; o con empresas que
tengan locales comerciales en los más importantes centros urbanos del país; o
que sean reconocidas por su estricta y prolija administración.
¿Qué son todos estos requisitos? Porque no hablamos de ventas anuales
en dólares, ni de superficies cubiertas, ni de cantidad de personal y menos
de equipamiento, sólo nos referimos a valoraciones abstractas, a “Activos
Intangibles”.
Pero… ¿Qué son los Activos Intangibles? Por ejemplo, los derechos de autor,
las patentes, los modelos de utilidad, las marcas y designaciones, las licencias y
franquicias, la llave del negocio, la cartera de clientes, los gastos de organización,
de investigación y de desarrollo, entre tantos otros.
Recordemos que un activo es un recurso controlado por una empresa del que se
espera obtener beneficios futuros. Los activos intangibles se complementan con
los tangibles y de su sumatoria surge el valor total de una empresa u organización.
Si bien, no es una tarea simple valuar los activos intangibles, porque no se
puede realizar su valuación en función de unidades uniformes, la empresa sueca
Skandia desarrolló un modelo de valuación de sus servicios financieros y seguros,
dividiendo su estado contable en cinco apartados: a) financiero, b) renovación y
desarrollo, c) clientes, d) recursos humanos y e) procedimientos; argumentando
que su valor de mercado estaba integrado por su capital financiero (que hace
referencia al pasado) y su capital intelectual (que vislumbra el presente y futuro
de la organización).
Esta herramienta de medición se caracteriza por incorporar elementos no
financieros (capital humano, capital intelectual, capital clientes, capital
organizativo, capital de procesos y capital innovación), lo que da una visión
más amplia de la empresa y de la organización y, por ende, brinda una mayor
capacidad de pronóstico.
A continuación, le recomiendo ver las siguientes filminas donde se explican los
métodos de valuación de activos intangibles IC 4, disponible en http://www.
ub.es/iafi/Recerca/Seminaris/skandia.pdf .

Veamos ahora las condiciones que se deben cumplir para reconocer un Activo
Intangible:
En primer lugar, el Activo debe ser identificable, es decir, será aquel que se
pueda arrendar, vender o disponer por separado. La posibilidad de identificar al
activo no implica necesariamente que sea “separable” de otros activos, ya que es
posible que sólo genere beneficios económicos en conjunción con otros activos.
Lo importante es que la empresa pueda distinguir los beneficios económicos que
proceden del activo en cuestión.
En segundo lugar, el Activo debe ser controlable, es decir, su propietario debe
poder limitar o restringir a terceros la obtención de beneficios económicos futuros
generados por ese activo intangible. Estos beneficios económicos futuros se
refieren tanto a ingresos como a ahorro de costos.
Cumplen con estas condiciones y por lo tanto califican como Activos Intangibles,
los siguientes:

a) Las invenciones de productos o procedimientos, ya sea que estén


registrados o no. Si lo están, el Instituto Nacional de la Propiedad
Industrial (INPI) www.inpi.gov.ar le otorga una patente sobre la invención,
que le permite a su titular explotarla de manera exclusiva por 20 años. Al
vencerse este plazo de exclusividad toda persona puede usar la invención
libremente. Lo mismo sucede si el inventor no registró su invento, es decir
es de uso público. Le recomiendo leer las Preguntas Frecuentes respecto
de las Patentes en http://www.inpi.gov.ar/templates/patentes_preguntas.
asp

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 47


b) Las Marcas que identifican los productos comercializados por una
empresa y comprende el nombre, dibujo, emblema, monograma o
estampado. Cuando el titular de la marca la registra ante el INPI, la ley
le otorga el derecho al uso exclusivo durante 10 años, plazo que puede
renovarse. La marca registrada puede ser usada, vendida o licenciada a
terceros. Le recomiendo leer las Preguntas Frecuentes respecto de las
Marcas en http://www.inpi.gov.ar/templates/marcas_preguntas.asp
c) Los Derechos de Autor, surgen del registro de obras intelectuales,
como libros, artículos, programas de computación fuente y objeto,
dibujos y modelos industriales. El Titular de los derechos autorales podrá
disponer (vender, prestar, regalar, donar, etc.) su creación todas las veces
que quiera y a quien crea más conveniente, así como fijar los límites de
sus potenciales usos por los flamantes adquirentes. Esta relación está
regulada por la ley 11.723.
d) El contrato de Edición, está contemplado entre los artículos 37 y 44
de la ley de Propiedad Intelectual n° 11.723, y regula la relación entre el
autor y el editor, a quien lo faculta a reproducirla, difundirla y venderla,
conservando el titular el derecho de propiedad, salvo que lo hubiere
también cedido en el contrato de edición.
e) La licencia de uso, es el contrato por el que el autor o propietario de
la obra autoriza a un tercero a utilizarla, especificando en su articulado las
facultades y limitaciones de dicho uso. Por ejemplo, si puede hacer copias
y en su caso cuántas; si puede modificarlo y en su caso cómo y hasta
dónde; entre muchas variantes.

4. Protección jurídica de los activos intangibles: regímenes de protección,


tipos de PI, elementos comunes, caracteres particulares.

Existen cuatro normas legales principales que protegen los Activos Intangibles,
a saber:
a) Ley 11.723 IC 5, de Propiedad Intelectual;
b) Ley 24.481 IC 6, de Patentes de Invención y Modelos de Utilidad;
c) Ley 22.362 IC 7, de Marcas y Designaciones; y
d) Ley 24.766 IC 8, de Secretos Comerciales.

A su vez, el Acuerdo sobre los Aspectos de los Derechos de Propiedad Intelectual


Relacionados con el Comercio – ADPIC o TRIP’s (Anexo 1 C), firmado en 1994
en la Ronda de Uruguay del GATT, también protegen a la Propiedad Intelectual,
principalmente en todo lo relacionado a su comercio internacional.

a) Ley de Propiedad Intelectual:

La Constitución Nacional en su Artículo 17 dispone que “Todo autor o inventor


es propietario exclusivo de su obra, invento o descubrimiento por el término
que le acuerde la ley”, concepto que ha sido instrumentado a través de la ley
de Propiedad Intelectual n° 11.723.
Para un detalle de las características de los Derechos de Autos, los Beneficios
que genera el registro de las obras intelectuales, cuáles pueden ser registradas
y demás aspectos, deberá visitar el sitio de la Dirección Nacional del Derecho de
Autor http://www.jus.gov.ar/derecho-de-autor.aspx .

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.48


b) Ley de Patentes de Invención y Modelos de Utilidad

Una patente de invención es un derecho exclusivo que el Estado otorga al


inventor, a cambio de que éste brinde a la sociedad el fruto de su investigación.
La ley de Patentes fija un procedimiento, establece qué invenciones pueden ser
patentadas, así mismo la ley sigue la clasificación internacional sobre patentes,
entre otras cuestiones que Usted deberá conocer en detalle ingresando al
Instituto Nacional de la Propiedad Intelectual, en la sección de Patentes http://
www.inpi.gov.ar/templates/patentes.asp. Allí deberá investigar qué patentes
están registradas, cuáles son las Directrices y cuáles las exclusiones, entre los
otros aspectos que se informan en el sitio referido.

c) Ley de Marcas y Designaciones

Las marcas y designaciones tienen como misión principal distinguir un producto


o servicio de otro existente en el mercado, para que el consumidor al momento
de elegir pueda diferenciar entre la gran variedad de opciones.
A los fines de conocer en detalle el proceso marcario, el alumno deberá ingresar
al Instituto Nacional de la Propiedad Industrial en su sección Marcas http://www.
inpi.gov.ar/templates/marcas.asp donde deberá investigar la diferencia entre
Marcas Comerciales y Marcas Registradas, cómo se registra una marca, quién lo
puede realizar, cuáles son sus costos, qué es una Marca Colectiva, si el trámite
se realiza personalmente o no y en su caso cómo es el procedimiento.

d) Ley de Secretos Comerciales

La Ley de Secretos Comerciales fue analizada en el Módulo 1 de esta Materia,


por lo que se recomienda que Usted vuelva a leer lo allí señalado para refrescar
los conceptos y contextualizarlos en función de lo hasta ahora aprendido.

Con estos estudios sobre las protecciones que tienen las creaciones intelectuales,
especialmente en lo referente a las organizaciones y empresas, damos por
terminado el segundo Módulo de la Materia, que tuvo como principal objetivo
demostrar que tanto las personas como las organizaciones tienen información
personal e información sensible que no desean que sea difundida masiva e
indiscriminadamente, deseo que es por un lado desafiado por las Nuevas
Tecnologías de la Información que han permitido una exponencial exposición de
esos datos que antes eran celosamente guardados; y por el otro, protegido por
legislación específica que ha sido promulgada en busca de lograr un balance
entre los intereses contrapuestos sobre el manejo de la información.

Para finalizar el módulo, lo invitamos a realizar las actividades correspondientes


y a explorar el siguiente material complementario que le ayudará a reconocer los
conceptos trabajados hasta aquí en la realidad laboral:

¿Si vendo la empresa qué hago con los datos? IC 9


Responsabilidad de la empresa IC 10
Protección del Correo Electrónico IC 11
Política Interna de Almacenamiento de Documentación IC 12
Polémicas en torno al control de las telecomunicaciones IC 13
Los e-mail Abogado-Empleado son privados IC 14
Las Empresas también tienen Información Personal IC 15
E-mail laboral: Cisternas c Stefanini IC 16
A Practicar Buenas Prácticas de Privacidad IC 17

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 49


m2 |contenidos | AA

asistente académico 1

Hábeas Data

El Instituto del Hábeas Data, es aquél que el legislador desarrolló para que las
personas puedan conocer qué datos propios tiene un tercero y en caso de error,
abuso u otra disconformidad, ellas puedan ejercer todos los derechos que la ley
les otorga para corregirlos.

m2 |contenidos | IC

información complementaria 1

Para visualizar esta información complementaria dirijasé al sector respectivo en


la Plataforma.

m2 |contenidos | IC

información complementaria 2

¿Hasta cuándo estaré en la Web de Tribunales?


Por Matías Altamira

Esta pregunta se está realizando cada vez más por la necesidad de los
consumidores de desaparecer de todo tipo de base de datos que se utilice para
analizar si la persona es digna de confiar, crediticiamente hablando.
Lo cierto es que el Poder Judicial de Córdoba ha tomado por política
informar los juicios que se siguen en sus Tribunales Civiles y Comerciales,
brindando información general a todo el que quiera conocerla, con leves variantes
como son el estado del juicio: “Activo” o “Paralizado” y su Ubicación Actual: “En
Casillero”, “A Despacho”, “Prestado”, “Pre-Archivo de Oficina”, y “Archivado”.
La pregunta se presenta cuando por lo motivos que habilitan los Códigos
el juicio termina, pero termina para quién, obviamente para las partes porque no
seguirán litigando, pero pareciera que no para el Poder Judicial por lo seguirá
informando y tampoco para los terceros “curiosos” porque podrán saber de él
-por ahora- eternamente.
Consultando la ley de Protección de Datos Personales, nro. 25.326,
establece en su Artículo 4º inc. 7º que “Los datos deben ser destruidos cuando
hayan dejado de ser necesarios o pertinentes a los fines para los cuales hubiesen
sido recolectados.” A su vez, el Decreto Reglamentario 1558/2001 establece que
“El dato que hubiera perdido vigencia respecto de los fines para los que se
hubiese obtenido o recolectado debe ser suprimido por el responsable o usuario
sin necesidad de que lo requiera el titular de los datos.”
Esta norma general y de orden público, tiene como única excepción a los
datos que sean significativos para evaluar la solvencia económica-financiera de

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.50


las personas, regulada por el artículo 26 de la misma ley.
Como la información de acciones judiciales no es necesaria para evaluar
la solvencia de las personas, no puede encuadrarse en la excepción, y debe
cumplir la norma general.
El dato se recabó para la tramitación de un juicio, concluido éste, es
innecesario mantenerlo y es impertinente para el fin de su recolección, por lo
que cumple con las dos caracterizaciones legales, por lo que debe ser destruido.
¿Cuándo? Inmediatamente de terminado el juicio. ¿Por quién? Por el Responsable
de la base de datos, que en este caso es el Poder Judicial de Córdoba. ¿A pedido
del Interesado? No, el Decreto claramente expresa que no se debe esperar un
reclamo del titular del dato, que aquí son las partes del ex juicio.
Es de esperar que se activen los mecanismos para que la ley de Hábeas
Data se cumpla donde reside la Justicia.

m2 |contenidos | IC

información complementaria 3

Primero Masividad luego Confidencialidad


Por Matías Altamira

El Tribunal Superior de Justicia de Córdoba mediante la Resolución 02/2008


ha dispuesto que cuando las causas judiciales estén concluidas deberán dejar
de aparecer en la web del Poder Judicial.
En la Resolución se hace referencia a una solicitud que yo presentara
con el objetivo de armonizar las acciones de difusión del Portal Judicial con los
parámetros fijados por la ley de Hábeas Data.
Debo destacar que la Secretaría Civil del Tribunal Superior de Justicia
receptó positiva y proactivamente mi requerimiento, entendiendo el planteo y
sus fundamentos y tomando la iniciativa para adecuar los sistemas internos, sin
desproteger otros importantes aspectos en juego.
La Resolución reconoce en el demandado a la persona interesada en que
no aparezca más esa acción judicial y le otorga al actor un “derecho a veto”, ya
que el primero deberá conseguir la anuencia del segundo para que el Tribunal
proceda a someter a confidencialidad la información del litigio.
Con esta nueva norma el Tribunal Superior de Justicia establece
por un lado, la masividad del conocimiento de las causas judiciales, ya que
cualquiera puede acceder a toda la información básica del juicio; y por el otro,
la confidencialidad de la información, ya que una vez terminado el proceso no
figurará más en Internet.
En un primer momento se solicitó la supresión de la información, pero
entraba en conflicto con la obligación del Poder Judicial de mantener sus
archivos y constancias en cumplimiento de otras leyes que le son aplicables.
Luego, se solicitó el sometimiento a confidencialidad, que permitía al Poder
Judicial mantener sus registros internos y al demandado dejar de figurar como
tal en Internet.
Cuando la confidencialidad sea requerida al terminar cada acción judicial,
generará beneficios adicionales, al reducir considerablemente la magnitud de la
base de datos que hoy administra la Gerencia de Informática y le otorgará mayor
certeza y fidelidad a la base, ya que cuando se consulte sobre una persona y
aparezca un juicio contra ella, serán altas las probabilidades que ese juicio sea

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 51


cierto y se encuentre efectivamente en trámite.
Habiendo habilitado el TSJ el camino de la masividad a la confidencialidad,
es el turno de los abogados de los demandados –principales interesados-
solicitar a los juzgados que sometan a confidencialidad la información del juicio.
Esta solicitud tendrá como paso previo concluir formalmente con cada reclamo,
ya no se podrá arribar a un acuerdo informal sin volver por el Tribunal.
Agradezco al Poder Judicial de Córdoba haber receptado e implementado
esta propuesta, que seguramente redundará en mayor fiabilidad de la información.

m2 |contenidos | IC

información complementaria 4

Para visualizar esta información complementaria dirijasé al sector respectivo en


la Plataforma.

m2 |contenidos | IC

información complementaria 5

Para visualizar esta información complementaria dirijasé al sector respectivo en


la Plataforma.

m2 |contenidos | IC

información complementaria 6-7-8

Para visualizar estas informaciones complementarias dirijasé al sector respectivo


en la Plataforma.

m2 |contenidos | IC

información complementaria 9

¿Si vendo la empresa qué hago con los datos?


Por Matías Altamira*

Es obligación de toda empresa inscribirse en el Registro Nacional de Bases


de Datos como titular de las bases de datos que utiliza para su gestión diaria,
siendo las más comunes clientes, proveedores y empleados. Ahora bien, ¿qué
ocurre si esa empresa se vende, se fusiona o es absorbida por otra empresa?
Las acciones dispuestas por la empresa española Prisacom S.A., encargada
de la gestión del portal de noticias www.elpais.com, ante su transferencia a
Ediciones El País, S.L., sirve como ejemplo de buenas prácticas.
Prisacom envió a sus suscriptores en el mes de Abril pasado un correo
electrónico por el que informaba “A partir de ahora, EDICIONES EL PAIS, S.L.
pasará a gestionar el servicio de ELPAIS.COM por sí misma, de forma que

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.52


en cumplimiento de la normativa vigente en materia de protección de datos
personales, te informamos que la base de datos de usuarios registrados hasta
ahora titularidad de PRISACOM, pasará a ser titularidad de EDICIONES EL PAIS,
S.L.”
“En caso de que tu intención sea seguir disfrutando de las ventajas y servicios
en los que estás registrado, -continúa el e-mail- no es necesario que contestes
a este correo ni efectúes ninguna otra acción, de forma que transcurridos los
próximos treinta días, tus datos pasarán a formar parte de un fichero titularidad de
EDICIONES EL PAIS, S.L. con domicilio en Miguel Yuste, 40 – 28037 Madrid, con
la misma finalidad de gestionar el servicio que hasta ahora regía con PRISACOM
y con posibilidad de ejercitar tus derechos de acceso, rectificación, cancelación
y oposición en la dirección anteriormente mencionada o la dirección de e-mail
atencionclientes@elpais.com.” Este párrafo respeta lo dispuesto en el artículo
11 inc. 1º de nuestra ley, que exige el respecto del interés legítimo del cedente
y del cesionario y el previo consentimiento del titular del dato, al que se le debe
informar la finalidad de la cesión e identificar al cesionario.
Luego, implementa el correo electrónico analizado la opción “opt-out” y
sus consecuencias, que también está contemplada en el artículo 27 inc. 3º de
nuestra legislación, al especificar que “Si no deseas que a partir de ahora tus datos
sean titularidad de EDICIONES EL PAIS, S.L. te rogamos nos informes antes de
que transcurran los próximos treinta días, pulsando aquí. Tu oposición al cambio
de titular del fichero supondrá una negativa al tratamiento y la imposibilidad de
que los servicios que te venimos prestando hasta ahora puedan ser gestionados,
por lo tanto tus datos serán cancelados de los sistemas.”
Entre las leyes a cumplir al transferir la propiedad de una empresa, se
encuentra la ley de Hábeas Data y acciones como la analizada son recomendables.

m2 |contenidos | IC

información complementaria 10

Responsabilidad de la empresa

Estimados colegas del Foro CIBERDERECHO.-


 
Acabo de recibir un mail privado de mi querido amigo y colega (tocayo además)
Emiliano Piñeyro Martínez el que me pide una opinión relacionada con lo que a
continuación detallo:
 
Pregunta Hipótesis del Dr. Piñeyro Martínez: ¿Qué pasa cuando el empleado
envía un mail con información indecorosa o un virus desde  la casilla de la
empresa donde trabaja. No debería responder el empleador por el 1113 CCA? 
 
Emi, hay que pasar tu hipótesis por un doble filtro, a saber:
a) La responsabilidad del Principal por el Dependiente (art. 1113 CCA)
b) el contralor de los mails del dependiente por parte de su empleador (principal
/ empleador).-
 
A) LA RESPONSABILIDAD DEL PRINCIPAL POR EL ACTO ILÍCITO DEL
DEPENDIENTE
    (ART. 1113 CCA).- 

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 53


Desde mi óptica netamente civilista, entiendo que la problemática es compleja.
Pero no se pueden pasar por alto los Institutos, largamente destilados a través
de los años por una pujante y serena doctrina. En lo que atañe a la pregunta
formulada (privadamente por Emi) mi opinión es la siguiente: Para que “tome
cuerpo” una responsabilidad de este tipo (art. 1113 primera parte del CCA) es
necesaria la convergencia de tres requisitos básicos:
 
1.- Acto Ilícito del Subordinado o dependiente (poco interesa que sea con Dolo
o Culpa, delito o cuasidelito), lo importante es que este haya sido perpetrado;
2.- Relación de Dependencia (no sólo ingresa en este tipo de responsabilidad
la dependencia laborativa o en blanco, que tantos lógicos devaneos nos causa,
sino también la meramente incidental o circunstancial, por ejemplo, ceder el
volante de mi auto a quien me acompaña);
3.- Que el Daño se cometa  EN el ejercicio o EN OCASIÓN de las funciones
encomendadas por aquél (el principal). Sobre este último requisito me explayaré
un poco más:
a) Daño en el ejercicio, hay cuando el empleado causa un daño ejercitando,
en principio, las facultades propias delegadas por su principal (vgracia, cuando
un sereno armado por su patrón mata a una persona que ingresó por error al
depósito de una empresa que aquél custodiaba);
b) Daño en ocasión, en este caso se produce cuando el dependiente
“aprovechando” la ventaja que le otorga la función encomendada por su
empleador, ejecuta el acto ilícito. El inolvidable Borda ejemplificaba esto
con el chifer de colectivos que individualizaba a un viejo agresor caminando
tranquilamente por la vereda, y que como revancha del pasado se subía a esta
para atropellarlo.
La distinción que siempre vi en estos supuestos ha sido el DOLO verificado en el
segundo de los supuestos. Pero tratándose de una responsabilidad OBJETIVA
(fundada en la noción de garantía legal con una presunción de culpa irrefragable
iure et de iure, poco importa esto último).
 
Sí, creo que civilmente hay una acción de este tipo. El empleador debería
responder por el acto ilícito de su dependiente, pero vuelvo a aclarar algo que
me parece necesario:  Resulta necesario que se haya hecho desde un correo
habilitado por la propia empresa. No alcanza con que se haya efectuado  por
una de las direcciones IP de la misma (a través de un correo ajeno). Si, ya
sé, te preguntarás dónde queda la dependencia circunstancial en esto. Cuando
aborde el segundo punto, las dudas sobre este punto se acrecentarán.
 
b) EL CONTRALOR DE LOS MAIL DEL DEPENDIENTE POR PARTE DE SU
PRINCIPAL
    O EMPLEADOR (y como justificación de la primera parte de mi informe)
 
A mi entender Emi, si un empleado envía mails, desde una casilla habilitada por
la empresa con un attach que contiene  información indecorosa o un virus,  se
activan las noveles figuras penales recientemente dictadas (Delito de “Daño”
y quizás la imputación objetiva de la Empresa que en su momento vimos con
Roberto Durrieu (h) en el Posgrado de Alta Tecnología). Se aclara: la imputación
objetiva penal NO ES la responsabilidad objetiva civil. No tiene punto de
contacto alguno.
 
A mi entender, y para dejar aclarada mi postura, hay que efectuar un deslinde
necesario:
 
1.- Si la empresa tiene su propia página, en donde también, y fruto de su propio
desarrollo tecnológico y empresarial, imagen corporativa, etc., ha creado

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.54


su propia casilla de mails DE LA EMPRESA,  y de utilización exclusiva para
todos sus empleados, de querer desear monitorear los mails que estos envían
(por aquellas consecuencias que establecí en el primer punto), no deja de ser el
ejercicio legítimo de un control de calidad de trabajo, en aras de querer mejorar
(cada vez más) la eficiencia de sus empleados y de su propia empresa (con
más el necesario deslinde de responsabilidad). Claro, a este monitoreo habría
que anteponerle un Reglamento interno, en donde se le comunique al empleado
que sus mails (enviados por las casillas corporativas o de la empresa) que serán
revisados. Nada de lo que el empleado haga que tenga relación directa con la
empresa (y su finalidad dentro del mercado de esta), se debería amparar en una
Legislación tuitiva sobre privacidad. Me parece que nada es privado si tiene que
ver con la empresa. Utilizando los recursos tecnológicos de esta para beneficio
propio (del empleado) o ajeno (de personas que nada tienen que ver con esta).
 
2.- Si el empleado desea enviar mail, controlar su casilla personal de yahoo,
gmail o hotmail, y lo hace de una de las terminales de la empresa, ahí sí resurgen
normas protectivas sobre privacidad, porque en verdad las tiene. Ciertamente la
tiene. Se me ocurre pensar, que dentro de aquel reglamento interno, se pueden
establecer que los mismos visualicen sus correos desde terminales autónomas a
las “puramente” corporativas (aunque sea en un espacio propio de la Empresa),
y de acceder estos a las mismas, firmando un anexo de dicha reglamentación,
aceptando esta posibilidad configurando de esta manera una “cláusula eximente
de la responsabilidad”.
 
Esta es mi opinión
 
Saludos cordiales a todos 
Emiliano Lamanna Guiñazú

m2 |contenidos | IC

información complementaria 11

Protección del Correo Electrónico

Proyecto de Ley: Protección del Correo Electrónico


Por Matías Altamira

Los Diputados Fontdevila y Ubaldini han elaborado un proyecto de ley por el cual
proponen equiparar el correo electrónico con la correspondencia epistolar, y por
lo tanto, otorgarle la misma protección jurídica de inviolabilidad, aún cuando
haya sido provisto con fines laborales.
Entre sus fundamentos manifiestan que atento que por medio del correo
electrónico se intercambia información personal, comercial o laboral,
semejante a la intercambiada por medio de la correspondencia epistolar, pero
con características especiales en cuanto a la posibilidad de ser interferidas y
manipuladas, es que consideran oportuno otorgarle protección legal frente a la
intromisión externa. Protección que se extiende desde la creación del mensaje,
su difusión, hasta el almacenamiento.
Con relación al ámbito laboral, sostienen que cuando la casilla de correo
electrónico sea provista por el empleador al trabajador en función de una relación
laboral, independientemente de la titularidad de la misma, del nombre y clave
de acceso que sean necesarios para su uso, se entenderá que el empleador ha

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 55


cedido al trabajador el uso exclusivo de la cuenta, y por tanto, debe respetar su
confidencialidad.
Los diputados expresan que el uso del correo electrónico en el ámbito laboral,
como toda innovación, ha generado situaciones controversiales respecto a
la posibilidad del uso para fines particulares. La necesidad de resguardar la
información de la empresa, como asimismo de garantizar su confidencialidad e
integridad, sientan base para que algunas empresas ejerzan un estricto control
tecnológico del flujo de información. Sin lugar a dudas –continúan– estamos
en zona fronteriza respecto al resguardo de la intimidad del empleado. Cada
empresa puede diseñar su propia política de uso de esta herramienta, el límite lo
marca el respeto a la intimidad y la inviolabilidad del correo electrónico.
Fundamentados en tales conceptos han establecido en el artículo 4° que el
empleador deberá notificar fehacientemente al empleado su política respecto
del acceso y uso del sistema de correo electrónico en el lugar de trabajo.
De prosperar esta iniciativa, las empresas tendrán que limitar sus políticas al
respecto y los empleados verán renacer sus derechos constitucionales, quedando
para la Justicia la función de balancear entre los intereses empresariales
de resguardar información comercialmente sensible y los personales de
inviolabilidad de la intimidad. Ardua tarea.

m2 |contenidos | IC

información complementaria 12

Política Interna de Almacenamiento de Documentación


Por Matías Altamira*
A medida que la informática logra mayor relevancia en la administración y
gestión de las organizaciones, sus dirigentes deben tomar mayores recaudos en
los procesos de almacenamiento de la información. Para ello, resulta provechoso
los consejos brindados por Juliana Morehead, socia de Association of Certified
Fraud Examiners (ACFE).
La Política de Almacenamiento de Documentación elaborada por la Dra.
Morehead, busca asegurar la más eficiente y efectiva gestión de la Organización.
Sostiene que los registros de la Organización y sus subsidiarias son importantes
para su correcto funcionamiento, incluyendo dentro de ellos a todos los que
generan los empleados, ya sea en formato electrónico o en papel. Ítems que uno
podría considerar irrelevantes, como los e-mail internos, las agendas personales
y los informes son registros que sí son considerados importantes por esta Política.
Los objetivos de la Política son: 1) Retener los documentos importantes
para referencia y futuros usos; 2) Eliminar aquellos documentos que no son más
necesarios para el correcto funcionamiento de la organización; 3) Organizar los
documentos relevantes para su fácil y rápida búsqueda; y 4) Asegurar que cada
empleado de la Organización conozca qué documentos deben ser almacenados,
por cuánto tiempo, en qué medios de almacenamiento y cuándo y cómo deben
ser destruidos.
En su informe, la Dra. Morehead, también se basa en que las legislaciones
locales exigen mantener cierto tipo de registros por determinados plazos y su
falta de cumplimiento puede generarle tanto a la Organización como al empleado,
penalidades, multas, obstrucción de la justicia, destrucción de evidencia legal o
desmejorar significativamente la defensa en juicio de la Organización por falta
de tal documentación.

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.56


Ante esta situación, recomienda que cada empleado entienda y cumpla a la
perfección con la Política, y conserve los registros más allá de lo establecido por
la Política cuando: 1) considere que tales registros son o pueden ser relevantes
para un potencial litigio; 2) existe una controversia que puede devenir en una
acción judicial; y 3) la Organización sea parte de un juicio. Solo deberá eliminar
tales registros cuando el Asesor Legal le indique que no serán más necesarios.
Considera que registros son todos los informes comerciales de la
Organización, considerándolos sinónimos con documentos, y establece que
solo deberán almacenarse por un período de 5 años, salvo que la ley disponga
otro plazo.
Cada persona física y jurídica evaluará la relevancia de sus archivos
y registros y en función de ello elaborará sus procedimientos, sirviendo
seguramente este aporte como un buen punto de partida.

m2 |contenidos | IC

información complementaria 13

Polémicas en torno al control de las telecomunicaciones

Telecomunicaciones: ¿privacidad o presión?


Por Matías Altamira*
La semana pasada se vivieron momentos de gran alboroto por los
alcances de la reforma instrumentada a la ley de telecomunicaciones y su
decreto reglamentario, logrando hasta atraer la atención y la toma de acciones
por parte del Presidente de la Nación en visita oficial a Alemania. Pero, qué dice
concretamente la ley y su reglamentación, nadie lo dijo.
Como lo comentara en la columna del 13 de Diciembre de 2004, se
incorpora a la ley de telecomunicaciones el artículo 45 bis que obliga a todo
prestador de servicios de telecomunicaciones a la captación y derivación de las
comunicaciones que transmiten y el artículo 45 ter les exige registrar, sistematizar
y conservar por el plazo de diez años los datos contractuales de sus usuarios
y los registros de tráfico de comunicaciones cursadas por los mismos, ambos
requerimientos para su consulta por el Poder Judicial o el Ministerio Público.
Es decir, el 45 bis y el Artículo 2º del controvertido Decreto Reglamentario
1563/04 exige la captación (conocimiento del contenido) y derivación de las
comunicaciones a pedido del juez o fiscal que de acuerdo a la ley 25.520 tiene
que recibir un pedido fundado de la Secretaría de Inteligencia. Esta información
solo se puede almacenar por 60 días más otros 60 si fuere imprescindible, luego
se destruye.
Por su parte, el 45 ter exige la preservación del registro de tráfico no del
contenido. Este límite es reforzado por el artículo 3º del Decreto cuando establece
que deberán conservar por 10 años los registros originales correspondientes a
la información asociada a las telecomunicaciones. Definiendo a la información
asociada, como aquella que le permita individualizar el origen y destino de las
telecomunicaciones, tales como registros de tráfico, identificación y ubicación del
equipo utilizado, y todo otro elemento que torne factible establecer técnicamente
su existencia y características. Nada de contenido.
Entonces, ¿dónde está el problema? En el artículo 45 bis 2º párrafo y en
el art. 5º del Decreto que exige a los prestadores adecuar a su cargo y costo el
equipamiento y tecnologías necesarias antes del 31 de julio de 2005.
La privacidad de las personas no está en riesgo, cuenta con los

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 57


procedimientos legales adecuados. Tanto la ley como su decreto reglamentario
son correctos, adecuados y pertinentes, como se destacara en su oportunidad y
están en consonancia con la línea legislativa seguida a nivel mundial. Por lo que
el desvelo no es de los usuarios de Internet sino de sus proveedores.

m2 |contenidos | IC

información complementaria 14

Los e-mail Abogado-Empleado son privados


Por Matías Altamira

El Tribunal Superior de Justicia de Nueva Jersey, USA, resolvió por unanimidad


de sus miembros que el empleador no puede revisar los e-mail cursados entre
una antigua empleada y su abogado, aún cuando fueron enviados desde la
computadora de la empresa.
El caso se inició en el 2008 cuando Marina Stengart demandó a la empresa
Loving Care por discriminación en razón de su sexo, su religión y su nacionalidad.
Antes que Stengart dejara la compañía, intercambió correos electrónicos con su
abogado desde la computadora de la empresa pero desde su cuenta en Yahoo
que tiene usuario y clave secreta. Expertos en computación lograron revisar
esos e-mail que sirvieron para que los abogados de Loving Care prepararan su
defensa.
La compañía sostuvo que su Política Interna claramente dispone que las
comunicaciones de correo electrónico no deben ser consideradas privadas o
personales y que Loving Care se reservó el derecho a revisar, auditar, interceptar,
acceder y revelar todas las cuestiones sobre los medios de comunicación y
servicios de la empresa en cualquier momento.
En primera instancia ganó la empresa, la Cámara revirtió la decisión ordenándole
entregar todas las copias de los correos electrónicos y eliminar cualquier registro
de ellos, hasta que la Corte Suprema ratificó la decisión de segunda instancia.
Stuart Rabner, miembro preopinante de la Corte, sostuvo que una empresa tiene
derecho a establecer las políticas que rigen la utilización de las computadoras
y disciplinar a los empleados que las infringen, sin embargo, no puede avanzar
sobre las comunicaciones entre un abogado y su cliente, ya que los empleadores
no tienen necesidad ni fundamento para leer contenidos específicos personales,
privilegiados y confidenciales entre el empleado y su abogado, para hacer
cumplir las políticas empresarias.
La Corte Suprema sostuvo que aún cuando la empresa no ingresó ilegalmente
a la cuenta de Stengart, sí violó las reglas de conducta profesional al leer los
correos electrónicos y no notificar inmediatamente a la parte contraria.
Es interesante esta posición, ya que la Corte reconoce la autoridad de la empresa
para controlar las comunicaciones de sus empleados, siempre que hayan sido
debidamente notificados, pero esa autoridad no la habilita a leer contenidos que
no hacen a la organización y administración de la empresa.
Otra arista es la procesal, que los abogados de la empresa debieron informar a la
contraria de la información sensible a la que accedieron, principalmente porque
la expectativa de privacidad de la ex empleada sobre su cuenta en Yahoo era
total.

http://www.morganlewis.com/pubs/XPLF_PersonalEmailAccount_LF_31mar10.pdf

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.58


m2 |contenidos | IC

información complementaria 15

Las Empresas también tienen Información Personal


Por Matías Altamira

El Tribunal de Apelaciones del 3er Circuito de los Estados Unidos sostuvo que
las corporaciones también son personas y su información privada también está
protegida por el Acta de Libertad de Información.
En el juicio AT&T Inc. v. Federal Communications Commission, el Juez Michael
A. Chagares sostuvo que la Comisión Federal de Comunicaciones (FCC) se
equivocó al sostener que AT&T no tenía derecho a ejercer la excepción dispuesta
en el artículo 7 (c) del Acta, conocida como FOIA.
El caso se generó cuando en Agosto de 2004 AT&T le informó a la FCC que
en una investigación interna se había descubierto ciertas irregularidades en la
facturación que la compañía le había hecho a un colegio de Connecticut por
el programa “E-Rate”, que fue implementado para brindar a los colegios y
bibliotecas acceso a las telecomunicaciones y servicios relacionados. Ante esta
denuncia, la FCC inició una investigación y en Diciembre de 2004 acordó con
AT&T el pago de USD 500.000 y la implementación de un programa correctivo.
Algunos meses después, la empresa CompTel presentó una solicitud a la FCC
de acceso a la totalidad del expediente de AT&T, en ejercicio de los derechos
contemplados en la FOIA. Esta solicitud fue rechazada, lo que generó dos juicios,
uno por CompTel exigiendo el acceso y el otro por AT&T exigiendo el respeto de
la privacidad de sus datos personales, según la excepción 7 c) de la FOIA.
Esta excepción provee protección a la información personal almacenada en
los registros de las Autoridades de Contralor, para evitar que su divulgación
pueda ser razonablemente considerada una invasión injustificada a la privacidad
personal.
La FCC argumentó que cuando el Congreso redactó esta excepción pensó
únicamente en los seres humanos, que es el significado cotidiano y común que
se le da a la palabra personal, por eso en la excepción 6ª exige que el tratamiento
de la información médica no afecte la privacidad personal.
AT&T respondió que para evaluar el significado de “personal” en esa excepción
se debe remitir al capítulo de las definiciones de la FOIA, donde incluye a las
corporaciones, por lo que toda documentación incorporada en la investigación
está protegida.
Ante estas posiciones, el Juez Chagares, sostuvo que no toda información
recabada está protegida y ordenó remitir el caso a la FCC para que sea balancee
los intereses y derechos en juego.
Nuestra Ley de Hábeas Data define al Dato Personal como información de
cualquier tipo referida a personas físicas o de existencia ideal determinadas
o determinables, por lo que en Argentina AT&T también tendrá derecho a
resguardar su privacidad personal.

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 59


m2 |contenidos | IC

información complementaria 16

E-mail laboral: Cisternas c Stefanini


Tribunal: Cámara Nacional de Apelaciones del Trabajo, sala II (CNTrab)(SalaII)

Fecha: 30/04/2007

Partes: Cisternas Alvarez, Gonzalo c. Stefanini Argentina S.R.L. y otro

Publicado en: Exclusivo Doctrina Judicial Online

HECHOS:
Un trabajador fue despedido por cuestionar por e-mail a una empleada con un
cargo superior al suyo. La Cámara confirmó la resolución de primera instancia y
consideró que dicho proceder no constituía una causal justa de despido.

SUMARIOS:
El despido de un trabajador por cuestionar a través del correo electrónico a una
empleada con un cargo superior al suyo constituye una sanción desproporcionada,
pues, el texto del e-mail controvertido se limita a realizar críticas sobre la actitud
que tiene determinada persona, sin cuestionar a la empresa empleadora ni a las
compañías relacionadas, así como tampoco contiene expresiones agresivas ni,
menos aún, ofensivas respecto de aquéllas.

Es improcedente el despido de un trabajador por cuestionar por e-mail a una


empleada con un cargo superior al suyo —en el caso, el texto del correo
electrónico critica actitudes de los nuevos directivos, denotando añoranza por
los períodos anteriores de la empresa—, pues, resulta obvio que la posición de
dependiente —en todo país libre y democrático— no conlleva la limitación del
derecho constitucional de expresión, derecho que tampoco está restringido por
la ley 20.744 (Adla, XXXVI-B, 1175).

El correo electrónico que el trabajador envió cuestionando a una empleada


con un cargo superior al suyo no constituye una justa causa de despido en los
términos del art. 242 de la ley de contrato de trabajo (Adla, XXXVI-B, 1175) —en
el caso, criticó actitudes de los nuevos directivos, denotando añoranza por los
períodos anteriores de la empresa—, puesto que tales expresiones manifiestan
en términos muy personales una opinión crítica sobre el funcionamiento de la
empresa a la que el dependiente tiene completo derecho de cuestionar en tanto
no ofenda.

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.60


m2 |contenidos | IC

información complementaria 17

A Practicar Buenas Prácticas de Privacidad


Matías Altamira*

La Dirección Nacional de Protección de Datos Personales aprobó la guía


de buenas prácticas en políticas de privacidad para las bases de datos del
ámbito público, que serán de adhesión voluntaria para los organismos estatales.
Mediante la Disposición 07/08 – DNPDP publicada en el Boletín Oficial
el 27/08/2008 y en la Sección Leyes y Comentarios de Comercio y Justicia del
03/09/2008, se aprueba la guía que establece pautas de conducta con relación a
la protección de los datos personales y en particular a la aplicación de pautas de
confidencialidad, mediante un texto modelo de “Convenio de Confidencialidad”,
para optimizar la protección legal del titular de los datos personales y lograr que
los empleados públicos tomen conciencia de esta obligación y modifiquen sus
hábitos.
Cuando un organismo adhiera a la guía, le hará firmar a sus funcionarios
públicos el Convenio de Confidencialidad por el que quedarán comprometidos
a mantener reserva de los datos personales a que pudieran acceder en ejercicio
de sus funciones de por vida y solo puede ser relevado de esa obligación por
resolución judicial y cuando medien razones de seguridad y salud públicas, y de
defensa nacional.
Si los funcionarios no respetan la confidencialidad, se verán expuestos a
sanciones disciplinarias, administrativas y/o penales.
Las sanciones disciplinarias están contempladas en la Ley 22.140 que
regula el Régimen Jurídico Básico de la Función Pública, y se imponen cuando
los funcionarios públicos no han guardado la discreción correspondiente con
respecto a todos los hechos e informaciones de los cuales tengan conocimiento
en el ejercicio o con motivo del ejercicio de sus funciones.
Las sanciones administrativas por incumplimiento están clasificadas y
graduadas en la Disposición DNPDP Nº 07/05, estimándose como infracción
“leve” la vulneración del deber de secreto por parte del responsable y personas
que intervengan en cualquier etapa de un tratamiento de datos personales; como
“grave” cuando ello ocurre respecto de datos personales que se encuentren
asentados en archivos, registros, bases o bancos de datos y como “muy grave”
cuando se trate de datos sensibles o datos recabados o tratados para fines
penales y contravencionales.
Las sanciones penales de prisión e inhabilitación por el doble de la pena
para los funcionarios públicos son las incorporadas por la ley 25.326 al Código
Penal y modificadas por el artículo 8º de la Ley 26.388 de Delitos Informáticos.
Todos los organismos públicos adheridos incorporarán a sus páginas web
el “Sello Argentino de Privacidad”, que se anhela no solo refleje la formalidad
sino también las conductas de protección de datos.

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 61


m2 material

Material básico

Para el abordaje de la presente asignatura Usted deberá estudiar los temas


desarrollados en los contenidos de cada módulo.

Material complementario

FERNÁNDEZ DELPECH, Horacio: Internet: su problemática jurídica. Editorial


Lexis-Nexis Abeledo-Perrot. Buenos Aires, 2000.
LORENZETTI, Ricardo L: Comercio electrónico. Editorial Abeledo-Perrot. Buenos
Aires, 2001.

m2 actividades

m2 | actividad 1

Datos Personales

Situación:
Ante la gran oferta de compras en cuotas ofrecidas por el negocio principal de su
localidad, Ud. decide acercarse para ver si se tienta y se compra el televisor LCD
de 50 pulgadas en tantas cuotas que superan su expectativa de vida.
Una vez elegido el televisor con la mayor cantidad de usos y funciones, el
vendedor ingresa en el sistema su nombre completo y su número de documento
de identidad y luego le pregunta con qué tarjeta lo desea abonar, a lo que Ud
responde con la Tarjeta Negra. El vendedor ingresa esa opción al sistema y
luego de unos minutos le pregunta si no querría comprarlo con la Tarjeta Blanca,
que le ofrece además de las eternas cuotas un descuento del 15%, sin tope y,
según sale en pantalla, no tendría problemas con el límite de compra.
Ante esta oferta más tentadora aún, Ud. accede y compra con la Tarjeta Blanca.
Ya en su casa disfrutando de su flamante televisor, se pregunta cómo hizo el
vendedor para saber que tenía también la Tarjeta Blanca. Gracias a que está
cursando esta Materia en la Licenciatura, Ud. revisa los conceptos sobre los
Datos Personales y los Derechos de los Titulares y los artículos de la ley 25.326
y decide ejercerlos.

Detalle qué derechos ejercerá, contra quien y por qué.

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.62


m2 | actividad 2

Datos Personales

Situación:
Como especialista en Marketing de su organización, su Jefe le ha encomendado
hacer una campaña de e-mail marketing promocionando un servicio novedoso
que atraerá a miles de usuarios del transporte público.
Ud. le pregunta a su Jefe si le manda la promoción a sus actuales clientes, a
lo que su jefe le responde que no, porque esos ya son clientes, que el objetivo
de la promoción es conseguir nuevos, y le dice que compre una base de datos
por Internet, que sale muy barata, es muy completa y no tiene inconvenientes
legales, porque como el contacto está en Internet, es pública, libre y nadie se
puede quejar.

Ud. que ha cursado exitosamente la Licenciatura le comenta al Jefe,


cortésmente para no ofenderlo, cuál es la situación real sobre su intención
en función de los Principios fijados por la ley 25.326. Exponga cuáles serán
sus argumentos.

m2 | actividad 3

Datos Personales

Situación:
Una vez que su Jefe entendió que existía una ley que regulaba las bases de datos
y que no se las podía usar sin el previo consentimiento, su Jefe le dijo que para
armar su propia base de datos organizara un sorteo de un LCD de 42 pulgadas,
que lo publicitaran por la radio y que le pidieran todo tipo de datos personales
aún cuando no fueran necesarios para el concurso. Que con esa base de datos
bien nutrida, después le iban a mandar la promoción que iba a interesar a todos
los usuarios del transporte público.

Analice esta nueva propuesta de su Jefe y explique si cumple o no con los


principios de la ley de Protección de Datos Personales. Fundamente.

m2 glosario

Diríjase a la página 8 para leer el contenido de este glosario.

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 63


m ó dulos

m3

m3 microobjetivos

 Distinguir los diferentes métodos de protección de la Información


sensible de su organización, para seleccionar fundadamente la más
aplicable a cada situación.
 Conjugar las protecciones tecnológicas, laborales y contractuales, según
cada caso, para lograr la mayor efectividad posible en la protección;
 Estimular la participación de todas las áreas de su organización a partir
del reconocimiento de la interacción de protecciones, a fin de resguardar
la información sensible.
 Distinguir las características de las firmas digital y electrónica, para
aconsejar cuál debe implementarse en cada caso específico de su
organización.
 Reconocer aquella información que es propiedad de la organización y
aquella que es del empleado, para así instrumentar adecuadamente las
normativas.
 Conocer las particularidades de la operatoria del comercio electrónico
para asesorar a su organización en su inserción en dicho ámbito.

m3 contenidos

Protecciones a la Información

En el módulo anterior vimos que el objeto de protección es la información, ya


sea ésta de carácter personal como empresarial o institucional, que tanto las
personas físicas como las personas jurídicas reconocen en cierta y determinada
información un valor superior que justifica que sea protegida, resguardada
del conocimiento de terceros, por muy diversos fundamentos, que pueden
ser de índole íntima como la orientación sexual, religiosa, política, como de
índole comercial, como el método de fabricación de un producto, sus partes
componentes así como su listado de proveedores o clientes.

Una vez asignado un motivo por el que se decide proteger la información, se


deberá analizar los distintos métodos protectivos así como su implementación,
que variará sustancialmente según esa información sea compartida y administrada
por medios electrónicos, lo que dará lugar a las protecciones tecnológicas;
según sea información que es tratada en el seno de una organización dando
cabida a las protecciones laborales; y según sea compartida con proveedores
y clientes, situación en la que serán aplicables las protecciones contractuales.
En muchos casos, el titular de la información a proteger deberá conjugar todas
las protecciones mencionadas, para que el celo puesto sobre ella sea efectivo.

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.64


Todas estas variantes de protección serán analizadas a continuación, por lo que
los invito a que demos inicio a este módulo.

Unidad 4: Tecnológicas

Firma Digital. Concepto. Características

La firma digital es un conjunto de datos asociados a un mensaje que asegura la


identidad del firmante y la integridad del mensaje, es decir que permite identificar
al firmante (autoría) y asegurar que los contenidos no se modificaron desde su
firma, o detectar cualquier alteración posterior (integridad).
Al respecto, la Ley de Firma Digital N° 25.506 define a la Firma Digital de la
siguiente manera:

ARTÍCULO 2º - Firma Digital. Se entiende por firma


digital al resultado de aplicar a un documento digital un
procedimiento matemático que requiere información de
exclusivo conocimiento del firmante, encontrándose ésta bajo
su absoluto control. La firma digital debe ser susceptible de
verificación por terceras partes, tal que dicha verificación
simultáneamente permita identificar al firmante y detectar
cualquier alteración del documento digital posterior a su firma.

A continuación veamos el video sobre Firma Digital preparado por la Oficina


Nacional de Tecnología de la Información (ONTI) http://www.youtube.com/
watch?v=x_0A_NWyT2E

Luego, lea la nota de Horacio Bruera para Carranza Torres sobre los casos
jurisprudenciales vinculados a la Firma Digital http://www.carranzatorres.com.ar/
images/pdf/criterios-jurisprudenciales.pdf

Con estos conceptos sobre Firma Digital, pasemos a analizar la Firma Electrónica.

Firma Electrónica

La ley de Firma Digital establece dos tipos de firmas, la Digital y la Electrónica,


definiendo a esta última de la siguiente manera:

ARTÍCULO 5º - Firma electrónica. Se entiende por firma


electrónica al conjunto de datos electrónicos integrados,
ligados o asociados de manera lógica a otros datos
electrónicos, utilizado por el signatario como su medio de
identificación, que carezca de alguno de los requisitos legales
para ser considerada firma digital. En caso de ser desconocida
la firma electrónica corresponde a quien la invoca acreditar su
validez.

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 65


A continuación lea la nota de Horacio Bruera para Carranza Torres & Asociados,
donde grafica cuántas veces utilizamos la firma electrónica sin tener noción
alguna de ello. http://www.carranzatorres.com.ar/images/pdf/cuando-fue-la-
ultima-vez-que-firmo.pdf

De la nota de Bruera vemos que la firma electrónica se utiliza diariamente, sin


embargo tiene la debilidad que queda expresada en la última oración del artículo
2º analizado, ya que en caso de ser negada, el damnificado deberá probar
su autenticidad. Esto traduce a la firma electrónica en un simple agregado de
datos que puede tener algún valor entre las partes por previa convención pero
de cualquier manera puede ser desconocida por el emisor ya que si no hay
un registro no hay manera de probar su autenticidad, tal como se niegan por
ejemplo las firmas no registradas ante una tarjeta de crédito o ante una cuenta
bancaria.

De paso por Córdoba, el Ingeniero Industrial español Rodolfo Lomascolo Szittyay,


en el 1º Encuentro Nacional e Internacional de Firma Digital 2009 organizado
el pasado 9 de Octubre por el Grupo Injucom y la Secretaría de Extensión de
la Universidad Católica de Córdoba, sostuvo que la firma electrónica pierde su
validez con el paso del tiempo, cuando la tecnología que la albergaba se vuelve
obsoleta.

Rodolfo Lomascolo director general de la empresa española IPS Certification


Authority, fabricante de herramientas de firma y facturación electrónica y
Autoridad Certificadora en Europa, al exponer sobre el expediente médico
electrónico, sostuvo que como los demás expedientes almacena y resguarda
información, con la diferencia que la mayoría de las leyes internacionales
considera a la información médica como sensible, por lo que los recaudos de
protección normales deben extremarse.

Comentó que Bayer hace 8 años le tenía que enviar los resultados de análisis
de sangre a clínicas en las islas de Mayorca, Menorca, Ibiza y alrededores con
un altísimo costo, ahora creó una máquina que efectúa los análisis, al resultado
lo transforma en un archivo pdf, lo firma electrónicamente, le pone una clave
que sólo el médico que pidió el análisis puede ver y se lo manda por correo
electrónico a cada clínica en cada isla para que el médico autorizado lo agregue
a su expediente electrónico, sin costo. Recomendó, si estamos pensando en
armar un archivo, hay que pensar a largo plazo sobre todo en el ámbito médico,
ya que se pueden necesitar los datos de salud de una persona en cualquier
momento de su vida y luego de su muerte, entonces se tiene que almacenar por
80 o 100 años; por lo menos, registrar bien, asegurar que esa información se
puede transportar a otros archivos y evitar que la tecnología hardware me afecte
en cuanto al acceso. Por ejemplo, si almacenamos información en diskettes,
hoy ninguna computadora tiene ranuras para ver los datos allí almacenados
y si no tenemos una política adecuada, a esa información la perderemos por
imposibilidad de extraerla. Finalmente, concluyó que lo mismo ocurrirá con la
firma digital si no se hace un plan a largo plazo, sin embargo destacó que hoy
la firma digital en mucho más segura que la ológrafa, ya que cualquiera puede
imitar su firma manuscrita pero nadie puede violar su firma digital.

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.66


Ley 25.506 y sus reglamentaciones. Problemática.

El Congreso de la Nación Argentina sancionó el 14 de Noviembre de 2001 la ley


de Firma Digital 25.506, cuya lectura ya hemos comenzado y que recomendamos
se continúe, ya que sólo cuenta con 54 artículos.

Recordemos rápidamente que la firma digital es la autorizada y certificada


ante la Autoridad Certificadora, en cambio, la firma electrónica es la elaborada
personalmente por el creador del documento digital, quien asume toda la
responsabilidad por su elaboración y rúbrica, sin que pueda ser convalidada
ante autoridad alguna.

El gran salto que da esta ley es en su artículo 3° en donde expresa que cuando
la ley requiera una firma manuscrita, esa exigencia también queda satisfecha
por una firma digital. Este principio es aplicable a los casos en que la ley
establece la obligación de firmar o prescribe consecuencias para su ausencia.
Quedan exceptuadas las disposiciones por causa de muerte, los actos jurídicos
contemplados por el derecho de familia, los actos personalísimos en general,
y los actos que deban ser instrumentados bajo exigencias o formalidades
incompatibles con la utilización de la firma digital.

Una importante diferencia entre la firma digital y la electrónica radica en la carga


de la prueba, es decir, cuál de las partes en litigio debe demostrar que la firma ha
sido falseada. Ya que en la primera, el artículo 7° presume la autoría de la misma,
es decir que, salvo prueba en contrario, toda firma digital pertenece al titular
del certificado digital que permite la verificación de dicha firma. Por el contrario,
el artículo 5° establece que en caso de ser desconocida la firma electrónica
corresponde a quien la invoca acreditar su validez. Lo que seguramente en
muchos casos será bastante dificultoso, teniendo en cuenta la volatilidad de los
documentos electrónicos, como lo mencionáramos anteriormente.

Para que una firma digital sea tenida como válida, debe cumplir tres requisitos:
a) haber sido creada durante el período de vigencia del certificado digital
válido del firmante; b) ser debidamente verificada por la referencia a los datos
de verificación de firma digital indicados en dicho certificado según el proceso
de verificación correspondiente; y c) que dicho certificado haya sido emitido o
reconocido en caso de ser extranjero, por un certificador licenciado.

En lo que respecta al primer requisito, al período de vigencia lo establecerá


la Autoridad de Aplicación al momento de reglamentación de la presente ley.
Con relación al segundo requisito, el certificado de firma digital a que hace
mención debe indicar indubitablemente a su titular y al certificador licenciado
que lo emitió, y los datos que permitan su identificación única. El certificador
licenciado, tercer requisito, puede ser toda persona de existencia ideal, registro
público de contratos u organismo público que expide certificados, presta otros
servicios en relación con la firma digital y cuenta con una licencia para ello,
otorgada por el Ente Licenciante.

Las entidades que agrupan a profesionales, por ejemplo, los Colegios de

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 67


Arquitectos, Abogados, Escribanos, etc., que controlan la matrícula, podrán
emitir certificados digitales en lo referido a esta función, con igual validez y
alcance jurídico que las firmas efectuadas en forma manuscrita. A ese efecto
deberán cumplir los requisitos para ser certificador licenciado. Al contemplar
a los colegios profesionales como entidades capaces de ser Certificadores
Licenciados, facilita la difusión e implementación de la firma digital, y a su vez,
les genera una nueva actividad, que si bien requiere de una inversión inicial,
tiene grandes potencialidades económicas.

Asimismo, si el certificado fue emitido por certificadores extranjeros podrán


ser reconocidos cuando reúnan las condiciones exigidas por esta ley y sean
reconocidos por un certificador licenciado en el país.

Como conclusión de este preliminar análisis, es importante hacer mención a que


el titular de un certificado digital tiene derecho, entre otros, a que el certificador
licenciado emplee los elementos técnicos disponibles para brindar seguridad y
confidencialidad a la información proporcionada por él; a ser informado previo
a la emisión del certificado, y finalmente, a no recibir publicidad comercial
de ningún tipo por intermedio del certificador licenciado. El respeto de estos
derechos traerá como consecuencia la masiva implementación de la firma digital
al resguardarse apropiadamente la tan celosa información privada personal que
se debe proporcionar al momento de obtención de la misma.

A pesar de todos los buenos augurios que tenía esta ley, al día de la fecha no se
ha podido interesar a las empresas privadas para constituirse en Certificadores
Licenciados. Ante este obstáculo, en el año 2007, el Jefe de Gabinete de Ministros
mediante la Decisión Administrativa 06/2007, estableció los parámetros legales
para el otorgamiento y revocación de licencias a los Entes Certificadores, piezas
claves para el desarrollo de la Infraestructura de Firma Digital Argentina.

Un punto crucial eran los exigentes requisitos de garantías y seguros, que fueron
eliminados y ahora reincorporados, pero con significativos cambios, ya que si
bien se exige una póliza de seguro de caución no se establece el monto ni las
características económicas de la misma.

Nuevamente recordemos cómo funciona la infraestructura de firma digital: el Ente


Licenciante, en Argentina es la Subsecretaría de la Gestión Pública dependiente
de la Jefatura de Gabinete de Ministros, autoriza a un Certificador Licenciante
-siguiendo los parámetros y requisitos que la Comunicación analizada establece-
que emita certificados de firma digital para ser utilizado por los suscriptores en
su operatoria comercial, los que serán recibidos por los usuarios. Si no entendió,
quizás hacer el trayecto al revés sea más claro, Ud. recibe un documento firmado
digitalmente por el “suscriptor”, para controlar la veracidad de la firma y conocer
quién es su autor, se comunica con el “Certificador Licenciante”, quien le
provee la información necesaria en función de sus políticas y manuales; en caso
que también quiera conocer quién es dicho Certificador Licenciante, deberá
comunicarse con el “Ente Licenciante” que es la Subsecretaría de la Gestión
Pública, en donde le informarán sobre el Certificador.

Volviendo a la Comunicación, establece que durante el proceso de otorgamiento

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.68


de la licencia para ser Certificador Licenciante, es decir quien tendrá a su
cargo informar a los usuarios quién es la persona física o jurídica que firma
digitalmente un documento, se deberá presentar una importante cantidad de
documentación la que estará sujeta a una auditoría sobre el cumplimiento de
los requisitos legales generales, sobre la política de certificación y su manual
de procedimientos de certificación, sobre sus planes de seguridad, de cese
de actividades y de contingencia, sobre su plataforma tecnológica, qué ciclo
de vida tendrán las claves criptográficas del certificador y los certificados de
los suscriptores, la estructura y contenido de los certificados, y finalmente
los mecanismos de acceso a la documentación publicada. El detalle de las
exigencias está contemplado en ocho voluminosos anexos, cuyo análisis excede
este módulo, pero que si es de su interés, lo invitamos a que los revise.

Para conocer la terminología específica de la firma digital, lo invito a que visite


el Glosario http://www.pki.gov.ar/index.php?option=com_content&view=cate
gory&id=38:glosario&Itemid=180&layout=default publicado por la Oficina de
Tecnologías de Información (ONTI).

Tercero de Confianza. Características. Implementaciones Internacionales.

Si bien la ley argentina sobre firma digital no hace mención al tercero de confianza,
como sí lo hacen otras normativas internacionales, podemos decir que es aquella
persona que en caso de conflicto en las comunicaciones electrónicas, las partes
pueden acudir, para validar en qué términos se negoció, si se envió la aceptación
de la propuesta o no, entre muchas otras inquietudes que se pueden generar a
lo largo de la relación comercial o institucional.

A continuación, lea la obra de la Dra. Leonor Guini respecto del Tercero de


confianza y su inserción en los ordenamientos internacionales http://www.
elnotariado.org/ver_nota.asp?id_noticia=3244.

El Tercero de Confianza también se puede utilizar sin necesidad de regulación


legal, ya que un acuerdo de voluntades será suficiente, sea éste para las
comunicaciones internas de la institución como para las relaciones entre la
institución y proveedores o clientes, en donde las partes acuerden su uso por la
importancia del asunto que los convoca, siguiendo el espíritu del artículo 25 de
la Ley 34/2002 de España, que trata la “Intervención de terceros de confianza” y
dispone que: “Las partes podrán pactar que un tercero archive las declaraciones
de voluntad que integran los contratos electrónicos y que consigne la fecha y la
hora en que dichas comunicaciones han tenido lugar. La intervención de dichos
terceros no podrá alterar ni sustituir las funciones que corresponde realizar a las
personas facultadas con arreglo a Derecho para dar fe pública. El tercero deberá
archivar en soporte informático las declaraciones que hubieran tenido lugar por
vía telemática entre las partes por el tiempo estipulado que, en ningún caso, será
inferior a cinco años.”

Veamos esta opción con un ejemplo: La empresa multinacional World Wide Web
le ha encomendado a la firma Seguridad Hoy S.A. la custodia de sus instalaciones
y especialmente de las bóvedas donde ingresan diariamente sus caudales. Entre
las funciones de Seguridad Hoy S.A. está la obligación de enviar un reporte

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 69


diario, al final del horario de trabajo, de las novedades ocurridas en el sector de
bóvedas, disponiendo como cláusula penal que si no envía un día ese informe
deberá abonar Un Millón de Dólares a World Wide Web. Ante la sensibilidad de
estos informes y su riesgo por la omisión de envío, la empresa Seguridad Hoy
S.A. propone incorporar a la Con-Fianza S.A. como tercero de confianza, para
que también reciba diariamente los informes en cuestión, debiéndolos almacenar
en un lugar seguro con sello de tiempo, es decir asentando el día y horario de
cada informe recibido.

Criptografía. Diferencias con la Firma Digital. Implementación

La firma digital o electrónica no implica asegurar la confidencialidad del contenido


del mensaje; un documento firmado digitalmente puede ser visualizado por
otras personas, al igual que cuando se firma holográficamente, por lo que si el
emisor del mensaje o documento no quiere que al ser interceptado o recibido
en un sistema de uso compartido sea leído por quien no es su destinatario final,
entonces deberá instrumentar la criptografía.

A continuación el alumno deberá leer el trabajo presentado por el José de Angel


Bustos Pérez, donde no sólo se explica en detalle el proceso de encriptación
tanto desde lo teórico como de lo matemático, sino que brinda distintas maneras
de lograr su implementación. http://es.tldp.org/Presentaciones/200203jornadas
salamanca/jadebustos/conferencia-criptografia.pdf

Habiendo analizado las distintas opciones tecnológicas para proteger la


información y su recepción legal, es importante que cada organización clasifique
la información que maneja y sólo a aquella que considere sensible le aplique las
medidas tecnológicas de resguardo, pudiendo en algunos casos utilizar sólo la
firma electrónica, en otros sumarle la criptografía, ascendiendo en la sensibilidad
asignar un tercero de confianza y para cuando la firma digital esté eficazmente
implementada en Argentina, utilizarla para aquellos actos que la requieran.

Unidad 5: Laborales

En la presente unidad se tratará la fuga de la información en la empresa, un


tema que preocupa cada vez más a las organizaciones, especialmente con el
advenimiento e incorporación total de las Nuevas Tecnologías en sus procesos
internos.
Propongo nueva redacción: Hace pocos años también se temía por la fuga
de información, aunque en menor medida que en la actualidad porque las
posibilidades reales de los empleados eran muy reducidas. Piense, por ejemplo,
el caso de un empleado que hubiera querido sustraer la lista de proveedores
con sus teléfonos y demás datos de contacto. Hubiera tenido que imprimir gran
cantidad de hojas o fotocopiar la agenda o el directorio, para lo que hubiera
permanecido varios minutos en la fotocopiadora (que seguramente además se
encontraría en un espacio común) ¿Cómo justificaría el empleado la enorme
cantidad de copias?

Si el empleado pensaba llevarse algunos planos o diseños experimentaba


similares dificultades, ya que tenía que cargar con los papeles impresos e
introducirlos en su automóvil sin que nadie lo viera, sin arrugarlos o romperlos. Si

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.70


bien existían empleados infieles y muchos, éstos debían estar más preparados,
ser más cautelosos y planear detenidamente su estrategia defraudatoria.
Hoy todo ese planeamiento es innecesario cuando las organizaciones no tienen
niveles de seguridad suficientes para proteger su información comercialmente
sensible. Sí se requiere de alguna preparación en aquellas que tienen un
procedimiento de manejo de la información: el empleado desde su escritorio
efectúa todas las gestiones de toma de información, procesamiento y envío, sin
necesidad de trasladarse físicamente a un lugar específico y llamar la atención
del resto del personal.

5.1 Información corporativa vs. personal

Como punto de partida, se debe diferenciar claramente la información personal


de los empleados y la información propiedad de la organización. No se debe
confundir los datos personales (nombre, domicilio, raza, antigüedad, cargo, etc.)
de un empleado específico, con información personal del empleado, que a los
fines de esta Unidad será toda información que el empleado haya generado
en ejercicio de sus funciones o en ocasión de su trabajo.
Esta información que el empleado genera será el foco de estudio a continuación,
para contrastarla con la información de la organización, suponiendo que el
empleado tenga información personal que no pertenezca a la organización.
El punto a dilucidar es si la información que el empleado produce por su puesto,
por su trayectoria y experiencia, por su capacitación y por demás circunstancias
concomitantes es propiedad del empleado o de la organización. Si bien es un
análisis que debe efectuarse principalmente a la luz de la Propiedad Intelectual,
a los fines de esta unidad y de este Módulo en general interesa definir a quién
pertenece la información en cuestión para luego establecer si el empleado puede
o no difundirla, compartirla con terceros o utilizarla para fines personales ajenos
a la actividad laboral sin perjudicar a la organización.
El empleado podrá generar información que no sea de utilidad para la
organización y que para él, en su actividad extra laboral, le sea beneficiosa. A
modo de ejemplo, la misma experiencia es información, que si bien también le
sirve a la organización, más le sirve al empleado. La manera de desenvolverse
en la organización, de hacer más eficiente su trabajo personal, de establecer las
pautas de trabajo específicas de su área, serán informaciones que si bien le son
útiles a la organización, en la mayoría de los casos no podrá ser considerada
información comercialmente sensible de la organización, y por lo tanto el
empleado podrá hacer uso de esa información para provecho propio.
Ahora, si esta información de gestión y procedimiento es la información que
utilizó Henry Ford para comenzar a producir autos en línea, optimizando
recursos y haciendo más eficiente el proceso, seguramente esta información
abandonará el ámbito personal del empleado para integrarse a la información de
la organización que le da una ventaja competitiva por sobre las demás empresas
e instituciones de su rubro.
Si la información es de la organización, entonces es ésta quien debe regular qué
usos se le puede dar, cuánta importancia tiene para el éxito de la organización y
cuán segura debe estar y ser protegida.

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 71


5.2 Información común vs. sensible

Antes de continuar, por favor lea la “Guía para la clasificación y el manejo de


información confidencial IC 1” de la Universidad Nacional de Colombia, que
encontrará en http://www.unal.edu.co/seguridad/documentos/sensibilidad.pdf,
donde simple pero contundentemente se define a la información confidencial
como aquella información que debe ser protegida y vigilada muy de cerca, y
establece tres grados de confidencialidad que ayudarán a determinar cuándo
debe permitirse su acceso y uso a personas distintas a las responsables de dicha
información y qué grado de protección debe dársele. A estos conceptos también
compleméntelos con los analizados en el primer módulo de esta Materia.
Aprovechando esta distinción entre la información común y la sensible de la
organización, se abordará una cuestión que no está directamente vinculada pero
que, por su frecuencia y masiva adopción, es importante estudiarla: la leyenda
que se agrega al final de los mensajes de correo electrónico que se envían desde
una cuenta corporativa.
Si Ud. recuerda normalmente estos mensajes dicen algo así:

“La información contenida en este mensaje es


confidencial y sólo puede ser utilizada por la persona o
la organización a la cual está dirigido. Si Usted no es
el receptor autorizado, cualquier retención, difusión,
distribución o copia de este mensaje está prohibida
y será sancionada por la ley. Si por error recibe este
mensaje, favor reenvíelo y borre el mensaje recibido
inmediatamente.” (pág. 4 de la Política de la Universidad
Nacional de Colombia)

Ahora, le pido que vuelva a leer más detenidamente la leyenda anterior, para
luego comenzar juntos a desmenuzar el mensaje y buscar su sentido.
En primer lugar, aclara que la información de ese mensaje es confidencial;
afirmación que genera ciertas preguntas ¿existen distintos grados de
confidencialidad? ¿Quién debe clasificar la información? ¿Todo contenido que
se envía por correo electrónico es confidencial? Como podrá observar desde la
primera oración ya se empiezan a cometer errores en el tratamiento y clasificación
de la información. Quizás el espíritu sea “toda información es confidencial, salvo
que se diga lo contrario”, pero como se vio en el Módulo de Seguridad de la
Información, es totalmente al revés, solo aquella información que se sindique
como confidencial lo será, de lo contrario será información común.
En segundo lugar establece que la información confidencial sólo podrá ser
utilizada por su destinatario. Normalmente, los correos electrónicos son
enviados a terceros por error, porque al escribir la primera parte del nombre
del destinatario, por ejemplo “Univer…” por Universidad, el sistema de gestión
de correo elige alguno de los contactos que tengan esas letras, por ejemplo
“Universal Studios” y en vez de mandarlo a la sede universitaria de la esquina,
lo envía a un amigo que trabaja en la productora de cine de Estados Unidos. En
este supuesto y con este lenguaje, el destinatario es efectivamente “Universal
Studios”, aún cuando el amigo no entienda lo más mínimo del contenido del
correo electrónico, por lo que estará habilitado a usarla, si puede.
En tercer lugar, la leyenda habla de receptor autorizado. Sería interesante
conocer cómo me autorizaron, de hecho todo receptor por su “pasividad” en
la relación de comunicación es autorizado con el simple hecho de recibir la
información por el emisor. Si no estuviera autorizado no tendría que recibir la
información.
Finalmente, lo más destacable de la leyenda que se inserta en los correos
electrónicos, es “si por error recibe este mensaje, favor reenvíelo y borre

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.72


el mensaje recibido inmediatamente.” Para determinar que el mensaje fue
erróneamente enviado el receptor tiene que leerlo y de su contenido deducir que
no era él el destinatario del mismo y por consiguiente obrar en consecuencia, es
decir, avisar que se le ha enviado un correo electrónico que no tendría que haber
recibido e informar que lo ha eliminado de su bandeja de entrada. Pero a estas
acciones las tiene que hacer de buena voluntad, no por obligación, ya que el
receptor no está violentando norma alguna, ya que no está obligado legalmente
como para ser sancionado por la ley, en caso que no proceda de la manera aquí
especificada.

5.3 Políticas de Confidencialidad de la Información empresaria

Para abordar esta temática deberá leer Directiva de Confidencialidad de la


Información del Subsector Comunicaciones IC 2del Fondo de Inversión en
Telecomunicaciones del Perú, disponible en http://www.mtc.gob.pe/portal/home/
publicaciones_arch/directiva_confidencilidad_info_comunicaciones.pdf .
Fíjese que la obligación de mantener la confidencialidad de la información
perdura más allá de la permanencia en su puesto de la persona que tomó
conocimiento de la misma, hasta que la información deje de ser confidencial. Es
decir, que el plazo de secreto se guía por la información y no por la persona que
la maneja y/o conoce. (Art. 5º).
Se destaca también que es el órgano máximo de la institución quien establecerá
si determinada información es o no confidencial. Sin embargo, su declaración
será de oficio o a pedido de las áreas que manejan dicha información.
El procedimiento a seguirse se describe en el Título III, con la salvedad que se
exige que la solicitud sea presentada por Mesa de Entradas en un sobre cerrado,
lo que puede perfectamente actualizarse, solicitando que se presente por correo
electrónico interno encriptado con las demás exigencias allí especificadas.
En el artículo 18 llama la atención que se omita un parámetro mundialmente
aceptado para tomar conocimiento de la información confidencial, como es que
“tenga necesidad de conocerla en función de su puesto o trabajo”, aquí solo
hace referencia a “en función de su competencia”, lo que dependiendo cómo
se interprete podría arribar a la misma conclusión. Finalmente, es interesante el
formato de información confidencial que se agrega en la página 7.

5. 4 Persona Responsable

Es muy importante que la organización establezca quién será responsable del


cuidado de qué tipo de información confidencial, ya que de lo contrario ante una
fuga o un incumplimiento de un convenio de confidencialidad, la organización no
tendrá a quién hacer responsable.
La persona responsable deberá ser la que tenga a su cargo el manejo diario
de la información. En la normativa peruana se hace responsable a la Dirección
General, cuando seguramente ésta no está involucrada totalmente en el manejo
de toda la información que fue declarada confidencial. Es decir, la organización
cuando clasifica su información en las distintas áreas, departamentos o gerencias,
especifica cuál es confidencial, por lo que allí debe establecer qué encargado
de departamento será responsable de cuál información. En un caso concreto, la
organización debe hacer responsable al Gerente de Contabilidad del manejo y
cuidado de la información contable que sea confidencial y no de la información
de planificación o de ventas, que pertenecen a otras áreas de la organización.
En los convenios de confidencialidad es común que se especifique qué

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 73


personas serán responsables del tratamiento de la información que las partes
contractuales están por intercambiar. Normalmente, se hace responsable al
presidente o director que firma el convenio más al responsable técnico que
estará en la ejecución del proyecto o negocio.

5.5 Organización y manejo de la información interna

En los Criterios de clasificación, desclasificación y manejo de la información


clasificada como reservada y/o confidencial IC 3 emitidos por el Comité de
Información en Pronósticos para la Asistencia Pública de México, disponible en
http://www.pronosticos.gob.mx/Transparencia/criteriosdeclasificacion.pdf, se
detalla clara y sintéticamente cómo se debe clasificar y manejar la información a
la que divide en reservada y confidencial.
Entre varias exigencias, esta norma establece que se deberá elaborar un índice
de expedientes confidenciales conteniendo: el rubro temático respectivo, los
números de expediente o la identificación de los expedientes que formen parte
de dichos rubros, la unidad administrativa que clasifica la información, la fecha
de clasificación, su fundamento y el o los nombre (s) y cargo de los servidores
públicos con acceso a la información clasificada como confidencial, información
que también se especificará en el registro de los servidores públicos que tienen
acceso a información reservada o confidencial.

5.6 Ley 24.766: Alcances. Sanciones

Es oportuno volver a analizar la ley de Confidencialidad de la Información que ya


fuera desmenuzada en módulos anteriores, para focalizarse ahora en su artículo
3º, que textualmente establece:

ARTICULO 3°- Toda persona que con motivo de su trabajo,


empleo, cargo, puesto, desempeño de su profesión o
relación de negocios, tenga acceso a una información
que reúna las condiciones enumeradas en el artículo 1° y
sobre cuya confidencialidad se los haya prevenido, deberá
abstenerse de usarla y de revelarla sin causa justificada
o sin consentimiento de la persona que guarda dicha
información o de su usuario autorizado.

En primer lugar se delimita quién está alcanzado por esta norma, es decir
aquella persona que en ejercicio del rol asignado y no por casualidad, toma
conocimiento de información confidencial.
En segundo lugar, esta persona no solo debe tomar conocimiento de la
información en cuestión al ejercer sus funciones sino que quien es propietaria
de la información confidencial le debe advertir de su caracterización. Es decir,
la persona alcanzada por este artículo no necesita presumir o suponer que la
información que está manejando o a la que tiene acceso podría llegar a ser
comercialmente sensible para su empleador y/o contratista. Es este último
quien tiene que tomar los recaudos y precauciones necesarias para informarle
fehacientemente de la confidencialidad de la información.
Recién cuando se cumplan estos requisitos de sujeto alcanzado por la norma y de
advertencia previa por su titular, quien maneje la información deberá abstenerse
de usarla en contra de las finalidades para las que le fueron divulgadas.
Si no lo hiciere será pasible de sanciones administrativas, civiles y penales, según
corresponda, como se puede observar en los reglamentos antes mencionados
para su lectura.

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.74


Hecha la distinción entre información personal e información corporativa,
pasemos a estudiar los canales por los que normalmente esa información fluye y
deja la organización para caer en manos de terceros que, si no están autorizados,
las consecuencias pueden ser catastróficas.

5.7 Medios de Comunicación: Política Interna de la Empresa. Permisos y


Restricciones.

Antes de avocarse a la lectura de esta parte, por favor lea Más allá de la pantalla:
vigilancia en el lugar de trabajo y el ojo invisible IC 4, disponible en http://www.
oit.org/wcmsp5/groups/public/---dgreports/---dcomm/documents/publication/
dwcms_080715.pdf (págs. 31 a 33) de la Revista TRABAJO N°54 de Agosto de
2005 editada por la Organización Internacional del Trabajo.
Recordemos nuevamente que es de vital importancia que la organización
tenga una política interna válida, vigente y eficaz. Válida porque tiene que
haber pasado por todos los departamentos y secciones que se verán afectadas
por ella durante su proceso de elaboración y aceptación, ya que si se omitió
algún proceso importante, puede que sea declarada inválida por el juez que le
toque intervenir. Estas situaciones se generan más en organizaciones grandes
y públicas, por ejemplo un gobierno provincial, donde para dictar una política
interna no se lo dio participación a determinado sector, que por Estatuto debía
dar su visto bueno o su opinión.
Vigente porque la política interna debe buscar regular todas las situaciones
que se van sucediendo y no quedar rezagada en el tiempo. Para ello debe
ser tecnológicamente neutra, es decir, no debe regular específicamente una
tecnología o una aplicación, sino un concepto. Para clarificarlo no debe prohibir
el correo electrónico personal (si lo hiciere) sino las comunicaciones personales,
porque si solo contemplara el e-mail hoy estarían totalmente admitidos los
mensajes de texto vía celular a toda la familia y amigos y esta acción no laboral
del empleado no tendría castigo alguno, al no estar específicamente prevista en
la Política Interna.
Eficaz es toda norma que no solo contempla situaciones actuales sino que
también castiga en justa proporción a sus incumplidores. En concreto, la
organización cuenta con los organismos de control funcionando correctamente,
que ante un incumplimiento activan los debidos procedimientos e investigaciones,
conforman el expediente y de encontrarse un culpable se lo sanciona conforme
a la Política Interna.
Ahora bien, ¿cómo se hace para que la Política Interna cumpla con estas
premisas?
Se debe reconocer que no es un objetivo simple y fácil de cumplir, pero será
más alcanzable si se organiza un equipo multidisciplinario para la redacción
de la Política Interna. De todas maneras, la Política deberá prever permisos y
restricciones.
Tenga en claro que la organización no puede pretender que el empleado
deje su vida privada, sus derechos constitucionalmente amparados y demás
características personalísimas en la puerta para someterse al control absoluto
de sus actividades, amistades y demás situaciones personales. Ud. mismo como
persona y aún en el supuesto que sea el Presidente de la organización ¿permitiría
que como dependiente de ésta, sea auditado y controlado en cada uno de sus
movimientos? Creo que la respuesta es obvia.
Es por ello, que se debe contemplar una sección de “Permisos”. Los Permisos
deben principalmente regirse por la lógica y el sentido común, admitiendo que
todo ser humano, dependiente de nuestra organización o no, tiene vínculos
sociales que frecuenta y estimula. En esta línea de pensamiento, la organización
debe caracterizar como admitidos, aceptados ciertos actos y usos que no afectan

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 75


sustancialmente a la eficiencia añorada.
Alejándose de la cuestión tecnológica para buscar un ejemplo en lo cotidiano,
muchas organizaciones reciben distintos periódicos destinados a los puestos
gerenciales o ejecutivos, porque se considera necesario que quien dirige la
organización esté bien informado política y económicamente. Sin embargo, se
reconoce que en muchas organizaciones estar bien informado deportivamente
no es necesario, pero no por ello el encargado de recibir los periódicos desecha
ésta y otras secciones del diario que no hacen al objeto principal que motiva su
compra. Si así lo hiciera, seguramente sería considerado un accionar ridículo,
absurdo, generando rechazo entre los empleados. No solo no se tiran sino que
se permite y admite su lectura y comentario.
Con esta misma lógica, la organización debe admitir el uso de los medios de
comunicación electrónicos también para fines que no comulgan en su totalidad
con el objeto social de la organización.

Esta admisión puede ser implícita o explícita. La primera es la más común,


ya que se genera espontáneamente cuando la organización incorpora un bien,
no imagina los distintos usos que se le podrá dar al mismo y luego cuando se
entera de esos otros usos, admite los que considere inocuos. La segunda, la
admisión explícita, si bien exige un trabajo consensuado y multidisciplinario es
la recomendable, ya que claramente fijará los parámetros entre los cuales los
empleados se podrán desempeñar de manera segura y tranquila sin infringir una
norma específica con el riesgo de ser sancionados.
Como toda norma, se deberá elaborar en positivo y con lineamientos generales,
buscando evitar describir casos puntuales que muy pronto queden en desuso.
Veamos un ejemplo, la norma dice: “El empleado podrá enviar hasta diez (10)
correos electrónicos personales por día.” Al ser la norma tan específica, no solo
que exige de parte de la organización un estricto control, sino que el empleado
terminará comunicándose con sus contactos por otros medios no regulados,
por ejemplo Chat, Facebook, Linkedin, etc terminando finalmente por perder la
norma su buscada eficacia.
Respecto a las Restricciones, la mayoría de las organizaciones elaboran su
decálogo de prohibiciones, lo que como lo mencionáramos en otras unidades,
no es recomendable ya que todo lo que no está prohibido está permitido. Por lo
tanto, se recomienda seguir la redacción que tienen los lineamientos legales que
en términos claros, generales y a su vez específicos determinan cómo deben
desempeñarse los empleados en sus horarios laborales.
Veamos algunos artículos de la Ley de Contrato de Trabajo argentina, cuya
esencia es la misma para todas las demás legislaciones nacionales, para elaborar
la Política Interna aplicable a las comunicaciones de los empleados.

Artículo 64: Facultad de organización

El empleador tiene facultades suficientes para organizar


económica y técnicamente la empresa, explotación o
establecimiento.

A partir de este artículo, la organización cuenta con el respaldo para decidir a


quién el asigna una computadora, si la instala o no en red, si le asigna nombre
y clave de usuario para acceder a Internet y si le habilita una cuenta de correo
electrónico, entre muchas otras decisiones relacionadas.

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.76


Artículo 66: Facultad de modificar las formas y
modalidades del trabajo

El empleador está facultado para introducir todos aquellos


cambios relativos a la forma y modalidades de la prestación
del trabajo, en tanto esos cambios no importen un ejercicio
irrazonable de esa facultad, ni alteren modalidades
esenciales del contrato, ni causen perjuicio material
ni moral al trabajador. Cuando el empleador disponga
medidas vedadas por este artículo, al trabajador le asistirá
la posibilidad de considerarse despedido sin causa.

Con el paso del tiempo, la organización buscará optimizar los recursos y para ello
podrá disponer cambios en su organización interna, asignando a sus empleados
nuevos roles, facultades, responsabilidades y también derechos. Esta facultad
tiene como limitante que esos cambios no sean irrazonables, que no alteren
perjudicialmente la esencia del trabajo para el que se contrató al empleado, ni le
generen daños materiales y menos morales.
En el caso específico de las comunicaciones electrónicas y asumiendo que los
últimos estudios sobre la mejoría del rendimiento laboral por utilización de los
sistemas de mensajería instantánea IC 5, disponibles en http://www.iprofesional.
com/notas/68112-Cae-un-mito-Aseguran-que-el-uso-del-messenger-sube-la-
productividad-del-empleado.html, se consoliden, se tendrá que tener especial
cuidado en los atributos y derechos que desde la gerencia de sistemas se le
otorgó al empleado que está cambiando de funciones. Por ejemplo, si estaba
habilitado para navegar por Internet libremente en su puesto anterior y en el
actual esa libertad se restringe.

Artículo 70: Controles personales

Los sistemas de controles personales del trabajador


destinados a la protección de los bienes del
empleador deberán siempre salvaguardar la
dignidad del trabajador y deberán practicarse con
discreción y se harán por medios de selección
automática destinados a la totalidad del personal.
Los controles del personal femenino deberán estar
reservados exclusivamente a personas de su mismo
sexo.

El empleador, específicamente en el tema de las Nuevas Tecnologías, podrá


controlar el uso que los empleados le dan a las herramientas de comunicación
electrónica siempre que se realice con la mayor discreción posible, afecte a la
totalidad de la planta de personal o de una determinada gerencia para que no
se violente la dignidad de los empleados. Como ejemplo vale la observación
que hizo el Juez en los autos Viloria c/ Aseguradora de Créditos IC 6 donde
manifestó que “El proceder del empleador que cotejó los registros y constancias
de la información que contenía el servidor de Internet de la empresa y revisó
el correo electrónico del trabajador, no vulnera del derecho a la intimidad de
éste ni viola su correspondencia personal, pues la inspección estuvo limitada
prudentemente a verificar las comunicaciones dirigidas por parte del dependiente
a otra empresa competidora, a fin de comprobar el grave incumplimiento de aquél
en sus deberes.”
La cita a este fallo judicial sirve para introducir los artículos de la Ley laboral que

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 77


establecen los deberes de los empleados:

Artículo 84: Deberes de diligencia y colaboración

El trabajador debe prestar el servicio con puntualidad,


asistencia regular y dedicación adecuada a las
características de su empleo y a los medios instrumentales
que se le provean.

Para la temática que estamos analizando se debe resaltar el parámetro


“dedicación adecuada” que guiará a los redactores de la Política Interna en
las exigencias y libertades de los empleados que deberán estar orientadas por
lograr una “dedicación adecuada” a las circunstancias y balanceada por las
características de su trabajo versus los medios instrumentales provistos.

Artículo 85: Deber de fidelidad

El trabajador debe observar todos aquellos deberes


de fidelidad que deriven de la índole de las tareas
que tenga asignadas, guardando reserva o secreto de
las informaciones a que tenga acceso y que exijan tal
comportamiento de su parte.

Este deber será analizado en la próxima y última Unidad del presente Módulo.

Artículo 86: Cumplimiento de órdenes e instrucciones

El trabajador debe observar las órdenes e instrucciones


que se le impartan sobre el modo de ejecución del trabajo,
ya sea por el empleador o sus representantes. Debe
conservar los instrumentos o útiles que se le provean para
la realización del trabajo, sin que asuma responsabilidad
por el deterioro que los mismos sufran derivados del uso.

Claramente la ley pretende que el empleador le indique al empleado cómo


proceder, cómo operar, cómo desarrollar las actividades que se le vayan
asignando, lo que nos subliminalmente está reclamando el legislador a la
organización es que redacte su Política Interna, lo que nos revitaliza el tema de
“Permisos y Restricciones”

Artículo 87: Responsabilidad por daños


El trabajador es responsable ante el empleador de los
daños que cause a los intereses de éste, por dolo o culpa
grave en el ejercicio de sus funciones.

En concreto, nadie está exento de responsabilizarse por sus actos. Si un


empleado abusa de las herramientas informáticas puestas a su disposición y
daña a un tercero, en primer lugar responderá la organización, pero luego y
mediante una buena Política Interna, responderá el empleado autor del daño.

5.8 Correo electrónico: Corporativo vs. Personal. Webmail. Control de Tráfico


y de Contenido. Archivos Adjuntos: Característica de la Información enviada.

Por favor lea Control Empresarial del Correo Electrónico IC 7, de la Dra. Carmen
Algar Jiménez, disponible en http://www.alfa-redi.org/rdi-articulo.shtml?x=3486.

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.78


Hablando específicamente del correo electrónico, destaco los conceptos
vertidos por la Dra. Algar Jiménez en su introducción y el juego de fuerzas
que plantea entre el derecho constitucionalmente amparado del secreto de la
correspondencia y la libertad de empresa, otro derecho también concebido
constitucionalmente.
Algunos doctrinarios diferencian al correo corporativo, definiéndolo como el
correo electrónico impersonal, por ejemplo gerencia@miempresa.com, del
correo personal, definiéndolo como aquél que la organización le asigna única
y exclusivamente al empleado, por ejemplo apellido@miempresa.com. En esta
diferenciación, fundamentan que para el caso del correo electrónico “gerencia”
no existe violación alguna, ni de secreto de las comunicaciones ni de intimidad,
porque esa cuenta no representa a persona específica, solo a un área de la
organización. En lo que respecta a la cuenta “apellido” sostienen que sí afecta la
privacidad porque la organización ha decidido darle una porción de “propiedad”
al empleado, lo que se ratifica con el nombre y clave que tiene que seleccionar.
Entonces, en la primera alternativa no existe expectativa de privacidad, en
cambio en la segunda sí.
Otros doctrinarios sostienen como tesis superadora de la anterior que toda
cuenta que sea xxx@miempresa.com será auditada por lo que se le habilitará al
empleado la posibilidad de controlar su correo personal vía Internet (webmail,
Hotmail, gmail, etc.), lo que en realidad no disminuye los abusos y riesgos antes
mencionados, salvo que la organización tecnológicamente reduzca el tiempo de
acceso a Internet y prohíba el envío de archivos adjuntos por esa vía.
Esta medida nos lleva a analizar los controles que la organización puede efectuar
de los correos electrónicos de sus empleados, existiendo dos alternativas bien
definidas: la primera es un control del tráfico, donde solo se verifica quienes
son remitente y destinatario, el día y hora de envío, el asunto del correo, si
tiene archivos adjuntos, cómo se titulan y qué tipo de archivo son (.doc; .pdf;
.jpg, etc.). En este caso, no se tiene acceso a los contenidos del correo ni del
archivo adjunto. La segunda alternativa, es un control del contenido, en donde la
organización puede auditar la totalidad del correo, sin límite alguno.
La primera alternativa es aceptada por la mayoría de la jurisprudencia y doctrina
mundial y la segunda es rechazada por la misma mayoría, por lo que se
recomienda optar por la primera hasta que la Justicia o el Poder Legislativo se
definan por alguna en especial.
Respecto de los Archivos Adjuntos es digno destacar la posición que han
tomado varias organizaciones que informan a sus empleados que han recibido
un correo electrónico con un archivo de imágenes que ha sido retenido por el
filtro, tanto para evitar virus como para desalentar usos ajenos a la actividad
laboral y recomendarle al empleado que le solicito al emisor que le envíe el
mismo a su casilla personal para ser consultado fuera de su horario laboral. Si
el empleado necesita consultar el correo bloqueado por razones profesionales,
deberá justificarlo ante la gerencia de sistemas, con autorización de su superior
y así acceder al archivo adjunto.
Esta medida tiene varios beneficios, entre ellos que alerta a los empleados del
control tecnológico por parte de la organización; desalienta el uso con fines
no laborables y en caso de ser necesario y luego de un procedimiento formal,
habilita su lectura.
Esta operatoria variará en función del área de la organización que se encuentre
involucrada, ya que Contaduría difícilmente requiera archivos de imágenes o
videos, pero sí de documentos y planillas; por su parte Relaciones Institucionales
sí trabajarán con archivos de imágenes pero difícilmente con archivos de planos
y diseños. Entonces, con el aporte de un representante de cada área se podrá
delimitar qué archivos no serán admitidos salvo autorización expresa, fundando
la medida en las características de la información gestionada.

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 79


5.9 Telefonía Celular. Mensajes de Texto y otros.

Reiterando lo dicho en otros pasajes de este Módulo, al momento de redactar


la Política Interna de la organización no se debe focalizar en los correos
electrónicos, sino en toda herramienta de comunicación, para que abarque
también a la telefonía celular y sus actuales múltiples usos, a los mensajes de
texto y similares y a cualquier otra herramienta de comunicación y/o interacción
social que los empleados puedan tener, como es actualmente el caso de las
redes sociales.

5.10 Jurisprudencia

Lea por favor el Dictamen de la Agencia Española de Protección de Datos


(Informe 0247/2008) , disponible en https://www.agpd.es/portalwebAGPD/
canaldocumentacion/informes_juridicos/common/pdfs/2008-0247_Acceso-
por-el-empresario-al-correo-electr-oo-nico-de-los-trabajadores.pdf y la nota
Vigilancia del Uso del Correo Electrónico en la Empresa IC 8 de Nelly Sánchez
Motriz, disponible en http://www.legalia.com/es/imagen/articulo%20nelly.pdf,
donde obtendrá una visión de la jurisprudencia española que es seguida por los
Tribunales de toda América Latina.
A modo de cierre de esta Unidad se recomienda leer RFID y vigilancia en el lugar
de Trabajo IC 9, disponible en http://www.legalia.com/es/imagen/articulo%20
nelly.pdf, que plantea el uso de microchips para el seguimiento de los empleados,
lo que supondrá un nuevo desafío para la privacidad de los empleados y para el
correcto uso de las organizaciones.

Unidad 6: Contractuales

6.1 Contratos de Confidencialidad

Toda organización que tenga intenciones de permitir a un tercero el acceso a su


información confidencial con un fin específico, como puede ser que presupueste
la implementación de un sistema o programa de administración de la gestión
de la organización, para lo que necesite necesariamente acceder a datos
sensibles de la organización, debe como primera medida celebrar un Contrato
de Confidencialidad de la Información.
A continuación se agrega un contrato de confidencialidad estándar, que le
sugiero que lo lea detenidamente y en una hoja aparte anote los aspectos
que para Ud. son relevantes. Es importante destacar que estos contratos se
encuadran dentro de los contratos “innominados”, es decir aquellos que no
están específicamente contemplados en el Código Civil como son por ejemplo
los contratos de locación o de compra-venta. Se suma a esta característica que
son contratos relativamente nuevos, que surgieron con la valorización de la
información como bien protegible.
Al análisis detenido y discutido de este Acuerdo lo realizaremos en una tutoría a
convenir entre todos los alumnos, para analizar qué aspectos destacó cada uno,
por qué y si le agregaría algún otro resguardo.
Pasemos ahora a la contratación electrónica, ya que hemos debidamente firmado
el Acuerdo de Confidencialidad que nos protegerá en caso de fuga de nuestra

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.80


información sensible.

6.2 Contratación Electrónica:

La relación comercial se materializa y logra su máximo esplendor en la contratación


electrónica, que es el momento en el que finalmente las partes involucradas en
la transacción comercial dejan las etapas previas de oferta, investigación del
producto, propuesta y negociación para pasar a la aceptación por ambas partes
de la operación comercial y su necesaria materialización en un contrato, que no
es más ni menos que el reflejo formal de las voluntades de ofrecer un producto
con determinadas características o un servicio con específicas responsabilidades
y objetivos por un lado, y de aceptar el producto o servicio más la obligación de
abonar un determinado precio de una forma mutuamente convenida por el otro
lado.
En la actualidad todo este proceso de contratación se está llevando en un
altísimo porcentaje por medios electrónicos, ya sea que estén previamente
consentidos, como es el caso del EDI (Intercambio Electrónico de Datos), ya
sea que se canalicen por el correo electrónico (en su gran mayoría) o finalmente
que se instrumenten en un portal web con interacción de las partes, sólo para
mencionar a los principales medios. No obstante ello, existen novedosos medios
de comunicación que están ganando sus lugares, como son los mensajes de
texto (SMS o MMS) y los sistemas de mensajería instantánea o chat.
A continuación lea Contratación Electrónica IC 10 de José Ovidio Salgueiro,
disponible en http://www.alfa-redi.org/rdi-articulo.shtml?x=887, que brinda un
panorama completo y profundo de la contratación electrónica. De esta obra se
puede obviar el capítulo que trata la ley venezolana, aún cuando se recomienda
su lectura al ser una de las pocas legislaciones latinoamericanas al respecto.
Se debe aclarar que esta obra hace referencia a los artículos del Código Civil
Venezolano que no presentan diferencias en su esencia con los del Código Civil
Argentino, por lo que el análisis no variará en su fundamentación.

Legislación

Varios organismos internacionales han elaborado propuestas de leyes


regulando a nivel internacional la contratación electrónica. Uno de estos casos
es la Comisión de las Naciones Unidas para el Derecho Mercantil Internacional
(CNUDMI o UNCITRAL) en la reunión de Nueva York de 2007, que elaboró la
Convención sobre el Uso de las Comunicaciones Electrónicas en la Contratación
Internacional IC 11, disponible en http://www.uncitral.org/pdf/spanish/texts/
electcom/06-57455_Ebook.pdf, para regular el empleo de las comunicaciones
electrónicas en la formación o el cumplimiento de un contrato entre partes, cuyos
establecimientos estén en distintos Estados.

Todos coincidiremos en que la primera incógnita que surge comúnmente es si


es válida y ejecutable una comunicación o un contrato celebrado por medios
electrónicos, a lo que la Convención responde claramente que no se les
negará validez ni fuerza ejecutoria por la sola razón de que estén en forma de
comunicación electrónica. En esta línea incorpora a los contratos celebrados sin
interacción humana, como cuando se publica un aviso clasificado vía web.
Muy bien, el contrato electrónico es válido, pero cómo se sortean los requisitos
de escritura, firma y original impuestos por nuestro Código Civil.
La exigencia de escritura se cumplirá si la información puede consultarse con

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 81


posterioridad, por ejemplo si se tienen copias de seguridad. La de firma, si se
utiliza algún método para identificar a la otra parte y para indicar que aprobó
la información consignada en la comunicación electrónica; o si el método
utilizado es fiable según corresponda a los fines para los que se generó o
se notificó la comunicación electrónica, atendidas todas las circunstancias
del caso, así como todo acuerdo aplicable. La primera opción se refiere a la
firma digital y la segunda es cuando no existe la misma, pero el procedimiento
utilizado demuestra diligencia de las partes intervinientes. Lo que permite que
quienes comúnmente contratan por e-mail y tienen problemas en una de tantas
transacciones, fundamenten su proceder “electrónico” en su historia comercial
conjunta, así como que argumenten que el monto de la transacción no justifica
económicamente la implementación de criptografía y firma digital.
Se destaca la amplitud de la definición “comunicación”, ya que será toda
exposición, declaración, reclamación, aviso o solicitud, incluida una oferta y la
aceptación de una oferta, que las partes hagan o decidan hacer en relación
con la formación o el cumplimiento de un contrato; especificándose que será
considerada electrónica cuando las partes se comuniquen por medio de
mensajes de datos; definiendo a éstos últimos como la información generada,
enviada, recibida o archivada por medios electrónicos, magnéticos, ópticos o
similares, como pudieran ser, entre otros, el EDI, e-mail, telegrama o telefax.
Respecto a la versión en original, se cumplirá si existe una garantía fiable de la
integridad de la información que contiene la comunicación o el contrato. Fiabilidad
e integridad conforman entonces, la medida de valoración. El grado de fiabilidad
se determinará a la luz de la finalidad para la que se generó la información y
todas las circunstancias del caso, y la integridad surgirá de determinar si se
ha mantenido completa y sin alteraciones sustanciales. Se exceptúan de esta
regla las Cartas de Crédito y garantías bancarias, en donde es indispensable la
existencia de un sólo original.

Perfecto, el contrato es válido, cumple las formas legales y lo puedo reclamar,


ahora bien ¿dónde?, ¿en el lugar de emisión del e-mail (hotel, aeropuerto), en
la ubicación del servidor (otro país), donde está registrado el dominio (www.
juguetes.com – USA)? Hasta ahora ni la justicia ni los especialistas lo tenían
resuelto. La Convención habla del “establecimiento”, disponiendo que si no se
fijó y tiene más de uno, será el que tenga la relación más estrecha con el contrato
y si es una persona física será su residencia habitual. Rechaza la ubicación de los
equipos, servidor, lugar de acceso, dominio o e-mail vinculado a otro país como
establecimientos. Reforzando esta tesis, establece que las comunicaciones se
tendrán por enviadas desde el establecimiento del emisor y recibidas en el del
destinatario y no donde ocasionalmente alguna de las partes se encuentren.
Como se habrá observado, el eje central de la Convención es la buena fe
comercial sumada a las circunstancias que rodearon la relación. Lo que ratifica a
nuestro Código Civil: Los contratos deben celebrarse, interpretarse y ejecutarse
de buena fe y de acuerdo con lo que verosímilmente las partes entendieron o
pudieron entender, obrando con cuidado y previsión. (Artículo 1198); sólo que
en el ámbito de las comunicaciones electrónicas.
En concreto, esta Convención busca remover los obstáculos que se le presentan
al uso de las comunicaciones electrónicas en los contratos internacionales,
incluyendo aquellos contemplados en los actuales instrumentos internacionales
que fueron negociados mucho antes que el desarrollo y explosión de las nuevas
tecnologías.
Se complementa y construye sobre anteriores instrumentos preparados por la
UNCITRAL, incluyendo las leyes modelo sobre comercio electrónico y firma
electrónica, con el objetivo de fortalecer la seguridad legal y la previsibilidad
comercial, fijando la ubicación de las partes en un ambiente electrónico; el
tiempo y lugar de envío y entrega de las comunicaciones electrónicas, y el uso

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.82


de los sistemas automáticos de mensajes para la formación de los contratos.
También se precisan los criterios para establecer las equivalencias funcionales
entre las comunicaciones electrónicas y los documentos en papel, incluyendo la
cuestión del “original”, así como las semejanzas entre los métodos electrónicos
de autenticación y las firmas manuscritas.
Esta Convención busca brindar a las compañías y a los comerciantes alrededor
del mundo la seguridad de que los contratos negociados electrónicamente son
tan válidos y exigibles como las tradicionales transacciones basadas en papel.

Ahora bien, ¿Quién se responsabiliza por un error sustancial? Es común decir


y también oír: ¡UUYY me equivoqué y apreté Aceptar! ¿Y ahora qué hago?, lo
malo es que se cometió un error y lo bueno es que es un mal de muchos, por
lo que esta situación también fue contemplada por el Grupo de Trabajo IV sobre
Comercio Electrónico de la UNCITRAL (Naciones Unidas) en el Anteproyecto
de Convención sobre contratos (internacionales) celebrados o probados por
mensajes de datos.

En su artículo 12 párrafo 3° regula los efectos jurídicos de los errores sustanciales


cometidos por personas físicas que se comunican con un sistema informático
automatizado, estableciendo que los contratos no tendrán efectos jurídicos ni
serán ejecutorios cuando:

a) el sistema informático automatizado no le brinda la oportunidad


de impedir o corregir el error;
b) la persona, al percatarse del error, lo notifica lo antes posible;
c) la persona toma medidas razonables, incluida la devolución de
los bienes o servicios recibidos a consecuencia del error; y
d) cuando no ha utilizado los bienes o servicios, ni obtenido beneficio
de ellos.

El Grupo de Trabajo hace la reserva de que tal disposición puede no adecuarse


a transacciones B2B (es decir, no con consumidores), ya que es posible que en
el marco del derecho contractual general no se prevea siempre el derecho de
denunciar un contrato en caso de error sustancial.
La Directiva 2000/31/CE de la Unión Europea establece en su artículo 11 párrafo
2° que únicamente las personas que ofrecen bienes o servicios a través de
sistemas informáticos automatizados tienen la obligación de brindar medios para
corregir errores. Tesis reflejada en el artículo 12 párrafo 2° del Anteproyecto de
Convención. Esta postura no trata las consecuencias que los errores generan
sobre la validez del contrato en cuestión.
Asimismo, los errores también pueden ser generados por el propio sistema
automatizado, en cuyo caso el Grupo de Trabajo consideró que debería ser
imputables a las personas en cuyo nombre funcionan, salvo que se demuestre que
el sistema generó mensajes erróneos imprevisibles por la persona responsable.
En una y otra situación las soluciones y responsabilidades se distribuyen en
función de la previsión y diligencia que han tenido las partes frente a un error
u omisión sustancial. Es decir, que el eje del análisis se basa en apreciar, con
relación a los errores de las personas físicas, cuán diligente fue el vendedor
al elaborar el sistema informático automatizado y contemplar la posibilidad de
enmendar errores u omisiones por parte del comprador, por un lado, y por el otro
con cuánta celeridad actuó el comprador ante el conocimiento del error.
Con relación a los errores causados por el mismo sistema, el análisis valora
en qué grado el vendedor tenía control sobre el programa informático u otros
aspectos técnicos utilizados en la programación de dicho sistema automatizado.

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 83


6.3 Tiempo y formación del contrato. Principio de la autonomía de la voluntad.
Prueba.

Ya se ha dicho bastante, tanto en la legislación internacional citada y brevemente


analizada como en la bibliografía recomendada sobre la formación del contrato
electrónico, que definir cuándo y cómo se materializa el contrato ha desvelado a
gran parte de la doctrina en su búsqueda por relacionar los casos electrónicos
con los parámetros definidos hace muchos años ya en los Códigos Civiles
vigentes.
Lo cierto es que la ley civil divide a los contratos entre presentes y entre ausentes
para luego diferenciar sus situaciones y consecuencias. Entonces, la primera
pregunta que se generó en torno al contrato electrónico es a cuál especie
se adhiere, siendo la posición mayoritaria que si el contrato es materializado
por correo electrónico u otros medios de comunicación no instantánea será
caracterizado como un contrato a distancia. Ahora, si se efectuó en un sitio web
interactivo o vía mensajería instantánea, será considerado un contrato entre
presentes.
Otra gran incógnita es la relativa al lugar de celebración del contrato. Al respecto,
mucho se dijo sobre la ubicación del servidor de cada una de las partes o si una
de las partes estaba viajando en barco transatlántico con conectividad satelital
y desde allí manifestó su voluntad de contratar. No vale la pena abundar en
teorías y suposiciones, y conviene remitirse a lo recomendado por UNCITRAL
y que fuera analizado en párrafos anteriores, concluyendo brevemente que el
lugar de residencia y/o ubicación principal de los negocios de las partes será
considerado el domicilio de cada una de ellas.
Se recomienda adquirir el libro “Comercio Electrónico” de Ricardo L. Lorenzetti,
Ed. Abeledo-Perrot, donde no sólo trata esta temática profundamente sino
también otras cuestiones relacionadas con el Derecho Informático.

Firma de los Contratos

Otro tema que desvela a los juristas es la firma, ya que todo contrato comercial
exige para su validez que contenga la firma de las partes contratantes. Ahora
bien, sin la implementación real y efectiva de la firma digital, ¿cómo se hace para
cumplir con esta exigencia legal contenida en el artículo 1012 del Código Civil
Argentino, así como en los demás ordenamientos regionales y europeos?
Ante esta realidad, la Comisión de Naciones Unidas sobre Derecho Mercantil
Internacional ha elaborado una Ley Modelo sobre Comercio Electrónico IC 12,
que pueden encontrar en http://www.uncitral.org/pdf/spanish/texts/electcom/05-
89453_S_Ebook.pdf, para su incorporación al derecho interno de cada país,
estableciendo en su Artículo Séptimo que cuando la ley requiera la firma de una
persona, ese requisito quedará satisfecho en relación con un mensaje de datos:
a) Si se utiliza un método para identificar a esa persona y para indicar que esa
persona aprueba la información que figura en el mensaje de datos; y b) Si ese
método es tan fiable como sea apropiado para los fines para los que se generó
o comunicó el mensaje de datos, a la luz de todas las circunstancias del caso,
incluido cualquier acuerdo pertinente.
Este artículo se basa en el reconocimiento de las funciones que se atribuyen
a una firma en las comunicaciones consignadas sobre papel, entre las que se
encuentran: identificar a una persona; dar certeza a su participación en el acto
de firmar; y asociar a esa persona con el contenido de un documento.
Define las condiciones generales que, de cumplirse, autenticarían un mensaje
de datos con suficiente credibilidad para satisfacer los requisitos de firma que
actualmente obstaculizan el comercio electrónico. Se centra en las dos funciones
básicas de la firma: la identificación del autor y la confirmación de que el autor
aprueba el contenido del documento.

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.84


Para determinar si el método de identificación seleccionado es apropiado,
pueden tenerse en cuenta, entre otros, los siguientes factores jurídicos, técnicos
y comerciales:

1) la perfección técnica del equipo utilizado por cada una de las


partes;
2) la naturaleza de su actividad comercial;
3) la frecuencia de sus relaciones comerciales;
4) el tipo y la magnitud de la operación;
5) la función de los requisitos de firma con arreglo a la norma legal
o reglamentaria aplicable;
6) la capacidad de los sistemas de comunicación;
7) la observancia de los procedimientos de autenticación establecidos
por intermediarios; entre otros.

Establece una norma mínima de autenticación para los mensajes de datos


intercambiados en ausencia de una relación contractual previa y, al mismo
tiempo, da orientación sobre lo que eventualmente podría suplir la firma cuando
las partes recurrieran a comunicaciones electrónicas en el contexto de un
convenio de comunicaciones.
Cabe señalar que con arreglo a la Ley Modelo, la mera firma de un mensaje de
datos mediante el equivalente funcional de una firma manuscrita no basta de
por sí para dar validez jurídica al mensaje. La cuestión de la validez jurídica de
un mensaje de datos que cumple el requisito de una firma deberá dirimirse con
arreglo a la normativa aplicable al margen de la Ley Modelo.

Prueba de los Contratos Electrónicos

El tema de la prueba es una cuestión bien sensible para todas las operaciones
electrónicas que no cuentan con encriptación de su contenido y con firma digital,
pero no por ello significa que sean imposibles de probar y que dejen a las partes
sin forma de validar sus acciones para defender los reclamos que entre las partes
se realicen.
Al respecto, deberá leer la obra Los Mensajes de Datos y la prueba de los
negocios, actos y hechos con relevancia jurídica soportados en formatos
electrónicos IC 13 de Mónica Viloria, que encontrará en http://www.alfa-redi.
org/rdi-articulo.shtml?x=733, específicamente su análisis respecto de la prueba.
Como se ha mencionado anteriormente, si quiere tener una visión más completa
de lo aquí analizado se recomienda leer toda la obra.
En concreto, toda acción electrónica puede probarse, sólo que dependerá de
las circunstancias que rodeen cada relación comercial la capacidad de probanza
de cada parte y de los recaudos que cada una y ambas hayan tomado, como
por ejemplo convenir anticipadamente que el medio electrónico será su canal
exclusivo de comunicación, así como definir previo a iniciar la relación comercial,
cuáles serán las direcciones de correo electrónico válidas, quiénes y cuándo
se podrán comunicar por mensajería instantánea, de qué números de telefonía
celular se podrá recibir solicitudes de compra, entre tantas otras variables que
incidirán en la ejecución del contrato.
Como una medida recomendada es incorporar el texto sugerido por la Cámara
Internacional de Comercio en sus eTerms en sus dos artículos, así como toda la
explicación relacionada a ellos y las situaciones que se pueden generar.

6.4 Sistemas de pago: online y off-line


Es importante destacar que así como el contrato electrónico puede ejecutarse
total o parcialmente de manera electrónica, como en los casos en que se entrega
un automóvil adquirido vía web; el pago también se puede realizar personalmente

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 85


o contra reembolso. Como esta alternativa no es materia de análisis de esta
unidad, sólo nos focalizaremos en el pago online. Este pago comúnmente se
efectúa por transferencia electrónica de divisas y tiene un proceso, sobre todo a
nivel internacional, muy aceitado.
Los medios de pago posibles no se verán afectados por la plataforma de
negociación que las partes utilicen, es decir si es vía correo electrónico o chat o
si es vía web, ya que siempre existirán las mismas opciones de canalizar el pago.
Como ejemplo de las alternativas existentes, bien vale ingresar a un portal web
de subasta de bienes, como puede ser www.deremate.com o www.mercadolibre.
com, donde encontrará que al producto seleccionado se lo puede abonar con
tarjeta de crédito, hoy el mayor canalizador de las operaciones comerciales de los
consumidores; también se puede abonar mediante la transferencia electrónica
de divisas que es la operatoria consolidada entre las empresas.

Todo sistema de pago indefectiblemente exige la participación del llamado


dinero electrónico, que la Dra. Mariliana Rico Carrillo define como un instrumento
basado en el funcionamiento de una Transferencia Electrónica de Fondos (TEF)
que tiene por objeto facilitar el pago en operaciones generalmente concertadas
a través de redes de comunicación pudiendo asumir distintas formas según la
voluntad de las partes negociantes.

Decimos –continúa la Dra. Rico Carrillo- que se trata de operaciones generalmente


concertadas a través de redes de comunicación pues hay algunos casos, como
las tradicionales tarjetas, que aun cuando implican el uso de medios electrónicos
pueden ser utilizadas en cualquier establecimiento físico independientemente de
la existencia de una red de comunicación. De otra parte hablamos del elemento
volitivo como requisito indispensable para el uso del dinero electrónico, en el
entendido que su aceptación siempre estará supeditada a la voluntad de las
partes ya que no puede obligarse a nadie a recibir ni a efectuar un pago distinto
del dinero efectivo tradicional calificado como de curso legal en cada una de
las legislaciones existentes; así como los cheques y las tarjetas tradicionales
requieren para su aceptación la manifestación del concurso de voluntades entre
el vendedor y el comprador -y en algunos casos hasta del emisor del medio de
pago-, de igual manera sucede con el dinero electrónico en cualquiera de sus
distintas modalidades.

A fin de avanzar en los aspectos principales del Dinero Electrónico y sus diversos
aspectos, a continuación por favor lea “El pago mediante el Dinero Electrónico
IC 14” de la Dra. Mariliana Rico Carrillo, disponible en http://www.ieid.org/
congreso/ponencias/Rico%20Carrillo,%20Mariliana.pdf,

Tributación en Internet

Los aportes al Estado por parte de las acciones en Internet ha sido un tema
que ha desvelado a los gobiernos, por un lado porque por sus estrictas normas
impositivas no se podía interpretar que las acciones en Internet estaban alcanzadas
por un impuesto determinado; y por el otro, porque si bien estaban interesado
en percibir las cuantiosas sumas que deberían aportar los contribuyentes no
querían desalentar las incursiones comerciales en Internet.

6.5 Seguridad en las transacciones: Factura Electrónica Digital.

A los fines de reducir la evasión fiscal, los organismos de control impositivo de


cada país, han ido implementando la factura electrónica. Tal es el caso de la
Administración Federal de Ingresos Públicos de Argentina (AFIP) que dispuso

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.86


que a partir del mes de abril de 2007, la emisión de facturas electrónicas es
obligatoria para empresas proveedoras de Internet, medicina prepaga y TV
por cable o satelital; para las compañías de telefonía celular la obligatoriedad
comenzó a regir en el mes de julio de ese mismo año, y así gradualmente hasta
abarcar a todo el universo de contribuyentes.
Al tratar esta cuestión la Dra. Uruguaya María José Viega, en su libro “Lecciones
de Derecho Telemático” (Ed. Fundación de Cultura Universitaria, Montevideo,
2004) explica que la factura electrónica otorga validez tributaria a operaciones
comerciales efectuadas mediante documentos generados electrónicamente,
con una importante economía de recursos respecto de los que son emitidos
físicamente.
Como principios rectores del sistema reconoce al interés general de los actores
involucrados; la eficacia desde la óptica de la gestión empresarial y la posibilidad
de control por parte de la Administración tributaria.
Considera como ventajas de la Factura Electrónica:

a) Que llegan a través del correo electrónico o se pueden consultar


en la web en forma instantánea;
b) Son más comprensibles y se tiene la posibilidad de conocer los
detalles de consumo desde la web;
c) Mejora de la relación empresa-cliente, ya que éste último recibe
antes la información y en un formato más sencillo de guardar y
clasificar;
d) Genera un conjunto de servicios de valor añadido, ya que el
emisor pone a disposición del cliente la información que posee del
mismo;
e) Importa un ahorro de gastos en los envíos postales, así como
economía de recursos, ya que no se requiere imprimir talonarios
con original y dos copias, porque la factura electrónica se puede
imprimir en cualquier papel y con la ventaja adicional de que no se
acumularán facturas en papel; y
f) Reduce la deforestación y posterior contaminación por usar cloro
en el proceso de blanqueo del papel.

Cita como ejemplos de las últimas ventajas, que el costo de emisión de un recibo
en papel asciende a 0.75 euros, mientras que en el caso de la factura electrónica,
su costo es de 0.05 euros, y el gasto de tiempo es prácticamente nulo; y que en
una empresa como Telefónica (Uruguay), la facturación electrónica permite el
ahorro anual en consumo de papel del 40% equivalente a más de 700 toneladas.
Si bien los grandes beneficios antes mencionados seguramente se generarán, el
receptor estará forzado a leer atentamente los correos electrónicos con facturas
electrónicas recibidas, ya que desde su recepción se contará el plazo legal
para observarla por defectos en su elaboración. También deberá asegurarse de
rescatar aquellas facturas que el proveedor de Internet haya considerado spam.
Algunos doctrinarios si bien le asignan todas las virtudes mencionadas, dudan
sobre sus posibilidades de ser reclamadas judicialmente, ya que los Tribunales
no tienen la misma visión o posición que la Autoridad Recaudadora para analizar
este documento enviado por correo electrónico y del que surge una deuda
dineraria líquida y exigible.

6.6 Solución de Diferendos

Para analizar el método que se utilizará para solucionar los diferendos y las
disputas que surjan de la contratación electrónica se deberá dividir entre las
relaciones con consumidores y las relaciones entre empresas.
En el primer caso, normalmente se habilita la sede judicial del domicilio del

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 87


consumidor y la norma protege ampliamente al consumidor, como se verá en la
Unidad próxima. En el segundo caso, los empresarios están mayoritariamente
optando por los medios alternativos de solución de diferendos como son la
Mediación y el Arbitraje.
Estos métodos son más amigables para las transacciones electrónicas porque
sus normas de procedimiento, por ejemplo si se siguen las de la Cámara de
Comercio Internacional, están más actualizadas que las legislaciones de cada
país, y están orientadas a los comerciantes o a los negocios.
Entre estos métodos de resolución de diferendos, existe un método administrado
por la Organización Mundial de Propiedad Intelectual (OMPI) que se ha
instrumentado totalmente en formato electrónico, aunque hoy solo se aplica a
las disputas generadas en torno a los nombres de dominio. De todas maneras es
un procedimiento innovador y que seguramente pronto se podrá trasladar a los
conflictos generados entre comerciantes y empresas.
Para ver más sobre este procedimiento, por favor visite: http://www.wipo.int/amc/
es/

Conclusiones:

Las organizaciones deben implementar las protecciones contractuales que


hemos brevemente referenciado aquí, tanto en lo que respecta a las tratativas
previas y su Acuerdo de Confidencialidad, como a su inserción en la contratación
electrónica en sus muy variadas formas, que debemos reconocer que se está
consolidando cada vez más en el ámbito internacional y nacional, donde las
partes utilizan las herramientas de comunicación modernas para convenir los
parámetros que regirán una relación comercial.
Como vimos, estos parámetros se inician en la oferta, en la aceptación de ella, en
la negociación de los términos negociales, donde entra plenamente en escena el
contrato electrónico y sus diversos aspectos, como son la entrega del producto o
la ejecución del servicio contratado, su forma de pago, los procedimientos para
reclamar la garantía y para solucionar las diferencias que no se hayan podido
subsanar amigablemente entre las partes involucradas.
Mientras siga avanzando la tecnología, seguirá consolidándose el contrato
electrónico, por lo que todos los actores sociales deberán integrarlo a su
actividad diaria e implementar todas las medidas protectivas que se hayan
creado para resguardar la información sensible de la organización. Asimismo,
los comerciantes, y las empresas deberán establecer preventivamente claras
reglas de juego para minimizar los impactos; el Estado, en el aspecto impositivo
definiendo si son actividades alcanzadas o no por sus impuestos y en el aspecto
reglamentario buscando dictar las normas que sean necesarias para brindar
seguridad en las transacciones, y en el aspecto judicial resolviendo los conflictos
aplicando las leyes que mejor regulen las nuevas situaciones y entendiendo que
no es posible establecer un paralelo directo con las relaciones y problemáticas
que se generaban tradicionalmente.

Para finalizar este tercer módulo le recomendamos realizar las actividades y leer
el siguiente material complementario que enriquecerá sus conocimientos en el
campo de la Seguridad de la Información:

Ley 25.506: Firma digital IC 15

Firma Digital sin Respaldo IC 16

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.88


Firma Digital en el Gobierno de la Ciudad de Buenos Aires IC 17

Comunicación B07 IC 18

Decreto 724/2006 IC 19

Decreto 2628/2002 IC 20

Contrato de confidencialidad estándar IC 21

Requisitos del Documento Electrónico IC 22

Licenciamiento IC 23

Proyecto de Regulación del Correo Electrónico Laboral IC 24

Decreto Nacional 283/2003 IC 25

Encuesta 2007 sobre Monitoreo Electrónico de Empleados IC 26

Las Cámaras de Vigilancia vs La Protección de Datos Personales IC 27

¿Cuando hablamos de Firma Electrónica hablamos de Firma Digital? IC 28

La Agencia Española de Protección de Datos sanciona falta de seguridad IC 29

Crece el Comercio Electrónico en Argentina IC 30

Correo electrónico privacidad y daños IC 31

Aprueban norma para notificar con firma electrónica IC 32

m3 |contenidos | IC

información complementaria 1-2-3-4

Para visualizar estas informaciones complementarias dirijasé al sector respectivo


en la Plataforma.

m3 |contenidos | IC

información complementaria 5

Mejoría del rendimiento laboral

¿Cae un mito? Aseguran que el uso del “messenger” sube la productividad


del empleado 

Jueves 26 de Junio de 2008


Fuente: http://www.iprofesional.com/notas/68112-Cae-un-mito-Aseguran-que-el-
uso-del-messenger-sube-la-productividad-del-empleado.html

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 89


Un estudio revela que esta herramienta tiene algunos beneficios donde
muchas personas sólo veían cosas malas. Sugerencias para aumentar la
eficiencia laboral con estas aplicaciones basadas en Internet y proteger los
datos privados

Entre las empresas está extendido una creencia sobre la mensajería instantánea:
El uso de esta herramienta, basada en aplicaciones y servicios como el MSN
Messenger o Windows Live Messenger, o el GTalk, o el Yahoo Messenger,
interrumpe a los empleados y baja su productividad.
Sin embargo, en los Estados Unidos se difundió un estudio que contradice esta
suposición: Las empresas que buscan que sus trabajadores no tengan muchas
interrupciones deberían impulsar el uso de estos programas.
La investigación llevada a cabo por la Ohio State University y la Universidad
de California asegura que los empleados que utilizan la mensajería instantánea
son interrumpidos con menos frecuencia que aquellos que no lo usan en forma
habitual.

La idea de la baja productividad por culpa de la mensajería considera a esta


herramienta como una dificultad que una ayuda, porque si se suman el teléfono
y el correo electrónico, provocan mayores interrupciones y reduce la actividad.
Pero el estudio demuestra que la mensajería instantánea se aplica como un
reemplazo de esas formas de comunicación, consideradas como más invasivas,
al igual que las conversaciones cara a cara.
“La clave es que la mensajería instantánea tiene algunos beneficios donde
muchas personas sólo veían cosas malas”, señaló R. Nelly Garret, uno de los
autores del estudio y profesor asistente de comunicación en la Universidad de
Ohio.
En este comunicado, Garret afirma; “Hemos descubierto que, de hecho, el
messenger es positivo. La gente que usa la mensajería instantánea siente que es
interrumpida con menos frecuencia”.
El estudio se hizo con 912 personas que trabajaban por lo menos 30 horas
semanales en una oficina y que usaban la PC al menos cinco horas al día.
Los participantes fueron elegidos de forma aleatoria y entrevistados por
teléfono. Los resultados fueron publicados en la revista Computer Mediated
Communication.

Para el estudio, la clave es cómo la gente usa esta tecnología. Muchos de los
entrevistados comentaron que la utilizan para comprobar si sus compañeros de
trabajo están disponibles. Otros comentaron que lo usan para recibir respuestas
rápidas a preguntas generales o para discutir sobre trabajos que se están
llevando a cabo, en lugar de contactar mediante conversaciones cara a cara.
“Hemos descubierto que los trabajadores son muy estratégicos a la hora de usar
la mensajería instantánea. Lo usan para comprobar si sus compañeros están
ocupados antes de interrumpirles mediante un modo de comunicación más
intrusivo”, dijo Garrett.

Cada usuario puede configurar estas herramientas de comunicación a su


gusto. Así, la mensajería instantánea les permite controlar cómo y dónde sus
compañeros pueden comunicar con ellos.
Esta tecnología le brinda a los empleados la habilidad de modificar su
disponibilidad o de postergar una respuesta para un momento más adecuado.
Incluso, señala el estudio, como está aceptado socialmente ignorar un mensaje
de este tipo, muchos empleados lo usan para aplazar conversaciones que
interrumpen.

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.90


Garret apuntó que “la gente es muy
Sugerencias desde Microsoft
innovadora respecto a cómo usan esta
Puntos Importantes
tecnología, y lo hacen en función de
• Un estudio de la universidad
sus necesidades y expectativas. Por
de Ohio asegura que el uso
otro lado, tienen tiempo suficiente en
de la mensajería instantánea
casa para aprender más sobre ella y
disminuye las interrupciones
encontrar otras maneras de utilizarla
de los trabajadores.
productivamente”.
• El trabajo desmiente la
Las razones de la aceptación de la
creencia de que el Windows
mensajería en el mundo laboral son
Messenger distrae de sus
su facilidad de uso y su similitud con
trabajos a los empleados.
el correo electrónico. Sin embargo,
• Esta herramienta reemplaza
el estudio advierte esta tecnología no
otros métodos más invasivos,
llegará a tener tanta influencia como el
como el correo electrónico o
e-mail.
el teléfono.
“Los trabajadores no tratan de mantener
conversaciones largas o de resolver
problemas complejos mediante esta
herramienta limitada. Más bien lo están usado para solicitar respuestas rápidas
o para coordinar sus conversaciones”, explicó el investigador.
Garret dirigió este estudio, difundido por el portal especializado Tendencias 21,
junto a James N. Danziger, profesor de ciencias políticas en la Universidad de
California.
  Tanto si es uno es propietario de una empresa como un usuario intensivo de
la mensajería instantánea, o ambas cosas, puede aplicar los siguientes diez
consejos, brindados desde Microsoft, sobre qué debe hacer y qué no al utilizar
este tipo de herramienta.
• 1. Adopte una política de usuario para la comunicación mediante
mensajería instantánea. Si es propietario de una empresa, sus empleados
tienen que saber si le parece bien o no que utilicen la mensajería
instantánea como medio de comunicación con, por ejemplo, clientes o
socios comerciales.
• 2. No utilice la mensajería instantánea en conversaciones confidenciales
o para transmitir información delicada. Si su empresa proporciona
asesoramiento profesional en los sectores de mercado de valores,
finanzas, medicina o derecho, probablemente no sea muy acertado usar
la mensajería instantánea.
• 3. Organice sus listas de contactos de modo que los contactos comerciales
queden aparte de los amigos y los familiares. Las listas de contactos,
también conocidas como “listas de conocidos” o “listas de amigos”,
contienen los posibles receptores de los mensajes instantáneos.
• 4. No permita que se abuse de la mensajería instantánea en el trabajo
empleándola para conversaciones personales. Pida a su personal que
deje las conversaciones personales para los descansos o para la hora
de la comida, explíqueles que la mensajería instantánea sirve para hacer
clientes o para generar beneficios para la empresa.
• 5. Sepa que los mensajes instantáneos también se pueden guardar.
Algunos servicios de mensajería instantánea permiten incluso archivar
mensajes completos. Conclusión: tenga cuidado con lo que dice, tal y
como haría con el correo electrónico.
• 6. No comprometa ni la reputación de su empresa ni la suya propia.
Tal vez los tribunales estén aún tratando de determinar la validez de
los mensajes instantáneos en materia de calumnia, difamación, y demás
cuestiones legales. Sea cauto en lo que dice.
• 7. Cuidado con las infecciones de virus y los riesgos a la seguridad
relacionados. La mayoría de los servicios de mensajería instantánea

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 91


permiten transferir archivos con los mensajes. Hay que informarse
acerca de la calidad del sistema de protección del servidor de seguridad
propio y decidir si es mejor o no restringir la transferencia de archivos a
través de los servicios de mensajería instantánea.
• 8. No comparta información o datos personales a través de un servicio
de mensajería instantánea. Incluso si confía plenamente en la persona
con la que se está escribiendo, no es aconsejable incluir información
personal como contraseñas o números de tarjetas de crédito, incluso un
número de teléfono en cierta manera confidencial.
• 9. Sea conciso y breve en sus mensajes instantáneos y sepa siempre
cuando decir adiós. Es necesario limitar las consultas, ir al grano y evitar
palabrerías innecesarias.
• 10. No cause confusión usando un nombre o un estado de usuario
engañoso. Los nombres de los usuarios de los servicios de mensajería
instantánea, como los del correo electrónico, deben ser coherentes con
el resto de los utilizados en la empresa.

Cuidados y precauciones

Al igual que con el correo electrónico, la facilidad y utilidad de la mensajería


instantánea han provocado el aumento de los riesgos y problemas. La mensajería
instantánea se está convirtiendo cada vez más en el objetivo de los atacantes para
propagar virus, gusanos, spim (spam en MI), programas maliciosos y ataques
de phishing. Estos ataques han crecido de forma exponencial en los últimos
tres años, advierten desde Symantec, primer fabricante mundial de software de
seguridad.
En ese sentido, el principal cuidado que se debe tener es no aceptar la
transferencia de archivos por parte de desconocidos e incluso cuando se
descarga algún documento chequearlo con un antivirus actualizado.
Más información sobre la seguridad en mensajería instantánea en esta nota de
Infobaeprofesional.com.

m3 |contenidos | IC

información complementaria 6

Viloria

Voces: ADMINISTRACION NACIONAL DE LA SEGURIDAD SOCIAL ~


APORTES Y CONTRIBUCIONES DE LA SEGURIDAD SOCIAL ~ CAUSALES
DE DESPIDO ~ CERTIFICADO DE TRABAJO ~ CONSTITUCION NACIONAL ~
CONSTITUCIONALIDAD ~ CONTRATO DE TRABAJO ~ CORREO ELECTRONICO
~ DECRETO REGLAMENTARIO ~ DERECHO A LA INTIMIDAD ~ DESPIDO ~
DESPIDO POR JUSTA CAUSA ~ INFORMATICA ~ INJURIA LABORAL ~ INJURIAS
~ INTERNET ~ INTIMACION ~ INVIOLABILIDAD DE LA CORRESPONDENCIA
~ NORMA REGLAMENTARIA ~ OBLIGACIONES DEL EMPLEADOR ~
OBLIGACIONES DEL TRABAJADOR ~ PODER REGLAMENTARIO DEL PODER
EJECUTIVO ~ PRUEBA ~ REQUISITOS DEL CERTIFICADO DE TRABAJO ~
SEGURIDAD SOCIAL
Tribunal: Cámara Nacional de Apelaciones del Trabajo, sala VII(CNTrab)(SalaVII)
Fecha: 11/07/2007
Partes: Viloria, Myrian A. c. Aseguradora de Créditos y Garantías S.A.

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.92


Publicado en: LA LEY - LA LEY, con notas de Andrea E. García Vior y Susana
Noemí Tomasi

HECHOS: Un trabajador que fue despedido por haber enviado correo electrónico
con datos confidenciales a una empresa competidora del empleador inició
demanda solicitando las indemnizaciones correspondientes por despido
incausado. La sentencia de grado admitió la pretensión. La Cámara consideró
que existió justa causa y sólo declaró procedente la indemnización del art. 80 de
la ley de contrato de trabajo.

SUMARIOS:
1. Resulta justificado el despido dispuesto por el empleador alegando el
incumplimiento de los deberes de lealtad y reserva por parte del trabajador
— art. 85 y 88, ley de contrato de trabajo (t.o. 1976) (Adla, XXXVI-B, 1175)—
, ya que se encuentra acreditado y documentado que éste remitió por correo
electrónico información confidencial — en el caso, datos de las operaciones,
valores y clientes— de su principal a una empresa competidora, circunstancia
que constituye una conducta injuriante y de una gravedad tal que impide
la prosecución del vínculo, máxime cuando el trabajador había asumido un
compromiso escrito de confidencialidad.
2. El proceder del empleador que cotejó los registros y constancias de la
información que contenía el servidor de Internet de la empresa y revisó el correo
electrónico del trabajador, no vulnera del derecho a la intimidad de éste ni viola
su correspondencia personal, pues la inspección estuvo limitada prudentemente
a verificar las comunicaciones dirigidas por parte del dependiente a otra
empresa competidora, a fin de comprobar el grave incumplimiento de aquél en
sus deberes.
3. Debe condenarse al empleador al pago de la indemnización del art. 80 de la
ley de contrato de trabajo (t.o. 1976) (Adla, XXXVI-B, 1175) por no entregar el
certificado allí mencionado, ya que el formulario que extiende la Administración
Nacional de la Seguridad Social no alcanza a satisfacer la exigencia de la norma
en cuanto en éste no hay constancias acerca de los ingresos por los mentados
aportes y contribuciones, sino tan sólo de los salarios devengados por el
trabajador.

JURISPRUDENCIA VINCULADA (*)

SENTIDO CONTRARIO
Cámara Nacional de Apelaciones del Trabajo, sala VIII, “Mamani
Lupati, Carlos c. López Menéndez S.R.L. y otros”, 2005/09/30, DJ
30/11/2005, 917, con nota de Alberto A. Calandrino - IMP 2005-23,
3065.

(*) Información a la época del fallo

4. Es inconstitucional el decreto 146/2001 del Poder Ejecutivo Nacional (Adla,


LXI-B, 1520) que reglamenta el art. 80 de la ley 20.744 (t.o. 1976) (Adla, XXXVI-B,
1175), ya que la requisitoria que impone al trabajador configura una desviación
de poder en tanto traspasa la línea divisoria existente entre la delegación de
poder para hacer la ley y la de conferir cierta autoridad al Poder Ejecutivo o a un
cuerpo administrativo a fin de reglar los pormenores y detalles necesarios para
la ejecución de aquélla.

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 93


JURISPRUDENCIA VINCULADA (*)
IGUAL SENTIDO
Cámara Nacional de Apelaciones del Trabajo, sala VII, “Ramos,
Fernando H. c. Citibank N.A.”, 2007/07/18, LLO

VER TAMBIEN
CNTrab., sala VII, “Serantes, Milagros J. I. c. Quiñones, Julio H. y
otro”, 2007/05/17, LLO; CNTrab., 29/06/2006, “Couvell, Diana E. c.
La Yanxa S.R.L.”, 2006/06/29, LLO

(*) Información a la época del fallo

5. Si bien la intimación realizada por el trabajador a su principal tendiente a


obtener la entrega de los certificados de trabajo del art. 80 de la ley de contrato
de trabajo (t.o. 1976) (Adla, XXXVI-B, 1175) se realizó antes de cumplidos los 30
días que establece la reglamentación del decreto 146/2001 del Poder Ejecutivo
Nacional (Adla, LXI-B, 1520), aquél tiene derecho a obtener la indemnización
prevista en el artículo mencionado, ya que la requisitoria que se impone al
trabajador mediante tal decreto constituye un claro exceso reglamentario, lo que
lo torna inconstitucional. (Del voto de la doctora Ferreirós)

JURISPRUDENCIA VINCULADA (*)


IGUAL SENTIDO
Cámara Nacional de Apelaciones del Trabajo, sala VII, “Ramos,
Fernando H. c. Citibank N.A.”, 2007/07/18, LLO

VER TAMBIEN
CNTrab., sala VII, “Serantes, Milagros J. I. c. Quiñones, Julio H. y
otro”, 2007/05/17, LLO; CNTrab., 29/06/2006, “Couvell, Diana E. c.
La Yanxa S.R.L.”, 2006/06/29, LLO

(*) Información a la época del fallo

6. La multa del art. 80 de la ley de contrato de trabajo (t.o. 1976) (Adla, XXXVI-B,
1175) solicitada por el trabajador no puede tener favorable acogida, ya que del
intercambio telegráfico surge que dicha parte incumplió con el término de 30
días que impone el decreto reglamentario 146/2001 del Poder Ejecutivo Nacional
(Adla, LXI-B, 1520). (del voto en disidencia parcial del doctor Ruiz Díaz)

TEXTO COMPLETO: 2ª Instancia. — Buenos Aires, julio 11 de 2007.


El doctor Rodríguez Brunengo dijo:
I) La parte demandada apela el fallo de grado que la condenó a indemnizar a la
trabajadora por despido incausado con aplicación de las normas de la Ley de

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.94


Contrato de Trabajo.
La parte actora se agravia por el rechazo de las indemnizaciones previstas en los
arts. 80 y 182 de la L.C.T., así como por la distribución de las costas dispuesta
en la instancia anterior.
También recurre el Sr. perito ingeniero en sistemas y la Sra. perita contadora
porque estiman insuficientes sus honorarios.
II) La demandada se agravia por el hecho de que – a su modo de ver- en autos se
habrían acompañado suficientes constancias probatorias, válidas y convincentes,
que permitirían concluir que la actora incurrió en los comportamientos que se le
atribuyeron al despedirla, y que éstos constituyen una injuria impeditiva de la
prosecución del vínculo.
Con la finalidad de esclarecer la cuestión traída a debate, destaco que no
hay discusión a esta altura del proceso respecto de la validez de la prueba
documental acompañada por la demandada (v. sobre de prueba reservado con
el número 3.779), y cuya autenticidad también diera cuenta el Sr. perito analista
de sistemas (v. fs. 164/224).
En ella constan, entre otros, los siguientes elementos: 1) la suscripción de
un documento titulado “Cumplimiento Seguridad Informática”; y 2) tres actas
notariales inherentes a lo siguiente: a) la constatación por parte de un escribano
público del acceso de un técnico del sistema informático (Sr. Sergio Dalmatin)
a la información vertida en Servidor Central de la firma, labor que le fuera
encomendado por una apoderada de empresa; b) otra constatación en la cual
se procedió a imprimir la información recopilada en el procedimiento anterior;
mas concretamente, se procedió a hacerlo respecto de los mails enviados por
la actora, aunque ello circunscripto pura y exclusivamente a los dirigidos al
dominio de la empresa Afianzadora Latinoamericana S.A. (afianzadora.com.ar);
y c) la notificación de la decisión del despido a la dependiente, atribuyéndosele
el haber faltado a los deberes de fidelidad y no concurrencia de los arts. 85 y 88
de la Ley de Contrato de Trabajo.
Ahora bien, la documentación reseñada permite arribar a la conclusión de
que – tal como se sostuvo al despedir a la dependiente (v. acta de notificación
del 9.2.06)- la actora estableció un intercambio de correo electrónico con
personal de la firma “Afianzadora”, que gira en plaza también en el mercado
de los seguros, y que – adelanto- evidencia precisamente la falta de conducta
imputada a la dependiente, puesto que el envío de información confidencial de la
empresa por correo electrónico a otra firma no es compatible con la prosecución
de la relación laboral, ya que de esa forma ha violado las mas elementales –
también fundamentales- pautas de una relación de trabajo (v. las declaraciones
de Córdoba, fs. 229; Sarquis, fs. 231; De Césare, fs. 233, las cuales ratifican la
postura de la empleadora con relación a los hechos que desencadenaron el
distracto, arts. 90 de la L.O. y 386 del C.C.P.C.N.).
En tal contexto, es de advertir que el vínculo bajo subordinación y seguridad que
la ley impone al empleador respecto del trabajador (art. 65, 66, 68, 75 y 80, entre
otros), están como contrapartida los deberes de lealtad, fidelidad y discreción
que la ley impone al trabajador y que, a mi ver, es de toda evidencia que traen
aparejada una postergación de ciertos intereses cuando éstos entran en colisión
con los de su empleador en lo específicamente vinculado con el medio laboral
que comparten (en igual sentido; v. de esta Sala los autos “Schuliaquer, Fernando
Luis y otros c/ Banco Credicoop Cooperativo Ltdo. s/ despido” S.D. 29.912 del
13.10.97).
En el presente caso, al haber remitido información respecto de las operaciones,
valores y demás datos de clientes que surgen de la documentación agregada en

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 95


los anexos de las actas de constatación, datos propios de la firma, y enviados
a otra (sindicada como competidora) del ámbito del seguro, a cambio de
recompensar, no tengo la menor cavilación al concluir que la actora incurrió en
una conducta injuriante y contraria a la que se espera de un dependiente, quien
debe cumplir con los deberes de lealtad y reserva impuesto por la ley (art. 85 y
88 de la ley de contrato de trabajo).
Mal puede invocar la actora el haberse visto sorprendida por el proceder de
su dadora de trabajo, cuanto suscribió un documento titulado “Cumplimiento
de Seguridad Informática” (producto de un conocimiento genérico e impreciso
que no puede reputarse hábil como tal; cfme. arg. Art. 82 L.O.) que le advertía,
mediante la asunción de un compromiso de confidencialidad, acerca de la cautela
y celo con el que debía resguardar tanto la utilización de los accesos al sistema
como la información que de ellos surgiere; al respecto, es válido recordar que
el art. 902 del Código Civil impone el deber de mayor diligencia cuando las
circunstancias lo impongan.
En tal contexto, y acorde al esquema probatorio del caso, es válido colegir que la
actora incurrió en los incumplimientos atribuidos por la accionada al despedirla
(cfme. arts. 377 y 386 del C.P.C.C.N.), la cual – a mi juicio- son suficientemente
graves e impeditivos de la prosecución del vínculo (cfme. art. 242 de la L.C.T.).
No paso por alto los muy elevados conceptos que la “a quo” vierte con relación
al principio de reserva contenido en el art. 18 de la Carta Magna inherente a
la necesaria protección de la privacidad del dependiente, los cuáles comparto
plenamente; sin embargo, discrepo en la conclusión relativa a que -en este caso-
dicha intimidad o privacidad se hubiese visto ultrajada ni tampoco de que el
reclutamiento de las pruebas se hubiese dado “por una vía ilegítima”.
Ello es así, por cuanto — en mi punto de vista— el proceder de la dadora de
trabajo respecto de cotejar los registros y constancias de la información que
contenía el servidor de la empresa, en la cual — al menos en lo esperable—
no debía ser del ámbito personal de la actora sino perteneciente a la firma,
mediante una inspección limitada prudentemente a verificar las comunicaciones
dirigidas por parte de la trabajadora a otra empresa competidora (se advierte en
el acta que de los 940 correos enviados por la actora se procedió a la selección
de aquéllos 35 enviados al dominio “afianzadora.com.ar”), dejó perfectamente
salvaguardada su intimidad, sin que por ello se hubiera menoscabado su esfera
mas íntima ni tampoco violado su correspondencia personal (art. 386 del Código
Procesal).
En precedente de singular trascendencia en la vida forense, la Corte Suprema
de Justicia de la Nación avaló el tener en consideración como elementos de
juicio decisivos, datos de prueba documental incorporado a la causa, cuando
estaba prácticamente concluido el proceso de conocimiento (caso “Colallillo,
Domingo c/ Cia. de Seguros España y Río de la Plata” del 18.IX.57; Fallo 238:550
— LA LEY, 89-412— ; criterio mantenido posteriormente, en Fallos 301:922 y
306:1.715, entre otros).
Desde tal perspectiva, considero razonable tener en consideración los
elementos de juicio anejados en autos, obtenidos mediante una revisión
cuidadosa y seleccionada del material en cuestión, circunstancia que -en las
particulares circunstancias de la causa, en las que se debate una acusación tan
grave- justifican, además, adoptar un criterio mayormente elástico en orden a la
aplicación de los medios para ratificar las posturas de las partes (el mismo Alto
Tribunal también tiene decidido que el rigor en la aplicación de las formalidades
procesales no deben prevalecer sobre la verdad objetiva de los hechos que
se trata de demostrar en la causa; v. Fallos, cit. y en “Colombres, Juan c/ La
Taberna de Landrú”, sentencia del 10.VII.75; T y SS 75-765: y de esta Sala ver los

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.96


autos: “Tito, Juan c/ Y.P.F. Yacimientos Petrolíferos Fiscales S.A. s/ Accidente - ley
9.688”; S.D. 34.661 del 28.2.2001).
Es necesario destacar, también, que – frente a la autenticidad y validez de la
prueba colectada- en modo alguno hubiese cambiado la suerte de investigación
el hecho de que la actora hubiese estado presente en la oportunidad en la cual
el técnico ingresó al sistema a cotejar el envío del correo electrónico aludido,
dado que el recopilado del material hubiese sido exactamente el mismo (art. 386
del C.P.C.C.N.).
III) En cuanto a las restantes argumentaciones esgrimidas por las partes
(particularmente, con relación a la indemnización por embarazo solicitada por
la actora, sobre el cual no hay la menor prueba -ni siquiera indicios- de haber
cumplido presupuesto fáctico necesario de comunicar a la empleadora dicha
circunstancia aún vigente la relación laboral; arts. 377 y 386 del C.P.C.C.N.), debo
destacar que -tal como la Corte Suprema de Justicia de la Nación ha sentado
criterio- el juzgador no está obligado a ponderar una por una y exhaustivamente
todas las argumentaciones y medidas probatorias agregadas a la causa, sino
sólo aquéllas que estimare conducentes para fundar sus conclusiones, ni a
analizar todas las cuestiones y argumentos utilizados que -a su juicio- no sean
decisivos (conf. CSJN, 29.4.70, La ley 139-617; 27.8.71, La Ley 144-611 y citas
jurisprudenciales en “Código Procesal...” Morello, T° II-C, Pág. 68 punto 2,
Editorial Abeledo-Perrot; art. 386, última parte, del Código Procesal; y de esta
Sala, ver autos: “Paz, Juan Carlos c/ Transportes Juan Ariel S.R.L. y otro s/
Despido”; S.D. 36.877 del 17.7.03).
Por lo expuesto, propongo que se revoque el fallo recurrido y se rechace la
demanda en lo concerniente a las indemnizaciones por despido (art. 242 de la
L.C.T. y 499 del Código Civil).
IV) En lo que sí tiene razón la recurrente es cuando pide la indemnización del art.
80 de la L.C.T.
En primer lugar, advierto que – tal como lo afirma la recurrente- el formulario
PS 6.2. que extiende la A.N.Se.S. (acompañado en autos en sobre de prueba
reservado Nro. 3.779) no alcanza a satisfacer la exigencia de la norma en cuanto
allí se ordena que “el empleador estará obligado a entregar al trabajador un
certificado de trabajo, conteniendo las indicaciones sobre el tiempo de prestación
de servicios, naturaleza de éstos, constancia de los sueldos percibidos y de
los aportes y contribuciones efectuados con destino a los organismos de la
seguridad social” (sic, art. 80 3er. párrafo cit.).
Ello es así por cuanto en dicho formulario no hay, precisamente, constancias
acerca de los ingresos por los mentados aportes y contribuciones, sino tan sólo
de los salarios devengados por el trabajador (art. 386 del CPPCN). (v. esta Sala,
S.D. N°: 38.901 del 25.11.05, autos: “CASTILLO, CLAUDIA MARISA c/ KIKETASAT
S.A. y otro s/ Despido”).
En tal sentido, dado que el formulario acompañado oportunamente no cumple
acabadamente con la obligación de entregar la documentación referida en el
art. 80 cit., estimo que procede la indemnización reclamada frente a la falta de
cumplimiento integral y completo de las exigencias allí especificadas.
Es de recordar que el art. 45 de la ley 25.345 agregó como último párrafo al 80 de
la L.C.T. el siguiente texto: “...si el empleador no hiciera entrega de la constancia
o del certificado previstos... dentro de los dos (2) días hábiles computados a partir
del día siguiente al de la recepción del requerimiento que a tal efecto le formulare
el trabajador de modo fehaciente, será sancionado con una indemnización a
favor de este último ...”. A su vez el Decreto Reglamentario 146/2001 en su art.
3° dispuso que “...el trabajador quedará habilitado para remitir el requerimiento

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 97


fehaciente al que hace alusión el artículo que se reglamenta, cuando el empleador
no hubiere hecho entrega de las constancias o del certificado previstos.... dentro
de los 30 (treinta) días corridos de extinguido, por cualquier causa el contrato
de trabajo”.
Si bien esta Sala que integro ha resuelto en algunos casos del pasado que resulta
insuficiente – por prematura- la intimación de entrega del certificado antes de
cumplidos los 30 días que establece la reglamentación, a partir del caso “Bourel,
Martín Federico C/ Vicus S.R.L. S/ Despido” (S.D. N° 39188 de los 8.5.06) el
Tribunal ha modificado en mayoría su originaria forma de decidir y ha arribado
a una solución diferente, sobre la base de considerar que la requisitoria que se
impone al trabajador constituye un claro exceso reglamentario, en relación a la
norma superior que reglamenta (art. 45 antes citado). (v. de esta Sala, expte.
“Luna, Sergio Albino c/ Mistycal S.R.L y otro s/ Despido”, S.D. 39.378 del 10.7.06).
En efecto, he dicho oportunamente que: “En lo que respecta a la aplicabilidad del
decreto reglamentario 146/2001, acuden a mi memoria por una parte, el antiguo
aforismo latino: “rara est in domine iusta licencia”, y por otra, la tesis general del
clásico libro de Juan Carlos Rébora: “El Estado de Sitio y la Ley Histórica del
Desborde Institucional”, señalando lo difícil que le resulta a quien ejerce el poder
una autolimitación que no traspase sus ceñidas facultades.
La cuestión se ha planteado no solo en nuestro derecho, sino también en
democracias más antiguas y consolidadas, como Francia. Georges Ripert nos
informa así, que a partir de la Revolución, “Rousseau ne dit pas: les lois, il dit:
la loi, et pour lui la loi est souveraine, car elle est l´ expression de la volonté
générale”... “Il n´y a plus qu´une seule autorité: l´assemblée chargée de faire les
lois. Elle détient la puissance législative dans son absolutisme”. El gobierno de
Vichy, a comienzos se la década del 40, bajo la sombra de la ocupación alemana
dictó decretos-leyes y modificó leyes anteriores directamente por decretos, actos
que luego fueron anulados, como se ve en : M. Gëny: “De l´ inconstitutionnalité
des lois et des autres actes de l´autorité publique et des santions qu´elle
comporte dans le droit nouveau de la Quatrième Republique (Jurisclasseur
périodique, 1947, I, 613) y en M. Pelloux, “dont il suggère d´atteindre par le
recours pour excès de pouvoir les actes administratives qui seraient contraires a
ces dispositions” en “Le Déclin du Droit”, París, Librairie Générale de Droit et de
Jurisprudence, 1949.
Entre nosotros, como explica María Angélica Gelli: “La Corte Suprema trazó,
por primera vez, los límites de la competencia reglamentaria del Poder Ejecutivo
en el caso “Delfino y Cía”. Con mención expresa del anterior art. 86, inc. 2°, el
Tribunal sostuvo que “existe una distinción fundamental entre la delegación de
poder para hacer la ley y la de conferir cierta autoridad al Poder Ejecutivo o a
un cuerpo administrativo a fin de reglar los pormenores y detalles necesarios
para la ejecución de aquélla”. Ahora bien, encontrar la línea divisoria entre una
y otra constituye una cuestión problemática y, al decir de la Corte Suprema, una
cuestión de hecho. (“Delfino y Cía” Fallos: 148:430, año 1927).
En el caso de autos, estimo que esa línea divisoria ha sido traspasada y se
ha configurado una desviación de poder que fundamenta la declaración de
inconstitucionalidad del decreto 146/2001, y así lo voto.
En lo que concierne a la declaración de inconstitucionalidad de oficio, quiero
poner de relieve que la Ley Cimera constituye en arquitrabe de nuestro sistema
jurídico, desde adentro y no desde afuera del mismo, por lo que es obligación
de los jueces — la primera— comparar la ley a aplicar en el caso concreto
con lo imperado por aquélla, para asegurar la supremacía de los derechos
fundamentales de los justiciables de manera eficaz, y hacer ceder la normativa
que no se ajusta a la Constitución, para asegurar la prevalencia de ésta. Lo

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.98


contrario sería hacer prevalecer la mera voluntad de las partes, de cuya expresión
dependería la aplicabilidad de aquella, como si se tratara de una ley extranjera.
Así la inveterada máxima que se expresa en el brocárdico “Iura novit curia” sería
objeto de un corte vertical: aplicable a las leyes comunes y otras normas inferiores
a éstas, pero omitida respecto de la Constitución, salvo que alguna de las partes
pidiera su aplicación. Estas consideraciones me inclinan a pronunciarme por
la declaración de inconstitucionalidad del ya mencionado decreto 146/2001 de
oficio, y así doy mi voto (v. S.D. 39.195; del 18/05/06; autos: “Beraja, Catalina c/
Enser, Luis y otro s/ Despido”).
Propicio, en consecuencia, que se revoque el fallo parcialmente y se reduzca
la condena a la suma de $ 7.140 (es decir, tres veces la mejor remuneración,
normal y habitual de $2.380 percibido por el dependiente; cfme. art. 80 cit.), más
los intereses respectivos.
V) De tener adhesión mi voto, propongo que las costas de ambas instancias
sean soportadas por la parte actora en un 90% y 10% a cargo de la demandada
(art. 68 2da. parte y 71 del C.P.C.C.N. y 279 del C.P.C.C.N.), sin alterar los
porcentajes fijados en la instancia anterior, que deberán aplicarse sobre el monto
total reclamado en la demanda (art. 38 de la ley 18.345 y ley 24.432). Con ello
dejo así también tratados los recursos por honorarios.
Asimismo, propicio fijar los emolumentos de alzada para cada una de las
representaciones y patrocinios letrados de las partes actora y demandada en
el 25% y 35%, respectivamente, de lo fijado en favor de cada uno de ellas por
su actuación en la instancia anterior (art. 14 de la ley 21.839 -modificada por ley
24.432-).
El doctor Ruiz Díaz dijo:
Comparto lo esencial con el voto que antecede, aunque discrepo parcialmente
en lo que atañe a la indemnización establecida en el art. 80 de la L.C.T. en tanto
entre el distracto (decidido el 09.02.06) y la fecha en al cual requirió la entrega de
la documentación prevista en la norma aludida (requerimiento que es de fecha
28.2.06, transcripto en la demanda, fs. 5 vta.) no transcurrieron los 30 días que
impone la norma reglamentaria para remitir la intimación, por lo que — en mi
opinión— no procede admitir el progreso de la indemnización.
En resumen, considero que la multa art. 80 L.C.T. solicitada por la actora no debe
tener favorable acogida, toda vez que del intercambio telegráfico transcripto en
el inicio surge que dicha parte no ha cumplido con lo normado en el art. 3° del
dec. 146/01.
La doctora Ferreirós dijo:
Respecto del punto que me toca expedirme en el caso, es decir, frente a la
disidencia parcial del voto preopinante, respecto del requisito establecido en
el art. 1° del Decreto 146/01, he de señalar que — tal como lo he expuesto
oportunamente— soy de la opinión de que: “cabe tener en cuenta que las
decisiones del Poder Ejecutivo se manifiestan jurídicamente por medio de
“decretos” y en el derecho argentino se conocen cuatro clases principales de
decretos del Poder Ejecutivo que son: 1) de ejecución o reglamentarios; 2)
autónomos; 3) delegados y 4) de necesidad y urgencia.
De acuerdo a esta clasificación que realiza el Dr. Néstor Pedro Sagüés (ver
“Elementos de Derecho Constitucional” Tomo I, pág. 596 y sgtes.) en el caso
en análisis estamos considerando un decreto que es reglamentario de una ley.
Señala el jurista que los decretos de ejecución o reglamentarios son aquellos
que le dan nombre al Poder Ejecutivo, en tanto órgano estatal encargado de
instrumentar y efectivizar las leyes. La Constitución Nacional en su art. 99, inc. 2

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 99


entre las competencias del presidente puntualiza que “expide las instrucciones
y reglamentos que sean necesarios para la ejecución de las leyes de la Nación,
cuidando de no alterar su espíritu con excepciones reglamentarias” (...). Queda
claro entonces que el decreto reglamentario está jerárquicamente subordinado
a la ley.
Desde esta perspectiva un texto legal puede ser modificado por el decreto en
cuanto a sus modalidades de expresión, siempre que no afecte su sustancia.
Según señala la Corte, la sustancia de la ley atañe a su espíritu y a sus fines
(“S.R.L. Narden Argentina” Fallos, 280:18 y “Gravano”, Fallos, 283:98).
Cabe tener en cuenta también – como señala el autor citado- que la colisión
entre el decreto y la ley se da en estas hipótesis: a) invasión de áreas legislativas:
ocurre, para el criterio de la Corte cuando el decreto, so pretexto de perfeccionar
las normas existentes, legisla en asuntos que son competencia del Congreso
y b) desnaturalización de la ley: cuando el decreto excede el ámbito de la
interpretación posible u opinable de la ley, optando por una solución fuera de
ésta.
Y bien, a mi modo de ver con el decreto 146/2001 estamos en la segunda
hipótesis descripta, en tanto, como señalé al iniciar el presente considerando
la requisitoria que el mismo impone al trabajador excede claramente lo que
establece la norma superior que reglamenta (art. 45 antes citado).
Aunque así no lo creo, suponiendo idéntica jerarquía de leyes, de igual manera
en el caso de diferencia notoria como el presente, hubiera tenido que optarse
por la norma más favorable (art. 14 bis CN).
En razón de lo que de he dejado expresado entiendo que cabe declarar la
inconstitucionalidad del decreto 146/2001.
No dejo de advertir que en el presente caso la actora no ha planteado la
inconstitucionalidad de dicha norma en la demanda. Sin embargo, no veo
obstáculo, en las particulares circunstancias señaladas, en tratar el tema de todos
modos, como ya he expresado en un precedente en el que he votado integrando
la Sala VI: “Herrero Carlos Alberto c/ ESSO S.A.”, sent. 58.335 del 6/06/05, del
registro de la Sala VI; ver también de esta Sala VII “Bretaña, Juan Antonio C/
Escuela Superior de Hotelería S.A. S/ Despido”, sent. 38.760 del 13-09-05.
Sostengo esto porque la función del juez que se enuncia con el adagio latino
“iura novit curia”, es suplir el derecho que las partes no le invocan o que le
invocan mal. Es consecuencia de ello, que los hechos del proceso, deben ser
invocados y probados por las partes, pero en lo atinente al derecho aplicable
el juez debe fallar, conforme a lo que él considera y razona como conducente
a la decisión del proceso. Lo dicho ha llevado a Bidart Campos a sostener que
“el juez depende de las partes en lo que tiene que fallar, pero no en cómo debe
fallar”.
Es que el control de constitucionalidad no depende de las partes porque la
supremacía de la Constitución es de orden público.
Por otra parte, no puede argüirse en contra de lo expuesto la posible violación del
derecho de defensa o de una posible indefensión, ya que la doctrina mayoritaria
sostiene ya hace tiempo que frente al “derecho aplicable” no se puede argumentar
el derecho de defensa, ya que hay que prever la cuestión constitucional, dentro
de ese derecho de defensa y no tenerlo en cuenta por las partes, sólo sería una
imprevisión que puede atenderse y que sólo sería imputable a ellas.
En tal sentido, no sólo Bidart Campos ha manifestado su adhesión a esta
doctrina, sino otros autores de talla, como Hitters, Juan Carlos (ED 116-20) y
Ramírez Bosco (DT XLIII-B).

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.100


Este último autor destaca asimismo la vinculación de la declaración de oficio de la
inconstitucionalidad con el principio de irrenunciabilidad del Derecho del Trabajo
y, a su vez, como derivación necesaria o derivada del principio protectorio.
Asimismo es del caso recordar que el más Alto Tribunal de la República ha
señalado hace algunos meses que “es elemental en nuestra organización
constitucional, la atribución que tienen y el deber en que se hallan los tribunales
de justicia, de examinar leyes en los casos concretos que se traen a su decisión,
comparándolas con el texto de la Constitución para averiguar si guardan o no
conformidad con esta y abstenerse de aplicarlas si se encuentran en oposición a
ellas (Fallos 311:2478, entre muchos) (v. de esta Sala, S.D. N° 39.188 del 8.5.06
autos: “Bourel, Martín Federico c/ Vicus S.R.L. S/ Despido”).
Por lo que resulta del precedente acuerdo el tribunal resuelve: 1) Revocar el fallo
recurrido y reducir la condena a la suma de $ 7.140 (siete mil ciento cuarenta
pesos), mas los intereses respectivos. 2) Imponer las costas de ambas instancias
a la parte actora en un 90% y en un 10% a la parte demandada. 3) Mantener
los porcentajes fijados a favor de los Sres. profesionales intervinientes por su
actuación en la instancia anterior, los que deberán aplicarse sobre el monto total
reclamado en la demanda. 4) Fijar los emolumentos de alzada en el 25% de lo
fijado, en favor de los profesionales intervinientes por las partes, por su actuación
en primera instancia. 5) Se hace saber al obligado al pago del honorario de
abogados y procuradores que, en caso de corresponder, deberá adicionar al
monto de la regulación el de la contribución prevista en el inc. 2° del art. 62 de la
ley 1.181 de la Ciudad Autónoma de Buenos Aires. Se hace saber también que el
obligado a afrontar las costas del juicio deberá adicionar en ocasión de abonar la
tasa de justicia, la contribución prevista en el inciso 3 del citado artículo 62, todo
bajo apercibimiento de comunicar la situación a CASSABA (artículo 80 ley 1.181
de la Ciudad Autónoma de Buenos Aires y punto II Acordada C.S.J.N. No. 6/05).
— Néstor M. Rodríguez Brunengo. — Juan A. Ruiz Díaz. — Estela M. Ferreirós.

Fuente: La Ley S.A.

m3 |contenidos | IC

información complementaria 7

Control Empresarial del Correo Electrónico

Abstract: La innovación tecnología supone una transformación tanto en la


estructura social como empresarial y afecta todos los ámbitos de nuestra
sociedad. El Derecho del Trabajo debe hacer frente desde dos perspectivas:

a) Adaptación de conceptos jurídicos preexistentes.


b) Creación ex novo de tales conpectos.

El trabajador al ser contratado se inserta dentro del poder organizativo y


disciplinario del empresario y queda sometido, a las instrucciones y controles
del empresario, lo que pone una limitación de sus derechos fundamentales. El
uso del correo electrónico, se contempla como manifestación del derecho al
secreto de las comunicaciones, y como manifestación del derecho a la intimidad
de trabajador. No existe doctrina uniforme al respecto y son los Tribunales los que
señalan día a día los límites concretos al poder de dirección y control empresarial

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 101


Por Carmen Algar Jimenez.

I. Introducción.

La innovación tecnología supone una transformación tanto en la estructura


social como empresarial y afecta todos los ámbitos de nuestra sociedad, las
relaciones entre Estados, los servicios públicos de interés general, las relaciones
de las Administraciones Públicas, las compañías y empresas. Todo ello y desde
este último ámbito con una gran incidencia en el terreno laboral que debe ser
regulado por el Derecho del Trabajo.

Algunos autores llegan a califica este desarrollo tecnológico como


“tercera revolución industrial” (Férnandez Esteban M.L), y por ello dando lugar a
situaciones jurídico-laborales a las que el Derecho del Trabajo debe hacer frente
desde dos perspectivas:
a)       Adaptación de conceptos jurídicos preexistentes.
b)       Creación ex novo de tales conceptos.

Nuestro ordenamiento jurídico en este momento no ofrece una


regulación específica al respecto y necesaria para responder a la demanda de
la realidad social. Sin embargo esto no supone que estemos ante una ausencia
de respuesta jurídica, sino que la falta de preceptos reguladores de estas nuevas
realidades propicia inevitablemente la judicialización de estos conflictos. La
labor de los tribunales se convierte pues en fundamental para empezar a
dar respuestas y establecer criterios respecto a las múltiples cuestiones que
se suscitan en la utilización de las nuevas tecnologías en el ámbito laboral, a la
espera de una regulación al respecto.

II. Derechos Fundamentales versus Libertad de Empresa

Uno de los nuevos instrumentos de comunicación es el correo electrónico,


como uso social y como uso profesional y desde éste ámbito con una doble
vertiente:
a)       como herramienta de trabajo y,
b)       como medio de comunicación tanto interna como externa dentro
de la empresa.

El art 20 del Estatuto de los Trabajadores establece:

“1. El trabajador estará obligado a realizar el trabajo convenido bajo la


dirección del empresario o persona en quien éste delegue.

2. En el cumplimiento de la obligación de trabajar asumida en el contrato,


el trabajador debe al empresario la diligencia y la colaboración en el trabajo
que marquen las disposiciones legales, los convenios colectivos y las órdenes
o instrucciones adoptadas por aquél en el ejercicio regular de sus facultades
de dirección y, en su defecto, por los usos y costumbres. En cualquier caso, el
trabajador y el empresario se someterán en sus prestaciones recíprocas a las
exigencias de la buena fe.

3. El empresario podrá adoptar las medidas que estime más oportunas


de vigilancia y control para verificar el cumplimiento por el trabajador de sus

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.102


obligaciones y deberes laborales, guardando en su adopción y aplicación la
consideración debida a su dignidad humana y teniendo en cuenta la capacidad
real de los trabajadores disminuidos, en su caso.

4. El empresario podrá verificar el estado de enfermedad o accidente


del trabajador que sea alegado por éste para justificar sus faltas de asistencia
al trabajo, mediante reconocimiento a cargo de personal médico. La negativa
del trabajador a dichos reconocimientos podrá determinar la suspensión de los
derechos económicos que pudieran existir a cargo del empresario por dichas
situaciones.”

Este artículo regula el poder de dirección y organización de la prestación,


lo que supone para el empresario un conjunto de facultades, de poder de
vigilancia, disciplinario y de control.

¿El poder de dirección empresarial reconocido en el art 20 del E.T es


un poder ilimitado? La respuesta y limitación la encontramos en la propia
Constitución y en el reconocimiento de derechos que la Carta Magna reconoce al
trabajador como ciudadano. Derechos que no se pierden por la simple inserción
de éste en el ámbito organizativo empresarial. No se pierde la condición de sujeto
de derechos fundamentales por el hecho de asumir la condición de trabajador.
Sin embargo si se toma en cuenta el marco en el que la relación laboral se
desenvuelve. Planteándose pues la cuestión en donde está el equilibrio entre
el derecho fundamental del trabajador y la libertad organizativa del empresario.

El legislador no ha dado respuesta a ello y es a través de la jurisprudencia,


sobre todo la constitucional, donde encontramos una respuesta a la posible
colisión que puede darse entre el poder de dirección del empresario y el ejercicio
de los derechos fundamentales del trabajador , dentro del marco del contrato de
trabajo.

Aunque no existe una doctrina general al respecto, si existen


pronunciamientos puntuales, de los que se pueden extraer algunas conclusiones
genéricas.

Los derechos fundamentales están regulados en la Sección Primera,


Capítulo II del Título Primero de la Constitución y por tanto disfrutan de la
protección que el art 53 de la CE otorga a dichos derechos. El poder de dirección
empresarial contenido en la libertad de empresa, reconocido a su vez en el art
38 CE, ubicado en la Sección Segunda del Capítulo Segundo del Título Primero
goza de una protección constitucional menor que el reconocido en el art 53 de
la Carta Magna.

¿Esta diferente ubicación de ambos derechos, con una protección


preferente de los derechos fundamentales, frente a la libertad de empresa,
dentro de la economía de mercado supone que ante la posible colisión de
ambos derechos, los primeros son un límite a los segundo; o por el contrario es
el derecho a la libertad de empresa el que limita los derechos fundamentales del
trabajador dentro del marco de la relación laboral?

El Tribunal Constitucional a este respecto, en sentencia de 28 de febrero


y 9 de mayo de 1994, establece por un lado el reconocimiento de una especial
garantía jurisdiccional a los derechos comprendidos en la Sección Primera,
Capítulo Segundo del Título I de la Constitución pero a su vez mantiene que
su eficacia directa entre particulares no proporciona ipso facto a los derechos
fundamentales un puesto preferente en caso de colisión con otros derechos

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 103


constitucionales y que estos pueden ceder en determinadas circunstancias ante
intereses constitucionalmente relevantes.

No se aplica pues el principio de jerarquía que haga prevalecer a los


derechos constitucionales fundamentales sobre cualquier otro derecho en
base al lugar privilegiado que éstos ocupan en el texto constitucional, sino que
el sistema de garantía debe articularse en base a un principio de aparente
proporcionalidad y equilibrio entre todos los derechos que la Constitución
reconoce al individuo y las obligaciones dimanantes del contrato de trabajo. El
contrato de trabajo genera un complejo de derechos y obligaciones recíprocas
que condiciona, junto a otros, también el ejercicio del derecho fundamental que
se trata, de modo que manifestaciones del mismo que en otro contexto pudieran
ser legítimas, no tienen por qué serlo necesariamente en el ámbito de dicha
relación, en este sentido se pronuncia la sentencia del Tribunal Constitucional
de 15 de diciembre 1983. El trabajador al ser contratado se inserta dentro
del poder organizativo y disciplinario del empresario y queda sometido, a las
instrucciones, órdenes , controles y sanciones de su superior jerárquico, lo que
supone una limitación de sus derechos fundamentales como ciudadano.

Los derechos fundamentales del trabajador, en la empresa, sólo podrán


limitarse, establece el Tribunal Constitucional en sentencia de 11 de abril de
1994, en la medida estrictamente imprescindible para el correcto y ordenado
desenvolvimiento de la actividad productiva. El ejercicio de las facultades
organizativas y disciplinarias del empleador no puede servir en ningún caso
a la producción de resultados inconstitucionales, lesivos de los derechos
fundamentales del trabajador, ni a la sanción del ejercicio legítimo de tales
derechos por parte de aquél.

La sentencia del TC 186/2000 reitera que la constitucionalidad de cualquier
medida restrictiva de derechos fundamentales viene determinada por la estricta
observancia del principio de proporcionalidad como sintetizan a su vez las
sentencias del TC 66/1995, 55/1996, 207/1996 y 37/1998, para comprobar si una
medida restrictiva de un derecho fundamental supera el juicio de proporcionalidad,
es necesario constatar si cumple los tres requisitos o condiciones siguientes:

§         Juicio de idoneidad, si tal medida es susceptible de conseguir el


objetivo propuesto, es decir si con ella puede alcanzarse la finalidad
pretendida. Se trata de que toda restricción de derechos permita
satisfacer el interés empresarial alegado para su adopción.

§         Juicio de necesidad, si, además, es necesaria, en el sentido de


que no exista otra medida más moderada para la consecución de tal
propósito con igual eficacia. No basta con que la limitación de derechos
sea idónea, sino que además ha de ser la menos agresiva de todas las
posibles.

§         Juicio de proporcionalidad en sentido estricto, si la misma es


ponderada o equilibrada, por derivarse de ella más beneficios o ventajas
para el interés general que perjuicios sobre otros bienes o valores en
conflicto. La proporcionalidad en sentido estricto exige en cualquier
caso el respecto del contenido esencial del derecho fundamental.

En base a lo anteriormente expuesto podríamos concluir que la doctrina


constitucional no concede el mismo valor a los dos intereses, los derechos
fundamentales de los trabajadores y el poder de dirección del empresario, basado

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.104


en otro derecho, el de libertad de empresa, al exigir que cualquier limitación a
los derechos fundamentales supere el juicio de proporcionalidad. Si falla alguno
de estos requisitos acumulativos, el derecho fundamental de que se trate queda
protegido frente al poder de dirección empresarial.

Esta respuesta del Tribunal Constitucional, que de alguna manera salva la


ausencia de disposiciones legales adecuadas y suficientes, supone, no obstante,
que nos encontramos ante conceptos con una notable dosis de imprecisión, que
sólo pueden analizarse en cada caso concreto y, como decíamos anteriormente
a la judicialización de los conflictos.

III. Control de las Comunicaciones como Derecho Fundamental

El art. 18.3 de la CE garantiza el secreto de las comunicaciones como un


derecho fundamental.

El secreto de las comunicaciones que puesto en conexión con las


nuevas tecnologías supone tal como establece el Tribunal Constitucional en
su sentencia de 3 de abril de 2002 “ los avances tecnológicos que en los
últimos tiempos se han producido en el ámbito de las telecomunicaciones,
especialmente en conexión con el uso de la informática, hacen necesario un
nuevo entendimiento del concepto de comunicación y del objeto de protección
del derecho fundamental que extienda la protección a esos nuevos ámbitos como
se deriva necesariamente del tenor literal del art. 18.3 CE”.
 
El Tribunal Constitucional establece que el art. 18.3 CE contiene una
especial protección de las comunicaciones, cualquiera que sea el sistema
empleado para realizarlas, que se declara indemne frente a cualquiera que sea
el sistema empleado para realizarlas.
Sin embargo encontramos a una parte de la doctrina (Del Valarnal.
J.J) que afirma que el derecho fundamental que protege la utilización del
correo electrónico en la empresa se encuentra no dentro del derecho al
secreto de las comunicaciones sino dentro del derecho a la intimidad ; en
este sentido se pronuncia el Tribunal Superior de Justicia de Andalucía en
sentencia de 25 febrero de 2000. Sería pues el art 18.1 de la CE, y el derecho
a la intimidad el que garantizaría esa exclusión del conocimiento ajeno. El
límite a los poderes empresariales en el ámbito específicamente laboral se
encuentra regulado en el art 4.2 e), 18 y 20.3 del E.T; donde el derecho a
la intimidad del trabajador se establece como límite al poder de dirección
empresarial. La empresa no puede por tanto acceder de manera absoluta al
conocimiento de todo lo que realiza el trabajador, puesto que en el centro de
trabajo los derechos fundamentales del trabajador no se pierden, existen, hay
que respetarlos. Entre estos derechos se encuentra el derecho a la intimidad
de los empleados.
El correo electrónico como apuntábamos anteriormente es una
herramienta de trabajo y un medio de comunicación. Como herramienta de
trabajo, puesta a disposición del trabajador por el empresario, dentro del marco
organizativo y de producción, permite el control empresarial del uso del mismo.

El control de las comunicaciones efectuadas por el empresario en la


empresa se ha concebido tradicionalmente, como una medida defensiva de éste
para salvaguardar el patrimonio empresarial si bien, actualmente, los sistemas
de comunicación dejan de concebirse como mera herramienta de trabajo y se
presentan además, como medio de comunicación en general o bien para ofrecer
servicios y productos al mercado en determinados sectores de la actividad en
los que el control empresarial de las comunicaciones se manifiesta, en principio,

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 105


como el único medio posible de evaluar el cumplimiento de la prestación

El empresario podrá adoptar las medidas que estime mas oportunas de


vigilancia y control, guardando en su adopción y aplicación la consideración
debida a la dignidad del trabajador (art 20ET); limitación de carácter genérico
del empresario en el ejercicio de su poder de control. Pero, ¿ con que limitación
puede realizarse este control, si se entiende que el uso del correo electrónico es
una manifestación del derecho constitucional al secreto de la comunicaciones, y
no como una manifestación del derecho a la intimidad de éste?.

Si se considera que es una manifestación del derecho fundamental al


secreto de las comunicaciones regulado por el art 18.3 CE el empresario sería
considerado como un tercero ajeno a la comunicación misma y por ello, no
podría interceptar el contenido del correo electrónico del trabajador en el lugar
de trabajo.

¿Hasta donde puede llegar el poder de control empresarial cuando


colisiona con el art 18.3 CE a través de alguna de sus manifestaciones en la
empresa?

En un principio se podría concluir que en base a su poder de dirección


la empresa podría establecer los mecanismos que considerara oportunos para
controlar cuestiones adyacentes a la comunicación contenida en los mensajes y
ficheros adjuntos de correo electrónico, tales como el coste de la herramienta de
trabajo, el tiempo empleado por los trabajadores en la utilización de los mismos,
el acceso a la red, controlar igualmente los datos externos del correo electrónico
como la dirección del correo del destinatario, el nombre de la persona que recibe
o envía el mensaje, el asunto que lo motiva, el número de mensajes enviados
o recibidos, o la dirección de correo del trabajador en la empresa, así como el
tiempo de permanencia en la red, pero no el contenido del correo electrónico.

Si se considera una manifestación del derecho a la intimidad reconocido


en el art 18.1 el empresario si podrá investigar en ordenadores propios el correo
de los empleados y revelar el contenido de sus comunicaciones, y solo infringiría
el art 18.1 de la CE si la comunicación conocida carece de toda relevancia a
los fines disciplinarios u organizativos y se refiere a datos personales, físicos,
económicos ,familiares o profesionales propios de la intimidad del trabajador.
Pues cuando nos referimos a medios o sistemas de comunicación de la empresa,
el proceso a través de ellos no permite considerar al empresario como ajeno, de
manera que no existe la penetración desde el exterior que la norma constitucional
impide en su art 18.3.

En estos momentos encontramos dos tesis argumental respecto al uso


del correo electrónico, una como una manifestación del derecho constitucional
al secreto de la comunicaciones, y otra como una manifestación del derecho
a la intimidad del trabajador, lo que nos obliga a analizar los principales
pronunciamientos de los distintos Tribunales de Justicia, que son los que en el
día a día señalan los límites concretos al poder de dirección y control empresarial.

IV. Pronunciamientos de los Tribunales ante las medidas de Control


Empresarial

Tal como establece la sentencia del TSJ Cataluña de 21 de septiembre


es difícil afirmar que exista sobre el tema anteriormente expuesto una doctrina
uniforme en las sentencias de las diversas Salas de lo Social de los Tribunales
Superiores de Justicia incluso de la propia Sala del Tribunal Supremo en recurso

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.106


de casación para unificación de doctrina, por lo casuístico de los supuestos.
Se recogen tres sentencias que reflejan el criterio mayoritario de los distintos
Tribunales de Justicia.

§         Sentencia Tribunal Superior de Justicia Cataluña, de 21


septiembre de 2004.

“Del examen de tal doctrina se deduce que en estos supuestos colisionan


el derecho de la empresa al control de la actividad del trabajador (arts. 18 y
20 del Estatuto de los Trabajadores) con el derecho a la intimidad personal del
mismo, garantizado, por el artículo 18-1 de la Constitución española, implicando
un ámbito propio y reservado frente a la acción y el conocimiento de los demás,
que no se pierde cuando se realicen trabajos por cuenta ajena (s.TS de 5-12-
2003) como lo ponen de manifiesto los art. 4-2 e) y 20-3 del citado Estatuto de los
Trabajadores. Reflejo de este último derecho es el secreto de las comunicaciones
y en concreto cuando éstas se produzcan por medio de correo electrónico a
través de ordenador puesto a disposición del trabajador como herramienta o
instrumento de trabajo por el empresario y su utilización se lleva a cabo con fines
estrictamente personales o extraproductivos en horario de trabajo. Que sobre
esa parcela de actividad puede ejercer control el empresario es indudable, más
lo que se ha de establecer para la validez probatoria del resultado obtenido es
en qué forma y con qué garantías para la dignidad e intimidad del trabajador se
ha de producir.
Es difícil afirmar que existe al respecto una doctrina uniforme en las
sentencias de las diversas Salas de lo Social de los Tribunales Superiores de
Justicia o de la propia Sala del Tribunal Supremo en recurso de casación para
unificación de doctrina, por lo casuístico de los supuestos, por la parcela personal
o estrictamente productiva sobre el que el control empresarial se lleva a cabo,
límites de tolerancia, advertencia previa, contenido del mensaje, previsión en
convenio colectivo o contrato individual de trabajo, configuración del programa
informático, etc.
Lo que sí parece existir es una cierta corriente que prevalece sobre cualquier
casuística disidencia es en que «para que el empresario pueda verificar si el
trabajador cumplió con sus obligaciones o las infringió, hasta el punto de justificar
una decisión extintiva, debe efectuarse teniendo en consideración el respeto a la
dignidad del trabajador, es decir, la actividad de control empresarial se encuentra
limitada por el derecho a la dignidad del trabajador (art. 1 de la CE, el derecho
al honor, a la intimidad personal y familiar y a la propia imagen (art. 18 CE).
De forma específica, de Estatuto de los trabajadores contempla el respeto a la
intimidad y la consideración debida en los art. 4-2 e), 18 y 20-3 del Estatuto de
los Trabajadores» (s.s de 20 y 23-2-2004 del Tribunal Superior de Cantabria).
Tal doctrina equipara el control de los ordenadores al de las taquillas, en cuanto
aquél se configura como instrumento de trabajo propiedad de la empresa y que
no puede ser utilizado para otros fines distintos o ajenos a la actividad laboral (S.
Sala de Social del Tribunal Superior de Justicia, sede en Málaga de 25-2-2000 y
en las antes citadas que recogen a su vez la del Tribunal Supremo de 8-10-1988.
En definitiva se impone la necesidad que el control del correo electrónico de que
ha hecho uso el trabajador, se realice con las mínimas garantías establecidas en
el art. 18 del Estatuto de los Trabajadores, en presencia del afectado por aquél,
un representante de los trabajadores o en ausencia de éste del centro de trabajo,
de otro trabajador de la empresa. Esta misma exigencia se recoge en la sentencia
de esta Sala de 11.6.2003 en que se destacan las condiciones necesarias para
que el resultado de tal control pueda aportarse como medio de prueba y surtir
plenos efectos de validez: a) necesidad de un propósito específico, explícito
y legítimo (elemento de causalidad), b) que la supervisión sea una respuesta

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 107


proporcionada sobre un patrón de riesgo elemento de indispensabilidad, c)
mínima referencia sobre los derechos a la intimidad del trabajador o trabajadores
afectados/elemento de proporcionalidad) y d) presunción del trabajador y de su
representante en el momento de apertura del correo (elemento garantista). Como
quiera que en el caso de autos tales exigencias no se cumplieron, fue correcta la
solución adoptada por el Juzgador de instancia rechazando su eficacia probatoria.
 Sentencia Tribunal Superior de Justicia Cataluña, de 12 de diciembre
de 2003

“La cuestión previa que el escrito de recurso esgrime con denuncia de la


utilización como prueba por parte de la demandada del conjunto de e-mail obrantes
en las actuaciones y que por corresponder a correos electrónicos del demandante
suponen vulneración del derecho fundamental al secreto de las comunicaciones
que proclama el número 3 del artículo 18 del texto Constitucional ...siguiendo la
pauta marcada por el TC en las suyas 114/1984 de 29 de noviembre y 6/1995 de
10 de enero, y reitera en las de 20 de septiembre de 2000 y 29 de enero de 2001,
el derecho a la intimidad como el del secreto de las comunicaciones, no son
ilimitados y si bien no pueden quedar excluidos ni cercenados por la relación de
dependencia que el contrato de trabajo lleva aparejada, sí que íntrinsecamente
quedan limitados en su contenido por la propia voluntad del titular en cuanto que
es él quien con su decisión personal acota o decide la esfera de su privacidad
personal sustrayéndola al conocimiento ajeno y es claro que partiendo de que en
el supuesto concreto enjuiciado, si tal denunciada violación se contrae y refiere a
correo remitido por el demandante en su calidad y condición de trabajador, dentro
del ámbito, en relación con, referido a y por medio de los ordenadores, propiedad
y en tiempo de jornada para y debida a la empresa para la que prestaba servicios
como tal, es claro que ni tal correo puede legalmente calificarse como personal
y privado ni utilizado como desvinculado de privacidad por el propio interesado,
atribuirle las condiciones y protecciones que al mismo otorga el ordenamiento y
al que se contraen y refieren las distintas sentencias del propio TC que el escrito
de recurso aduce y que, por concernientes a supuestos de hecho diversos de los
que motivan esta resolución, devienen inaplicables al casus”.

 Sentencia del Tribunal Superior de Justicia de Galicia de 21 de


noviembre de 2003.

“Tampoco cabe tildar de ilícita o atentatoria contra el derecho fundamental al


secreto de las comunicaciones que aquélla pretende atribuir a la prueba relativa
a la investigación llevada a cabo por la empresa en el PC que la actora tenía
asignado y utilizaba en su lugar de trabajo, pues conviene tener presente que,
aun cuando el artículo 18.3 de la Constitución Española (NSL000003) garantiza
el secreto de las comunicaciones y, en especial de las postales, telegráfica y
telefónica, salvo resolución judicial, en tanto que en el artículo 11.1 de la LOPJ
se refiere que las pruebas obtenidas con vulneración de derechos o libertades
fundamentales no surtirán efecto, no cabe olvidar que, a tenor de las actuaciones
llevadas a cabo en el presente supuesto fáctico, pero en el presente caso no se ha
vulnerado el derecho fundamental al secreto de las comunicaciones no es dado
aseverar que se constate una situación conculcadora de los referidos preceptos,
al evidenciarse la concurrencia de una indebida e ilícita utilización, con finalidad
ajena y diferente a la estrictamente laboral, de elementos o instrumentos de trabajo
facilitados por la empresa a la trabajadora, siendo innegables las facultades de la
patronal en relación con los controles que puede llevar a cabo acerca del uso o
forma de uso que la empleada haga de tales medios e incluso sobre el desarrollo
de la actividad y rendimiento de ésta en su jornada laboral, sin duda, afectada y
reducida por las «ocupaciones» extralaborales a que se refiere el relato histórico,

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.108


singularmente, el hecho probado noveno, y la fundamentación jurídica, de la
resolución impugnada, en especial el fundamento segundo in fine. “

 Sentencia del T.S.J de Andalucía de 9 de mayo de 2003:


 
“el secreto de las comunicaciones informáticas y telemáticas puede originar
conflictos en el trabajo, así con los registros de correo electrónico. De una parte,
puede entenderse que el artículo 18.3 de la C. E, que garantiza «el secreto de las
comunicaciones y, en especial, de las postales, telegráficas y telefónicas, salvo
resolución judicial», se refiere a todas las comunicaciones, porque las referencias
específicas son meramente ejemplificativas, abarcando, así, a las realizadas por
el citado medio del correo electrónico.
 
Sin embargo, «por razones elementales de orden lógico y de buena fe, un
trabajador no puede introducir datos ajenos a la empresa en un ordenador de
la misma sin expresa autorización de ésta, pues todos los instrumentos están
puestos a su exclusivo servicio», según razonó la Sentencia del Tribunal Superior
de Justicia (STSJ) de Murcia de 15 de junio de 1999, criterio que hace suyo
la STSJ de Cataluña de 14 de noviembre de 2000 para considerar procedente
el despido del trabajador que hace uso indebido del correo electrónico de la
empresa, con envío a sus compañeros de trabajo y amistades de mensajes
humorísticos, sexistas y obscenos. En esta última, se describe el conocimiento
por la empresa del contenido de tales mensajes, lo que presupone lógicamente
que ha procedido a indagar sobre los mismos, sin que el recurrente cuestione
la licitud del registro. Ante argumentación tan contundente, aquella conclusión
debe matizarse.
 
Unos y otros razonamientos son armonizables, atendiendo al contenido del
derecho constitucional y a sus límites en ponderación con las obligaciones
laborales. Por un lado, el artículo 18.3 de la C.E garantiza la impenetrabilidad desde
fuera en el proceso de comunicación por terceros, públicos o privados, ajenos
(STC 114/1994). Cuando nos referimos a medios o sistemas de comunicación
de la empresa, el proceso a través de ellos no permite considerar al empresario
como ajeno, de manera que no existe la penetración desde el exterior que la
norma constitucional impide. Cuestión distinta sería que el empresario autorizase
al empleado su uso por motivos distintos del trabajo o que fuese un medio propio
o dentro de la esfera de disposición del trabajador, pues en este caso sería
aquél un mero tercero no facultado para la intromisión, sino sólo legitimado, si
es perjudicado por conductas graves del trabajador, de relevancia penal, para
su denuncia, siendo el proceso penal el marco adecuado para que se dicte
resolución judicial motivada que permita la investigación del correo electrónico.
 
Por último, no obstante lo anterior, si el empresario investiga en ordenadores
propios el correo de los empleados y revela el contenido de sus comunicaciones,
puede merecer el reproche de quien revela cualquier comunicación propia si el
contenido afecta a la intimidad del trabajador, esto es, no vulneraría el artículo
18.3 de la C.E , pero sí puede atacar al derecho reconocido en el artículo 18.1
de la Constitución Española. Ello sucedería cuando la comunicación conocida
carece de toda relevancia a los fines disciplinarios u organizativos y se refiere a
datos personales, físicos, económicos, familiares o profesionales propios de la
intimidad del trabajador.”
 

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 109


V. Conclusiones
 Los derechos fundamentales de los trabajadores disfrutan de una
especial garantía frente al derecho de poder de dirección empresarial
contenido en la libertad de empresa.

 Esta especial garantía no proporciona ipso facto a los derechos


fundamentales un puesto preferente en caso de colisión con otros
derechos constitucionales.

 El trabajador al ser contratado se inserta dentro del poder organizativo


y disciplinario del empresario y queda sometido, a las instrucciones y
controles del empresario, lo que si pone una limitación de sus derechos
fundamentales.

 Los derechos fundamentales del trabajador en la empresa , sólo podrán


limitarse, en la medida estrictamente imprescindible para el correcto y
ordenado desenvolvimiento de la actividad productiva.

 Encontramos dos tesis arguméntales respecto al uso del correo


electrónico, como manifestación del derecho al secreto de las
comunicaciones y como manifestación del derecho a la intimidad de
trabajador.

 Como manifestación del derecho al secreto de las comunicaciones


el empresario es considerado tercero ajeno a la comunicación y
podrá controlar los datos externos del correo electrónico, pero no el
contenido del mismo.

 Como manifestación del derecho a la intimidad del trabajador, el


empresario no es un tercero ajeno y podrá investigar el correo de los
empleados, salvo que la comunicación carezca de toda relevancia a
los fines disciplinarios u organizativos y se refiera a datos personales,
propios de la intimidad del trabajador.

 No existe doctrina uniforme al respecto y son los Tribunales los que


señalan día a día los límites concretos al poder de dirección y control
empresarial.

 La falta de ordenamiento jurídico respecto al control del correo


electrónico en le ámbito laboral se puede suplir con las normas del E.T
en relación con los de la Constitución y los pronunciamientos judiciales,
pero, ¿ como se articula en otro tipo de relaciones no amparadas
por la legislación laboral. En las relaciones entre profesionales bajo
regulación civil o mercantil?. ¿Cómo se articula el control del correo
electrónico por ejemplo a los abogados que integran un despacho? ¿Si
no es de aplicación el poder de dirección del empresario del art 20 del
E.T. al amparo de que regulación se puede realizar?

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.110


 La respuesta la podemos encontrar igualmente en la aplicación del art
53 y 38 de la Constitución, siendo de aplicación las tesis anteriormente
expuestas, por lo que en estos supuestos también es factible controlar
el correo electrónico con los mismos límites expresados, según se
entienda que el correo electrónico es una manifestación del derecho
de la intimidad o del derecho al secreto de las comunicaciones.

BIBLIOGRAFÍA.

Bonilla Blasco, J.- Los efectos jurídicos del correo electrónico en el ámbito
laboral.
Cardona Rubert, Mª B.- Informática y contrato de trabajo.
Del Rey, S.- Relaciones laborales y nuevas tecnologías.
Del Valanarnal, J.J.- El correo electrónico en el trabajo y el derecho a la intimidad
del trabajador.
Marín Alonso, I. El poder de control empresarial sobre el uso del correo
electrónico en la empresa.
Sempere Navarro, A.V.- Nuevas tecnologías y relaciones laborales

m3 |contenidos | IC

información complementaria 8-9

Para visualizar estas informaciones complementarias dirijasé al sector respectivo


en la Plataforma.

m3 |contenidos | IC

información complementaria 10

Contratación Electrónica

Noviembre del 2001


Abstract: En Venezuela la Ley Sobre Mensajes de datos y Firmas Electrónicas
(identificada en este trabajo por sus siglas LSMDFE) ha pasado a constituir una
herramienta indispensable para que nuestro país se mantenga a la vanguardia
regional en materia de derecho adaptado y aplicado a las nuevas tecnologías.

Por José Ovidio Salgueiro Araujo

Introducción

La llegada de la tecnología a la vida del ciudadano ordinario, además de los


obvios avances en materia de progreso y de nuevas expectativas ha traído una
serie de cambios que saltan a la vista. Estos avances, producto de las mentes
privilegiadas de genios y hechos fortuitos que por su significación trascienden
en la historia se han producido sin la presencia de leyes especiales que las
autoricen o regulen. Para ello damos tres breves ejemplos:
El 17 de diciembre de 1903 en la colina de Kitty Hawk en Carolina del Norte Orville
y Wilbir Wright realizaron el primer vuelo motorizado de la historia y no existía

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 111


una ley de aviación. En 1927 Charles Lindbergh y su avión, el Espíritu de San
Luis realizaron el primer vuelo sobre el océano Atlántico y tampoco había leyes
que trataran los vuelos internacionales. En 1969 el hombre logra una de sus mas
grandes hazañas hasta la fecha, aterrizar en la Luna y tampoco había leyes que
regularan los viajes al espacio. Para el año 2020 probablemente llegue la primera
misión tripulada a Marte y con toda seguridad, para esa fecha tampoco habrá
una Ley que regule los viajes interplanetarios.
En 1844 Samuel Morse inició sus investigaciones relacionadas con la telegrafía.
Para 1876 Alexander Graham Bell experimentaba con el teléfono. En 1899
Guillermo Marconi realizó la primera transmisión telegráfica inalámbrica a
través del Canal de la Mancha y en 1901 a través del océano Atlántico lo que le
valió el Premio Nóbel en 1909. Todos los avances que las telecomunicaciones
presentan hoy en día se deben a estos tres hombres quienes cuando iniciaron
sus investigaciones y experimentos no contaban con leyes que regularan la
actividad.
La historia de la explotación petrolera en Venezuela se inicia en 1879 cuando
Manuel Antonio Pulido y su empresa, la Petrolia del Táchira explotaban el
pozo “Alquitrana” que producida unos cuantos litros al día. En 1913 explota
el pozo “Zumaque I” dando inicio a la mas profunda transformación del país
convirtiéndose en una nación petrolera. Sin embargo, no fue hasta 1943 cuando
el país ya vivía del petróleo que dicta la primera ley de Hidrocarburos.
La tecnología y los avances no pueden esperar por la ley. La revolución
informática ha traído una serie de consecuencias donde el mundo jurídico no ha
quedado intacto.

Lo mismo sucedió con Internet que nació a finales de los años sesenta como un
proyecto militar norteamericano para garantizar las comunicaciones en caso de
un desastre nuclear. En los años 80 llegó a las Universidades a fin de ampliar el
acceso a la información por parte de investigadores y alumnos. A principios de los
90 fue descubierta por las grandes empresas que vieron un potencial tanto para
ahorro en gastos operativos así como herramienta eficiente en comunicaciones y
como nuevas formas de generar negocios. En 1995 el lanzamiento al mercado del
primer programa browser permitió la navegación en forma sencilla, sin necesidad
de conocer códigos o lenguajes especiales. Internet inició su desarrollo en forma
exponencial y hasta el momento indetenible, logrando en apenas cinco años lo
que a otros medios como la radio, televisión y cine tomó lapsos significativamente
superiores llevando a las manos del ciudadano común los medios electrónicos.
Si bien es cierto que Internet no es la única herramienta electrónica que permite
contratar y contraer derechos y obligaciones es la principal, la mas difundida y
la mas sencilla de utilizar.
El uso regular de la informática para la comunicación de entre las personas, como
medio válido para manifestar su voluntad y por tanto, para contraer derechos y
obligaciones ha traído como consecuencia la necesidad de que el derecho se
adapte a estas nuevas realidades dándole un reconocimiento y un valor a los
hechos provenientes de la Red.
En Venezuela la Ley Sobre Mensajes de datos y Firmas Electrónicas (identificada
en este trabajo por sus siglas LSMDFE) ha pasado a constituir una herramienta
indispensable para que nuestro país se mantenga a la vanguardia regional en
materia de derecho adaptado y aplicado a las nuevas tecnologías
Una de las consecuencias fundamentales de la informática es la contratación
electrónica y este es el punto que se pretende desarrollar en este trabajo bajo la
luz de la nueva LSMDFE.
Los principios y procedimientos adoptados por esta Ley son muy similares a
los de otras legislaciones nacidas en momentos similares y por tanto, estos
principios aún cuando en la forma aquí expresada refieren específicamente a la
LSMDFE de Venezuela la aplicación de los mismos es similar a la de otros países

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.112


de tradición romanista del derecho.
Este trabajo se inicia con la determinación de la legislación aplicable a la
contratación electrónica, posteriormente se analiza la Ley de Mensajes de Datos
y Firmas Electrónicas de Venezuela como ley especial al tomar en cuenta que
la mayoría de las leyes especiales de América Latina que tocan estas áreas
presentan estructuras similares.
Seguidamente se analiza el contrato electrónico y sus elementos, los mensajes
de datos como forma por excelencia para manifestar el consentimiento por
vía electrónica y del mensaje de datos como documento; posteriormente se
analizará la firma electrónica como mecanismo para certificar la identidad de los
contratantes lo cual es indispensable en muchos de los contratos celebrados.
Por último se hará un análisis del valor probatorio de los mensajes de datos
según la presencia de los diferentes elementos que conforman el mecanismo
supletorio establecido en la LSMDFE, valor que va desde plena prueba hasta
simples indicios.

El resultado de trabajo arroja como conclusión que la contratación electrónica es


válida con o sin ley que expresamente la admita.

CAPÍTULO I
LEGISLACIÓN APLICABLE A LA CONTRATACIÓN ELECTRÓNICA

Uno de los más grandes dolores de cabeza para quienes deben determinar
la legislación aplicable a los hechos de naturaleza electrónica y por tanto a
la contratación es la legislación aplicable. Las dudas van desde la validez o
no de la contratación electrónica hasta la legislación aplicable a los hechos y
obligaciones nacidas o derivadas de hechos consumados por vía electrónica y
documentos informáticos1[1].
[1] El término informática Si bien es cierto Internet y otros medios electrónicos ofrecen una libertad nunca
se usa generalmente antes imaginada, esto no significa en forma alguna que las actividades realizadas
como sinónimo de por estas vías no tengan reglas o que lo que por estos medios sucede no está
electrónico sometido a ningún tipo de control. El sentido es más bien contrario, es decir,
que no debe diferenciarse las actividades desarrolladas por vías electrónicas de
aquellas realizadas en el mundo de los átomos.
Si bien es cierto que los medios electrónicos aún no han alcanzado a todos
los estratos de la población, estos, especialmente Internet, han penetrado
masivamente en los medios de producción implicando beneficios para toda la
sociedad en general. Este es un fenómeno multifuncional porque puede emplearse
para cualquier tipo de actividad imaginable o por imaginar. Por citar algunos, hoy
en día las herramientas informáticas y principalmente Internet, se utilizan como
medio de expresión, comunicación e intercambio cultural, como herramienta de
transmisión de información para el trabajo, la investigación y la educación y
con fines comerciales o mercantiles para la realización de transacciones no solo
entre empresarios o profesionales y entre estos y sus clientes, sino también
entre distintos particulares que ocasionalmente comercializan a distancia
determinados productos o servicios sin convertirse por ello en profesionales.
Este fenómeno social que está cambiando al mundo y ha traído una serie de
cambios que han hecho que las estructuras existentes en muchos de los campos
del mundo tridimensional se vean afectadas.
La única diferencia de los hechos perfeccionados por medios electrónicos de
aquellos perfeccionados en el mundo tridimensional es precisamente el medio
electrónico en el cual se llevan a cabo. La compra de un libro en una librería
de un centro comercial y la compra de un libro en línea no son más que eso, la

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 113


compra de un libro, de un bien mueble, siendo la única diferencia el medio en el
cual se llevan a cabo, pero en su esencia son iguales. De la misma forma, lo que
es ilegal en el mundo de los átomos es ilegal en la Red. Es por eso que no cabe
duda al afirmar que la Ley aplicable en la Red es la Ley ordinaria que aplique a
cada situación o hecho en particular.

Así tenemos que para constituir una empresa dedicada a ofrecer bienes y
servicios a través de Internet o empresas de altísima tecnología debemos aplicar
la normativa del Código de Comercio; las leyes de Impuesto sobre la Renta,
al Valor Agregado y la Ley de Protección al Consumidor son aplicables a la
venta de bienes y servicios por medios electrónicos; contra cualquier hecho o
publicación que constituya difamación o injuria corresponde la aplicación del
Código Penal; para el caso de eventos en que intervengan ciudadanos de otros
países, se realicen transacciones internacionales, cuando se cometa un delito
informático en el cual se vea involucrada más de una jurisdicción, se aplicarán
los tratados internacionales a que haya lugar en cada caso particular; para todo
lo relativo a la contratación, se aplicará la normativa del Código Civil, el Código
de Comercio y cualquier otra ley vigente según la materia de la cual se trate la
convención, y así sucesivamente y así sucesivamente.
En el caso específico de Internet uno de los puntos mas controvertidos entre sus
actores es el de la autorregulación. Un nutrido grupo de ellos, en el cuál por lo
general no se encuentran abogados, estima que Internet es por esencia libre y
que por ello debe autorregularse. Esta autorregulación consiste en la libertad
que tendrían los participantes para determinar las reglas a seguir en cuanto a su
comportamiento en Internet.
Pero, si como señalamos anteriormente, no existe diferencia en cuanto a las
actividades llevadas a cabo en la Red con aquellas similares llevadas a cabo
en el mundo tridimensional, entonces, ¿qué razón habría para excluir de la ley
ordinaria a ciertas actividades, cuya única particularidad es que son llevadas a
cabo en forma electrónica? Para que pueda existir la tan ansiada autorregulación
debe existir primero una Ley que la reconozca.
Si bien estimamos que la autorregulación por mandato de la Ley debe ser bastante
difícil de obtener, si llegase a conseguirse, no tendría eficacia mas allá de las
fronteras geográficas del país en el cual se dictase tal Ley y si esto se hiciese
mediante tratado internacional, pues solo tendría vigencia en el territorio de
aquellos países que ratificasen dicho tratado. Aún así, no luce factible, al menos
en un futuro inmediato que los gobiernos del mundo opten voluntariamente por
ceder su facultad de legislar sobre una materia tan importante como esta en la
cual se mueve tanto dinero y tantos intereses.
Aún en el caso que exista una Ley que regule ciertas materias referentes a las
actividades realizadas por medios informáticos, es decir, una Ley de carácter
especial, el principio general del derecho de que la Ley Especial en de aplicación
preferente sobre la ley General será aplicable.
En América Latina se ha empezado a legislar en esta materia y tenemos leyes
especiales y proyectos de leyes en varios países tanto en materia de mensajes
de datos, firmas electrónica, delitos informáticos, privacidad de datos, etc. En
Venezuela tenemos la Ley Sobre mensajes de datos y Firmas Electrónicas que
será tocada con mayor profundidad mas adelante.2[2]
A falta de una Ley especial que regule en forma específica alguno de los aspectos
relacionados con la validez y eficacia del uso de medios electrónicos siempre
[2] cf. Capítulo II será aplicable la ley ordinaria para cada actividad en particular.

Si bien es cierto que Leyes que admiten y dan validez y eficacia jurídica a
los medios electrónicos son beneficiosas para el desarrollo de cualquier

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.114


país latinoamericano, no es menos cierto que aún sin ella siempre es posible
apoyarse en la legislación existente para lograr darle valor. Prueba de ello es
que el Comercio Electrónico se desarrolló en todos estos países, ha movido
cantidades importantes de dinero y jamás se ha atacado su validez. Las Leyes
vinieron después.
No debe tampoco en forma específica intentarse controlar o regular las
actividades de los diversos actores que intervienen por medios electrónicos o
por la Red. Estas actividades están ya reguladas por las leyes ordinarias. La
única diferencia entre las actividades realizadas en la Red de aquellas realizadas
en el mundo “real” es el medio en el cual se llevan a cabo. Un contrato es un
contrato, una venta es una venta, y un delito es un delito por medios electrónicos
o en el mundo real3[3].
Las limitaciones al crecimiento del Comercio Electrónico como actividad en
[3] Ciertamente existen Venezuela y en otros países de América Latina vienen dadas en gran parte
los delitos informáticos por problemas de carácter socio-económico mas que tecnológicas. El acceso
que son especiales de limitado a la tecnología de la información, la desigualdad social, la pobreza y
esta área pero eso no falta de educación y de oportunidades son limitantes al desarrollo de la actividad,
es objeto del presente no obstante, estas limitantes no son culpa de la tecnología, la cual, si es bien
trabajo utilizada y gerenciada puede ayudar a reducir estas limitantes.
La ineficiencia del poder judicial, tanto en Venezuela como en otros países
latinoamericanos es también una limitante ya que el ciudadano no siente
suficiente respaldo de sus organismos para su defensa en caso de cualquier
inconveniente. Adicionalmente, el desconocimiento de los jueces de los medios
electrónicos hace que la valoración de dichas pruebas puedo no resultar
adecuado.

CAPITULO II

LEY SOBRE MENSAJES DE DATOS Y FIRMAS ELECTRÓNICAS DE


VENEZUELA
El Venezuela, al igual que en la mayoría de los países de América Latina se
ha optado por crear una ley especial que amplíe todo lo relativo al la validez y
eficacia probatoria de los medios electrónicos. Así nace la LSMDFE.
La Ley Sobre mensajes de datos y Firmas Electrónicas de Venezuela fue
publicada en la Gaceta Oficial de la República Bolivariana de Venezuela Nº
37.148 de fecha 28 de Febrero de 2001 quedando identificada como Decreto
Ley Nº 1204. Esta Ley, considerada por muchos expertos como una de las mas
avanzadas de la región permitirá el desarrollo de nuevas iniciativas en la Red así
como el crecimiento de otras ya existentes.
Esta no es una Ley de Comercio Electrónico ya que no toca aspectos relacionados
con el comercio en ninguna de sus formas ni refiere a otros que en alguna forma
podrían estar asociados al comercio por medios electrónicos o a través de
Internet como por ejemplo las normas de privacidad, ciberocupación de nombres
de dominio, aspectos impositivos, penales, envío abusivo de material electrónico
de contenido comercial no solicitado (conocido como SPAM), etc.
El objeto de la Ley Sobre mensajes de datos y Firmas Electrónicas de Venezuela
es el de otorgar y reconocer eficacia y valor jurídico a la Firma electrónica,
al mensaje de datos y a toda información inteligible en formato electrónico,
independientemente de su soporte material que pueda ser atribuida a personas
naturales o jurídicas, públicas o privadas, así como regular todo lo relativo a los
Proveedores de Servicios de Certificación y los Certificados Electrónicos.
La elaboración de esta Ley se basó en tres principios fundamentales de los cuales
deriva una consecuencia que define la naturaleza de esta Ley. Los principios

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 115


sobre los cuales se desarrolló la LSMDFE fueron el de neutralidad tecnológica,
la equivalencia funcional y el principio de autonomía de la voluntad de las partes;
la consecuencia de la aplicación de estos principios es la no modificación del
derecho, derivando así la naturaleza de ésta como una Ley Especial.

1.       Principio de Neutralidad tecnológica


La LSMDFE mantiene el más estricto principio de neutralidad tecnológica con la
finalidad de que permanezca vigente durante el mayor tiempo posible.
La neutralidad tecnológica implica no favorecer unas tecnologías sobre otras ya
que los estándares en esta materia deben ser impuestos por el mercado y no
por ley. Favorecer en un cuerpo legal una tecnología sobre otras es incorrecto,
discriminatorio y por sobre todo, un error de técnica legislativa. Hacerlo implicaría
la pronta obsolescencia de la ley haciendo inútil el esfuerzo y el tiempo dedicado
a su creación y aprobación así como la salida de Venezuela del mercado
electrónico.
Sin embargo, no podemos pretender tampoco que esta Ley sea perpetua, algún
día surgirá una nueva tecnología que hoy no podemos ni siquiera imaginar que
superará a todo lo hoy existente, ese día tendremos que reorganizar el sistema
legal para adaptarnos a esa tecnología incluyendo a la LSMEFE o redactar una
nueva Ley que se adapte a esa nueva realidad.
El principio de Neutralidad Tecnológica es la razón por la cual esta Ley refiere
a Firma electrónica en lugar de firma digital entendiendo que la firma digital es
[4] Son comunes las un tipo de firma electrónica, la cual si bien es cierto que es la que se utiliza en
expresiones bit y byte la actualidad con preferencia es una firma que está basada en la tecnología de
en computación y las dígitos (unos y ceros). Las computadoras con tecnología digital funcionan sobre
mismas son unidades la base de circuitos en los cuales la corriente tiene dos únicas alternativas, pasar
de medida para el o no pasar, cada una de esas señales de transforma en un dígito que puede ser
almacenaje de códigos un uno (1) o un cero (0), esto es lo que se conoce como lenguaje binario4[4].
binarios. “Un byte Al momento que la tecnología digital de códigos binarios esté superada o deje
consiste en 8 bits. de tener supremacía en el mercado las leyes que hagan referencia a la firma
Un bit es un cero (0) digital quedarán obsoletas.
o un uno (1). Por lo
tanto un ejemplo de En el proceso se entendió que si bien en la actualidad las firmas digitales son
un byte es 01001001. el estándar, no se debía cerrar la puerta a Firmas Electrónicas generadas con
Esta secuencia de cualquier otra tecnología. Por esa misma razón se obvió cualquier referencia a
números (byte) puede los protocolos de claves pública y privadas5[5], que actualmente son los mas
simbolizar una letra o usados, pero por las mismas razones explicadas, no es prudente obligar a todo
un espacio. Un kilobyte usuario y proveedor a adoptar esta tecnología sobre alguna otra.
(Kb) son 1024 bytes y un Las leyes de Alemania (1997), Colombia (1999) y Argentina (2001) hacen refieren
megabyte (Mb) son 1024 firmas digitales, las leyes de Estados Unidos (2000), España (1999), Proyecto de
kilobytes.” CARRASCO ley de Ecuador (2001), Directiva de la Comunidad Económica Europea (1999),
(00), H.: p. 32 modelo UNCITRAL (2001) y la reforma legislativa mejicana refieren por su parte
a la firma electrónica. La Firma electrónica debe entenderse como el género y la
firma digital como un tipo de Firma electrónica.
[5] Como hace, por
ejemplo, referencia la Ante los constantes y rápidos cambios tecnológicos quedó expresamente
Ley Colombiana de 1999 previsto que estas normas serán desarrolladas e interpretadas progresivamente,
siempre orientadas a reconocer la validez y eficacia probatoria de los mensajes
de datos y Firmas Electrónicas6[6].

[6] LSMDFE: Artículo 1

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.116


2.       Principio de Equivalencia Funcional
La revolución tecnológica de la última década del siglo XX permitió por primera
vez la convivencia del ciudadano común con los avances producidos.
La tecnología está ahora al alcance de todos y se desarrolla sin esperar una Ley
previa que prevea las consecuencias de los avances que se van produciendo,
así, nacen situaciones de carácter tecnológico con consecuencias similares a
las de algunas instituciones del mundo físico, algunas con desarrollo milenario
como el documento y la firma autógrafa.
Estas nuevas instituciones a las cuales podríamos denominar “instituciones
[7] Las “instituciones
electrónicas7[7]” son totalmente diferentes en su esencia a sus similares del
electrónicas” nos
mundo físico lo que trae como consecuencia que la legislación nacional y en
son “instituciones”
principio todas las legislaciones de los países de tradición romanista que se
propiamente dichas.
han fundamentado en documentos escritos, firmados u originales excluyan a
Les damos este título
los nuevo desarrollos tecnológicos por ser incompatibles con los conceptos y
a fin de ver claramente
procedimientos de sus equivalente en tales legislaciones.
su relación con las
Sin embargo, estas “instituciones electrónicas” son similares en sus efectos y
“instituciones” del
consecuencias a sus correlativas del mundo físico y por esta única razón, en lugar
mundo físico que les son
de “inventar” un desarrollo legislativo para estas nuevas instituciones de carácter
equivalente a cada una
netamente tecnológico y con tiempos de vida muy cortos, se las equipara con
de ellas.
sus similares del mundo físico, que ya han sido desarrolladas por la legislación,
la doctrina y la jurisprudencia haciéndolas equivalentes solo en lo que respecta a
dichos efectos y consecuencias. Este es el principio de la equivalencia funcional.
La equivalencia funcional en la LSMDFE se da principalmente entre las firmas
electrónicas y las firmas autógrafas y entre los documentos escritos y mensajes
de datos.

2.1. Las Firmas Electrónicas con relación a las firmas autógrafas

Las Firmas Electrónicas en su esencia son total y absolutamente diferentes a


las firmas autógrafas. Una Firma electrónica es producida por un software y una
[8] Siempre que cumpla firma autógrafa es una manifestación de la personalidad.
con un mínimo de Sin embargo, la finalidad de ambas es la misma, atribuir la autoría de un
requisitos establecidos documento y la aceptación del contenido del mismo, sea en papel o forma de
en la Ley mensaje de datos. La Ley por tanto, las asimila solo en lo que refiere a sus
[9] LSMDFE: Art. 16 efectos y consecuencias al atribuirle a la Firma electrónica8[8] la misma validez
[10] El proyecto y eficacia probatoria que la ley otorga a la firma autógrafa9[9].
UNCITRAL de Firma La guía para la incorporación al derecho interno de la Ley Modelo UNCITRAL
electrónica habla de Firmas Electrónicas del año 2001 entiende a la “Firma electrónica” como las
de firma manuscrita diversas técnicas disponibles en el mercado con la finalidad de que algunas
a diferencia de la o todas las funciones identificadoras de la firma manuscrita10[10] se puedan
LSMDFE que refiere cumplir en el entorno electrónico.
a firma autógrafa. Las medidas de seguridad en el proceso de obtención de una Firma electrónica
La interpretación de así como del certificado que la garantiza pueden venir dados por técnicas
ambas expresiones, no criptográfica, simétricas o asimétricas o por cualquier otro mecanismo
obstante es idéntica. de seguridad. La LSMDFE en cumplimiento del principio de neutralidad
tecnológica11[11] no favorece la utilización de alguna técnica de seguridad
[11] cf. punto 3 de este sobre otra exigiendo solamente el cumplimiento de los requisitos establecidos
Capítulo en su artículo 16 para otorgar a la firma electrónica la misma validez y eficacia
probatoria de la firma autógrafa[12].
[12] cf. Capítulo IV

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 117


2.2. Mensajes de datos con relación a los documentos
Con los mensajes de datos sucede lo mismo que se ha señalado con respecto
a las firmas electrónicas, es decir, no caben en la categoría de los documentos
escritos tradicionales como su equivalente funcional. No obstante, la LSMDFE
los equipara en cuanto a su eficacia probatoria a los documentos escritos.
Los mensajes de datos serán tratados a profundidad en el Capítulo III.

3.       Principio de la autonomía de la voluntad de las partes


El tercer principio respetado en la redacción de la LSMDFE es el de la autonomía
de la voluntad de las partes.
El régimen establecido de firmas y certificados electrónicos de firmas es de
carácter supletorio y solo es aplicable en caso que las partes no hayan acordado
previamente un procedimiento alterno.
La autonomía de la voluntad de las partes y por tanto, la supletoriedad del
régimen aplicable se extiende también a: i) la verificación tanto de la emisión
como de la oportunidad de emisión del mensaje de datos; ii) la determinación de
los mecanismos para la recepción de los mensajes de datos; iii) la determinación
del lugar de emisión y recepción del mensaje de datos, de donde deriva la
jurisdicción y leyes aplicables en una relación jurídica; iv) acuse de recibo y
mecanismos para verificarlo.

4.       No modificación del derecho


La consecuencia de la aplicación de los tres principios antes señalados es la no
modificación del derecho. La LSMDFE no crea ni modifica en forma alguna leyes
existentes ni se impone en su aplicación sobre otras leyes existentes.
La LSMDFE es en su naturaleza una Ley Especial. Por tanto, debe ser aplicada con
preferencia sobre cualquier otra norma en todo lo que refiere al reconocimiento,
eficacia y valor jurídico de la Firma electrónica, los mensaje de datos y toda
información inteligible en formato electrónico, independientemente de su soporte
material, atribuible a personas naturales o jurídicas, públicas o privadas
Como se ha señalado, la única diferencia de los hechos llevados a cabo en la Red
de aquellos perfeccionados en el mundo tridimensional es el medio electrónico
a través del cual se desarrollan, por tanto, las leyes ordinarias del mundo físico
se aplican en lo que corresponden a los hechos provenientes de Internet salvo
la presencia de una ley especial, como es el caso de la LSMDFE, que será de
aplicación preferente en lo que respecta a las materias de su especialidad.

CAPITULO III

EL CONTRATO ELECTRÓNICO
Determinada la legislación aplicable e independientemente de la presencia o no
de una ley especial de aplicación preferente debemos determinar la forma en la
cual el documento electrónico entra a formar parte integrante de una relación
contractual o generadora de derechos y obligaciones.
En cuanto a la esencia del contrato el destacado jurista venezolano Eloy Maduro
[13] MADURO LUYANDO Luyando señala que “el contrato es el instrumento por excelencia para que en
(483), E.: p. 383 hombre en sociedad pueda satisfacer sus necesidades”[13]. Siendo esta la
finalidad esencial de esta institución es lógico inferir que satisfacción de teles
necesidades debe adaptarse a los distintos avances tecnológicos que le hagan
la vida mas sencilla. Esta es nuestra primera aproximación a la validez del
contrato electrónico con o sin la existencia previa de una ley que le conceda
expresa eficacia.
La norma rectora de la contratación en el ordenamiento jurídico venezolano es
artículo 1133 del Código Civil que establece que “el contrato es una convención
entre dos o mas personas para constituir, reglar, transmitir, modificar o extinguir

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.118


entre ellas un vínculo jurídico”.

De esta norma no puede inferirse de forma alguna que el documento electrónico


incumpla los finalidades allí señaladas. La amplitud de la norma cuya finalidad
evidente es la de buscar siempre la validez del contrato no deja duda en cuanto a
que la contratación por medios electrónicos, informáticos o vía Internet es válida
sin necesidad de una ley previa que los admita o reconozca validez en forma
expresa. El punto que queda por dilucidad es entonces como se incorporan en
el formato electrónico los elementos del contrato.

1.       Elementos del Contrato Electrónico


El Artículo 1141 del Código Civil señala que “las condiciones requeridas para la
existencia del contrato son: 1° Consentimiento de las partes; 2° Objeto que pueda
ser materia de contrato; y 3° Causa lícita”.
Nuevamente, la amplitud de la norma evidencia que no hay necesidad de una
Ley previa que permita el cumplimiento de estos requisitos fundamentales por
vía electrónica.
Estos elementos esenciales del contrato, así como lo relativo a las fases de la
contratación no presentan diferencias de fondo por el hecho de la contratación
se realice por vía electrónica. Las diferencias fundamentales entre la contratación
tradicional y la electrónica se da por el medio a través del cual se manifiestan y
no son en forma alguna de naturaleza.
El objeto y la causa del contrato no presentan variaciones de fondo por el
hecho de que la contratación se realice en formato electrónico, por esto los
tocaremos primero en forma breve para luego profundizar en la manifestación
del consentimiento, elemento mas delicado en la contratación, electrónica o no.

1.1. El Objeto
El objeto del contrato es la prestación, actividad o conducta que el deudor se
compromete a realizar en beneficio de su acreedor. Pueden ser prestaciones
o conductas de dar, de hacer o de no hacer, de medio o de resultado, puede
consistir en la realización de una actividad o en la transmisión de un derecho.
Según el artículo 1155 del Código Civil el objeto del contrato debe ser posible,
lícito, determinado o determinable.
El objeto no representa diferencia alguna en un contrato electrónico. El objeto
del contrato o convención electrónica debe cumplir las mismas condiciones
establecidas en el señalado artículo 1155 para su validez.

1.2. La Causa
La causa es la razón por la cual se ha realizado un contrato, el fin inmediato
perseguido con la obligación contraída. Es un elemento subjetivo muy discutido
por la doctrina en el cuan no profundizaremos.
El Código Civil hace breves referencias a la causa de los contratos. El artículo
1157 señala que la obligación sin causa, o fundada en una causa falsa o ilícita,
no tiene ningún efecto y que la causa es ilícita cuando es contraria a la Ley, a las
buenas costumbres o al orden público. El artículo 1158 señala que el contrato
es válido aunque la causa no se exprese y que la causa se presume que existe
mientras no se pruebe lo contrario.
Se evidencia que la causa como elemento esencial de validez del contrato no se
ve afectada por el hecho de que éste se celebre por vía electrónica.

1.3. El Consentimiento
Es el fundamental y mas delicado de los elementos de un contrato cualquiera
sea su tipo, naturaleza o forma de perfeccionarse. El consentimiento es la
[14] MADURO LUYANDO
manifestación de voluntad deliberada, consciente y libre que expresa el acuerdo
(483), E.: p. 443
de un sujeto de derecho respecto de un acto externo propio o ajeno [14].

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 119


La ley venezolana no presenta limitaciones en cuanto a la forma o medio de
manifestación del consentimiento. Este puede manifestarse verbalmente, por
escrito, por señales de humo, por sonido de tambores o por vía electrónica. La
forma por excelencia de manifestar el consentimiento por vía electrónica es a
través de un mensaje de datos.
Por eso concluimos sin lugar a equivocación que el uso de la informática como
medio de expresión para la comunicación entre las personas es un medio válido
para manifestar la voluntad y por tanto, un medio válido para contraer derechos
y obligaciones, con o sin ley especial o general que lo admita o reconozca como
tal.
La forma por excelencia para identificarse electrónicamente son las firmas
electrónicas. El régimen establecido en la Ley para las firmas y certificados
electrónicos de firmas es de carácter supletorio y solo es aplicable en caso que
las partes no hayan acordado previamente un procedimiento alterno
Cabe señalar que la ley especial busca siempre la validez del contrato electrónico
por ello establece que sus normas deben ser desarrolladas e interpretadas
orientadas a siempre reconocer la validez y eficacia probatoria de los Mensajes
[15] LSMDFE Art. 1
de datos y Firmas Electrónicas [15].
último aparte
Para profundizar en el estudio del mensaje de datos como medio válido para
manifestar el consentimiento lo haremos desde la óptica de la Ley Sobre
Mensajes de datos y Firmas Electrónicas de Venezuela en el Capítulo V.

2.       Los Mensajes de datos


La forma por excelencia de manifestar el consentimiento o voluntad por vía
electrónica es por medio de un mensaje de datos. Según la definición de la
LSMDFE de Venezuela mensaje de datos es toda información inteligible en
formato electrónico o similar que pueda ser almacenada o intercambiada por
[16] LSMDFE Art. 2 cualquier medio[16].

Con los mensajes de datos sucede algo similar a lo señalado con relación a
las firmas electrónicas, no caben en la categoría de los documentos escritos
tradicionales, sin embargo, la LSMDFE los equipara en cuanto a su eficacia
probatoria a los documentos escritos.
Así señala el artículo 4 de la LSMDFE que los mensajes de datos tendrán la
misma eficacia probatoria que la ley otorga a los documentos escritos, por tanto,
la manifestación de voluntad o de consentimiento realizado por esta vía tendrá
la misma eficacia.
Por ello todas las fases previas de contratación como ofertas, contraofertas
y manifestaciones de voluntad pueden darse por vía electrónica. La oferta
electrónica será tratada en forma aparte en el punto 3 de este capítulo.

2.1.   Los mensajes de datos como medio de manifestación del consentimiento


En el medio electrónico donde es muy frecuente no conocer a la persona con
quien se contrata y en muchas oportunidades conocerla no es importante,
relevante o esencial en una negociación. Sin embargo para que la manifestación
de voluntad sea válida, especialmente en muchos casos es importante determinar
o hacer determinable a la persona que ha manifestado su consentimiento para
contratar.
Los conceptos de incapacidad contractual ya sea por defecto de edad, intelectual
o por limitación legal son relevantes al momento de contraer obligaciones
y a través de los medios electrónico puede resultar difícil determinar esta
circunstancia.
El artículo 1148 del Código Civil venezolano señala que es causa de anulabilidad
del contrato el error sobre la identidad o las cualidades de la persona con quien
se ha contratado, cuando esa identidad o esas cualidades han sido la causa
única o principal del contrato. Cabe señalar en este momento una famosa

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.120


caricatura de la revista “The New Yorker” que presentaba esta situación en forma
muy clara al mostrar a dos perros frente a una computadora acompañado de la
leyenda “en Internet, nadie sabe que somos perros”.
Para estos casos, la LSMDFE establece mecanismos para determinar la validez
y eficacia del consentimiento manifestado por personas determinadas y
determinables. Esta normativa es de aplicación supletoria, es decir, se aplicará
solamente en caso que las partes no hubiesen determinado la aplicación de otro
[17] cf. punto 3 del régimen [17].
Capítulo II Podemos citar como ejemplos cotidianas de convención entre las partes para
identificarse en ambientes electrónicos a las claves asociadas a las tarjetas para
el uso de cajeros electrónicos de instituciones bancarias, login asociado a una
clave o password para la realización de operaciones bancarias y pagos a través
de servicios en línea de instituciones bancarias; acceso a secciones privadas
de sitios web con el ingreso de una clave; diversos medios de identificación en
[18] http://www.edi.com,
redes cerradas como EDI (Electronic Data Interchange) [18], Bolero [19], red
http://www.simplix.com
SWIFT (society for Worldwide Interbank Financial Telecommunications) [20].
[19] http://www.bolero.
net Los mecanismos supletorios establecidos en la LSMDFE de Venezuela para
atribuir la autoría de un Mensaje de Datos otorgándole así validez y eficacia
[20] http://www.swift. probatoria serán tratados en forma mas amplia en el Capítulo V.
com
2.2. Los mensajes de datos como documentos
Sin pretender profundizar en materia documental ya que no es el fin del presente
trabajo, podemos señalar como principales diferencias entre el documento
escrito y el mensaje de datos equivalente la forma en la cual se presentan sus
características de inmediatez y permanencia.
El documento escrito es inmediato, la individualidad del hecho a representar se
[21] CARNELUTI (282), traduce inmediatamente en un objeto exterior [21] y su suporte material es por
F.: p. 119 excelencia el papel. Esto no sucede con el documento electrónico su formato
[22] LSMDFE Art. 1 es el electrónico con independencia de su soporte material [22] y por tanto, su
movilidad, traslado y archivo debe hacerse en formato electrónico, lo que trae
como consecuencia que para acceder a su contenido se deba utilizar un equipo
que disponga de los elementos necesarios para la comprensión de su contenido.
En cuanto a la característica de permanencia, si bien un documento en formato
electrónico puede permanecer inalterable en el tiempo probablemente por un
lapso superior al de un documento soportado en papel, el mismo debe poder
ser accesado en el futuro. La tecnología evoluciona con mucha rapidez razón
por la cual es perfectamente posible que al momento en el cual se deba acceder
a un documento en formato electrónico la tecnología bajo la cual fue archivado
esté superada y no se disponga, o sea muy difícil disponer de los elementos
[23] cf. punto 2.3 del necesarios para acceder a él [23]. A estos efectos La LSMDFE estipula que
Capítulo III. cuando la ley requiera que la información sea presentada o conservada en su
forma original, dicho requisito quedará satisfecho con relación a un mensaje de
datos si se ha conservado su integridad y cuando la información contenida en
[24] LSMEDFE Art. 7 dicho mensaje de datos esté disponible [24].
Otra diferencia fundamental entre los documentos escritos y los electrónicos
radica en el concepto de “documento original”. El documento escrito original
es uno solo del cual luego podrán obtenerse copias simples o certificadas. Los
documentos inscritos en registros públicos y notarías son claros ejemplos de
lo anterior. En cambio, una de las características del formato electrónico es la
posibilidad de obtener un número indeterminado de copias con las mismas
[25] CCV artículos 1354 características del original.
y ss Lo anterior es relevante a tenor de lo establecido en Capítulo V, Título III del Libro
Tercero del CCV [25] referente a la prueba por escrito y sus efectos y del Capítulo
[26] CPC artículos 429 V, Título II del Libro Segundo el CPC [26] referente a la prueba por escrito y al
y ss momento de presentar los documentos originales en juicio, de la indicación del

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 121


lugar donde se encuentran y de los efectos que producen.
No obstante las diferencias señaladas, la LSMDFE atribuye a los mensajes
de datos los mismos efectos de los documentos escritos desde tres casos
principalmente:

2.2.1. Mensajes de datos con relación a los documentos en materia probatoria


La LSMDFE señala que los mensajes de datos tendrán la misma eficacia
[27] LSMDFE artículo 4 probatoria que la ley otorga a los documentos escritos. [27]

2.2.2. Mensajes de datos con relación al cumplimiento de formalidades


Cuando para determinados actos o negocios jurídicos la ley exija el cumplimiento
de solemnidades o formalidades, éstas podrán realizarse utilizando para ello los
[28] LSMDFE artículo 6 mecanismos en ella establecidos [28].

2.2.3. Mensajes de datos con relación a los documentos en cuanto a la


privacidad
Los mensajes de datos estarán sometidos a las disposiciones constitucionales y
legales que garantizan los derechos a la privacidad de las comunicaciones y de
[29] LSMDFE Artículo 5 acceso a la información personal [29].
Esta disposición, si bien es redundante e innecesaria dado que es relevante los
mensajes de datos estarán sometido a todas las disposiciones constitucionales
y legales sobre privacidad e información personal aún cuando esta norma no
formara parte del texto de la Ley, permite establecer, entre otros, una equivalencia
de los mensajes de datos con la correspondencia ordinaria, con los documentos
privados de las personas y con el uso que se da a las herramientas tecnológicas
provistas por el patrono con motivo de la relación de trabajo.

2.3. Cumplimiento de formalidades en contrataciones electrónicas


En Venezuela es de la naturaleza del fideicomiso que este sea otorgado en
forma auténtica; lo mismo sucede con la constitución de hipotecas; en el caso
de testamentos cerrados es requisito de validez que se otorgue ante Registrador
Subalterno; la venta de inmuebles solo es oponible a terceros con su inscripción
ante la Oficina de Registro Subalterno de la jurisdicción del inmueble; y así
muchos otros ejemplos.
Estas son situaciones en las cuales no obstante lo anterior, la sola manifestación
válida del consentimiento solo no es suficiente para perfeccionar el contrato o
hecho jurídico o para que este sea oponible ante terceros. Para estos casos en
que algunas formalidades sean necesarias la LSMDFE tiene algunas previsiones
previsiones.

El aparte final del artículo 1 señala que la utilización de certificados electrónicos en


los términos en ella establecidos no excluye el cumplimiento de las formalidades
de registro público o autenticación que, de conformidad con la ley, requieran
determinados actos o negocios jurídicos. Es decir, cuando por mandato legal
se requiera el cumplimiento de una formalidad esta debe ser cumplida y no se
considera satisfecha por el solo hecho de utilizar un certificado electrónico.
Cabe señalar que las formalidades de autenticación o publicidad se cumplen por
la participación de un funcionario público investido con autoridad dar fe pública.
En el momento en el cual ese funcionario utilice los mecanismos establecidos
en la Ley podrá dar el carácter de autenticidad o publicidad necesarios para la
validez o eficacia de un acuerdo.
En respuesta a esta situación el artículo 6 señala que cuando para determinados
actos o negocios jurídicos la ley exija el cumplimiento de solemnidades o
formalidades, éstas podrán realizarse utilizando para ello los mecanismos en
ella descritos.
Dos disposiciones de la LSMDFE obligan al estado a tomar las medidas necesarias

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.122


para que esto se pueda logra. El artículo 3 obliga al Estado a adoptar las medidas
que fueren necesarias para que los organismos públicos puedan desarrollar sus
funciones, utilizando los mecanismos descritos en la Ley y la disposición final
tercera que obliga al Estado a crear un Proveedor de Servicios de Certificación
de carácter público, conforme a las normas del presente Decreto-Ley.
Cuando estos mecanismos hayan sido implementados y un Notario Público
esté en capacidad de cumplir sus funciones en línea mediante la emisión de
certificados electrónicos se podrán vender vehículos, otorgar poderes constituir
fideicomisos en línea. Cuando la Oficina de Registro Subalterno correspondiente
esté en capacidad de cumplir sus funciones en línea mediante la emisión de
certificados electrónicos en la forma establecida en la LSMDFE se podrá vender
inmuebles, constituir hipotecas y hacer testamentos en línea con todas las
formalidades exigidas por la ley.
Sin embargo, el cumplimiento de lo anterior no es suficiente, es indispensable
[30] El mismo artículo
además que la información que éste contenida en el mensaje de datos sea
señala que deben
accesible para su ulterior consulta tal como lo ordena el artículo 8 [30].
cumplirse los siguientes
Un ejemplo muy claro y no necesariamente de laboratorio sería la necesidad de
requisitos:
valerse del contenido de un mensaje de datos en formato del programa Word
1.       Que la
Star que fue el procesador de palabras mas popular de finales de los años 80
información
y principios de los 90 archivado en un diskette de 5 ¼ pulgadas que era el mas
que contengan
utilizado en esa época. Debe contarse con las herramientas necesarias para
pueda ser
acceder al mismo al momento en que pretenda valerse de él.
consultada
posteriormente.
3.       La Oferta Electrónica
2.       Que conserven
El artículo 15 de la LSMDFE señala que en la formación de los contratos, las
el formato en
partes podrán acordar que la oferta y aceptación se realicen por medio de
que se generó,
mensajes de datos.
archivó o recibió
o en algún
Las reglas generales para la oferta como etapa previa a un contrato tienen reglas
formato que sea
de carácter general establecidas en los artículos 1137 al 1139 del Código Civil
demostrable
para las contrataciones en materia civil y en los artículos 110 y 111 del Código
que reproduce
de Comercio para las contrataciones de carácter mercantil.
con exactitud
Cuando la oferta se realiza por medios electrónicos, es decir, por vía de un
la información
mensaje de datos debe aplicarse los postulados de los artículos 10 al 14 de
generada o
la LSMDFE referentes a la emisión y recepción de los mensajes. Todas estas
recibida.
normas son de carácter supletorio, es decir, solo se aplicarán en caso que las
3.       Que se
partes no hubiesen acordado en forma previa un mecanismo alternativo.
conserve todo
El artículo 10 señala que salvo prueba en contrario un mensaje de datos se
dato que permita
tendrá por emitido cuando el sistema de información del emisor lo remita al
determinar
destinatario y se considerará recibido por el destinatario a tenor del artículo 11
el origen y el
en uno de los siguientes casos: a) Si el destinatario ha designado un sistema de
destino del
información para la recepción de mensajes de datos, la recepción tendrá lugar
mensaje de
cuando el mensaje de datos ingrese al sistema de información designado; b) si
datos, la fecha
el destinatario no ha designado un sistema de información, la recepción tendrá
y la hora en que
lugar, salvo prueba en contrario, al ingresar el mensaje de datos en un sistema
fue enviado o
de información utilizado regularmente por el destinatario.
recibido.
Cuando el lugar de emisión y recepción de la oferta sean relevantes a los efectos
de determinar la jurisdicción y legislación aplicable el artículo 12 de la LSMDFE
establece que el mensaje de datos se tendrá por emitido en el lugar donde el
emisor tenga su domicilio y por recibido en el lugar donde el destinatario tenga
el suyo.
Los efectos de un mensaje de datos y en el caso que nos ocupa, la oferta
realizada por medios electrónicos, puede ser condicionada por el emisor a un
acuse de recibo del destinatario, para ello podrán establecer un plazo. La no
recepción de dicho acuse de recibo dentro del plazo convenido, dará lugar a que
se tenga el mensaje de datos como no emitido.

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 123


Si las partes no han establecido un plazo para la recepción del acuse de recibo,
el mensaje de datos se tendrá por no emitido si el destinatario no envía su acuse
de recibo en un plazo de veinticuatro horas a partir de su emisión. Cuando el
emisor reciba el acuse de recibo del destinatario conforme lo hayan acordado el
mensaje de datos surtirá todos sus efectos.
Nótese la diferencia con la oferta en materia civil y mercantil donde la no
aceptación de la oferta en el plazo estipulado la hace presumir como rechazada,
en el caso de oferta por vía de mensaje de datos ésta es considerada como no
realizada.
Si las partes no han acordado un mecanismo para determinar el acuse de recibo
del mensaje de datos, se considerará como acusada la respuesta y por tanto
que dicho requisito se ha cumplido en alguno de los siguientes casos: a) toda
comunicación del destinatario, automatizada o no, que señale la recepción
del mensaje de datos; b) todo acto del destinatario que resulte suficiente a los
efectos de evidenciar al emisor que ha recibido su mensaje de datos.

CAPITULO IV

LA FIRMA ELECTRÓNICA

En el contexto de la contratación electrónica, la firma electrónica es el elemento


por excelencia para la determinación de la identidad de quien envía un mensaje
de datos y por tanto, la validez del consentimiento manifestado por este medio.
Una firma electrónica es la información creada o utilizada por el signatario,
asociada inequívocamente a un mensaje de datos que permite atribuirle su
[31] LSMDFE artículo 2 autoría bajo el contexto en el cual ha sido empleado [31]
La finalidad y efectos de la firma electrónica y la firma autógrafa son los mismos,
es decir atribuir la autoría de un documento y la aceptación de su contenido. La
LSMDFE las asimila solo en lo que refiere a sus efectos atribuyendo a la Firma
electrónica la misma validez y eficacia probatoria que la ley otorga a la firma
autógrafa y siempre que en forma concurrente permita vincular al signatario
con el mensaje de datos y atribuir la autoría de éste. La firma electrónica podrá
formar parte integrante del mensaje de datos, o estar inequívocamente asociada
[32] LSMDFE artículo 16 a éste; enviarse o no en un mismo acto [32].
Salvo que las partes dispongan otra cosa, para que la firma electrónica tenga
la misma validez y eficacia de la firma autógrafa deberá llenar los extremos
señalados en su artículo 16 que son los siguientes: a) garantizar que los datos
utilizados para su generación puedan producirse sólo una vez, y asegurar,
razonablemente, su confidencialidad; b) Ofrecer seguridad suficiente de que no
pueda ser falsificada con la tecnología existente en cada momento; c) no alterar
la integridad del mensaje de datos.
La Firma electrónica que no cumpla con estos requisitos señalados no tendrá
los efectos jurídicos que se le atribuyen en la Ley, es decir, no tendrá la misma
validez y eficacia que la Ley da a la firma autógrafa, sin embargo, podrá constituir
un elemento de convicción valorable por el juez conforme a las reglas de la sana
[33] LSMDFE 17 crítica [33].
El régimen de firma electrónica establecido en la LSMEDFE de Venezuela
[34] Ejemplos de es de carácter supletorio y solo se aplicará en caso que las partes no hayan
régimen establecido determinado un régimen de aplicación preferente [34].
por la autonomía de la Este régimen supletorio comprende cinco elementos principales cuya
voluntad de las partes cf. presencia dan un diferente grado de validez o eficacia a la firma electrónica y al
punto 2.1 del Capítulo III documento. Estos elementos son: a) el mensaje de datos: b) la firma electrónica;
c) el certificado electrónico; d) el proveedor de servicios de certificación; e) la
Superintendencia de Servicios de Certificación.

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.124


[35] cf punto 2 del Los dos primeros elementos ya han sido tratados a lo largo de este trabajo12[35]
Capítulo 3 para el por lo que se aquí se hará referencia solamente a los últimos tres.
mensaje de datos; cf
Capítulo IV para las 1.       Certificado Electrónico
firmas electrónicas Como punto previo para el estudio de los certificados electrónicos de firma es
necesario señalar que la presencia de un certificado electrónico en un mensaje
de datos implica la existencia de una firma electrónica que está siendo certificada
por el mismo. La presencia de una firma electrónica no implica necesariamente
la presencia de un certificado electrónico.
El certificado electrónico es un mensaje de datos proporcionado por un Proveedor
[36] Definición del de Servicios de Certificación que atribuye certeza y validez a la Firma electrónica
artículo 2 de la LSMDFE [36]. El Certificado Electrónico garantiza la autoría de la Firma electrónica que
certifica y la integridad del mensaje de datos, pero no confiere la autenticidad o
fe pública que conforme a la ley otorguen los funcionarios públicos a los actos,
documentos y certificaciones que en tal carácter suscriban.
Para cumplir su finalidad en los términos señalados en la LSMDFE el certificado
electrónico debe contener al menos la siguiente información: a) Identificación del
Proveedor de Servicios de Certificación que proporciona el Certificado Electrónico,
indicando su domicilio y dirección electrónica; b) el código de identificación
asignado al Proveedor de Servicios de Certificación por la Superintendencia de
Servicios de Certificación Electrónica; c) identificación del titular del Certificado
Electrónico, indicando su domicilio y dirección electrónica; d) las fechas de inicio
y vencimiento del periodo de vigencia del Certificado Electrónico; e) la Firma
electrónica del Signatario; f) un serial único de identificación del Certificado
Electrónico; g) cualquier información relativa a las limitaciones de uso, vigencia
y responsabilidad a las que esté sometido el Certificado Electrónico.
El certificado electrónico tiene otros nombres aún cuando la misma función
en otras legislaciones. El proyecto de Ley de firmad digitales de Argentina del
año 2000 los denomina certificados digitales; la ley alemana de 1997 los refiere
certificados de clave de firma; el proyecto de ley de Comercio Electrónico de
Ecuador habla de certificados de firma electrónica y son llamados simplemente
certificados en la Ley Modelo de Firmas Electrónicas de UNCITRAL (2001), ley de
Colombia (1999), ley de España (1999), Directiva de la Comunidad Económica
Europea (1999) y el proyecto de ley de Chile (2000).
La LSMDFE contiene en sus artículos 38 al 44 normativa sobre la contratación,
cancelación, suspensión y responsabilidad del titular sobre su certificado
electrónico y la validez de los certificados electrónicos extranjeros.

2.       Proveedor de servicios de certificación


El Proveedor de Servicios de Certificación es toda persona dedicada a
proporcionar Certificados Electrónicos y demás actividades previstas en la Ley
[37] Definición del
[37].
artículo 2 de la LSMDFE
En Venezuela la acreditación de los Proveedores de Servicios de Certificación
ante la Superintendencia de Servicios de Certificación Electrónica es obligatoria
a fin de que los certificados de firma electrónica que provean den a las misma de
pleno derecho la validez y eficacia jurídica que la ley otorga a la firma autógrafa
[38] LSMDFE artículos [38]. Otras legislaciones, como por ejemplo la española (1999) y el proyecto
17 y 18 chileno (2000) dejan a la voluntad del Proveedor de Servicios la decisión de
acreditarse. No obstante la LSMDFE tiende siempre hacia la validez de la firma
y de su certificado.
Los Certificados Electrónicos proporcionados por los Proveedores de Servicios
de Certificación garantizarán la validez de las Firmas Electrónicas que certifiquen,
y la titularidad que sobre ellas tengan sus signatarios. No obstante, su validez
y eficacia jurídica como equivalente a una firma autógrafa queda supeditada

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 125


a su inscripción ante la Superintendencia o la prueba del cumplimiento de los
extremos del artículo 16.
Los Proveedor de Servicios de Certificación dado el delicado servicio que prestan
deben cumplir con una serie de requisitos mínimos para poder acreditarse como
tales ante la Superintendencia de Servicios de Certificación Electrónica. Estos
están establecidos en el artículo 31 y son entre otros: a) capacidad económica
y financiera suficiente para prestar los servicios autorizados como Proveedor
de Servicios de Certificación; b) capacidad y elementos técnicos necesarios
para proveer Certificados Electrónicos; c) garantizar un servicio de suspensión,
cancelación y revocación, rápido y seguro, de los Certificados Electrónicos
que proporcione; d) proporcionar un sistema de información de acceso libre,
permanente, actualizado y eficiente en el cual se publiquen las políticas y
procedimientos aplicados para la prestación de sus servicios, así como los
Certificados Electrónicos que hubiere proporcionado, revocado, suspendido o
cancelado y las restricciones o limitaciones aplicables a éstos; e) garantizar que
en la emisión de los Certificados Electrónicos que provea se utilicen herramientas
y estándares adecuados a los usos internacionales, que estén protegidos contra
su alteración o modificación, de tal forma que garanticen la seguridad técnica
de los procesos de certificación; f) en caso de personas jurídicas, éstas deberán
estar legalmente constituidas de conformidad con las leyes del país de origen;
g) contar con el personal técnico adecuado con conocimiento especializado en
la materia y experiencia en el servicio a prestar.
La LSMDFE contiene en sus artículos 31 al 37 la normativa sobre la acreditación
de los proveedores de servicios de certificación ante la superintendencia, sus
obligaciones y las medidas a tomar en caso de que el proveedor fuese a cesar
en la prestación del servicio.
Establece igualmente la LSMDFE que los Proveedores de Servicios de
Certificación podrán realizar las siguientes actividades: a) proporcionar, revocar
o suspender los distintos tipos o clases de Certificados Electrónicos; b) ofrecer
o facilitar los servicios de creación de Firmas Electrónicas; c) ofrecer servicios de
archivo cronológicos de las Firmas Electrónicas certificadas por el Proveedor de
Servicios de Certificación; d) ofrecer los servicios de archivo y conservación de
mensajes de datos; e) garantizar Certificados Electrónicos proporcionados por
Proveedores de Servicios de Certificación extranjeros.

3.       La Superintendencia de Servicios de Certificación Electrónica

La Superintendencia de Servicios de Certificación Electrónica es un servicio


autónomo con autonomía presupuestaria, administrativa, financiera y de gestión,
en las materias de su competencia, dependiente del Ministerio de Ciencia y
Tecnología. Tiene por objeto acreditar, supervisar y controlar, a los Proveedores
de Servicios de Certificación, sean estos públicos o privados.
La Superintendencia de Servicios de Certificación Electrónica otorgará la
acreditación y la correspondiente renovación a los Proveedores de Servicios
de Certificación, revocará o suspenderá la acreditación otorgada cuando
se incumplan las condiciones, requisitos y obligaciones establecidas en la
Ley; mantener, procesar, clasificar, resguardar y custodiar el Registro de los
Proveedores de Servicios de Certificación públicos o privados; verificar que los
Proveedores de Servicios de Certificación cumplan con los requisitos contenidos
en el presente Decreto-Ley y sus reglamentos; supervisar las actividades de los
Proveedores de Servicios de Certificación; inspeccionar y fiscalizar la instalación,
operación y prestación de servicios realizados por los Proveedores de Servicios
de Certificación; abrir, de oficio o a instancia de parte, sustanciar y decidir los
procedimientos administrativos relativos a presuntas infracciones; actuar como
mediador en la solución de conflictos que se susciten entre los Proveedores de
Servicios de Certificados y sus usuarios, cuando ello sea solicitado por las partes

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.126


involucradas, sin perjuicio de las atribuciones que tenga el organismo encargado
de la protección, educación y defensa del consumidor y el usuario, conforme a
la ley que rige esta materia; tomar las medidas preventivas o correctivas que
considere necesarias conforme a lo previsto en la Ley e imponer las sanciones
establecidas en la Ley.

Capitulo V

VALOR PROBATORIO DE LOS MENSAJES DE DATOS


En virtud de lo anterior podemos determinar que la presencia o no de cada uno
de los elementos que conforman el régimen supletorio de firmas establecido por
la LSMDFE de Venezuela dará una mayor o menos eficacia y valor probatorio al
mensaje de datos al cual está asociada.
El valor probatorio de los mensajes de datos según la presencia de los elementos
o la prueba del cumplimiento de algunos extremos son: plena prueba, elemento
de convicción valorable conforme a las reglas de la sana crítica, valor de simple
indicio.

1.       El mensaje de datos hace plena prueba


A tenor de lo establecido en la LSMDFE el mensaje de datos hace plena prueba
en cinco (5) casos que serán explicados a continuación. Si el documento el
público será plena prueba erga omnes, si el documento es privado hará plena
prueba entre las partes.
En primer lugar tenemos el mensaje de datos en el cual están presentes todos
los elementos, es decir, un mensaje de datos al cual esté asociada una firma
electrónica, debidamente certificada por medio de un certificado electrónico de
firma emitido por un proveedor de servicios de certificación acreditado ante la
Superintendencia de Servicios de Certificación Electrónica.
Según lo establecido en el artículo 18 de la LSMDFE la firma electrónica que
cumpla estas condiciones, se considera que cumple con los requisitos señalados
en el artículo 16. Al cumplir estos requisitos el mensaje de datos tendrá la misma
validez y eficacia probatoria que la ley otorga al documento que contiene una
firma autógrafa, es decir, hará plena prueba.
El siguiente caso presenta un mensaje de datos al cual esté asociada una firma
electrónica, debidamente certificada por medio de un certificado electrónico de
firma emitido por un proveedor de servicios de certificación NO acreditado ante
la Superintendencia de Servicios de Certificación Electrónica.
En este caso debe probarse que la firma electrónica cumple con los extremos
del artículo 16, es decir: a) la garantía de que los datos utilizados para su
generación puedan producirse sólo una vez, y asegurar, razonablemente,
su confidencialidad; b) que ofrece seguridad suficiente de que no pueda ser
falsificada con la tecnología existente en cada momento; c) que no altera la
integridad del mensaje de datos.
Si se prueba el cumplimiento de estos extremos el mensaje de datos tendrá la
misma validez y eficacia probatoria que la ley otorga al documento que contiene
una firma autógrafa que es el de hacer plena prueba.
Idéntica suerte corren los mensajes de datos al cual está asociada solamente una
firma electrónica. El texto del artículo 16 es muy claro al señalar que si la firma
electrónica permite vincular al signatario con el mensaje de datos y atribuirle
su autoría tendrá la misma validez y eficacia probatoria que la ley otorga a la
firma autógrafa la firma si se prueban el cumplimiento de los extremos de dicho
artículo.
En el siguiente caso tenemos un mensaje de datos al cual esté asociada una
firma electrónica, debidamente certificada por un certificado electrónico de firma
emitido por un proveedor de servicios de certificación extranjero hará plena
prueba siempre que tales certificados sean garantizados por un Proveedor de

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 127


Servicios de Certificación, debidamente acreditado ante la Superintendencia de
Servicios de Certificación Electrónica que los garantice, en la misma forma que
lo hace con sus propios certificados, cumpliendo con todos de los requisitos,
[39] LSMDFE artículo 44 seguridad, validez y vigencia del certificado [39].
Cabe señalar que el mensaje de datos al cual le falte alguno de los elementos
establecidos en la Ley hará plena prueba si existe una convención previa entre
las partes ya que como se ha mencionado, este régimen es supletorio y la
autonomía de la voluntar de las partes está por encima de cualquiera de las
normas establecidas en la LSMDFE.

2.       El mensaje de datos constituye un elemento de convicción valorable


conforme a las reglas de la sana crítica

En caso que el mensaje de datos carezca de alguno de los elementos señalados


anteriormente y no pueda probarse el cumplimiento de los extremos del artículo
16 el mismo no hará plena prueba. Sin embargo, el espíritu de la LSMDFE es
el de no negar validez de los mensajes de datos ni de las firmas electrónicas.
Se nos presentan tres (3) casos es los cuales el mensaje de datos constituye
un elemento de convicción valorable conforme a las reglas de la sana crítica de
quien tenga la facultad de decidir.
Ante un mensaje de datos al cual esté asociada una firma electrónica,
debidamente certificada por un certificado electrónico de firma emitido por un
proveedor de servicios de certificación NO acreditado ante la Superintendencia
de Servicios de Certificación Electrónica donde el cumplimiento de los extremos
establecidos en el artículo 16 no es probado, este mensaje de datos no tendrá la
misma validez y eficacia probatoria que la ley otorga al documento que contiene
[40] LSMDFE artículo 17 una firma autógrafa, sin embargo, podrá constituir un elemento de convicción
valorable conforme a las reglas de la sana crítica [40].
Si la firma electrónica presenta un certificado electrónico de firma extranjero
no garantizado por un Proveedor de Servicios de Certificación debidamente
acreditado ante la Superintendencia de Servicios de Certificación Electrónica
constituirá un elemento de convicción valorable conforme a las reglas de la sana
[41] LSMDFE artículo 44
crítica [41].
El mensaje de datos que tenga asociada una firma electrónica no certificada a
través de un certificado electrónico debe ser apreciada como un elemento de
convicción valorable conforme a las reglas de la sana crítica.

3.       Otra valoración


Hay dos (2) casos adicionales en los cuales los mensajes de datos tienen una
valoración inferior a las señaladas anteriormente, que son El mensaje de datos
no asociado a una firma electrónica y el mensaje de datos impreso. Nótese que
nuevamente no se le niega valor ni validez.
El mensaje de datos no asociado a una firma electrónica y por tanto sin
certificado electrónico como lo puede ser el simple envío de un mensaje por
correo electrónico solo tiene el valor de un indicio. Debe ser acompañado de
otros medios de prueba que sustenten los hechos contenidos en el mensaje de
datos.
El mensaje de datos en formato impreso, tendrá la misma eficacia probatoria
atribuida por la ley a las copias o reproducciones fotostáticas. Cabe recordar
que el original del mensaje de datos es el que se encuentra en su formato
electrónico y la impresión del mismo no es sino una reproducción en la misma
forma que una reproducción fotostática es una reproducción o representación
del documento original.

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.128


Capitulo IV

CONCLUSIONES
Como consecuencia de todo lo aquí expuesto, la conclusión mas clara es que
la contratación electrónica es perfectamente válida, tanto en Venezuela como en
cualquier otro país de legislación similar, con o sin ley que la autorice en forma
expresa. La única posibilidad de limitación a su validez es que alguna norma
con rango legal ya sea en forma general o para algunos casos en particular la
prohíba expresamente y esto no es frecuente que suceda.
Los elementos tradicionales del contrato no se ven afectados por el hecho
que una contratación se realice por vía electrónica, ya que la única diferencia
que existe con la contratación tradicional es el medio electrónico en el cual
se perfecciona. El único elemento que debe tener un cuidado especial es el
consentimiento. Los mecanismos de firmas electrónicas se están desarrollando
en la búsqueda de la identificación efectiva del emisor de los mensajes de datos
a fin de poder individualizar su consentimiento evitando los riesgos que la no
presencia puede acarrear en una contratación electrónica.
Sin embargo, la existencia de una ley especial que en forma expresa confiera
eficacia y validez a los mensajes de datos y las firmas electrónicas es conveniente.
Estas nuevas instituciones electrónicas, como las firmas y los documentos
solo son similares a sus equivalentes del mundo físico en lo que respecta a
sus consecuencias pero la forma de promoverse en juicio, de conservarse o el
cumplimiento de formalidades podría dificultarse sin una ley que trate lo que
respecta a sus especialidades.
La legislación aplicable a la contratación electrónica es la misma legislación
ordinaria en cuanto es aplicable por la materia correspondiente. Si existen
leyes especiales que refiera a algunos aspectos puntuales de la contratación
electrónica, esta será de aplicación preferente solo en lo que respecta a su
especialidad.
Todo documento y firma electrónica tiene validez, es la responsabilidad y
obligación de los jueces el apreciarlos y darle el valor y eficacia jurídica que las
leyes otorgan. La presencia de un mayor número de elementos de seguridad en
la forma prevista en las leyes especiales dará un valor mayor que va desde la
plena prueba hasta los simples indicios.
Tramites y contrataciones de todo tipo, podrán ser realizados cuando de hayan
implementado los mecanismos necesarios, desde los mas sencillos y evidentes
como compraventa de vehículos, otorgamiento de poderes, solicitudes de
certificaciones de gravámenes, de copias en registros, etc. hasta trámites
y contratos que requieran de mayores solemnidades y formalidades como
contratos de seguros, venta de inmuebles, donaciones, testamentos, etc.
Mención especial merecen los títulos valores cuya integridad en un solo
documento es requisito fundamental de validez. Cabe destacar que esto es
perfectamente posible mientras se sigan cumpliendo los requisitos de Ley. Todo
tipo de aceptaciones, endosos y avales pueden ser incluidos en el documento
electrónico por vía de firmas electrónicas. A estos efectos los artículos 8, 6 y 16
de la LSMDFE señalan que cuando la ley requiera que la información conste
por escrito, o que para determinados actos o negocios jurídicos se exija la firma
autógrafa esos requisitos quedarán satisfechos con relación a un Mensaje de
Datos, si la información que éste contiene es accesible para su ulterior consulta
y mediante a asociación al mismo de una Firma Electrónica. Adicionalmente, la
Firma Electrónica podrá formar parte integrante del Mensaje de Datos, o estar
inequívocamente asociada a éste y podrá enviarse o no en un mismo acto con
lo que se resuelve la participación de nuevos sujetos de la relación cambiaria.
La sola entrada en vigencia en los diferentes países de leyes especiales
referentes a estas materias no es suficiente para lograr todos los fines por ellas
perseguidos. En el caso de la LSMDFE de Venezuela han pasado ocho meses de

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 129


su entrada en vigencia y no se ha organizado la Superintendencia de Servicios de
Certificación Electrónica con lo cual el mecanismo supletorio allí establecido no
puede lograrse aún. Sin embargo, hay otras formas de lograr la plena eficacia y
valor de los documentos y firmas electrónicos aún cuando requieren de pruebas
adicionales en la forma expresada en el punto 1 del Capítulo V.
Es por eso que si el Estado no hace su mejor esfuerzo para que notarías, registro
subalternos, mercantiles y civiles y otras dependencias ofrezcan sus servicios en
línea estas leyes se convertirán una curiosidad de clases privilegiadas en lugar
de una herramienta de trabajo que facilite la vida del ciudadano común tanto
en sus relaciones privadas como en las que mantenga con los organismos del
Estado.

BIBLIOGRAFIA
AVELLAN (99), J.: Juan Andrés Avellán Veloz
Las Firmas Electrónicas y la Seguridad de las Comunicaciones en Línea
Comercio Electrónico. Las fronteras de la Ley. Lorenzo Lara Carrero – Compilador
Cámara Venezolana de Comercio Electrónico. Caracas
CARNELUTI (282), F.: Francesco CARNELUTTI
La Prueba Civil
Trad. Niceto Alcalá-Zamora y Castillo
Depalma, Buenos Aires
CARRASCO (00), H.: Humberto Rolando CARRASCO BLANC
Contratación Electrónica y Contratos Informáticos
La Ley, Santiago de Chile
CCV (82): Código Civil Venezolano
Gaceta Oficial dela República de Venezuela Nº 2990 Extraordinario
CIANCIO (99), C.: Carmelina Cianccio
Análisis Interpretativo dela Fase Preliminar del Contrato Digital
Comercio Electrónico. Las fronteras de la Ley. Lorenzo Lara Carrero – Compilador
Cámara Venezolana de Comercio Electrónico. Caracas
CPC (85): Código de Procedimiento Civil de Venezuela
Gaceta Oficial dela República de Venezuela Nº 3694 Extraordinario
KOEPSELL (00); D.: David R. Koepsell
The Onthology of Cyberspace. Law, Philosophy and the Future of Intellectual
Property
Open Court, Chicago
LSMDFE (01): Ley Sobre Mensajes de Datos y Firmas Electrónicas de Venezuela
Gaceta Oficial de la República Bolivariana de Venezuela Nº 37.148 del
MADURO LUYANDO (483), E.: Eloy MADURO LUYANDO
Curso de Obligaciones Derecho Civil III
Universidad Católica Andrés Bello, Caracas
MENDOZA (99), M.: Miguel Mendoza Cabrera
Aspectos Contractuales
Comercio Electrónico. Las fronteras de la Ley. Lorenzo Lara Carrero – Compilador
Cámara Venezolana de Comercio Electrónico. Caracas
RAFFALLI (99), J.: Juan Manuel Raffalli A.
Consideraciones Generales al Régimen Aplicable al Comercio Electrónico en
Venezuela
Comercio Electrónico. Las fronteras de la Ley. Lorenzo Lara Carrero – Compilador
Cámara Venezolana de Comercio Electrónico. Caracas
UNCITRAL (01): Comisión de las Naciones Unidas para la Unificación del Derecho
Mercantil Internacional (CNUDMI / UNCITRAL)
Ley Modelo de la CNUDMI para las Firmas Electrónicas con la Guía para su
Incorporación al Derecho Interno
http://www.uncitral.org/english/sessions/unc/unc-34/acn-484e.pdf
UNCITRAL (96): Comisión de las Naciones Unidas para la Unificación del Derecho

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.130


Mercantil Internacional (CNUDMI / UNCITRAL)
Ley Modelo de la CNUDMI sobre Comercio Electrónico con la Guía para su
Incorporación al Derecho Interno
http://www.uncitral.org/english/texts/electcom/ml-ecomm.htm
RAMÍREZ & GARAY
Jurisprudencia Venezolana
Ramírez & Garay, Caracas
OLASO (84), L.: Luis María Olaso J.
Introducción al Derecho
Universidad Católica Andrés Bello, Caracas
NARANJO (82), Y.: Yury Naranjo
Introducción al Derecho
se / sl

m3 |contenidos | IC

información complementaria 11-12

Para visualizar estas informaciones complementarias dirijasé al sector respectivo


en la Plataforma.

m3 |contenidos | IC

información complementaria 13

Los Mensajes de Datos y la prueba de los negocios, actos y hechos con


relevancia jurídica soportados en formatos electrónicos
Por Mónica Viloria
Julio del 2001

Abstract: Antes de entrar en el aspecto específico de la prueba en el comercio


electrónico, no podemos dejar de mencionar que ésta es un área del conocimiento
extraña para muchos de nosotros, pero que sirve para reafirmar la universalidad
y abstracción del Derecho como ciencia, que lo hace capaz de adaptarse a los
nuevos avances tecnológicos y al desarrollo moderno de la actividad humana
que, de una manera u otra, jamás escapa a la aplicación de las normas jurídicas.

I. Introducción
Con la expansión del uso de la Internet a nivel mundial ha surgido una nueva
dimensión en las comunicaciones y en el comercio. Actualmente, la comunicación
digital brinda a los comerciantes y usuarios la opción de intercambiar, ofrecer y
adquirir bienes y servicios electrónicamente durante las veinticuatro horas del
día por medio de líneas telefónicas, redes de ordenadores o por cualquier otro
medio electrónico.
Pero ¿en qué es el comercio electrónico?
El comercio electrónico consiste en realizar electrónicamente transacciones
comerciales, a través de la transmisión electrónica de datos, incluidos texto,
imágenes y vídeo. El comercio electrónico comprende actividades muy diversas,
como, por ejemplo, el intercambio de bienes y servicios tangibles e intangibles,

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 131


suministro en línea de contenidos digitales, transferencia electrónica de fondos,
compra-venta electrónica de acciones, subastas, etc. Por otra parte, abarca a
la vez productos (bienes de consumo, equipos médicos especializados, libros)
y servicios (servicios de información financiera, etc.) y nuevas actividades (por
ejemplo, centros comerciales virtuales).
Indudablemente que el comercio electrónico es una magnífica opción para
muchos consumidores que requieren rapidez en la entrega de información,
productos o servicios. En efecto, a través de Internet se puede, por ejemplo,
adquirir un bien o servicio a las 2:00 a.m., en línea directa con la tienda, la cual
estará lista para recibir y tramitar de inmediato su pedido.
El atractivo de esta nueva dimensión de las comunicaciones lo constituyen
las enormes ventajas que ofrece el comercio a través de Internet. De hecho,
el comercio electrónico permite a los proveedores y a sus clientes reducir los
costos, facilitando la creación de nuevos mercados y canales de distribución
para productos ya existentes; asimismo, permite una mayor y mejor coordinación
en las ventas y rapidez en la distribución y entrega de los productos.
Sin embargo, el comercio digital no deja de tener algunos inconvenientes, que
en ocasiones son decisivos a la hora de elegir este medio para ofrecer o adquirir
un bien. Uno de estos inconvenientes es el riesgo y la inseguridad en la Red,
porque hasta el momento no existe un método eficaz para prevenir el fraude o
robo cuando los consumidores transmiten los números de sus tarjetas de crédito
u otros datos financieros personales a través de mensajes de datos.
Otro de los motivos por los cuales los consumidores se han visto reacios a
utilizar este medio para hacer sus compras es, precisamente, la poca confianza
que inspira la ausencia absoluta de soportes documentales físicos o materiales,
es decir, de “documentos de papel” que sustenten la contratación de un servicio
o la compra de un producto.
Generalmente, las empresas y sus clientes formalizan sus acuerdos de voluntad
mediante documentos, reuniones cara a cara, conversaciones telefónicas
y otra clase de comunicaciones; sin embargo, el reto de utilizar la Internet
para la comercialización de bienes y servicios, lleva consigo la necesaria
“desmaterialización” de los convenios.
Ciertamente, con la llegada de la tecnología de Internet, las compañías que antes
formalizaban sus actividades de venta y soporte mediante documentos de papel,
poco a poco, se vienen sirviendo de los mensajes y registros electrónicos para
soportar sus transacciones comerciales. De esta manera la información acerca
de una transacción cualquiera, así como las facturas, propuestas y contratos
se están poniendo a disposición del cliente mediante el envío de mensajes a
través del “cyberespacio”. Así, con el advenimiento del comercio electrónico, el
papel será progresivamente sustituido por las memorias eléctricas o electrónicas
(cualesquiera sean los soportes en los que estén constituidas), sobre todo en
aquellas operaciones comerciales efectuadas entre personas domiciliadas en
países separados por largas distancias y que ven imposibilitado el otorgamiento
de documentos en papel a través del correo tradicional.
La inseguridad que inspira la contratación a través de Internet, por inexistencia
de soportes físicos que sirvan para comprobar la existencia de una obligación,
su incumplimiento, extinción o inclusive el daño extracontractual derivado de
un hecho ocurrido en la Red, es un problema importante a la hora escoger la
vía de Internet, para la celebración de un contrato o de cualquier otra operación
comercial.
Es un hecho que en la cotidianidad de la vida surgen conflictos o desaveniencias
entre las personas, los que –en ocasiones- podrían generar un eventual litigio
y, lógicamente, ni el comercio electrónico ni las comunicaciones digitales en
general, escapan a esta realidad. Ahora bien, en muchos casos, el conflicto
surgido entre sujetos contratantes de bienes o servicios por Internet, no puede
se resuelto amigablemente, lo que obliga a las partes a acudir ante los órganos

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.132


jurisdiccionales o arbitrales para lograr su resolución.
En todo caso, si las partes han comprometido la resolución de sus controversias
al conocimiento de un tribunal arbitral o si necesariamente deben acudir a
los órganos judiciales ordinarios en búsqueda de la tutela de sus derechos e
intereses (bien porque no exista acuerdo arbitral o bien porque la naturaleza
de los derechos en discusión no sea susceptible de resolución arbitral), será
necesario que demuestren la veracidad de sus afirmaciones de hecho a través
de los medios de prueba de que dispongan.
En efecto, como en cualquier otro litigio, el demandante (comerciante o
consumidor por Internet) al poner en práctica su derecho de defensa judicial
tendrá la carga de probar sus afirmaciones, para lo cual posiblemente tendrá
que acreditar la prueba de la existencia del contrato o de la operación comercial
realizada electrónicamente.
La mayoría de los eventos que los comerciantes por Internet relatarán en sus
escritos de demandas habrán ocurrido en la red, por ejemplo:
“Mi computadora se contagió de un virus cuando estaba bajando este sofware”.
“La oferta comercial que circuló en el servidor establecía una serie de
características y garantías de calidad del producto ofrecido que no se cumplieron
en el bien que adquirí de tal o cual comerciante”.
“El vendedor no respetó el contrato que realizamos por correo electrónico
(e-mail)”.
“Hay una copia ilegal de uno de mis trabajos u obras en tal o cual “newsgroup”.
En todos estos casos las partes necesitarán la prueba de que el contrato no fue
cumplido conforme a lo pactado (el bien que se adquirió a través de la Red no
llegó, no funcionó o no era lo que se esperaba) o que sencillamente se extinguió
la obligación comercial convenida electrónicamente.
Todo esto nos lleva a una considerable dificultad y a un momento decisivo para
la parte que pretenda defender sus derechos con ocasión a una transacción
comercial electrónicamente efectuada, puesto que su pretensión –como ya
hemos dicho- no sólo deberá ser alegada sino además, demostrada ante la
autoridad judicial o arbitral, según el caso, de conformidad con las principios y
normas del Derecho Probatorio.
Ciertamente, la conducta que una persona debe desenvolver para obtener
la tutela jurisdiccional, está constituida no sólo por la formulación de sus
alegaciones, sino también y generalmente, por la prueba de sus afirmaciones
fácticas. Así pues, para obtener una decisión favorable, no basta simplemente
afirmar la existencia de un hecho y alegar las innumerables normas jurídicas que
protejan la situación del reclamante, sino que es prácticamente indispensable
que el litigante forme el convencimiento del juez o de los árbitros, según el caso,
a través de su actividad probatoria.
En la realidad de todo proceso judicial o arbitral las alegaciones y las pruebas,
-que dan origen a la actividad alegatoria y probatoria, respectivamente, son
absolutamente complementarias; la actividad probatoria sólo se justifica si
existen alegaciones de las partes y, a su vez, difícilmente las alegaciones podrán
1. CAROCCA PEREZ,
ser admitidas si no son probadas(1) .
Alex, “Garantía
Supongamos que una persona ha realizado una transacción comercial a través
constitucional de la
de Internet o que se comprometió a través de un contrato electrónico a prestar o
defensa judicial”, J.M.
recibir un servicio de suministro de información digital y, posteriormente, desea
Bosch Editor, 1998,
demandar el incumplimiento del contrato o su extinción.
Barcelona, p. 277.
En este caso, el usuario de Internet se comportará como cualquier sujeto
demandante y, en tal sentido, alegará la existencia del contrato, su incumplimiento
y el daño causado por el mismo; así también, requerirá acompañar al libelo
de demanda el instrumento fundamental en el que se apoya su pretensión y,
posteriormente, durante la etapa probatoria deberá convencer al juez de la
existencia y veracidad de sus argumentos.
A simple vista el eventual litigio que tenga su origen en un hecho o una transacción

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 133


ocurrida en Internet, no parece tener mayor dificultad que la de un juicio o un
arbitraje tradicional; sin embargo, la desmaterialización progresiva de los
contratos, facturas y demás documentos en los que se apoya la transacción, es
causa de gran preocupación a la hora de desplegar la actividad probatoria de
la parte que pretenda servirse de un mensaje de datos o documento electrónico
para apoyar su defensa. Nos preocupa, principalmente, porque nuestro sistema
de administración de justicia es eminentemente escrito y, en segundo lugar,
porque hasta hace poco no contábamos con normas jurídicas expresas que
regularan el problema de la firma digital y el valor de los mensajes de datos o
documentos electrónicos y de las impresiones o reproducciones de éstos.
A pesar del importante avance que hemos dado con la reciente promulgación del
2. Publicada en Gaceta
Decreto Ley sobre Mensajes de Datos y Firmas Electrónicas(2) (en lo sucesivo
Oficial de la República
Ley de Mensajes de Datos y Firmas Electrónicas), lamentablemente, tal y como
Bolivariana de Venezuela
están configurados los procedimientos judiciales, no parece fácil acreditar ante un
No. 37.148, de fecha 28
juez o un árbitro la existencia de una transacción electrónica, su incumplimiento
de febrero de 2001.
o extinción, así como cualquier otro hecho con relevancia jurídica, que haya
ocurrido a través de Internet.
En efecto, la aptitud probatoria de los mensajes de datos quedó resuelta por la
ley, sin embargo, la interrogante a resolver es cómo debe desenvolverse este
medio de prueba en un proceso diseñado por un legislador que no lo tomó en
cuenta. De allí nuestro interés en reflexionar acerca del problema probatorio frente
al avance de la informática como la nueva forma de los negocios mercantiles y
3. CAROCCA PEREZ, las soluciones aportadas por la novísima Ley sobre Mensajes de datos y Firmas
Alex, ob, cit, p.294 Electrónicas.
Antes de entrar en el aspecto específico de la prueba en el comercio electrónico,
4. VERDE y BORRUSO
no podemos dejar de mencionar que ésta es un área del conocimiento extraña
citados por Rengel
para muchos de nosotros, pero que sirve para reafirmar la universalidad y
Romberg, Arístides.
abstracción del Derecho como ciencia, que lo hace capaz de adaptarse a los
Tratado de Derecho
nuevos avances tecnológicos y al desarrollo moderno de la actividad humana
Procesal Civil
que, de una manera u otra, jamás escapa a la aplicación de las normas jurídicas.
Venezolano, Tomo
IV, El procedimiento
II. Naturaleza jurídica de los mensajes de datos o documentos electrónicos
Ordinario, Las pruebas
Tradicionalmente, el concepto de documento se ha venido identificando como
en particular, Editorial
“escrito”, es decir, como un objeto o instrumento en el que queda plasmado un
Arte, Caracas, 1997,
hecho que se exterioriza mediante signos materiales y permanentes del lenguaje.
p.236
Sin embargo, acogiéndonos a la definición amplia del documento, como “cosas
muebles aptas para la incorporación de señales expresivas de un determinado
5. De acuerdo con la Ley significado”(3) , debemos concluir en que los registros o soportes electrónicos
de Mensajes de Datos constituyen verdaderos documentos, pues, en ellos se recogen expresiones del
y Firmas Electrónicas, pensamiento humano o de un hecho, incorporándolos a su contenido, que es lo
por Mensajes de Datos que los hace capaces de acreditar la realidad de determinados hechos.
se entiende “Toda En el caso del comercio electrónico, a través de la utilización de un tabulador el
información inteligible sujeto jurídico exterioriza su voluntad, bien en orden a ofrecer un bien en venta,
en formato electrónico un servicio, manifestar su aceptación de una oferta de negocios o simplemente
o similar que pueda expresar cualquier mensaje con relevancia jurídica y en el momento en que
ser almacenada o se trasmite el impulso a la máquina que memoriza el mensaje, la forma de la
intercambiada por declaración o del negocio jurídico coincide con la información memorizada
cualquier medio”. Ahora de la máquina electrónica, la cual funge de documentación y el documento
bien, de acuerdo con ello se identifica con la memoria. Como bien lo expresan reconocidos autores del
tales mensajes no son Derecho Probatorio Italiano, “registrar datos en una memoria magnética significa
más que documentos escribir”(4) . De allí que podemos afirmar que el mensaje de datos(5) puede
electrónicos, es decir, contener información escrita, pero, a diferencia de la escritura tradicional, su
representaciones de la contenido no puede ser leído por el hombre sin el auxilio del computador, que
voz o el pensamiento, fungiría de decodificador.
contenidos en formatos Ahora bien, atendiendo al contenido de los mensajes de datos, es innegable su
digitales. carácter documental. El soporte electrónico es portador de manifestaciones de

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.134


la voz o del pensamiento humano y, por ende, tiene vocación probatoria. Por
ello compartimos plenamente la opinión de quienes afirman que “actualmente,
el concepto de documento no puede reservarse ni ceñirse exclusivamente al
papel reflejo y receptor por escrito de una declaración humana escrita, desde el
momento nuevas técnicas han multiplicado las ofertas de soportes físicos capaces
de corporeizar y dotar de perpetuación al pensamiento. (…). Las innovaciones
tecnológicas pueden y deben incorporarse al acervo jurídico en la medida en que
6. SANCHIS CRESPO, C. son una realidad social que el derecho no puede desconocer”(6) .
La prueba por soportes No existe un ejemplo más perfecto del carácter documental de los mensajes de
informáticos. Tirant datos, que el señalado por BORUSSO(7) para quien es necesario convencerse
lo blanch, Valencia- de que se puede escribir también registrando datos en una memoria magnética:
España, 1999, p.ág. 83. “el flujo de los electrones es la nueva tinta de la cual es posible servirse; las
memorias eléctricas o electrónicas (cualesquiera que sean los soportes de que
7. citado por RENGEL, estén constituidas) son el nuevo papel; los bits (en la combinación necesaria
ob, cit, 236 para representar caracteres alfanuméricos) son el nuevo alfabeto”.
Al amparo de lo expuesto y acogiéndonos a la concepción amplia de
“documento”, no dudamos en afirmar que los mensajes de datos si bien no
constituyen una escritura, en el sentido tradicional de tinta sobre papel, sin
embargo, son una forma desmaterializada, a través de la cual se incorporan
determinadas expresiones del pensamiento humano y que pueden servir para
acreditar la realidad de determinados hechos.

III. La prueba de las transacciones comerciales, de los actos y de los hechos


con relevancia jurídica documentados electrónicamente.
En nuestro ordenamiento jurídico las pruebas o evidencia de los hechos y de los
contratos no tienen restricción, salvo claro está en aquellos casos en los cuales
determinados negocios jurídicos requieren ciertas solemnidades como constar
en un documento público o privado auténtico (por ejemplo, compra-venta de un
bien inmueble o de una nave o aeronave, las capitulaciones matrimoniales, etc).
En este sentido, es perfectamente posible utilizar documentos electrónicos que
circulen por Internet, como medio de prueba en un determinado litigio.

1.- La prueba de los hechos


De todo hasta aquí expuesto, nos surge la interrogante de ¿cómo pueden
probarse ante un juez o árbitro el envío o recepción de un e-mail, la circulación
de ciertas informaciones en la Red o la procedencia de un mensaje por parte de
una persona determinada? La prueba de todos estos hechos, como veremos
de seguidas, no tiene -en principio- ninguna restricción, por lo que las partes
podrán servirse de cualquier medio de prueba legal o libre para demostrar la
veracidad y legitimidad de sus reclamaciones.
A este respecto debemos señalar que en nuestro derecho, hasta el derogado
Código de Procedimiento Civil de 1916, regía el sistema conocido como el
numerus clausus de los medios de prueba, pues el derogado artículo 288 de
dicho Código establecía: “los medios de prueba que podrán emplearse en
juicio serán únicamente los que determine el Código Civil…”. Por el contrario,
el nuevo Código de 1987, en su artículo 395, admitió el sistema de libertad de
pruebas, (numerus apertus) al establecer: “Son medios de prueba admisibles en
juicio aquellos que determina el Código Civil, el presente Código y otras leyes
de la República. Pueden también las partes valerse de cualquier otro medio de
prueba no prohibido expresamente por la ley, y que consideren conducente a
la demostración de sus pretensiones. Estos medios se promoverán y evacuarán
aplicando por analogía las disposiciones relativas a los medios de prueba
semejantes contemplados en el Código Civil, y en su defecto, en la forma que
señale el juez”.
En consecuencia, la regla general es que cualquier medio probatorio es válido
y conducente para acreditar los hechos afirmados por las partes, salvo que esté

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 135


expresamente prohibido por la Ley. Esta libertad de medios probatorios, expresión
8. En este sentido, vale de la garantía constitucional de la defensa, permite a las partes acreditar sus
citar una decisión del afirmaciones utilizando cualquier medio probatorio pertinente enumerado o no
Tribunal Constitucional en la ley. Sin embargo, debe tenerse claro que la libertad de pruebas no implica
Español de fecha 25 un derecho absoluto e incondicionado al uso de todos los medios de prueba. En
de abril de 1984, en efecto, no se trata de un derecho ilimitado(8) que obligue a los jueces a admitir
la cual se sostuvo: “El cualquier medio de prueba propuesto por el enjuiciado, sino más bien de un
derecho a las pruebas derecho relativo, puesto que se haya limitado por el criterio de la pertinencia(9)
que reconoce el artículo y conducencia o utilidad(10) del medio de prueba propuesto.
24 CE, no es, en ningún De esta manera, el acceso indiscriminado al proceso de cualquier medio de
caso, un derecho prueba propuesto, está limitado por la pertinencia del mismo, es decir, por la
a llevar a cabo una “relación que éste guarda con lo que es objeto del juicio y con lo que constituye
actividad probatoria el thema decidendi para el tribunal y expresa la capacidad de los medios
ilimitada. Las pruebas utilizados para formar la definitiva convicción del tribunal. Así entendida la
que la parte puede tener pertinencia de las pruebas es distinta a su eventual relevancia, que consiste en
derecho a practicar son el juicio de necesidad o de utilidad de las mismas”(11) . Ahora bien, la decisión
aquellas que guardan sobre la pertinencia o no de la prueba propuesta por las partes, lo mismo que
una pertinente relación la valoración de las practicadas, es función que corresponde a los órganos
con lo que es objeto del judiciales de conformidad con la ley procesal (Artículos 507 al 510 del Código de
litigio”. Procedimiento Civil).
En virtud de lo expuesto y del derecho fundamental a utilizar todos los medios
9. En este sentido, de prueba pertinentes, la demostración de un hecho o de un evento con
deberán inadmitirse trascendencia jurídica que haya ocurrido en Internet, podrá ser alcanzado a
por impertinentes los través de cualquier medio de prueba (legal o libre) siempre, claro está, que éste
medios de prueba que sea susceptible de contribuir a formar el convencimiento del juez y haya sido
se dirijan a probar obtenido en forma lícita.
hechos no alegados,
no controvertidos, no 2.-La prueba de los contratos (transacción comercial)
relevantes y los hechos Al igual que lo que sucede en el caso de la demostración de un hecho ocurrido
notorios excluídos de en la Red, no existe una regla legal que establezca que la acreditación de la
prueba por ley. existencia o extinción de un contrato electrónico, se deba llevar a cabo a través
10. La utilidad puede ser de un determinado y único medio de prueba.
definida como aquella Sin embargo, la prueba de las obligaciones sí encuentra ciertas limitaciones
cualidad del medio de legales en nuestro ordenamiento jurídico, como, por ejemplo, la imposibilidad
prueba que hace que de probar su existencia o extinción a través de la prueba testifical (Art. 1.387
éste sea adecuado o Código Civil Venezolano). Lo propio ocurre con respecto a la prueba documental
apto para probar un negocial, pues ciertas y determinadas convenciones deben constar por escrito,
hecho. en instrumento público o privado, para que puedan producir efectos jurídicos
11. Sentencia del frente a terceros (compra-venta de inmuebles y de bienes muebles sujetas a
Tribunal Constitucional publicidad registral, las capitulaciones matrimoniales, etc).
Español de fecha 10 de En nuestro derecho gran cantidad de los acuerdos o negocios jurídicos se
abril de 1985. perfeccionan con la sola manifestación de voluntad, sin embargo, las partes para
procurarse una mayor seguridad en sus relaciones hacen constar por escrito el
12. Artículo 1.357.- contenido de su negociación y su voluntad de aceptar los términos del contrato
“Instrumento público o estampando como constancia expresa de su aquiescencia la firma autógrafa.
auténtico es el que ha Tradicionalmente, el documento por escrito con soporte papel ha sido la prueba
sido autorizado con las por excelencia de las convenciones o negocios jurídicos, pero no la única, pues
solemnidades legales nada obsta para que la voluntad de contratar o de extinguir una relación jurídica
por un Registrador, sea evidenciada a través de cualquier otro medio de prueba. Lo anterior no se
por un Juez u otro aplica, por supuesto, a los casos en que la escritura (entiéndase el soporte
funcionario o empleado papel) es fundamental para la validez y existencia del contrato (documentos ad
público que tenga la solemnitatem). Este es el caso, por ejemplo, del contrato de compra-venta de
facultad para darle fe bienes inmuebles en el que la tradición del bien se cumple con el otorgamiento
pública, en el lugar del documento de propiedad (art.1.488 del Código Civil), el cual debe ser
donde el instrumentro se necesariamente registrado o, lo que es lo mismo, constar en escritura pública(12)
haya autorizado”. para surtir sus efectos legales (art. 1.920, del Código Civil).

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.136


Indudablemente, la constancia escrita de los negocios y transacciones
comerciales (aquella con soporte papel y con las respectivas firmas autógrafas
de las partes intervinientes) otorga a las partes mayor seguridad y confiabilidad
a la hora de asegurarse un medio de prueba de su negociación; por esta razón,
no es difícil imaginarse los inconvenientes que se generan con la utilización de
soportes digitales en sustitución de soportes de papel en el comercio de bienes
y servicios.
Sin embargo, debemos advertir que la prueba de una transacción comercial
o de una obligación mercantil, salvo los casos expresamente señalados por
la ley, no se logra única y exclusivamente a través de una escritura pública o
privada, debidamente firmada. En efecto, si dejamos a salvo las situaciones en
las que la ley exige la existencia de un documento escrito, las excepciones son
tan amplias que los usuarios de Internet no encontrarán verdaderos obstáculos
para acreditar la existencia o extinción de sus contratos por Internet, a través de
cualquier medio de prueba.
13. De hecho y hasta
En todo caso, en la práctica actual de la Red no existe ninguna prohibición
tanto no se dicten las
para que una parte requiera de su co-contratante, la conclusión de un contrato
regulaciones sobre
por escrito o el envío de una factura en físico(13) o la declaración escrita de
la facturación digital,
la aceptación de una oferta de negocio. Ciertamente, consideramos que es
es obligación de los
perfectamente válido que el usuario exija por escrito la prueba de la transacción
comerciantes de bienes
comercial, siempre que en las condiciones generales de contratación no haya
y servicios a través
renunciado expresamente a esta posibilidad.
de Internet y que se
Ahora bien, puede darse el caso de que el usuario no pueda solicitar el envío
encuentren domiciliados
en físico del contrato contentivo de la transacción, porque, por ejemplo, su
en el país, facturar en
co-contratante se encuentre en un país lejano y sea inoperante su envío. Por
la forma tradicional,
otra parte, debe tenerse en cuenta que la exigencia del documento en papel
cumpliendo con los
atentaría contra la celeridad de las transacciones electrónicas. En efecto, es una
requisitos exigidos por
práctica en el comercio electrónico, derivada de las características de reducción
la legislación tributaria.
de costos, celeridad y eficiencia de las transacciones, que las personas obvien
los documentos escritos y creemos debe ser esta misma práctica la que permita
a las partes utilizar como evidencia de un contrato un documento electrónico
(como, por ejemplo, un buzón de mensajes electrónicos).
En todo caso y como ya se expuso, la prueba para estos contratos puede ser
acreditada por cualquier medio de prueba legal o libre (salvo la excepción de
utilizar la prueba testifical para probar la existencia o extinción de una convenión
mayor a dos mil bolívares, prevista en el artículo 1387, del Código Civil); de
modo que los documentos electrónicos sí pueden constituir evidencia de la
existencia o extinción de un contrato y así es expresamente reconocido por la
Ley de Mensajes de Datos y Firmas Electrónicas, de acuerdo con la cual “a los
fines de otorgar la seguridad jurídica necesaria para la aplicación de dicha Ley,
así como para la adecuada eficacia probatoria de los mensajes de datos y firmas
electrónicas, en el artículo 4° se atribuye a los mismos el valor probatorio que
la Ley consagra para los documentos escritos, los cuales gozan de tarifa legal
14. Exposición de y producen plena prueba entre las partes y frente a terceros de acuerdo a su
Motivos del Decreto- naturaleza”(14) .
Ley No. 1.204 de fecha Ciertamente, de acuerdo con la citada Ley, los mensajes de datos se equiparan
10 de febrero de 2001, a la prueba documental, lo que significa que cuando una determinada ley exija
de Menajes de Datos y que para la prueba de un negocio jurídico, éste deba constar en original, dicho
Firmas Electrónicas. requisito se entenderá cumplido con relación a un mensaje de datos, si la
información que allí se contiene es accesible para su ulterior consulta. Y si lo que
la ley exige es la constancia escrita del negocio jurídico, la Ley sobre Mensaje
de Datos y Firmas Electrónicas expresamente señala que dicho requisito se
entenderá satisfecho si el mensaje de datos se ha conservado en el formato
en que se generó, archivó o recibió o si ha sido guardado en un formato que
haya conservado la integridad del mensaje original y asegure que no ha sufrido
alteraciones también desde que se generó, archivó o recibió, salvo algún cambio

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 137


de forma propio del proceso de comunicación, archivo o presentación (art. 7°
de la Ley sobre Mensajes de Datos y Firmas Electrónicas), circunstancias éstas
que pueden acreditarse en un juicio si se demuestra que documento (mensaje
de datos) ha sido guardado en un sistema que asegura su confiabilidad e
inalterabilidad, como lo es almacenamiento de su información en un disco óptico
o con la existencia en el documento de un sistema de seguridad como la firma
electrónica.
Ahora bien, ¿Dónde ubicamos a los documentos electrónicos o la información
en ellos contenida, si van a ser utilizadas en un proceso judicial o arbitral. Como
prueba legal o como prueba libre?

IV. Ubicación de los mensajes de datos (documentos electrónicos) en la


clasificación de los medios de prueba.
Con el nombre de pruebas atípicas, libres o innominadas se designa a todo aquel
medio de prueba cuya valoración y forma de promoción no está expresamente
determinado por una norma legal, pero que sin embargo, es -en criterio de la parte
promovente- un medio capaz de conducir al proceso un hecho o circunstancia
alegado y, por tanto, objeto de prueba. Por el contrario, son pruebas legales
aquellas a quienes la ley les ha atribuido credibilidad en abstracto, es decir, de
la cualidad de conducir determinados hechos al proceso, independientemente
de que su forma de promoción y de evacuación haya sido establecida en forma
especial, pues, en cuanto a la materia propiamente adjetiva (procesal) resulta
aplicable la analogía.
Respecto a los documentos electrónicos como medios de prueba, cabe
destacar que la Ley sobre Mensajes de Datos y Firmas Electrónicas, establece
expresamente la eficacia probatoria de estos documentos electrónicos; de
allí que, es posible afirmar que tales mensajes constituyen medios de prueba
legales, independientemente de que, respecto a la forma para su promoción
y evacuación, dicha Ley remita a las reglas procesales establecidas para las
pruebas libres.
Los mensajes de datos son pruebas legales, ya que al establecerse la eficacia
probatoria que debe atribuírseles en su valoración, la Ley les está imprimiendo
de una cierta aptitud o capacidad para trasladar determinados hechos a un
proceso. En efecto, expresa dicho texto legal en su artículo 4° que “los Mensajes
de Datos tendrán la misma eficacia probatoria que la ley otorga a los documentos
escritos, sin perjuicio de lo establecido en la primera parte del artículo 6° de
este Decreto Ley. Su promoción, control, contradicción y evacuación se realizará
conforme a lo previsto para las pruebas libres en el Código de Procedimiento Civil
(…) La información contenida en un Mensaje de Datos, reproducida en formato
impreso, tendrá la misma eficacia probatoria atribuida en la ley a las copias o
reproducciones fotostáticas”.
Ahora bien, acerca de esta disposición legal debemos concluir que para el
legislador los mensajes de datos constituyen “documentos”, por lo tanto
gozan de la misma naturaleza de las “pruebas documentales escritas”; de lo
que se desprende que la Ley bajo examen ha adoptado el concepto amplio de
documento.
La utilización de las formas escritas para manifestar la voluntad, ha sido desde
hace muchos siglos la prueba preconstituida por excelencia. Ciertamente,
cuando se trata de negocios o actos que producen efectos jurídicos y para
cuyo perfeccionamiento la ley no exige la constancia escrita de la voluntad del
declarante (si se trata de actos unilaterales, como por ejemplo: una factura) o
de las partes (si se trata de actos bilaterales, como por ejemplo la enfiteusis),
generalmente se utiliza la forma escrita como un medio para procurarse la prueba
del negocio o acto (la fuente); sin embargo, ello no significa que el documento
constituya el único medio para demostrar la existencia, validez, condiciones o
extinción de tales hechos.

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.138


Por otra lado, la documentación de un acto o negocio “no solemne”, es decir,
para cuyo perfeccionamiento y eficacia jurídica no se exige el otorgamiento de
escritura pública, no posee ningún valor relevante sino hasta el momento en que
surge un conflicto o litigio en el cual se podrá aprovechar como prueba de un
determinado hecho. Momento éste en que el promovente de la prueba deberá
atender a las formas legalmente establecidas para su promoción y evacuación,
pues, de lo contrario se afectaría la eficacia probatoria del instrumento privado.
Por ejemplo, si se trata del documento fundamental de la demanda, es decir,
en el que se funda la acción y el demandante no lo acompaña al libelo de la
demanda, como lo ordena el artículo 434 del Código de Procedimiento Civil, sino
que lo presenta durante el período probatorio, la contraparte en juicio podría
oponerse a la valoración del referido documento, por ilegalidad en su forma de
evacuación. De allí la importancia de atender a las reglas procesales para su
promoción y evacuación.
Lo expuesto nos lleva a afirmar que cualquier mensaje o información electrónica
independientemente de su contenido, constituyen sin duda una “fuente de
prueba” que, eventualmente, podrían convertirse en un “medio de prueba” si su
contenido se considera relevante para demostrar la realidad de un determinado
hecho, acto o negocio jurídico jurídicamente relevante.
En efecto, de acuerdo con MONTERO “hay que distinguir entre lo que ya existe en
la realidad (la fuente) y el cómo se aporta al proceso para obtener la certeza del
15. MONTERO AROCA,
juzgador (medio)”(15) . Distinción ésta que de acuerdo con la doctrina procesal
J. La prueba en el
se fundamenta en que la “fuente” es un concepto metajurídico, extrajurídico
proceso civil, pág. 71.
o a-jurídico, que corresponde forzosamente a una realidad anterior y extraña
al proceso; mientras que el “medio” es un concepto jurídico y absolutamente
procesal, por cuanto no se habla de “medios de prueba” sino dentro de un
proceso (administrativo, judicial o arbitral). En el caso de las transacciones
electrónicas, la fuente es el contrato o el documento contentivo de la
transacción electrónicamente efectuada que existirá con independencia de
que se siga o no el proceso, aunque mientras no se llegue a él su existencia
carezca, en principio, de repercusiones jurídicas; el mensaje electrónico como
“medio de prueba” nacerá y se formará en el proceso (promovido en su formato
original o en algún formato que reproduzca con exactitud la información generada
o recibida). La búsqueda de fuentes por ser ante-procesal y extra-procesal,
no está sujeta a garantías específicas y determinadas de orden procesal, sino
a garantías de orden jurídico; las de orden procesal afectan totalmente a los
16. SENTIS MELENDO,
medios, o sea, a la actividad a través de la cual las fuentes llegan al proceso(16) .
SA. La prueba, Buenos
De allí que, como veremos más adelante, aún cuando exista libertad de pruebas,
Aires, 1978, págs. 151,
quien pretenda valerse en un determinado juicio o en un proceso arbitral de
153 y 158.
un documento electrónico o mensaje de datos, deberá observar las reglas y
principios procesales que para la promoción y evacuación de medios de prueba
semejantes, establece la ley.
Por otra parte, la Ley de Mensajes de Datos y Firmas Electrónicas establece
que la información contenida en un mensaje de datos (fuente de prueba),
reproducida en formato impreso (medio de prueba) tendrá la misma eficacia
probatoria que la ley atribuye a las copias o reproducciones fotostáticas; lo que
significa que tendrán un valor meramente indiciario, salvo –agregamos- que la
parte promovente de la impresión, produzca dentro del mismo proceso otros
medios de prueba que permitan demostrar que la impresión el contenido del
documento electrónico es la copia fiel y exacta de su original, caso en el cual, la
información allí contenida deberá ser valorada en toda su integridad.

V. El ofrecimiento (promoción) en juicio de los mensajes de datos y de los


correos electrónicos
1.La promoción del mensaje de datos de acuerdo con las reglas que rigen los
medios de prueba libres

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 139


17. MONTERO AROCA, Todos los correos electrónicos, informaciones, mensajes de grupos o cualquier
J. ob, cit, págs. 75 y 76. página Web, creados a través del uso de un computador, así como sus copias
almacenadas en computadoras o en disquetes, siempre que constituyan
18. Señala CABRERA
soportes que aseguren la integridad e inalterabilidad del mensaje electrónico e
ROMERO que se trata
inclusive, las impresiones de documentos electrónicos que circulan por Internet,
de ilegalidad en cuanto
constituyen pruebas documentales de los hechos controvertidos admisibles –
a la promoción. La
siempre que sean pertinentes y que no se hayan obtenido ilegalmente- en un
proposición del medio
proceso judicial o arbitral.
viola disposiciones
Todos estos mensajes o registros telemáticos o electrónicos son, en puridad
legales, bien en sus
de conceptos, pruebas documentales, pues son la representación objetiva de
requisitos y formas,
un hecho, la voz o el pensamiento y, en razón de ello, la Ley de Mensajes de
o en la manera como
Datos y Firmas Electrónicas otorga a estos documentos y a la firma electrónica
se pretende que sea
“el mismo valor que la ley consagra para los instrumentos escritos, los cuales
evacuada por el tribunal.
gozan de tarifa legal y producen plena prueba entre las partes y frente a terceros
Más adelante expresa
de acuerdo a su naturaleza. Asimismo, todo lo concerniente a su incorporación al
que de acuerdo con el
proceso donde pretendan hacerse valer, se remite a las formas procedimentales
Código de Procedimiento
reguladas para los medios de pruebas libres, contenidas en el artículo 395 del
Civil existen cuatro
Código de Procedimiento Civil” (Exposición de Motivos de la Ley sobre Mensajes
grupos de prueba
de Datos y Firmas Electrónicas). Con esta previsión legal, ha sido incorporado a
1) los tradicionales
nuestro ordenamiento jurídico el principio de equivalencia funcional, acogido
(Código Civil), 2)
por la mayoría de las legislaciones en esta materia y por los modelos que
Los contemplados
organismos multilaterales han desarrollado para la adopción por parte de los
en el Código de
países de la comunidad internacional en su legislación interna.
Procedimiento Civil.
De modo pues que, a los fines de tutelar el ofrecimiento, control y valoración de
3) Los señalados en
estos medios de prueba como pruebas documentales, deberán aplicarse por
otras leyes del país.
analogía las normas sobre la “prueba por escrito” contenidas en el Código de
Pero, como quiera que
Procedimiento Civil.
poseen el denominador
común que nacen de la
2. La admisibilidad de los mensajes de datos (Credibilidad, autenticidad e
ley, podemos refundirlos
integridad del mensaje).
en uno solo: el de las
El hecho que la eficacia probatoria de los mensajes de datos se haya asimilado
pruebas legales. El
a la de los documentos escritos, no los hace por sí admisibles en juicio. Como
cuarto grupo es el de
antes se expresó, el derecho a utilizar los medios de prueba no es ilimitado.
las pruebas libres. Ahora
En efecto, cada medio propuesto debe necesariamente ser sometido al criterio
bien, dicho autor expresa
de la pertinencia para su admisión, cuya apreciación corresponde al órgano
que los medios legales
judicial o arbitral. Los elementos caracterizadores del juicio sobre la pertinencia,
de prueba generalmente
podríamos resumirlos en tres:
están regulados por
1° Que el objeto de la prueba sean hechos y no normas jurídicas o elementos
normas que establecen
de derecho.
requisitos para su
2° Que los hechos estén previamente alegados y, por tanto, aportados al proceso.
promoción y si estas
3° Que no se trate de hechos exonerados de prueba.
normas no se cumplen
Otros dos criterios que deben concurrir para que el juez o árbitro admita una
o se infringen, la
prueba, son: i) La posibilidad material de que la prueba sea practicada. Esto
proposición del medio es
supone que si por ejemplo, se propone un medio de prueba (inspección judicial)
ilegal. Los medios libres,
respecto de una fuente que ya no existe, porque se encuentra en un país en
al contrario, por ser
guerra o porque se destruyó completamente por causa de un incendio, al no ser
creación de las partes,
posible la práctica, la misma deberá ser inadmitida(17) ; ii) la legalidad del medio
no tienen ni pueden
propuesto y la licitud del medio: la legalidad del medio propuesto significa
tener para su promoción,
que la actividad procesal que es preciso desarrollar para incorporar la fuente al
requisitos particulares
proceso, deberá realizarse de acuerdo con lo dispuesto en la ley. Por oposición,
establecidos en la ley.
la ilegalidad va a tener lugar cuando la prueba promovida sea contraria a la ley
En principio, la única
y por tanto, no podrá ser admitida por el Tribunal(18) . La licitud, por su parte,
valla para su inadmisión
se refiere al modo de obtención de la fuente que posteriormente se pretenda
por ilegalidad, es que
incorporar al proceso. Como quiera que la actividad de obtención de la fuente no
ela ley los prohiba
es procesal, la forma, en principio, libre, está sujeta a una importante limitación:
e x p r e s a m e n t e .
“serán nulas las pruebas obtenidas mediante violación del debido proceso”, de

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.140


CABRERA ROMERO, E. modo pues que, de acuerdo con el artículo 49, numeral 1° de la Constitución
Contradicción y control de 1999, las pruebas obtenidas directa o indirectamente violando los derechos
de la prueba legal y fundamentales no surtirán efectos en el proceso y deberán ser inadmitidas “por
libre. Tomo I, Caracas, ilegalidad” o “por inconstitucionalidad” (CABRERA ROMERO).
1997, pág. 99. A este respecto, la Ley sobre Mensajes de Datos y Firmas Electrónicas dispone en
su artículo 5° que “Los mensajes de datos estarán sometidos a las disposiciones
19. De acuerdo con constitucionales y legales que garantizan los derechos a la privacidad de las
nuestra doctrina comunicaciones y de acceso a la información personal” (Art. 5); con lo cual,
procesal, la referencia un mensaje de datos que haya sido interceptado o adquirido en violación de
que hace el Código tales garantías, no podrá ser utilizado válidamente como prueba de los hechos
de Procedimiento Civil o actos en el contenidos.
en su artículo 395 a Ahora bien, en cuanto al ofrecimiento en juicio de los mensajes de datos como
las normas del Código medios de prueba, la referida Ley dispone que deberá seguirse el procedimiento
Civil, deben hacerse establecido para las pruebas libres (art. 4° de la Ley sobre Mensajes de Datos y
extensible a otras leyes Firmas Electrónicas); por lo que, siendo indudable el carácter “documental” de
de la República. Ver. los mensajes de datos, es lógico que acudamos –por analogía- a las reglas sobre
CABRERA ROMERO, E. la prueba por escrito previstas en el Código Civil y en el Código de Procedimiento
ob, cit, pág. 144. Civil, de acuerdo a lo dispuesto en el artículo 395 de dicho Código(19) .
En efecto, de acuerdo con nuestro ordenamiento procesal, para la promoción
de las pruebas libres se exige la aplicación analógica de las reglas establecidas
para los medios de prueba semejantes, lo que significa que el objeto del medio
libre debe también respetar la naturaleza del medio semejante, pues, como bien
lo apunta CABRERA “(…) no se puede pretender invadir por completo el campo
que correspondería a un medio legal, ni tampoco obtener un resultado distinto al
que se lograría con éste”(20) .
20. Ibidem, pág. 144.
Dicho lo anterior y antes de analizar cómo se llevaría a cabo la promoción de
los documentos electrónicos, debemos recordar que el original de un mensaje
o correo electrónico o de cualquier registro telemático es el que circula en la
Red y que sólo puede ser leído a través del computador; por ello, lo que se
ofrecerá como prueba documental y se consignará en el expediente judicial es
el documento electrónico archivado en un formato que permita su consulta por el
juez (disquete) o su impresión. Si se trata, por ejemplo, de que el contenido de un
mensaje electrónico es el instrumento en el que se funda la acción, lógicamente,
el accionante estará impedido de acompañar al libelo de demanda el original
del documento electrónico, tal y como lo exige el artículo 434 del Código de
Procedimiento Civil. En consecuencia, y en aplicación de la regla prevista en
el citado artículo, en concordancia con el artículo 8° de la Ley sobre Mensajes
de Datos y Firmas Electrónicas, dicho requisito se entenderá cumplido si la
parte acompaña al libelo de demanda, la impresión del documento o la copia
en un disquete del original del mensaje electrónico y, al propio tiempo, indica el
lugar donde éste se encuentra (por ejemplo, la dirección electrónica), así como
cualquier otro dato que permita determinar el origen y el destino del mensaje,
la fecha y la hora en la que fue enviado o recibido. Asimismo, deberá señalar
expresamente que la información se ha conservado inalterable en el formato
en que se generó, archivó o recibió o en algún formato que sea demostrable
que reproduce con exactitud la información contenida en el mensaje de datos
(integridad del mensaje) y que además está disponible para su ulterior consulta
(Artículo 7° de la Ley de Mensajes de Datos y Firmas Electrónicas).
En efecto, la Ley sobre Mensajes de Datos y Firmas Electrónicas establece en
sus artículos 7° y 8°, lo siguiente:
“Artículo 7: Cuando la ley requiera que la información sea presentada o conservada
en su formato original, este requisito se entenderá cumplido con relación a un
mensaje de datos si se ha conservado su integridad y cuando la información
contenida en dicho mensaje esté disponible. A tales efectos se entenderá que
un mensaje de datos permanece íntegro, si se mantiene inalterable desde que
se generó, salvo algún cambio de forma propio del proceso de comunicación,

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 141


archivo o presentación”.
“Artículo 8: Cuando la ley requiera que ciertos actos o negocios jurídicos consten
por escrito y su soporte deba permanecer accesible, conservado o archivado
por un período determinado o en forma permanente, estos requisitos quedarán
satisfechos mediante la conservación de los Mensajes de Datos, siempre que se
cumplan con las siguientes condiciones:
1. Que la información que contenga pueda ser consultada posteriormente.
2. Que conserven el formato en que se generó, archivó o recibió o en algún
formato que sea demostrable que reproduce con exactitud la información
generada o recibida.
3. Que se conserve todo dato que permita determinar el origen y destino del
Mensaje de Datos, la fecha y hora en que fue enviado o recibido.
Toda persona podrá recurrir de los servicios de un tercero para dar cumplimiento
a los requisitos señalados en este artículo”.
Aplicando lo expuesto al aspecto probatorio de los mensajes de datos,
consideramos que la parte que pretenda valerse de esta fuente de prueba,
bien si constituye el instrumento en que se funda su acción o bien si se trata de
documentos cuya información podría ser relevante para formar el convencimiento
del juez –caso en el cual deberá ofrecerse durante el período de promoción de
pruebas-, deberá, en todos los casos, afirmar y probar las circunstancias
que convenzan al juzgador de que la impresión o el registro contenido en el
disquete es una representación genuina de la información contenida en el
formato original o en algún formato que sea demostrable (tecnológicamente
hablando) que reproduce con exactitud la información generada o recibida
y que, además, ésta información se ha conservado íntegra y a permanecido
inalterable, desde que se generó, archivó o recibió, salvo algún cambio
propio del proceso de comunicación, archivo o presentación. En otras
palabras, el promovente deberá acreditar la autenticidad y credibilidad del medio
de prueba.
Sobre este particular, CABRERA ROMERO ha señalado que la credibilidad del
medio desde el punto de vista del juez, cubre dos aspectos: Uno concreto,
consistente en la verosimilitud del medio como aportador de algo serio; y otro
abstracto, ligado al convencimiento interno del juez sobre la conductibilidad del
medio, esto es, si es capaz de trasladar al proceso los hechos controvertidos; por
ello, consideramos que la parte que promueva el documento electrónico deberá
demostrar su capacidad conductiva y credibilidad con la finalidad, además, de
evitar la impugnación de la prueba ofrecida.
Por su parte, en un criterio contrario al expuesto, el profesor Rengel Romberg,
señala que “no es la oportunidad de la promoción de la prueba, la prevista
para desembarazarse de la carga de probar la autenticidad y la credibilidad del
documento; sin necesidad de actividad de la contraparte, sino en la incidencia
provocada por desconocimiento del documento, pues en caso de silencio de
la parte contra la cual se produce el documento, éste quedará reconocido”. Y
añade que ”Es generalmente admitido en doctrina, que un control preventivo de
la relevancia o idoneidad de la prueba documental del tipo de las reproducciones
mecánicas y pruebas científicas, no puede realizarlo el juez en la etapa de
admisión de la prueba, sino que pertenece a la apreciación de su eficacia,
después de su adquisición”.
Respetamos la muy autorizada opinión del profesor Arístides Rengel Romberg
sobre lo innecesario de acreditar la autenticidad y credibilidad del documento en
la oportunidad de la promoción de la prueba; sin embargo, preferimos compartir
la opinión del profesor Cabrera Romero según la cual el silencio del promovente
sobre estos datos y sus pruebas, puede obrar contra él mismo, pues, al no
cumplir con los requisitos de eficacia probatoria, correrá el riesgo de que el juez
no valore en definitiva la probanza, lo que ocurriría independientemente de que
haya o no oposición.

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.142


Ciertamente, la prueba de los mensajes de datos es una prueba compleja,
puesto que el promovente no sólo tendrá que aportar al proceso el mensaje
o información a través de algún medio de prueba análogo (impresiones del
contenido del mensaje o reproducciones del formato o soporte digital original que
conserva la información) sino que además deberá alegar y –al menos- anunciar
los medios de prueba a través de los cuales demostrará la autenticidad del
mensaje o documento electrónico. En efecto, para que un mensaje o documento
electrónico goce de la eficacia probatoria que le otorga la Ley sobre Mensajes
de Datos y Firmas electrónicas, no basta la simple producción en juicio de la
impresión y/o del disquete contentivo del mensaje de datos, sino que además
deberá demostrarse que la información contenida en el mensaje de datos es
accesible para su ulterior consulta y que, además, ha sido conservado y no ha
sufrido cambios desde que se generó, recibió o archivó, salvo algún cambio de
forma propio del proceso de comunicación, archivo o presentación.
Las anteriores circunstancias se acreditarán en un proceso judicial o arbitral, una
vez que el promovente haya demostrado –durante el lapso probatorio- entre otros
extremos: 1) Que el contenido del documento presentado (mensaje de datos
impreso o reproducido electrónicamente en disquete) es idéntico al original que
ha sido conservado en formatos que aseguran su integridad e inalterabilidad; 2)
El destino del mensaje o su origen; 3) La autoría del mensaje.
El promovente debe demostrar que en efecto el mensaje electrónico proviene
de una persona determinada o de su computador o que, por ejemplo, proviene
de tal o cual página Web; en segundo lugar, debe comprobar su integridad,
es decir, comprobar que se trata de una grabación, reproducción o impresión
fiel del mensaje enviado o del registro electrónico. En otras palabras, se debe
comprobar que el mensaje no ha sido modificado desde su envío, recepción o
archivo.
Asimismo, la autenticidad y credibilidad del medio podría demostrarse alegando
y probando que el sistema de computación, así como la computadora receptora,
estuvieron operando correctamente en el momento del envió o recepción del
registro.
Ahora bien, ¿cómo compruebo la autenticidad del mensaje electrónico para que
sea admitido como prueba de un hecho controvertido?
3.La autenticidad y autoría de los mensajes de datos
Como ya dijimos, la prueba de un hecho o de un negocio o acto jurídico contenido
en un mensaje electrónico que circula por la Internet, puede lograrse a través de
cualquier medio de prueba (por ejemplo, a través de testificales) y no solamente
a través de la prueba documental regulada en los artículos 429 al 435 del Código
de Procedimiento Civil.
Sin embargo, el mérito probatorio de la prueba documental es, sin duda
alguna, mucho más eficaz que el de la prueba testimonial si de lo que se trata
es de demostrar el contenido de un mensaje de datos o cualquier documento
electrónico.
Ciertamente, de acuerdo con nuestro Código Civil, el instrumento público hace
plena fe, así entre las partes como respecto de terceros, de la verdad de las
declaraciones formuladas por los otorgantes acerca de la realización del hecho
jurídico a que el instrumento se contrae, salvo se demuestre la simulación (artículo
1.360). Igual fuerza probatoria producen el instrumento privado reconocido tenido
legalmente por reconocido entre las partes y respecto de terceros en lo que se
refiere al hecho material de las declaraciones; es decir, hace fe, hasta prueba en
contrario, de la verdad de esas declaraciones. Ahora bien, el valor probatorio
que la ley otorga a la prueba instrumental obedece a la consideración de las
formas escritas aseguran la expresión y exactitud de la voluntad del otorgante
y, fundamentalmente, porque la materialización escrita de la idea impide que el
tiempo desdibuje en la memoria su contenido y contexto; de allí la desconfianza
natural que en la mente del juzgador podría erigirse cuando en el contexto de

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 143


una relación procesal una de las partes pretenda valerse del mérito probatorio
de un documento electrónico.
La ausencia de un escrito “original” y “firmado” por las partes, ha traído
muchos inconvenientes en materia probatoria, sobre todo en países como
el nuestro en el que la desconfianza en el tráfico comercial ha llevado a las
personas a documentar en forma escrita la mayoría de sus negocios jurídicos y
transacciones comerciales. Sin embargo, los avances tecnológicos en materia
de comunicación a través del uso de redes nacionales e internacionales de
información, como nueva herramienta de negocios, ha implicado la sustitución
progresiva de las formas escritas o tradicionales de contratación, por soportes
digitales o electrónicos.
De allí que, la Ley sobre Mensajes de Datos y Firmas Electrónicas constituya un
paso muy importante para la seguridad en materia de comunicación y negocios
electrónicos, pues se otorga pleno valor jurídico a los mensajes de datos que
21. Exposición de hagan uso de esta tecnología(21) .
Motivos del Decreto-Ley Ahora bien, como ya hemos sostenido el pleno valor probatorio que la Ley otorga
sobre Mensajes de Datos a los documentos electrónicos, no opera de pleno derecho sino que es preciso
y Firmas Electrónicas. que la parte que pretenda valerse de este medio documental, demuestre a su
vez que la información contenida en el mensaje de datos está disponible, esto
es, puede ser accesada para su consulta y que además dicha información se ha
conservado íntegra, esto es que no ha sido alterada o modificada, desde que
se originó, recibió o archivó.
La Ley sobre Mensajes de Datos y Firmas Electrónicas establece que esta
circunstancia se entenderá acreditada siempre que se hayan cumplido con los
extremos que se indican en los numerales 1, 2 y 3 del artículo 8; los cuales
no son más que circunstancias que acreditan la integridad, autenticidad del
mensaje y origen del mensaje. Ahora bien, cómo se demuestra que el documento
o mensaje electrónico presentado en un proceso judicial o arbitral cumple con
estos tres extremos:

1.- “Que la información que contengan pueda ser consultada posteriormente”.


Esta circunstancia se acredita con la indicación expresa de la parte que promueve
el documento electrónico de la dirección electrónica en la que se encuentra
la información (si ésta se encuentra en una red nacional o internacional) del
lugar en el que se conserva el formato original en el que se generó, recibió o
archivó o la copia electrónica del mensaje original que reproduzca con exactitud
la información generada o recibida.

2.- “Que conserven el formato en que se generó, archivó o recibió o en algún


formato que sea demostrable que reproduce con exactitud la información
generada o recibida”.
La parte que pretenda valerse del valor probatorio del mensaje de datos debe
probar que la información allí contenida ha permanecido inalterable desde que
se originó, recibió o archivó. Esto se logra si el promovente demuestra haber
utilizado algún sistema de almacenamiento de datos en soportes que
aseguran la integridad del mensaje o documento electrónico, circunstancia
ésta que podrá ser acreditada en juicio a través de una experticia técnica o
de un testigo-perito.
Uno de los medios de prueba más eficaces para comprobar que el documento
impreso o contenido en un disquete es una reproducción fiel de la versión
original que circula en el ciberespacio, son los sistemas de almacenamiento de
datos codificados en un medio de back-up confiable de una computadora, como
lo es un disco óptico.
Una recomendación muy práctica para los usuarios de Internet es la utilización
sistemática del almacenamiento de datos e información en un disco óptico, que
además de permitirles obtener pruebas en caso de un eventual litigio, sirve para

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.144


acreditar o demostrar la autenticidad del mensaje electrónico, toda vez que la
información o mensaje recibido no podrá ser alterado o modificado una vez que
sea guardado en el disco óptico. Este sistema de seguridad en las transacciones
comerciales electrónicas es de suma importancia, pues al igual que las firmas
electrónicas –de las que más adelante hablaremos- certifica la integridad e
inalterabilidad del mensaje recibido.
En Francia el requisito de un escrito original, se ha sustituido a favor de una copia
“fehaciente y duradera”, en aquellos casos en que el original se ha destruido
o si es imposible llevarlo físicamente al expediente, como es el caso de los
documentos electrónicos. Ahora bien, atendiendo a la redacción del numeral 2
del artículo 8°, antes citado, la posibilidad de llevar al proceso una reproducción
fehaciente del original cuando éste no se encuentra disponible, parece ser
también la intención de nuestro legislador. Por lo tanto, si es imposible accesar
o disponer de la información en su formato original –por cualquier causa-, la
autenticidad del mensaje electrónico podrá acreditarse si se ha conservado una
copia fehaciente y duradera, mediante la utilización de cualquier sistema de
almacenamiento que –desde el punto de vista técnico- asegure la integridad e
inalterabilidad del mensaje de datos.

Ahora bien, por tratarse de cualidades especiales del formato que reproduce
el mensaje de datos (a saber, “fehaciencia” y “durabilidad”), será necesario
acreditar a su vez, la confiabilidad del sistema de almacenamiento utilizado a
través de cualquier medio de prueba. Por ejemplo, se puede demostrar el grado
de seguridad y el buen funcionamiento del sistema de almacenamiento utilizado
para “guardar” o “archivar” el contenido de un mensaje de datos, con una
experticia tecnológica o mediante pruebas preconstituídas como un justificativo
de testigo (justificativo para perpetua memoria), contentivo del testimonio
de personas que, por sus conocimientos tecnológicos, puedan certificar la
confiabilidad de un determinado sistema de almacenamiento de información
digitalizada. Claro está que, en este último caso, será necesario la ratificación en
juicio de tales testimonios a los fines de que la prueba testifical pueda producir
todos sus efectos jurídicos.
Así también, un elemento que puede convencer al juez o arbitro sobre la
fehaciencia de la copia del mensaje electrónico, podría ser que la parte que
pretenda valerse del documento electrónico consigne el “manual interno de la
operación del sistema informático”; sin embargo, por tratarse de una prueba
documental procurada por el propio promovente del medio, la parte deberá
utilizar alguna otra prueba que, adminiculada con la documental (“manual”), lleve
al juez o al árbitro al convencimiento pleno sobre la confiabilidad del sistema de
almacenamiento utilizado.
En todo caso, lo realmente importante –reiteramos- es que el juez ordinario o
arbitral se convenza de la confiabilidad y credibilidad del medio documental
aportado al proceso, para lo cual es importante que la parte promovente consigne
en el expediente la información técnica necesaria, así como las explicaciones
que se consideren convenientes, en relación al funcionamiento y seguridad del
sistema de archivo de información que se haya utilizado, lo que podrá realizar a
través de cualquier medio de prueba documental, pericial o testifical.

3.- “Que se conserve todo dato que permita determinar el origen y destino del
Mensaje de Datos, la fecha y hora en que fue enviado o recibido”.
Si se trata de un convenio o negocio jurídico realizado eletrónicamente, la parte
que pretenda valerse de la información allí contenida podrá acreditar la autoría
del mensaje, es decir, su origen, con los datos que arroje el sistema convencional
o legal designado utilizado para la recepción de mensajes de datos.
En efecto, la propia Ley sobre Mensajes de Datos y Firmas Electrónicas en
su artículo 9°, reconoce a las partes contratantes por medios electrónicos, la

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 145


posibilidad de acordar un procedimiento que les permita establecer cuándo el
Mensaje de Datos proviene efectivamente del emisor. A falta de acuerdo entre
las partes, “se entenderá que un Mensaje de Datos proviene del emisor, cuando
éste ha sido enviado por”:
a.-“El propio emisor”
b.- “Persona autorizada para actuar en nombre del Emisor respecto de ese
mensaje”.
c.- “Por un sistema de información programado por el Emisor o bajo su
autorización, para que opere automáticamente”.
Si la persona contra la cual se produce en juicio un determinado mensaje
electrónico como emanado de ella o de algún causante suyo, niega el origen o
autoría del mensaje de datos, el proponente de la prueba podrá demostrar estas
circunstancias, a través de la firma electrónica (en el caso que se haya hecho uso
de algún mecanismo de seguridad para atribuir la autoría del mensaje), de los
datos o rastros del lugar de origen (computador) que haya dejado en el sistema
de recepción de documentos electrónicos; así también, el origen del mensaje
puede demostrarse si el computador desde el cual éste fue emitido es de uso
exclusivo de la persona contra la cual se produce el documento (por ejemplo, si
se trata de un computador de uso personal o exclusivo de determinada empresa
u organismo).
3.1.- La firma electrónica
En cuanto concierna a la autoría, es preciso advertir que la firma del documento
es el medio idóneo, pues la misma siempre ha tenido un doble propósito; por
una parte, la identificación de las partes contratantes, y por la parte, el cierre de
la contratación, es decir, que los términos en que se ha pactado son esos y no
otros.
Ahora bien, como todos sabemos, los documentos informáticos carecen de
firma autógrafa; por lo que en esta materia se ha llegado a hablar de la crisis
de la suscripción. Sin embargo, la doctrina y la jurisprudencia de otros países
en los que el comercio electrónico ha tenido un vertiginoso desarrollo, han
llevado a cabo grandes esfuerzos para asimilar a los documentos electrónicos
o informáticos con los medios tradicionales. En este esfuerzo -al que
recientemente se unió nuestro legislador con la promulgación de la Ley de
Mensajes de Datos y Firmas Electrónicas- se ha llegado a considerar que
la ausencia de suscripción en los mensajes electrónicos, se subsana con
la demostración de la exclusividad en el uso del instrumento técnico, que
permite identificar el origen o procedencia del documento.
Así pues, la firma electrónica no es el único sistema o método para acreditar la
autoría de un mensaje de datos; sin embargo, uno de los medios más seguros de
lograr seguridad jurídica en cuanto a la autoría de un documento electrónico es
la utilización de una firma electrónica, pues a través de este se permite vincular
al firmante con el contenido del documento. Con la firma digital se resuelve,
eficazmente, el problema de ¿cómo saber si quien envía el mensaje es quien
dice ser y no un impostor?
Por firma electrónica se entiende “cualquier método o símbolo basado en
medios electrónicos utilizado o adoptado por una parte con la intención actual
de vincularse o autenticar un documento, cumpliendo todas o algunas de las
funciones de una firma manuscrita. Así tanto es firma electrónica la firma
22. SANCHIS CRESPO, manuscrita digitalizada, como las firmas electrónicas que, con tecnología más
C. Ob, cit, pág. 93. avanzada, se crean utilizando sistemas de criptografía”.(22)
Un ejemplo de la seguridad que se logra con la utilización de firmas electrónicas
podría ser el siguiente: Si estamos comunicándonos con nuestro banco – en el
ciberespacio, por supuesto- y deseamos probar nuestra identidad, sólo tenemos
que guardar el mensaje con nuestra clave privada (firma); entonces, el banco
puede abrir el texto con nuestra clave pública, tomada de nuestro certificado
digital, lo que prueba que somos la única persona que pudo haber cifrado ese

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.146


mensaje (este proceso describe lo que los criptógrafos denominan la firma
digital).
Una firma digital ofrece una forma segura de asociar el mensaje con la entidad
que lo envía, y es la forma en la que los usuarios de Internet pueden “firmar” al
efectuar una compra en el ciberespacio y desvirtuar la condición de relaciones
ciegas que, en principio, caracteriza a toda relación que se formaliza por vía
electrónica(23) . De tal manera que la firma electrónica permite demostrar la
23. En efecto, los
autoría y la voluntad de contratar.
contratos pactados
Si acudimos al derecho comparado, vale destacar que algunas leyes estadales
electrónicamente son,
de los Estados Unidos estipulan, ya sea implícita o explícitamente, que la
por regla general,
“firma” puede ser electrónica. En el estado de Utah, la creación de documentos
contratos ciegos, y si
electrónicos que emplean técnicas de cifrado de clave pública, aprobadas por un
bien la firma electrónica
ente gubernamental autorizado responsable de la certificación de dichas claves,
permite conocer la
hace presumir que la firma electrónica contenida en el documento constituye el
identidad de las partes
consentimiento de las partes con su contenido y se considera que el documento
contratantes, debe
electrónico debidamente firmado tendrá la misma validez que un documento de
tenerse claro, que la
“papel”. En consecuencia, en el estado de Utah un usuario de Internet puede
firma electrónica no
tener la certeza de que su documento electrónico (si ha sido cifrado utilizando
es obligatoria en esta
las técnicas de la llave pública) será admisible como evidencia del contrato
materia.
ejecutado.
Por otra parte, en Canadá las definiciones de “firma” establecidas en el Código
Civil Québec, no excluyen, implícita o explícitamente, a las firmas electrónicas.
Por lo tanto se puede decir que la firma electrónica será admisible en todos los
casos en que una firma sea requerida.
La doctrina extranjera señala al respecto que en la actualidad, los mensajes
escritos quieren liberarse del vínculo de la firma, y por ello, debemos acudir
a nuevos métodos de imputación diferentes, pues, la escritura privada no es
estructuralmente disociable de la firma autógrafa, la cual es simplemente una de
las técnicas de imputación.
Aunque parezca inverosímil, existe una mayor seguridad jurídica al rededor de la
firma electrónica como sistema de certificación y de imputación o referencia a la
persona declarante que con respecto a la firma autógrafa, pues, al estar creada
la primera bajo estrictas medidas de seguridad, es mucho más confiable que la
segunda, que cualquiera puede falsificar. En tal virtud, un documento electrónico
firmado digital o electrónicamente, debería ser suficiente para llevar al juez o
al árbitro, al convencimiento pleno de la autenticidad de su contenido y de la
autoría del mismo.

Ahora bien, aun cuando el documento electrónico no esté firmado


digitalmente, no por ello deja de ser un documento privado cuya declaración
o autoría no pueda ser imputada a cualquier persona, toda vez que –como ya
dijimos- no es correcto pensar que la firma es el único criterio de imputación.
En efecto, en nuestro derecho la suscripción tradicional por sí sola no es
suficiente para demostrar la autoría y la fe probatoria de un documento si falta
su reconocimiento en juicio, expreso o tácito (ver artículo 444 del Código de
Procedimiento Civil, en concordancia con el artículo 1.363 del Código Civil).
De hecho, si la firma es negada toca a la parte que produjo el instrumento
(documento) probar su autenticidad a través de otros medios de prueba como el
cotejo (experticia) y la prueba testimonial. De allí que, la autoría de un documento
electrónico no firmado digitalmente, podría ser demostrada a través de cualquier
medio de prueba pertinente.
En las transacciones electrónicas, la utilización de la firma electrónica no es
obligatoria, por lo que la verdadera dificultad que surge en esta materia, es
cuando se quiere garantizar el “cierre” del contrato. En efecto, de acuerdo
con los principios generales del Derecho Civil y comercial “la firma” tradicional
garantiza “el cierre” de la contratación en un doble sentido, ya que asegura que

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 147


el contenido del contrato es idéntico al texto suscrito e impide la reapertura de
nuevas condiciones contractuales a las ya concluidas y aceptadas. De allí que
la ventaja de utilizar una firma electrónica es que a través de ella se garantiza
tanto el intercambio de voluntades como el “cierre” del contrato, en los mismos
términos que una firma tradicional.
Ciertamente, para desvirtuar la idea de que los documentos electrónicos o
mensajes de datos están expuestos a una fácil manipulación por parte de los
usuarios de las computadoras, así como a una reproducción indiscriminada
del original, de tal modo que se hace imposible distinguirlo de los duplicados,
la parte que pretenda valerse de un documento electrónico deberá, entonces,
producir elementos suficientes que convenzan al juzgador de la veracidad y de
la certeza de su contenido, para lo cual podrá valerse de cualquier medio de
prueba que considere idóneo (por ejemplo: con un justificativo para perpetua
memoria, testificales, posiciones juradas, experticias técnicas, etc).
Ahora bien, lograr que se atribuya valor probatorio a una escritura privada
electrónica, sin que en su elaboración y posterior aceptación se hayan utilizado
instrumentos técnicos que aseguren su autoría, la autenticidad e integridad
del mensaje, (es decir, que aseguren que el texto del mensaje electrónico es
el mismo que se tuvo a la vista al momento de la oferta y de la aceptación y no
otro distinto), si bien no es una tarea fácil, lo cierto es que no es imposible, pues,
en todo caso, la parte promovente podrá, a través de un cúmulo de indicios,
demostrar la certeza de hechos o circunstancias idénticos o relacionados con
los contenidos en el mensaje de datos.
Lo que debe tenerse claro es que la acreditación de la autenticidad del
documento electrónico, su origen y la identidad de la impresión o reproducción
con el original, son aspectos indispensables que deberá tomar en cuenta la parte
que pretenda valerse de un documento electrónico como prueba de un hecho o
de una transacción o contrato ejecutado en Internet.
3.2.- El valor de la firma electrónica
De acuerdo con el artículo 16 de la recientemente promulgada Ley sobre
Mensajes de Datos y Firmas Electrónicas, “La Firma electrónica que permita
vincular al signatario con el Mensaje de Datos y atribuir la autoría de éste,
tendrá la misma validez y eficacia probatoria que la ley otorga a la firma
autógrafa”, de esta manera si para determinados actos o negocios jurídicos
la ley exige la suscripción autógrafa del documento, ese requisito quedará
satisfecho en relación con un mensaje de datos (documento electrónico) al tener
asociado una firma electrónica. Ahora bien, para que esta firma posea la misma
validez y eficacia probatoria de la firma manuscrita, deberá estar elaborada
bajo ciertos mecanismos de seguridad que permitan a las partes contratantes
garantizar que los datos utilizados para su generación puedan producirse sólo
una vez y, asegurar razonablemente, su confiabilidad; así como ofrecer una
seguridad razonable de que la firma no pueda ser falsificada con la tecnología
existente para la fecha de la suscripción. Así pues, esta Ley (cuyo proyecto fue
originalmente elaborado en forma conjunta por Venamcham y Cavecom) viene a
regular en nuestro país la eficacia y valor jurídico de la firma electrónica, de los
mensajes de datos (e-mail) y toda información inteligible en formato electrónico,
independientemente de su soporte material.
Por otra parte, la Ley sobre Mensajes de Datos y Firmas Electrónicas prevé la
figura de los Proveedores de Servicios de Certificación y todo lo relativo a los
certificados electrónicos. De acuerdo con la Ley, la figura de los proveedores de
certificados electrónicos se crea con el objeto de otorgar mayor seguridad en el
comercio y comunicaciones electrónicas.
En efecto, los proveedores son los sujetos que, siguiendo el procedimiento
legalmente previsto, obtengan de la Superintendencia de Servicios de
Certificación Electrónica, una autorización que les permita garantizar a los
usuarios, la autoría de un mensaje de datos, a través de la certificación de la

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.148


firma electrónica y la certificación de la integridad del mensaje. Ahora bien,
estas funciones de los proveedores de certificados electrónicos, bajo ningún
concepto sustituyen las funciones de los notarios o registradores, cuando para
determinados actos jurídicos se requiera su intervención; por lo que, cuando se
trate de negocios o actos jurídicos que para su validez frente a terceros, la ley
exija las formalidades de registro, dicho requisito en ningún modo se entenderá
cumplido con la emisión de un certificado electrónico.

De acuerdo con el artículo 38 de la Ley de Mensajes de Datos y Firmas


Electrónicas, el certificado electrónico garantiza la autoría e integridad del
mensaje, sin embargo, no confiere la autenticidad o fe pública que conforme
a la ley otorguen los funcionarios públicos a los actos, documentos y
certificaciones que con tal carácter suscriban.
A este respecto, consideramos que constituye una grave contradicción que
dicho texto legal incorpore a nuestro ordenamiento el principio de equivalencia
funcional al establecer en su artículo 6° que “cuando para determinados actos la
ley exija el cumplimiento de formalidades y solemnidades, éstas podrá realizarse
utilizando para ella los mecanismos establecidos en este Decreto-Ley”, pero,
al mismo tiempo, niegue que los certificados electrónicos puedan conferir
autenticidad a los mensajes de datos que hayan sido objeto de certificación.
La intención del legislador en cuanto a no conferir al certificado electrónico, los
efectos del registro público, la entendemos y compartimos perfectamente ya que
la “fe pública” –citándo a OLIVERO PÉREZ- consiste en una especial calidad
probatoria que la ley otorga a ciertos y determinados funcionarios de forma
24. Dicho autor cita, expresa(24) , que de ser transmitida por ellos en ejercicio de sus funciones al
entre otros, los artículos documento denominado “público negocial”, lo envolverá y protegerá de tal forma
1357 del Código Civil, 58 que será mucho más difícil enervar su presunción de plena fe “erga omnes”, ya
de la Ley Orgánica de la que para ello será necesario impetrar contra él, el procedimiento específico y
Produraduría General de engorroso de la tacha de falsedad (Art. 438 del Código de Procedimiento Civil),
la República. si lo que se pretende atacar es el elemento “acto de documentación” y; si lo
que se pretende atacar es el elemento “contenido” del documento en cuestión
deberá alegarse entonces la simulación (Arts. 1360 y 1382 del Código Civil y 317,
25. OLIVERO PÉREZ, W. 319 y 320 Código Penal)(25) . Evidentemente, los proveedores de certificación al
“El valor probatorio del no ser funcionarios públicos con esta capacidad, no pueden conferir “fe pública”
acta fiscal contemplada a los mensajes de datos y firmas electrónicas.
en el artículo 144 del
COT”. En revista de Sin embargo, si atendemos al propio texto de la Ley de Mensajes de Datos y
Derecho Probatorio No Firmas Electrónicas, parece absurdo conferir los efectos de la “autenticidad” a
1997, Editorial Jurídica los certificados electrónicos, ya que los documentos autenticados –a diferencia
Alva, Caracas, 1997, de los documento públicos- pueden ser emitidos por funcionario a los cuales
pág. 74. la ley no les otorga la facultad de transmitir “fe pública”, pero si de imprimir al
documento de “autenticidad”, es decir, de una presunción de “certeza” en cuanto
a la autoría del documento y en cuanto a la “veracidad” de las declaraciones en
el contenidas, salvo prueba en contrario. Así pues, la presunción de “plena fe”
26. Ibidem. que otorga la “autenticidad” cede por cualquier prueba en contrario(26) ; de
allí que consideramos que la Ley de Mensajes de Datos y Firmas Electrónicas,
debió tomar en cuenta la distinción entre estos dos efectos jurídicos (a saber
“autenticidad” y “fe pública”) y establecer que el certificado electrónico sí confiere
“autenticidad” a los documentos y firmas electrónicas; de otra forma, cómo es
posible que señale que dichos certificados garantizan la autoría y la integridad
de un mensaje y por otro, le reste cualquier valor a esa certificación.
4.- Otros medios para acreditar la autoría del mensaje (la prueba testimonial)
4.1) El testimonio para demostrar el origen del mensaje
Para demostrar el origen del documento electrónico, la parte promovente podrá
por ejemplo, utilizar el testimonio de la persona encargada del envío o recepción
del mensaje o registro electrónico.

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 149


La prueba testifical en estos casos sólo podrá ser admisible si con ella se
pretende demostrar, por ejemplo, el origen del mensaje o documento electrónico;
éste sería el caso en que el promovente de la prueba electrónica promueve
también el testimonio del empleado o secretaria del autor del documento o
mensaje, que haya sido el encargado de su envío. Sin embargo, podría llegar
a considerarse que el testimonio no tiene ningún valor probatorio, pues muy
posiblemente la secretaria o el empleado del departamento de informática de la
empresa desconozcan el contenido del documento que ha enviado y este es un
hecho casi imposible de dejar pasar para cualquier litigante en la oportunidad
de interrogar al testigo.
Un testigo que no es el autor del documento no puede testimoniar o declarar
sobre el contenido del mismo; en consecuencia, su testimonio podría ser
invalidado, pues, al no constarle el contenido del documento electrónico ¿cómo
podría testificar válidamente acerca de su origen?
4.2) El testimonio para acreditar algunas circunstancias relacionadas con el
mensaje, como sus características internas o el procedimiento utilizado para su
recepción o envío.
Si se trata, por ejemplo, de un documento electrónico creado durante el curso
normal de las actividades comerciales de una compañía, la persona que testifica
sobre la confiabilidad del sistema puede ser un experto en computación (testigo-
perito), o simplemente una secretaria o cualquier empleado siempre que esté
familiarizado con el sistema y la confiabilidad del mismo. No existe ninguna
exigencia legal que obligue a la realización de pruebas técnicas a los sistemas de
tecnologías para comprobar su confiabilidad; sin embargo, la parte promovente
podrá valerse de experticias tecnológicas para ello.
Por otra parte, si se quiere comprobar un hecho relevante a través de un
documento electrónico cuyo autor no es parte en el juicio, la parte promovente
deberá aportar el testimonio de su autor a los fines del control de la prueba
por su contraparte, a tenor de lo dispuesto en el artículo 431 del Código de
Procedimiento Civil. En estos casos, el tercero rendirá su testimonio acerca del
contenido del documento y el reconocimiento de su autoría.
5.- Caso especial de los correos electrónicos personales
El correo electrónico (e-mail) permite a los usuarios con una dirección electrónica
comunicarse entre sí de la misma manera en que lo hacen a través del servicio
postal convencional.
Ante esta similitud con las cartas o correos personales, consideramos que para la
promoción en juicio de un mensaje de datos contentivo de un correo electrónico,
la parte proponente del medio deberá observar las reglas y limitaciones
establecidas para la utilización de las cartas misivas como medios de prueba,
previstas en el Código Civil.
Ahora bien, de acuerdo con el referido Código:
“Artículo 1.371: Pueden hacerse valer en juicio como prueba o principio de
prueba por escrito, las cartas misivas dirigidas por una de las partes a la otra,
siempre que en ellas se trate de la existencia de una obligación o de su extinción,
así como de cualquier otro hecho jurídico relacionado con los puntos que se
controviertan.
El autor de la carta puede exigir la presentación de esta a la persona a quien fue
destinada o esta producirla en juicio para los efectos mencionados”.
“Artículo 1.372: No puede una de las partes requerir la presentación de una carta
dirigida a un tercero por alguno de los interesados en el juicio, o por personas
extrañas, si el tercero y el autor de la carta no prestan su consentimiento para ello.
El tercero tampoco puede valerse de la carta como prueba, contra la voluntad del
autor de ella.
Las cartas misivas, dirigidas y recibidas entre terceros, no pueden en ningún
caso, emplearse como medios de prueba en juicio por personas para los cuales
los terceros no eran causantes o mandatarios.

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.150


Los herederos y causahabientes de las personas que dirigieron o recibieron las
cartas misivas antedichas, pueden emplearlas como medios de prueba en los
mismos casos en que aquéllas podrían hacer uso de ellas”.
Si aplicamos por analogía a los correos electrónicos personales, las normas
relativas a las cartas misivas como pruebas o principio de prueba por escrito,
entonces, estos mensajes de datos sólo podrían aprovecharse en juicio entre las
partes emisora y receptora del mensaje, o por personas extrañas, siempre que
éstas hayan dado su consentimiento.
Por otra parte, si se trata de correos de carácter confidencial, es decir, que no
se trata de los asuntos expresados en el artículo 1371 antes citado, no pueden
publicarse ni presentarse en juicio sin el consentimiento de su autor y de la
persona a quien fueron dirigidas (Artículo 1.371, ejusdem).
La fuerza probatoria de las cartas misivas producidas en juicio, se determina por
las reglas establecidas en la ley para los instrumentos privados; “pero carecerán
de valor las que no estén firmadas por la persona a quien se atribuyan, salvo
que hayan sido escritas de su puño y letra, y remitidas a su destino” (Artículo
1.374, ejusdem)

En cuanto al requisito de la firma, vale destacar que la Ley sobre Mensajes de


27. De acuerdo con la Datos y Firmas Electrónicas dispone que “Cuando para determinados actos o
Exposición de Motivos negocios jurídicos la ley exija la firma autógrafa, ese requisito quedará satisfecho
de la Ley de Mensajes en relación a un Mensaje de Datos al tener asociado una firma electrónica”,
de Datos y Firmas con esta previsión se incorpora a nuestro ordenamiento jurídico el principio de
Electrónicas, con la equivalencia funcional(27) , respecto a las firmas electrónicas.
promulgación de dicho Si aplicamos la normativa civil en cuanto a la valoración de las cartas misivas,
texto legal se incorpora un correo electrónico que esté asociado a algún mecanismo de seguridad que
a nuestro ordenamiento permita identificar el origen y autoría del mismo (como es el caso de una firma
jurídico el principio de electrónica) tendrá la misma fuerza probatoria que un documento privado;
“equivalencia funcional” pero, si en la elaboración, envío o recepción del correo electrónico no se utilizó
adoptado por la mayoría ningún método de seguridad que garantice el origen o autoría del mensaje,
de las legislaciones en consideramos que ello no imposibilita su aprovechamiento en juicio, si se
esta materia. Señala demuestra -incluso en forma indiciaria-, que el mensaje fue enviado o recibido
Luis Cova Arria que por quien se atribuye su autoría o recepción; por ejemplo, podría demostrarse
de acuerdo con ese que la dirección electrónica que aparece en el mensaje de datos pertenece a la
principio “si hay un contraparte en juicio.
requerimiento legal para Ahora bien, si se trata de un correo electrónico enviado por un sujeto que no es
una de esas categorías, parte procesal, consideramos que la ausencia de la firma electrónica quedaría
esos requerimientos subsanada con la aceptación expresa de su autoría, por parte de ese tercero.
pueden ser satisfechos
por el equivalente VI. Otras formas de promoción y evacuación de los mensaje de datos o
funcional del mensaje de documentos electrónicos
datos”. “La Ley Modelo La Ley sobre Mensajes de Datos y Firmas Electrónicas, al reconocer que los
de la CNUDMI sobre mensajes electrónicos son medios de prueba libres, cuya eficacia probatoria
Comercio Eectrónico”. es la misma que la ley reconoce a los documentos escritos, permite entonces
En Revista de la Facultad acudir a las reglas para la promoción y evacuación de la prueba documental,
de Ciencias Jurídicas entre las cuales se encuentran la prueba de exhibición de documentos y la
y Políticas No. 104, prueba de informes.
Caracas, 1997, pág 35. 1.- La prueba de exhibición de documentos
En atención a la aplicación de las reglas que rigen la promoción y evacuación
de los medios de prueba libres, consideramos perfectamente posible aplicar
por analogía la prueba de exhibición de documentos prevista en nuestro
ordenamiento jurídico a los mensajes o documentos electrónicos.
Así, si el original del documento electrónico promovido en juicio o su copia
electrónica (disquete) y/o impresa, no se encuentra disponible por cualquier
causa (por ejemplo, porque el formato en que se generó o recibió ya no existe
en la Red o porque el formato electrónico que lo reproducía con exactitud fue

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 151


destruido), pero se tiene conocimiento de que el original del mismo –o al menos
una copia que reproduce con exactitud la información contenida en el mensaje
o documento electrónico original- se encuentra en poder del adversario o de un
tercero, la parte podrá solicitar su exhibición, de acuerdo con lo establecido
en el artículo 436 y 437 del Código de Procedimiento Civil.
Como señala MONTERO la carga de la presentación de los documentos que
se impone a las partes, presupone que éstas tienen la disponibilidad de los
mismos. Ante los casos de no disposición por una de las partes la Ley reacciona
imponiendo a quien tenga esa disposición el deber o la carga de exhibir el
documento para que de ese modo pueda ser tenido en cuenta por el órgano
jurisdiccional.
En efecto, de acuerdo con nuestro ordenamiento procesal:
“Artículo 436.- La parte que deba servirse de un documento que según su
manifestación, se halle en poder de su adversario podrá pedir su exhibición.
A la solicitud de exhibición deberá acompañar una copia del documento, o
en su defecto, la información de los datos que conozca el solicitante acerca
del contenido del mismo y un medio de prueba que constituya por lo menos
presunción grave de que el instrumento se halla o se ha hallado en poder de su
adversario.
El tribunal intimará al adversario la exhibición o entrega del documento dentro del
plazo que le señalará bajo apercibimiento.
Si el instrumento no fuere exhibido en el plazo indicado, y no apareciere de autos
prueba alguna de no hallarse en poder del adversario, se tendrá como exacto el
texto del documento, tal como aparece de la copia presentada por el solicitante y
en defecto de ésta, se tendrán como ciertos los datos afirmados por el solicitante
acerca del contenido del documento.
Si la prueba acerca de la existencia del documento resultare contradictoria, el
juez resolverá en la sentencia definitiva, pudiendo sacar de las manifestaciones
de las partes y de las de las pruebas suministradas las presunciones que su
prudente arbitrio le aconsejen”.
Ahora bien, el deber de colaborar con el órgano decisor puede imponerse a
la Administración Pública o a un tercero (respecto de la parte contraria, como
apunta SANCHIS CRESPO sólo puede hablarse de carga). En este sentido,
respecto a los terceros, el Código de Procedimiento Civil dispone:
“Artículo 437.- El tercero en cuyo poder se encuentren documentos relativos al
juicio, está igualmente obligado a exhibirlos, salvo que invoque justa causa a
juicio del juez”.
La parte que no disponga de un mensaje de datos o documento electrónico, cuyo
contenido es relevante para su defensa, podrá entonces (acudiendo a las formas
de promoción de la prueba por escrito) solicitar la exhibición del documento que
se encuentra en poder de su adversario o de un tercero, debiendo acompañar
la impresión del mensaje de datos o la copia reproducida en disquete, o en su
defecto, la información que conozca sobre el contenido del mensaje. En este
último supuesto, el promovente deberá, además, acompañar algún medio de
prueba que haga presumir al juez o al árbitro que el mensaje de datos se halla o
se ha hallado en poder de su adversario o del tercero.
2.- La prueba de Informes
Señala el Código de Procedimiento Civil en su artículo 433, que “Cuando se trate
de hechos que consten en archivos u otros papeles que se hallen en oficinas
públicas, Bancos, Asociaciones gremiales, Sociedades civiles o mercantiles
e instituciones similares, aunque éstas no sean parte en el juicio, el Tribunal a
solicitud de parte, requerirá de ellas informes sobre los hechos litigiosos que
aparezcan de dichos instrumentos, o copia de los mismos”.
La prueba de informes es la forma a través de la cual las entidades públicas o
privadas rinden su testimonio o declaración sobre determinados hechos de los
cuales tienen conocimiento, sean o no parte en el juicio; por lo que, dicha prueba

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.152


sólo podría ser solicitada a personas jurídicas.
De esta manera, la parte que pretenda valerse en juicio del contenido de un
mensaje de datos y sólo cuente con la impresión del mismo, podrá acreditar la
autenticidad de su contenido a través de una prueba de informes, con la finalidad
de que el juez o el árbitro ordene a su contraparte, o a un tercero, la declaración
escrita del conocimiento que éste posea sobre los hechos o datos contenidos en
los archivos electrónicos de su computador.
3.- La prueba de inspección judicial
La prueba de inspección judicial está regulada en los artículos 472 al 476 del
Código de Procedimiento Civil, y su finalidad es que el juez o el árbitro perciban
de modo inmediato y a través de sus sentidos cosas, personas o sitios litigiosos;
es decir, poner al juez en contacto directo con los hechos. Lo que implica que
los hechos a inspeccionar no se encuentren materializados de forma escrita,
pues en este caso estamos ante un documento que bien puede ser trasladado al
proceso conforme a las reglas establecidas para la prueba por escrito.
En efecto, atendiendo a la finalidad de la prueba de inspección judicial, ésta sólo
es eficaz en cuanto permita al Tribunal apreciar, por las exterioridades de la cosa
inspeccionada, el hecho que se trata de averiguar; por lo que, necesariamente
debe tratarse de un hecho actual y presente que el juez pueda conocer
directamente y no, de un hecho pasado.
Ahora bien, conforme a lo expuesto la prueba de inspección judicial no parece
ser la más idónea para la introducción procesal de los mensajes de datos. En esto
compartimos la opinión de SANCHIS CRESPO para quien no puede mantenerse
que el juez perciba directamente hechos cuando para hacerlo deba llevar a cabo
una labor mental de representación y actualización de información que, por otro
lado, sólo intelectualmente se consigue, con lo que la percepción inmediata del
28. Ob, cit. Pág. 104. juez no es más que una ilusión(28) .
Sin embargo, si lo que se pretende probar es la imagen o el sonido de un
determinado mensaje de datos que circulan por Internet (por ejemplo, de un
museo virtual o una página web), consideramos que la prueba de inspección
judicial sí podría resultar adecuada, toda vez que el órgano jurisdiccional
estaría empleando el sentido de la vista sólo para observar y no para leer, como
sucedería en el caso de un mensaje escrito electrónicamente.

VII. Control y contradicción de la prueba a través de mensajes de datos


(documentos electrónicos)
1. Control y contradicción de la promoción de los documentos electrónicos
Conforme a nuestro ordenamiento procesal, los medios de prueba libres se
promoverán aplicando por analogía las disposiciones relativas a los medios
de prueba semejantes contemplados en el Código Civil y en el Código de
Procedimiento Civil; por ello la parte que quiera valerse del medio libre similar
a uno legal, como es el caso del documento electrónico, deberá respetar las
reglas de promoción, correspondiéndole al juez y a la contraparte, el examen de
la legalidad de la adaptación.
Como contrapartida del derecho a la prueba judicial, se ubica al derecho del
control de la prueba por la contraparte del promovente, quien podrá oponerse,
por ilegalidad o impertinencia, a la admisión de la prueba promovida.
En efecto, como ya se expuso, siguiendo la opinión de CABRERA la oposición
atiende a dos conceptos jurídicos: el de la impertinencia y el de la ilegalidad.
Por pertinencia se entiende la congruencia que debe existir entre el objeto
fáctico de la prueba promovida y los hechos alegados y controvertidos. Por
argumento a contrario, existe impertinencia cuando el medio promovido para
probar el hecho litigioso, no se identifica con éste ni siquiera indirectamente.
Para el derecho procesal venezolano, no es causa de impertinencia, la relación
indirecta entre el hecho objeto de la prueba y los hechos controvertidos, al
menos para el momento de la admisión de la prueba y, por ello, nuestro Código

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 153


de Procedimiento Civil siempre ha ordenado que el juez rechace la prueba
manifiestamente impertinente, dando entrada así a los medios que incorporarán
29. Ob, cit, pág. 36. a la causa posibles hechos indiciarios(29) .
Ahora bien, ¿cómo se controla la pertinencia? Señala CABRERA que en la mayoría
30. Sobre este particular de los medios de prueba(30) , el promovente, al momento de anunciarlos debe
CABRERA deja a salvo indicar los hechos que trata de probar con ellos, por lo que resulta fácil comparar
la confesión judicial que lo que se pretende probar con los hechos alegados controvertidos y, por tanto,
se trata de provocar calificar o no la pertinencia o la impertinencia manifiesta(31) .
mediante posiciones La ilegalidad consiste en que con la proposición del medio se transgreden
juradas y la prueba de sus requisitos legales de existencia o admisibilidad, infracción que se verifica
testigos. para el momento de su promoción o, excepcionalmente, para el momento de
su evacuación. Ahora bien, la ilegalidad como argumento para la oposición de
31. Ob, cit, pág. 36. la prueba promovida opera con mayor intensidad para el caso de las pruebas
legales debido a que están reguladas por la ley y, por tanto, de sus normas
32. Ibidem, pág, 37. se deducen sus requisitos(32) ; sin embargo, ello no significa que no pueda
alegarse la ilegalidad en relación a los mensajes de datos, cuando, por ejemplo,
se dejan de aplicar las reglas establecidas para la promoción de medios análogos
o similares.
Por otra parte, vale destacar que de acuerdo con la Constitución de la República
Bolivariana de Venezuela de 1999, no son válidas las pruebas obtenidas en
violación al debido proceso (Artículo 49); por lo que, en aquellos casos en que
el medio de prueba haya sido obtenido en violación garantías procesales o
constitucionales, la contraparte del promovente podrá oponerse a su admisión
bien por ilegalidad o bien por inconstitucionalidad. En estos casos, la ilegalidad
o la inconstitucionalidad no es respecto del medio de prueba, sino de las formas
utilizadas para la obtención de la fuente.
Un ejemplo de lo anterior sería que el hecho que se pretenda probar este
contenido en un correo electrónico de contenido personal y privado, interceptado
por un sujeto distinto a quien iba dirigido. En este caso, el promovente del medio
habría obtenido la prueba en violación a las normas legales y constitucionales
que protegen la intimidad, el secreto e inviolabilidad de las comunicaciones; por
lo que, la contraparte del promovente podría oponerse a su admisión.
Ahora bien, la ausencia de oposición no significa una convalidación de la
impertinencia o ilegalidad, ya que, como bien lo apunta CABRERA, se trata por
ser conceptos jurídicos el juez -o arbitro- podrá tomarlos en cuenta de oficio y
33. Ibidem, pág. 39 ordenar o negar que se reciba la prueba en autos(33) .
2. La impugnación y el desconocimiento de la prueba documental electrónica
No obstante la brevedad de estas notas, no podemos dejar de mencionar
que el hecho de que la parte que pretenda valerse del documento electrónico
demuestre en juicio la autenticidad y autoría del mensaje o registro contenido
en un disquete o en un papel impreso, no impide a la contraparte en juicio
impugnar la eficacia y validez probatoria del medio.
Así pues, en ocasiones la oposición al medio de prueba propuesto no es
suficiente, por lo que el legislador otorga ofrece otra alternativa a los litigantes
en materia de defensa procesal: La impugnación del medio, que no es más que
un ataque dirigido a enervar la veracidad de un medio de prueba.
Nos enseña CABRERA que este ataque al medio puede asumir dos formas: una
activa (impugnación en sentido estricto: la tacha documental y la de testigos),
con alegatos de hechos y con la carga de prueba sobre el impugnante; y otra
pasiva (desconocimiento) donde también se alega un hecho, pero la carga de la
prueba la tiene la contraparte del impugnante.
Por lo extenso que ello significaría, por ahora no nos adentraremos al análisis
de la tacha de falsedad de un documento o mensaje electrónico; sin embargo,
consideramos que para la tramitación de esta impugnación las normas que
resultan aplicables son las relativas a la tacha de instrumentos privados, la cual
procede, conforme el artículo 443 del Código de Procedimiento Civil, por los

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.154


motivos especificados en el Código Civil.
En cuanto al desconocimiento, como ataque pasivo, es importante recordar que
quien propone un documento electrónico o mensaje de datos debe demostrar su
credibilidad. El que un documento emanó, por ejemplo, de determinada persona,
es parte de la demostración que el proponente del medio tiene la carga de hacer,
34. Ibidem, pág. 250. a menos que el mismo sea auténtico y que en consecuencia se presuma quien
es su autor(34) .
Ahora bien, nuestro legislador debido a la suscripción tradicional o a la escritura
y a que éstos son elementos de imputación de la autoría a una de las partes,
sus causantes o mandatarios, creo un procedimiento tendente a la obtención de
la credibilidad del documento y que consiste en la declaratoria expresa o tácita
de la autoría. Así, de acuerdo con el artículo 444 del Código de Procedimiento
Civil, “La parte contra quien se produzca en juicio un instrumento privado como
emanado de ella o de algún causante suyo, deberá manifestar formalmente si
lo reconoce o lo niega, ya en el acto de la contestación de la demanda, si el
instrumento se ha producido con el libelo, ya dentro de los cinco días siguientes
a aquel e que se haya producido, cuando fuere posteriormente a dicho acto. El
silencio de la parte al respecto, dará por reconocido el instrumento”.
De esta manera, la autenticidad del documento privado puede lograrse bien por
el reconocimiento expreso o por el silencio de la contraparte. Cuando se niega
formalmente la autoría del documento el reconocimiento electrónico, toca a la
parte promovente demostrar su autenticidad (Artículo 445, ejusdem).
Como puede advertirse el desconocimiento de instrumentos privados (que,
como ya vimos es la institución a través de la cual, se permite a la parte contra
quien se opone el documento como emanado de ella, la negación de su autoría,
lo cual puede partir de diversas causas) es un procedimiento creado sobre la
base algunos signos externos de la autenticidad (firma manuscrita o escritura),
de los cuales –al menos tradicionalmente- carecen los documentos electrónicos.
No obstante lo anterior, consideramos que en atención al concepto amplio de
documento y, siendo aún más precisos, con la asimilación que hace la Ley de
Mensajes de Datos y Firmas Electrónicas entre la firma tradicional o manuscrita y
la firma digital (o cualquier otro medio de identificación de la persona autora del
documento que en el futuro pueda surgir), es perfectamente posible que la parte
contra quien se promueva un documento electrónico como emanada de ella o
35. A este respecto, de algún causante suyo, lo desconozca, debiendo el proponente de la prueba
adaptando un ejemplo demostrar su autenticidad(35) .
expuesto el profesor Ahora bien, tratándose de documentos escritos en soporte informático, no es
Cabrera Romero (Ob, posible acudir al cotejo ni a ningún procedimiento similar a éste, por lo que
cit, Tomo II, p.266) en un rechazada la autoría del mensaje será necesario la realización de una prueba de
asunto similar, opinamos experticia en la que técnicos (especialistas informáticos) puedan determinar lo
que, cuando se trata de más exactamente posible la autenticidad de tal documento.
documentos que no son
manuscritos ni suscritos VIII. La valoración de la prueba documental electrónica
en húmedo, como es 1.Valor probatorio de los mensajes de datos
el caso de un mensaje En cuanto a la valoración del documento electrónico o mensajes de datos,
o correo electrónico, si dispone la Ley sobre Mensajes de Datos y Firmas Electrónicas, que tales
éste es desconocidos documentos poseen la misma eficacia que la ley otorga a los documentos
por la parte contra escritos; en consecuencia, incorporado al proceso un mensaje de datos como
quien se opone y quien, prueba de determinado hecho o negocio jurídico y demostrada su autenticidad,
supuestamente, creó el al mismo deberá atribuírsele un valor probatorio pleno.
mensaje, el promovente Así pues, a pesar de que en la redacción del artículo 4 de la Ley antes citada, no
de la prueba electrónica se sujeta la eficacia probatoria a la previa demostración de la autenticidad del
deberá demostrar que mensaje, consideramos que de su lectura concatenada con otros artículos de
el mensaje fue enviado ese mismo instrumento legal (ver: artículos 7,8, 16), así como con las reglas y
desde la computadora principios que rigen la prueba por escrito, es imprescindible que el promovente
de su contraparte. del documento electrónico haya acreditado ante el órgano jurisdiccional o el

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 155


tribunal arbitral, la autenticidad y autoría del mensaje, para que éste pueda
considerarse como prueba fehaciente de un hecho controvertido. Claro que,
en caso de aceptación expresa o tácita del documento por la contraparte del
promovente, la autenticidad y/o autoría del mismo quedarían demostradas sin
necesidad de acudir a los mecanismos procesales para lograr la convicción del
juez o arbitro sobre el valor probatorio del documento electrónico.
Reiteramos, nadie podría dudar de la Ley de Mensajes de Datos y Firmas
Electrónicas es un paso muy importante para lograr la seguridad jurídica
respecto a los negocios y las comunicaciones digitales; sin embargo, creemos
que lo más importante para lograr una correcta apreciación de los documentos
electrónicos como prueba de hechos o contratos ejecutados en Internet, es,
principalmente, que los órganos encargados de impartir justicia (sobre todo
36. En la actualidad, un los órganos jurisdiccionales o administrativos) amplíen sus criterios en base a
ejemplo determinante los adelantos de la tecnología informática, pues de nada servirá que las partes
para nuestros jueces, es utilicen los avances de la ciencia y de la tecnología como medios de prueba, si
el criterio de avanzada los hombre y mujeres encargados de la resolución de sus conflictos, se cierren a
que el Trbunal Supremo apreciarlos en todo su valor probatorio, por desconocimiento o desconfianza(36)
de Justicia ha tenido
frente a los documentos 2.Valor probatorio de las impresiones y copias de los mensajes de datos
contenidos en soportes Señala el aparte único del artículo 4° de la Ley sobre Mensajes de Datos y Firmas
informáticos y que se Electrónicas, “La información contenida en un Mensaje de Datos, reproducida
refleja en el reciente en formato impreso, tendrá la misma eficacia probatoria atribuida en la Ley
recurso de amparo a las copias y reproducciones fotostáticas”.
constitucional tramitado Aplicando por analogía las reglas procesales que rigen la promoción de copias
digitalmente y que fue o reproducciones fotostáticas de los instrumentos privados, una vez que se
admitido por la Sala proponga como prueba la impresión de un mensaje de datos, ésta se tendrá
Político Administrativa. como fidedigna si no es impugnada por la contraparte del promovente, a tenor
de lo dispuesto en el artículo 429 del Código de Procedimiento Civil. El objeto de
la impugnación en este caso es que el proponente del medio presente en juicio
el original del documento.
Ahora bien, si la parte promovente de la copia o impresión del documento
electrónico no posee el original o éste ha desaparecido, por lo que no es posible
solicitar su cotejo, el efecto jurídico, de acuerdo con nuestro ordenamiento
procesal, es que dicha impresión no tendrá ningún valor probatorio. No obstante,
consideramos que a falta de original la parte promovente del medio impugnado
podrá acreditar la identidad de la impresión (copia) con el mensaje original, si
demuestra que posee una reproducción electrónica fiel de este último, como
sería, por ejemplo, el caso en que la información haya sido guardada en un disco
óptico o en otro sistema electrónico que asegure la autenticidad e inalterabilidad
del mensaje.
A este respecto, vale destacar que en los Estados Unidos de América, las Normas
Generales de Derecho Probatorio, legislación federal que intenta armonizar los
principios probatorios y que ha sido adoptada por la mayoría de los estados
de la Unión, estipula que los registros electrónicos o cualquier otra información
telemática constituyen verdaderos “escritos” y que un documento impreso que
es una reproducción fiel de la información electrónica constituye un original. De
acuerdo con estas normas, se puede aceptar como prueba una versión impresa
de la información electrónica, como por ejemplo, la impresión de una página
Web o de un correo electrónico.
Siguiendo este mismo principio, consideramos que aún cuando en nuestro
ordenamiento jurídico no exista una norma como la indicada, la demostración
plena de la identidad de la impresión y la autenticidad del mensaje o registro
electrónico con el original, así como su origen, se podría lograr a través de
cualquier medio de prueba, como por ejemplo la prueba de informes o la
exhibición de documentos, como expusimos supra.

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.156


IX.- Conclusiones y recomendaciones para los usuarios de Internet
Ciertamente, la promulgación de la Ley de Mensajes de Datos y Firmas
Electrónicas constituye un importante avance en materia probatoria, al definirse
lo que constituye el equivalente a un documento escrito, la firma y el original
en el entorno electrónico y, además, establecerse el régimen aplicable para la
admisibilidad, promoción y evacuación en juicio de tales documentos (el de las
pruebas libres); sin embargo, al remitirse a las formas procesales ordinarias
previstas en el Código de Procedimiento Civil, la prueba de los hechos o actos
contenido en un mensaje electrónico sigue siendo una prueba compleja.
En efecto, de acuerdo con nuestro ordemaniento jurídico procesal para emplear
con éxito un mensaje de datos como prueba de un hecho, un negocio jurídico
o cualquier otro acto con relevancia jurídica, necesariamente debe establecerse
su autenticidad, lo que implica, primero, probar su origen (que viene de la fuente
que se indique) y después su integridad (esto es, que el mensaje se conserve
en un formato que asegure su inalterabilidad o, en otras palabras, probar que
el mensaje no ha sido modificado). Ahora bien, como hemos visto a lo largo del
presente estudio, la autenticidad de estos documentos puede demostrarse a
través de cualquier medio de prueba.
Ahora bien, con la finalidad de imprimir seguridad jurídica a las transacciones
comerciales y, en general, a las comunicaciones a través del uso de redes de
información, como la Internet, recomendamos a los usuarios que en el intercambio
de información procuren utilizar algunos mecanismos que aseguren la utilización
posterior de los mensajes de datos como medios de prueba confiables y eficaces.
En particular recomendamos tomar las siguientes precauciones:
1.- Usar sistemas de computación que permitan la conservación de registros
e información electrónica mediante medios duraderos e inalterables (soporte
magnético u óptico), y en el mismo orden de transmisión o recepción.
2.- Adoptar las medidas de seguridad necesarias, tales como doble copia del
registro contentivo del documento electrónico que, técnicamente, permita
garantizar la lectura y recuperación de su contenido.
3.- Conservar en soportes físicos (papel) cada transacción o en cualquier sistema
que asegure la inalterabilidad del mensaje de datos (discos ópticos).
4.- Utilizar y exigir en las transacciones comerciales la firma electrónica de su
co-contratante.
5.- Los documentos electrónicos, así como las facturas electrónicas (en caso
de obtenerse la autorización respectiva de la Administración Tributaria), deben
conservarse bien en formatos electrónicos (archivos electrónicos) o impresos ya
que tales documentos sirven como soporte de los libros comerciales y contables,
de los comerciantes. Por lo tanto, deben ser identificados, numerados y fechados
desde su inserción.
37. A este respecto, Sobre la facturación electrónica(37) es importante señalar que de acuerdo
ver VILORIA MÉNDEZ, con el Reglamento de la Ley de Impuesto al Valor Agregado “La Administración
MÓNICA. “Comercio Tributaria podrá establecer mediante Providencia, mecanismos especiales de
electrónico y facturas facturación para las operaciones de comercio electrónico gravadas por este
digitales”, eRevista impuesto”; sin embargo, hasta la presente fecha las empresas que utilizan el
Inversiones No. 211, comercio electrónico para ofrecer y vender buena parte de sus bienes y servicios,
Caracas, Febrero 2001. aún no han tenido una respuesta oficial del gobierno sobre la posibilidad de
emitir facturas en formato electrónico. Actualmente, la regulación en esta
materia se limita a la contenida Resolución del Ministerio de Finanzas No. 320,
sobre impresión y emisión física de facturas y otros documentos. Conforme
a esta normativa las facturas y demás documentos equivalentes que autorice
la Administración, órdenes de entrega o guías de despacho, notas de débito,
notas de crédito, soportes o comprobantes, relacionados con la ejecución de
operaciones de venta o prestación de servicios gravados con el impuesto al
valor agregado, deberán ser impresas por las imprentas autorizadas, conforme a
los requisitos, características o condiciones previstos en el referido Reglamento.

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 157


Sin embargo, si atendemos al contenido del artículo 68 del Reglamento de la
Ley de Impuesto al Valor Agregado, se observa que existe la posibilidad de
que la Administración Tributaria, previo requerimiento de los contribuyentes,
autorice la emisión de documentos equivalentes, así como el establecimiento
de otros tipos de control de ventas de bienes y prestaciones de servicios, que
resguarden el interés fiscal; “cuando por el gran número de operaciones o la
modalidad de comercialización de algunos productos o prestaciones de ciertos
servicios, la emisión de facturas o comprobantes para cada operación pueda
entrabar el desarrollo eficiente de la actividad económica” (subrayado nuestro);
en consecuencia, es perfectamente posible que el comerciante por Internet
solicite formalmente a la Administración Tributaria una autorización para emitir
en formato electrónico toda o buena parte de su facturación, así como para
transmitir tales facturas a sus destinatarios a través de mensajes electrónicos,
de tal manera que estos mensajes sirvan al contribuyente como soportes
documentales en el impuesto al valor agregado.
En efecto, aún cuando el Reglamento establece la posibilidad de establecer
“mecanismos especiales de facturación para las operaciones de comercio
electrónico”, consideramos que hasta tanto dicha normativa no sea dictada,
una opción jurídicamente razonable para las empresas que basan una parte
importante de sus negocios en el comercio electrónico y, especialmente, para
aquéllas que por el volumen de sus operaciones emiten muchas facturas, es
solicitar una autorización administrativa que les permita emitir y transmitir
su facturación en un formato digital. Claro está que, para poder emitir y
transmitir facturas por medios electrónicos, el contribuyente deberá
garantizar a la Administración Tributaria la autenticidad del origen del
mensaje y la integridad de su contenido, para lo cual podrá servirse de un
mecanismo de seguridad, como la firma electrónica.
6.- De ser posible y atendiendo a la legislación de cada país, es recomendable
que las partes que realicen intercambios comerciales frecuentes, celebren
un acuerdo escrito, donde se establezca que independientemente de las
regulaciones en materia de pruebas en sus respectivos países, reconocen como
prueba válida y eficaz los archivos contenidos en los servidores que respaldan
la página Web y donde ésta vive electrónicamente o mensajes electrónicos que
concuerden con el criterio establecido por las partes (existencia de medidas de
seguridad garantizadas, almacenamiento de datos en sistemas confiables, etc).
7.- Los usuarios que deseen ser identificados en Internet, deben procurar utilizar
técnicas de seguridad, como la criptografía o código secreto (una contraseña
específica para cada usuario o una firma electrónica) que pueda ser empleado
para probar la autoría y autenticidad del mensaje de datos.
8.- De ser posible, las partes deberán acordar un procedimiento especial para
establecer cuando un mensaje de datos proviene efectivamente del emisor,
pudiendo, en todo caso, adoptar el procedimiento general establecido al efecto
por la Ley sobre Mensajes de Datos y Firmas Electrónicas.

Este trabajo es una ampliación y adaptación del artículo publicado originalmente


bajo el título “Las pruebas en el comercio electrónico”, elaborado por Mónica
Viloria en Septiembre de 1999, a la luz de la reciente publicación de la Ley de
Mensajes de Datos y Firmas Electrónicas en la República Bolivariana de Venezuela

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.158


m3 |contenidos | IC

información complementaria 14

Para visualizar estas informaciones complementarias dirijasé al sector respectivo


en la Plataforma.

m3 |contenidos | IC

información complementaria 15

Ley 25.506: Firma digital

Consideraciones generales. Certificados digitales. Certificador licenciado. Titular


de un certificado digital. Organización institucional. Autoridad de aplicación.
Sistema de auditoría. Comisión Asesora para la Infraestructura de Firma Digital.
Responsabilidad. Sanciones. Disposiciones Complementarias.
Sancionada: Noviembre 14 de 2001.
Promulgada de Hecho: Diciembre 11 de 2001.
El Senado y Cámara de Diputados de la Nación Argentina reunidos en Congreso,
etc. sancionan con fuerza de Ley:
LEY DE FIRMA DIGITAL
CAPITULO I
Consideraciones generales
ARTICULO 1º — Objeto. Se reconoce el empleo de la firma electrónica y de la
firma digital y su eficacia jurídica en las condiciones que establece la presente
ley.
ARTICULO 2º — Firma Digital. Se entiende por firma digital al resultado de aplicar
a un documento digital un procedimiento matemático que requiere información
de exclusivo conocimiento del firmante, encontrándose ésta bajo su absoluto
control. La firma digital debe ser susceptible de verificación por terceras partes,
tal que dicha verificación simultáneamente permita identificar al firmante y
detectar cualquier alteración del documento digital posterior a su firma.
Los procedimientos de firma y verificación a ser utilizados para tales fines serán
los determinados por la Autoridad de Aplicación en consonancia con estándares
tecnológicos internacionales vigentes.
ARTICULO 3º — Del requerimiento de firma. Cuando la ley requiera una firma
manuscrita, esa exigencia también queda satisfecha por una firma digital. Este
principio es aplicable a los casos en que la ley establece la obligación de firmar
o prescribe consecuencias para su ausencia.
ARTICULO 4º — Exclusiones. Las disposiciones de esta ley no son aplicables:
a) A las disposiciones por causa de muerte;
b) A los actos jurídicos del derecho de familia;
c) A los actos personalísimos en general;
d) A los actos que deban ser instrumentados bajo exigencias o formalidades
incompatibles con la utilización de la firma digital, ya sea como consecuencia de
disposiciones legales o acuerdo de partes.
ARTICULO 5º — Firma electrónica. Se entiende por firma electrónica al conjunto
de datos electrónicos integrados, ligados o asociados de manera lógica a otros
datos electrónicos, utilizado por el signatario como su medio de identificación,
que carezca de alguno de los requisitos legales para ser considerada firma

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 159


digital. En caso de ser desconocida la firma electrónica corresponde a quien la
invoca acreditar su validez.
ARTICULO 6º — Documento digital. Se entiende por documento digital a la
representación digital de actos o hechos, con independencia del soporte
utilizado para su fijación, almacenamiento o archivo. Un documento digital
también satisface el requerimiento de escritura.
ARTICULO 7º — Presunción de autoría. Se presume, salvo prueba en contrario,
que toda firma digital pertenece al titular del certificado digital que permite la
verificación de dicha firma.
ARTICULO 8º — Presunción de integridad. Si el resultado de un procedimiento
de verificación de una firma digital aplicado a un documento digital es verdadero,
se presume, salvo prueba en contrario, que este documento digital no ha sido
modificado desde el momento de su firma.
ARTICULO 9º — Validez. Una firma digital es válida si cumple con los siguientes
requisitos:
a) Haber sido creada durante el período de vigencia del certificado digital válido
del firmante;
b) Ser debidamente verificada por la referencia a los datos de verificación de
firma digital indicados en dicho certificado según el procedimiento de verificación
correspondiente;
c) Que dicho certificado haya sido emitido o reconocido, según el artículo 16 de
la presente, por un certificador licenciado.
ARTICULO 10. — Remitente. Presunción. Cuando un documento digital sea
enviado en forma automática por un dispositivo programado y lleve la firma
digital del remitente se presumirá, salvo prueba en contrario, que el documento
firmado proviene del remitente.
ARTICULO 11. — Original. Los documentos electrónicos firmados digitalmente
y los reproducidos en formato digital firmados digitalmente a partir de originales
de primera generación en cualquier otro soporte, también serán considerados
originales y poseen, como consecuencia de ello, valor probatorio como tales,
según los procedimientos que determine la reglamentación.
ARTICULO 12. — Conservación. La exigencia legal de conservar documentos,
registros o datos, también queda satisfecha con la conservación de los
correspondientes documentos digitales firmados digitalmente, según los
procedimientos que determine la reglamentación, siempre que sean accesibles
para su posterior consulta y permitan determinar fehacientemente el origen,
destino, fecha y hora de su generación, envío y/o recepción.
CAPITULO II
De los certificados digitales
ARTICULO 13. — Certificado digital. Se entiende por certificado digital al
documento digital firmado digitalmente por un certificador, que vincula los datos
de verificación de firma a su titular.
ARTICULO 14. — Requisitos de validez de los certificados digitales. Los
certificados digitales para ser válidos deben:
a) Ser emitidos por un certificador licenciado por el ente licenciante;
b) Responder a formatos estándares reconocidos internacionalmente, fijados
por la autoridad de aplicación, y contener, como mínimo, los datos que permitan:
1. Identificar indubitablemente a su titular y al certificador licenciado que lo emitió,
indicando su período de vigencia y los datos que permitan su identificación única;
2. Ser susceptible de verificación respecto de su estado de revocación;
3. Diferenciar claramente la información verificada de la no verificada incluidas
en el certificado;
4. Contemplar la información necesaria para la verificación de la firma;
5. Identificar la política de certificación bajo la cual fue emitido.
ARTICULO 15. — Período de vigencia del certificado digital. A los efectos de esta
ley, el certificado digital es válido únicamente dentro del período de vigencia, que

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.160


comienza en la fecha de inicio y finaliza en su fecha de vencimiento, debiendo
ambas ser indicadas en el certificado digital, o su revocación si fuere revocado.
La fecha de vencimiento del certificado digital referido en el párrafo anterior en
ningún caso puede ser posterior a la del vencimiento del certificado digital del
certificador licenciado que lo emitió.
La Autoridad de Aplicación podrá establecer mayores exigencias respecto de la
determinación exacta del momento de emisión, revocación y vencimiento de los
certificados digitales.
ARTICULO 16. — Reconocimiento de certificados extranjeros. Los certificados
digitales emitidos por certificadores extranjeros podrán ser reconocidos en los
mismos términos y condiciones exigidos en la ley y sus normas reglamentarias
cuando:
a) Reúnan las condiciones que establece la presente ley y la reglamentación
correspondiente para los certificados emitidos por certificadores nacionales
y se encuentre vigente un acuerdo de reciprocidad firmado por la República
Argentina y el país de origen del certificador extranjero, o
b) Tales certificados sean reconocidos por un certificador licenciado en el país,
que garantice su validez y vigencia conforme a la presente ley. A fin de tener
efectos, este reconocimiento deberá ser validado por la autoridad de aplicación.
CAPITULO III
Del certificador licenciado
ARTICULO 17. — Del certificador licenciado. Se entiende por certificador
licenciado a toda persona de existencia ideal, registro público de contratos u
organismo público que expide certificados, presta otros servicios en relación
con la firma digital y cuenta con una licencia para ello, otorgada por el ente
licenciante.
La actividad de los certificadores licenciados no pertenecientes al sector público
se prestará en régimen de competencia. El arancel de los servicios prestados
por los certificadores licenciados será establecido libremente por éstos.
ARTICULO 18. — Certificados por profesión. Las entidades que controlan la
matrícula, en relación a la prestación de servicios profesionales, podrán emitir
certificados digitales en lo referido a esta función, con igual validez y alcance
jurídico que las firmas efectuadas en forma manuscrita. A ese efecto deberán
cumplir los requisitos para ser certificador licenciado.
ARTICULO 19. — Funciones. El certificador licenciado tiene las siguientes
funciones:
a) Recibir una solicitud de emisión de certificado digital, firmada digitalmente
con los correspondientes datos de verificación de firma digital del solicitante;
b) Emitir certificados digitales de acuerdo a lo establecido en sus políticas de
certificación, y a las condiciones que la autoridad de aplicación indique en la
reglamentación de la presente ley;
c) Identificar inequívocamente los certificados digitales emitidos;
d) Mantener copia de todos los certificados digitales emitidos, consignando su
fecha de emisión y de vencimiento si correspondiere, y de sus correspondientes
solicitudes de emisión;
e) Revocar los certificados digitales por él emitidos en los siguientes casos, entre
otros que serán determinados por la reglamentación:
1) A solicitud del titular del certificado digital.
2) Si determinara que un certificado digital fue emitido en base a una información
falsa, que en el momento de la emisión hubiera sido objeto de verificación.
3) Si determinara que los procedimientos de emisión y/o verificación han dejado
de ser seguros.
4) Por condiciones especiales definidas en su política de certificación.
5) Por resolución judicial o de la autoridad de aplicación.
f) Informar públicamente el estado de los certificados digitales por él emitidos. Los
certificados digitales revocados deben ser incluidos en una lista de certificados

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 161


revocados indicando fecha y hora de la revocación. La validez y autoría de dicha
lista de certificados revocados deben ser garantizadas.
ARTICULO 20. — Licencia. Para obtener una licencia el certificador debe cumplir
con los requisitos establecidos por la ley y tramitar la solicitud respectiva ante el
ente licenciante, el que otorgará la licencia previo dictamen legal y técnico que
acredite la aptitud para cumplir con sus funciones y obligaciones. Estas licencias
son intransferibles.
ARTICULO 21. — Obligaciones. Son obligaciones del certificador licenciado:
a) Informar a quien solicita un certificado con carácter previo a su emisión y
utilizando un medio de comunicación las condiciones precisas de utilización
del certificado digital, sus características y efectos, la existencia de un sistema
de licenciamiento y los procedimientos, forma que garantiza su posible
responsabilidad patrimonial y los efectos de la revocación de su propio certificado
digital y de la licencia que le otorga el ente licenciante. Esa información deberá
estar libremente accesible en lenguaje fácilmente comprensible. La parte
pertinente de dicha información estará también disponible para terceros;
b) Abstenerse de generar, exigir, o por cualquier otro medio tomar conocimiento
o acceder bajo ninguna circunstancia, a los datos de creación de firma digital de
los titulares de certificados digitales por él emitidos;
c) Mantener el control exclusivo de sus propios datos de creación de firma digital
e impedir su divulgación;
d) Operar utilizando un sistema técnicamente confiable de acuerdo con lo que
determine la autoridad de aplicación;
e) Notificar al solicitante las medidas que está obligado a adoptar para crear
firmas digitales seguras y para su verificación confiable, y las obligaciones que
asume por el solo hecho de ser titular de un certificado digital;
f) Recabar únicamente aquellos datos personales del titular del certificado digital
que sean necesarios para su emisión, quedando el solicitante en libertad de
proveer información adicional;
g) Mantener la confidencialidad de toda información que no figure en el certificado
digital;
h) Poner a disposición del solicitante de un certificado digital toda la información
relativa a su tramitación;
i) Mantener la documentación respaldatoria de los certificados digitales emitidos,
por diez (10) años a partir de su fecha de vencimiento o revocación;
j) Incorporar en su política de certificación los efectos de la revocación de
su propio certificado digital y/o de la licencia que le otorgara la autoridad de
aplicación;
k) Publicar en Internet o en la red de acceso público de transmisión o difusión de
datos que la sustituya en el futuro, en forma permanente e ininterrumpida, la lista
de certificados digitales revocados, las políticas de certificación, la información
relevante de los informes de la última auditoría de que hubiera sido objeto, su
manual de procedimientos y toda información que determine la autoridad de
aplicación;
l) Publicar en el Boletín Oficial aquellos datos que la autoridad de aplicación
determine;
m) Registrar las presentaciones que le sean formuladas, así como el trámite
conferido a cada una de ellas;
n) Informar en las políticas de certificación si los certificados digitales por él
emitidos requieren la verificación de la identidad del titular;
o) Verificar, de acuerdo con lo dispuesto en su manual de procedimientos, toda
otra información que deba ser objeto de verificación, la que debe figurar en las
políticas de certificación y en los certificados digitales;
p) Solicitar inmediatamente al ente licenciante la revocación de su certificado, o
informarle la revocación del mismo, cuando existieren indicios de que los datos
de creación de firma digital que utiliza hubiesen sido comprometidos o cuando

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.162


el uso de los procedimientos de aplicación de los datos de verificación de firma
digital en él contenidos hayan dejado de ser seguros;
q) Informar inmediatamente al ente licenciante sobre cualquier cambio en los
datos relativos a su licencia;
r) Permitir el ingreso de los funcionarios autorizados de la autoridad de aplicación,
del ente licenciante o de los auditores a su local operativo, poner a su disposición
toda la información necesaria y proveer la asistencia del caso;
s) Emplear personal idóneo que tenga los conocimientos específicos, la
experiencia necesaria para proveer los servicios ofrecidos y en particular,
competencia en materia de gestión, conocimientos técnicos en el ámbito de
la firma digital y experiencia adecuada en los procedimientos de seguridad
pertinentes;
t) Someter a aprobación del ente licenciante el manual de procedimientos,
el plan de seguridad y el de cese de actividades, así como el detalle de los
componentes técnicos a utilizar;
u) Constituir domicilio legal en la República Argentina;
v) Disponer de recursos humanos y tecnológicos suficientes para operar de
acuerdo a las exigencias establecidas en la presente ley y su reglamentación;
w) Cumplir con toda otra obligación emergente de su calidad de titular de la
licencia adjudicada por el ente licenciante.
ARTICULO 22. — Cese del certificador. El certificador licenciado cesa en tal
calidad:
a) Por decisión unilateral comunicada al ente licenciante;
b) Por cancelación de su personería jurídica;
c) Por cancelación de su licencia dispuesta por el ente licenciante.
La autoridad de aplicación determinará los procedimientos de revocación
aplicables en estos casos.
ARTICULO 23. — Desconocimiento de la validez de un certificado digital. Un
certificado digital no es válido si es utilizado:
a) Para alguna finalidad diferente a los fines para los cuales fue extendido;
b) Para operaciones que superen el valor máximo autorizado cuando corresponda;
c) Una vez revocado.
CAPITULO IV
Del titular de un certificado digital
ARTICULO 24. — Derechos del titular de un certificado digital. El titular de un
certificado digital tiene los siguientes derechos:
a) A ser informado por el certificador licenciado, con carácter previo a la
emisión del certificado digital, y utilizando un medio de comunicación sobre las
condiciones precisas de utilización del certificado digital, sus características y
efectos, la existencia de este sistema de licenciamiento y los procedimientos
asociados. Esa información deberá darse por escrito en un lenguaje fácilmente
comprensible. La parte pertinente de dicha información estará también disponible
para terceros;
b) A que el certificador licenciado emplee los elementos técnicos disponibles
para brindar seguridad y confidencialidad a la información proporcionada por él,
y a ser informado sobre ello;
c) A ser informado, previamente a la emisión del certificado, del precio de los
servicios de certificación, incluyendo cargos adicionales y formas de pago;
d) A que el certificador licenciado le informe sobre su domicilio en la República
Argentina, y sobre los medios a los que puede acudir para solicitar aclaraciones,
dar cuenta del mal funcionamiento del sistema, o presentar sus reclamos;
e) A que el certificador licenciado proporcione los servicios pactados, y a no
recibir publicidad comercial de ningún tipo por intermedio del certificador
licenciado.
ARTICULO 25. — Obligaciones del titular del certificado digital. Son obligaciones
del titular de un certificado digital:

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 163


a) Mantener el control exclusivo de sus datos de creación de firma digital, no
compartirlos, e impedir su divulgación;
b) Utilizar un dispositivo de creación de firma digital técnicamente confiable;
c) Solicitar la revocación de su certificado al certificador licenciado ante cualquier
circunstancia que pueda haber comprometido la privacidad de sus datos de
creación de firma;
d) Informar sin demora al certificador licenciado el cambio de alguno de los
datos contenidos en el certificado digital que hubiera sido objeto de verificación.
CAPITULO V
De la organización institucional
ARTICULO 26. — Infraestructura de Firma Digital. Los certificados digitales
regulados por esta ley deben ser emitidos o reconocidos, según lo establecido
por el artículo 16, por un certificador licenciado.
ARTICULO 27. — Sistema de Auditoría. La autoridad de aplicación, con el
concurso de la Comisión Asesora para la Infraestructura de Firma Digital, diseñará
un sistema de auditoría para evaluar la confiabilidad y calidad de los sistemas
utilizados, la integridad, confidencialidad y disponibilidad de los datos, así como
también el cumplimiento de las especificaciones del manual de procedimientos
y los planes de seguridad y de contingencia aprobados por el ente licenciante.
ARTICULO 28. — Comisión Asesora para la Infraestructura de Firma Digital.
Créase en el ámbito jurisdiccional de la Autoridad de Aplicación, la Comisión
Asesora para la Infraestructura de Firma Digital.
(Nota Infoleg: Por art. 8° del Decreto N° 624/2003 B.O. 22/8/2003 se establece
que la Comisión creada por el presente artículo actuará en la órbita de la
SUBSECRETARIA DE LA GESTION PUBLICA de la JEFATURA DE GABINETE DE
MINISTROS.)
CAPITULO VI
De la autoridad de aplicación
ARTICULO 29. — Autoridad de Aplicación. La autoridad de aplicación de la
presente ley será la Jefatura de Gabinete de Ministros.
ARTICULO 30. — Funciones. La autoridad de aplicación tiene las siguientes
funciones:
a) Dictar las normas reglamentarias y de aplicación de la presente;
b) Establecer, previa recomendación de la Comisión Asesora para la Infraestructura
de la Firma Digital, los estándares tecnológicos y operativos de la Infraestructura
de Firma Digital;
c) Determinar los efectos de la revocación de los certificados de los certificadores
licenciados o del ente licenciante;
d) Instrumentar acuerdos nacionales e internacionales a fin de otorgar validez
jurídica a las firmas digitales creadas sobre la base de certificados emitidos por
certificadores de otros países;
e) Determinar las pautas de auditoría, incluyendo los dictámenes tipo que deban
emitirse como conclusión de las revisiones;
f) Actualizar los valores monetarios previstos en el régimen de sanciones de la
presente ley;
g) Determinar los niveles de licenciamiento;
h) Otorgar o revocar las licencias a los certificadores licenciados y supervisar su
actividad, según las exigencias instituidas por la reglamentación;
i) Fiscalizar el cumplimiento de las normas legales y reglamentarias en lo
referente a la actividad de los certificadores licenciados;
j) Homologar los dispositivos de creación y verificación de firmas digitales, con
ajuste a las normas y procedimientos establecidos por la reglamentación;
k) Aplicar las sanciones previstas en la presente ley.
ARTICULO 31. — Obligaciones. En su calidad de titular de certificado digital,
la autoridad de aplicación tiene las mismas obligaciones que los titulares de
certificados y que los certificadores licenciados. En especial y en particular debe:

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.164


a) Abstenerse de generar, exigir, o por cualquier otro medio tomar conocimiento
o acceder, bajo ninguna circunstancia, a los datos utilizados para generar la
firma digital de los certificadores licenciados;
b) Mantener el control exclusivo de los datos utilizados para generar su propia
firma digital e impedir su divulgación;
c) Revocar su propio certificado frente al compromiso de la privacidad de los
datos de creación de firma digital;
d) Publicar en Internet o en la red de acceso público de transmisión o difusión
de datos que la sustituya en el futuro, en forma permanente e ininterrumpida,
los domicilios, números telefónicos y direcciones de Internet tanto de los
certificadores licenciados como los propios y su certificado digital;
e) Supervisar la ejecución del plan de cese de actividades de los certificadores
licenciados que discontinúan sus funciones.
ARTICULO 32. — Arancelamiento. La autoridad de aplicación podrá cobrar un
arancel de licenciamiento para cubrir su costo operativo y el de las auditorías
realizadas por sí o por terceros contratados a tal efecto.
CAPITULO VII
Del sistema de auditoría
ARTICULO 33. — Sujetos a auditar. El ente licenciante y los certificadores
licenciados, deben ser auditados periódicamente, de acuerdo al sistema de
auditoría que diseñe y apruebe la autoridad de aplicación.
La autoridad de aplicación podrá implementar el sistema de auditoría por sí o por
terceros habilitados a tal efecto. Las auditorías deben como mínimo evaluar la
confiabilidad y calidad de los sistemas utilizados, la integridad, confidencialidad
y, disponibilidad de los datos, así como también el cumplimiento de las
especificaciones del manual de procedimientos y los planes de seguridad y, de
contingencia aprobados por el ente licenciante.
ARTICULO 34. — Requisitos de habilitación. Podrán ser terceros habilitados
para efectuar las auditorías las Universidades y organismos científicos y/o
tecnológicos nacionales o provinciales, los Colegios y Consejos profesionales
que acrediten experiencia profesional acorde en la materia.
CAPITULO VIII
De la Comisión Asesora para la Infraestructura de Firma Digital
ARTICULO 35.— Integración y funcionamiento. La Comisión Asesora para la
Infraestructura de Firma Digital estará integrada multidisciplinariamente por un
máximo de 7 (siete) profesionales de carreras afines a la actividad de reconocida
trayectoria y experiencia, provenientes de Organismos del Estado nacional,
Universidades Nacionales y Provinciales, Cámaras, Colegios u otros entes
representativos de profesionales.
Los integrantes serán designados por el Poder Ejecutivo por un período de cinco
(5) años renovables por única vez.
Se reunirá como mínimo trimestralmente. Deberá expedirse prontamente a
solicitud de la autoridad de aplicación y sus recomendaciones y disidencias se
incluirán en las actas de la Comisión.
Consultará periódicamente mediante audiencias públicas con las cámaras
empresarias, los usuarios y las asociaciones de consumidores y mantendrá a
la autoridad de aplicación regularmente informada de los resultados de dichas
consultas.
ARTICULO 36. — Funciones. La Comisión debe emitir recomendaciones por
iniciativa propia o a solicitud de la autoridad de aplicación, sobre los siguientes
aspectos:
a) Estándares tecnológicos;
b) Sistema de registro de toda la información relativa a la emisión de certificados
digitales;
c) Requisitos mínimos de información que se debe suministrar a los potenciales
titulares de certificados digitales de los términos de las políticas de certificación;

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 165


d) Metodología y requerimiento del resguardo físico de la información;
e) Otros que le sean requeridos por la autoridad de aplicación.
CAPITULO IX
Responsabilidad
ARTICULO 37. — Convenio de partes. La relación entre el certificador licenciado
que emita un certificado digital y el titular de ese certificado se rige por el contrato
que celebren entre ellos, sin perjuicio de las previsiones de la presente ley, y
demás legislación vigente.
ARTICULO 38. — Responsabilidad de los certificadores licenciados ante terceros.
El certificador que emita un certificado digital o lo reconozca en los términos
del artículo 16 de la presente ley, es responsable por los daños y perjuicios que
provoque, por los incumplimientos a las previsiones de ésta, por los errores u
omisiones que presenten los certificados digitales que expida, por no revocarlos,
en legal tiempo y forma cuando así correspondiere y por las consecuencias
imputables a la inobservancia de procedimientos de certificación exigibles.
Corresponderá al prestador del servicio demostrar que actuó con la debida
diligencia.
ARTICULO 39. — Limitaciones de responsabilidad. Los certificadores licenciados
no son responsables en los siguientes casos:
a) Por los casos que se excluyan taxativamente en las condiciones de emisión y
utilización de sus certificados y que no estén expresamente previstos en la ley;
b) Por los daños y perjuicios que resulten del uso no autorizado de un certificado
digital, si en las correspondientes condiciones de emisión y utilización de sus
certificados constan las restricciones de su utilización;
c) Por eventuales inexactitudes en el certificado que resulten de la información
facilitada por el titular que, según lo dispuesto en las normas y en los manuales
de procedimientos respectivos, deba ser objeto de verificación, siempre que el
certificador pueda demostrar que ha tomado todas las medidas razonables.
CAPITULO X
Sanciones
ARTICULO 40. — Procedimiento. La instrucción sumarial y la aplicación de
sanciones por violación a disposiciones de la presente ley serán realizadas por
el ente licenciante. Es aplicable la Ley de Procedimientos Administrativos 19.549
y sus normas reglamentarias.
ARTICULO 41. — Sanciones. El incumplimiento de las obligaciones establecidas
en la presente ley para los certificadores licenciados dará lugar a la aplicación
de las siguientes sanciones:
a) Apercibimiento;
b) Multa de pesos diez mil ($ 10.000) a pesos quinientos mil ($ 500.000);
c) Caducidad de la licencia.
Su gradación según reincidencia y/u oportunidad serán establecidas por la
reglamentación.
El pago de la sanción que aplique el ente licenciante no relevará al certificador
licenciado de eventuales reclamos por daños y perjuicios causados a terceros
y/o bienes de propiedad de éstos, como consecuencia de la ejecución del
contrato que celebren y/o por el incumplimiento de las obligaciones asumidas
conforme al mismo y/o la prestación del servicio.
ARTICULO 42. — Apercibimiento. Podrá aplicarse sanción de apercibimiento en
los siguientes casos:
a) Emisión de certificados sin contar con la totalidad de los datos requeridos,
cuando su omisión no invalidare el certificado;
b) No facilitar los datos requeridos por el ente licenciante en ejercicio de sus
funciones;
c) Cualquier otra infracción a la presente ley que no tenga una sanción mayor.
ARTICULO 43. — Multa. Podrá aplicarse sanción de multa en los siguientes
casos:

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.166


a) Incumplimiento de las obligaciones previstas en el artículo 21;
b) Si la emisión de certificados se realizare sin cumplimentar las políticas de
certificación comprometida y causare perjuicios a los usuarios, signatarios o
terceros, o se afectare gravemente la seguridad de los servicios de certificación;
c) Omisión de llevar el registro de los certificados expedidos;
d) Omisión de revocar en forma o tiempo oportuno un certificado cuando así
correspondiere;
e) Cualquier impedimento u obstrucción a la realización de inspecciones o
auditorías por parte de la autoridad de aplicación y del ente licenciante;
f) Incumplimiento de las normas dictadas por la autoridad de aplicación;
g) Reincidencia en la comisión de infracciones que dieran lugar a la sanción de
apercibimiento.
ARTICULO 44. — Caducidad. Podrá aplicarse la sanción de caducidad de la
licencia en caso de:
a) No tomar los debidos recaudos de seguridad en los servicios de certificación;
b) Expedición de certificados falsos;
c) Transferencia no autorizada o fraude en la titularidad de la licencia;
d) Reincidencia en la comisión de infracciones que dieran lugar a la sanción de
multa;
e) Quiebra del titular.
La sanción de caducidad inhabilita a la titular sancionada y a los integrantes de
órganos directivos por el término de 10 años para ser titular de licencias.
ARTICULO 45. — Recurribilidad. Las sanciones aplicadas podrán ser recurridas
ante los Tribunales Federales con competencia en lo Contencioso Administrativo
correspondientes al domicilio de la entidad, una vez agotada la vía administrativa
pertinente.
La interposición de los recursos previstos en este capítulo tendrá efecto
devolutivo.
ARTICULO 46. — Jurisdicción. En los conflictos entre particulares y certificadores
licenciados es competente la Justicia en lo Civil y Comercial Federal. En los
conflictos en que sea parte un organismo público certificador licenciado, es
competente la Justicia en lo Contencioso-administrativo Federal.
CAPITULO XI
Disposiciones Complementarias
ARTICULO 47. — Utilización por el Estado Nacional. El Estado nacional utilizará
las tecnologías y previsiones de la presente ley en su ámbito interno y en
relación con los administrados de acuerdo con las condiciones que se fijen
reglamentariamente en cada uno de sus poderes.
ARTICULO 48. — Implementación. El Estado nacional, dentro de las jurisdicciones
y entidades comprendidas en el artículo 8º de la Ley 24.156, promoverá el uso
masivo de la firma digital de tal forma que posibilite el trámite de los expedientes
por vías simultáneas, búsquedas automáticas de la información y seguimiento y
control por parte del interesado, propendiendo a la progresiva despapelización.
En un plazo máximo de 5 (cinco) años contados a partir de la entrada en vigencia
de la presente ley, se aplicará la tecnología de firma digital a la totalidad de las
leyes, decretos, decisiones administrativas, resoluciones y sentencias emanados
de las jurisdicciones y entidades comprendidas en el artículo 8º de la Ley 24.156.
ARTICULO 49. — Reglamentación. El Poder Ejecutivo deberá reglamentar esta
ley en un plazo no mayor a los 180 (ciento ochenta) días de su publicación en el
Boletín Oficial de la Nación.
ARTICULO 50. — Invitación. Invítase a las jurisdicciones provinciales a dictar los
instrumentos legales pertinentes para adherir a la presente ley.
ARTICULO 51. — Equiparación a los efectos del derecho penal. Incorpórase el
siguiente texto como artículo 78 (bis) del Código Penal:
Los términos firma y suscripción comprenden la firma digital, la creación de una
firma digital o firmar digitalmente. Los términos documento, instrumento privado

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 167


y certificado comprenden el documento digital firmado digitalmente.
ARTICULO 52. — Autorización al Poder Ejecutivo. Autorízase al Poder Ejecutivo
para que por la vía del artículo 99, inciso 2, de la Constitución Nacional actualice
los contenidos del Anexo de la presente ley a fin de evitar su obsolescencia.
ARTICULO 53. — Comuníquese al Poder Ejecutivo.
DADA EN LA SALA DE SESIONES DEL CONGRESO ARGENTINO, EN BUENOS
AIRES, A LOS CATORCE DIAS DEL MES DE NOVIEMBRE DEL AÑO DOS MIL
UNO.
— REGISTRADA BAJO EL Nº 25.506 —
RAFAEL PASCUAL. — EDUARDO MENEM. — Guillermo Aramburu. — Juan C.
Oyarzún.
ANEXO
Información: conocimiento adquirido acerca de algo o alguien.
Procedimiento de verificación: proceso utilizado para determinar la validez de
una firma digital. Dicho proceso debe considerar al menos:
a) que dicha firma digital ha sido creada durante el período de validez del
certificado digital del firmante;
b) que dicha firma digital ha sido creada utilizando los datos de creación de firma
digital correspondientes a los datos de verificación de firma digital indicados en
el certificado del firmante;
c) la verificación de la autenticidad y la validez de los certificados involucrados.
Datos de creación de firma digital: datos únicos, tales como códigos o claves
criptográficas privadas, que el firmante utiliza para crear su firma digital.
Datos de verificación de firma digital: datos únicos, tales como códigos o claves
criptográficas públicas, que se utilizan para verificar la firma digital, la integridad
del documento digital y la identidad del firmante.
Dispositivo de creación de firma digital: dispositivo de hardware o software
técnicamente confiable que permite firmar digitalmente.
Dispositivo de verificación de firma digital: dispositivo de hardware o software
técnicamente confiable que permite verificar la integridad del documento digital
y la identidad del firmante.
Políticas de certificación: reglas en las que se establecen los criterios de emisión
y utilización de los certificados digitales.
Técnicamente confiable: cualidad del conjunto de equipos de computación,
software, protocolos de comunicación y de seguridad y procedimientos
administrativos relacionados que cumplan los siguientes requisitos:
1. Resguardar contra la posibilidad de intrusión y/o uso no autorizado;
2. Asegurar la disponibilidad, confiabilidad, confidencialidad y correcto
funcionamiento;
3. Ser apto para el desempeño de sus funciones específicas;
4. Cumplir las normas de seguridad apropiadas, acordes a estándares
internacionales en la materia;
5. Cumplir con los estándares técnicos y de auditoría que establezca la Autoridad
de Aplicación.
Clave criptográfica privada: En un criptosistema asimétrico es aquella que se
utiliza para firmar digitalmente.
Clave criptográfica pública: En un criptosistema asimétrico es aquella que se
utiliza para verificar una firma digital.
Integridad: Condición que permite verificar que una información no ha sido
alterada por medios desconocidos o no autorizados.
Criptosistema asimétrico: Algoritmo que utiliza un par de claves, una clave
privada para firmar digitalmente y su correspondiente clave pública para verificar
dicha firma digital.

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.168


m3 |contenidos | IC

información complementaria 16

Sin Respaldo

Firma Digital sin Respaldo


Por Matías Altamira*

El 08 de Junio pasado el Presidente de la Nación dictó el Decreto 724/2006


que modifica sustancialmente la Ley Nacional de Firma Digital 25.506 e impulsa
su implementación primordialmente en la Administración Pública Nacional.
En el ámbito privado, su principal obstáculo era el seguro que se le exigía al
Certificador Licenciado y por ello se lo eliminó sin titubeos.
Certificador Licenciado es toda persona de existencia ideal, registro público
de contratos u organismo público que expide certificados, presta otros servicios
en relación con la firma digital y cuenta con una licencia para ello, otorgada por
el ente licenciante (Art. 17 de la ley). Es uno de los pilares esenciales para que la
estructura de firma digital funcione y cumpla con el objetivo del Artículo Primero:
“…ser susceptible de verificación por terceras partes, tal que dicha verificación
simultáneamente permita identificar al firmante y detectar cualquier alteración
del documento digital posterior a su firma”, y así brinde la seguridad jurídica
ansiada. Tan relevante es la función del Certificador que la validez de la firma
digital estará dada, entre otras cosas, porque el certificado haya sido emitido o
reconocido por un certificador licenciado.
Ante esta realidad, el Artículo 30 del Decreto 2628/02, hoy derogado, le
exigía al certificador licenciado contar con seguros vigentes acordes con las
responsabilidades asumidas, exigencia que se repetía y detallaba en un proyecto
de Disposición del Ente Licenciante, la Oficina Nacional de Tecnologías de
Información (ONTI) que en su Artículo 22 exigía que dicha póliza debería cubrir
un importe de tres millones pesos.
De un plumazo se pasó de exigirle un seguro millonario a eximirlo de
todo. Sin embargo, no se les disminuyeron las responsabilidades de los
Certificadores, quedando la incógnita de cómo responderán por los daños
y perjuicios ocasionados por su accionar. Entre el Certificador y el titular del
certificado existirá un contrato y su responsabilidad estará preliminarmente allí
pautada, pero con el tercero la ley expresamente prevé en el Artículo 38 que será
responsable por los incumplimientos a las previsiones legales, por los errores u
omisiones que presenten los certificados digitales que expida, por no revocarlos,
en legal tiempo y forma cuando así correspondiere y por las consecuencias
imputables a la inobservancia de procedimientos de certificación exigibles, cuyo
seguro fue eliminado.
Se pudo morigerar el monto del seguro, se pudo suspender por un año
su exigencia, pero se optó por la más fácil, su eliminación. Molesta lo borramos.

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 169


m3 |contenidos | IC

información complementaria 17

Gobierno de la Ciudad de Buenos Aires

Firma Digital en el Gobierno de la Ciudad de Buenos Aires


Por Matías Altamira
El Jefe de Gobierno de la Ciudad Autónoma de Buenos Aires, Aníbal Ibarra,
ha dispuesto la implementación del uso de la tecnología de firma electrónica y
firma digital en el ámbito del Poder Ejecutivo.
La incorporación de la firma digital a la Administración Pública local
mediante el Dec. 1.079 del 22 de Julio pasado, es en consonancia con la Ley
Nacional de Firma Digital Nº. 25.506 y su Decreto Reglamentario Nº 2.628/02,
que instaura el uso de la firma digital en la República Argentina, con los mismos
efectos que la firma manuscrita.
Resulta innegable la conveniencia de impulsar el uso de estas tecnologías
en el ámbito de la Ciudad Autónoma de Buenos Aires, atento a que propenden
a agilizar y racionalizar notablemente los trámites administrativos, así como a
dotarlos de una mayor transparencia y accesibilidad para su control, al hacerlos
disponibles en medios informáticos, sostiene en los Considerandos el Jefe de
Gobierno.
El objetivo es lograr la utilización de estas tecnologías en forma general,
tanto en la esfera gubernamental como en su interacción con la esfera privada y
aún hacia el interior de esta última.
Para lo cual, faculta a la Secretaría de Hacienda y Finanzas para que
establezca las etapas y trámites dentro de los cuales se irá utilizando la referida
tecnología, así como las políticas de certificación y los criterios para la emisión,
renovación y revocación de los certificados digitales de los agentes y funcionarios
de dicho Gobierno, y establece que la Dirección General de Sistemas de
Información, en su carácter de órgano rector de los sistemas informáticos,
actuará como autoridad de certificación, en tanto que la Escribanía General de la
Ciudad lo hará como autoridad de registro, para lo cual podrán dictar las normas
específicas que resulten necesarias para el cumplimiento de la tarea que se les
encomienda.
Varias son las diferencias con la ley nacional, empezando porque no ha
surgido del Órgano Legislativo, pero especialmente porque el Decreto otorga
a la Secretaría de Hacienda grandes atribuciones sin designarla Autoridad de
Aplicación; a la Dirección de Sistemas la nombra Autoridad de Certificación y a la
Escribanía General Autoridad de Registro, instituciones desconocidas para la ley
nacional, que solo contempla al Titular del Certificado emitido por un Certificador
Licenciado autorizado por el Ente Licenciante, bajo el control general de la
Autoridad de Aplicación.
Córdoba debe pronto legislar esta decisiva materia, con la seriedad y
responsabilidad que exige la aceptación de un nuevo método de firma.

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.170


m3 |contenidos | IC

información complementaria 18

Comunicación B07

B.O 12/02/07 FIRMA DIGITAL Decisión Administrativa 6/2007-DAM- Establécese


el marco normativo de firma digital aplicable al otorgamiento y revocación de las
licencias a los certificadores que así lo soliciten.

Bs. As., 7/2/2007

VISTO la Ley Nº 25.506, los Decretos Nros. 2628 del 19 de diciembre de 2002,
624 del 21 de agosto de 2003, 1028 del 6 de Noviembre de 2003; 409 del 2 de
mayo de 2005 y 724 del 8 de
Junio de 2006.

CONSIDERANDO:

Que la Ley Nº 25.506 legisló sobre la firma digital, la firma electrónica y el


documento digital.
Que dicha normativa ha significado un salto cualitativo importante a fin de habitar
la validez legal del documento digital, otorgándole las condiciones de autoría
e integridad imprescindibles como base comercio electrónico, el gobierno
electrónico y la sociedad de la información.

Que resulta necesario dictar las normas técnicas que permitan implementar
definitivamente el sistema de licenciamiento establecido en la mencionada ley,
regulando la Infraestructura de Firma Digital de la República Argentina.
Que el Decreto Nº 2628/02 reglamento de la Ley Nº 25.506 de Firma Digital creó,
a través de su artículo 11, el Ente Administrador de Firma Digital dependiente de
la JEFATURA DE GABINETE DE MINISTROS, como órgano técnico administrativo
encargado de otorgar las licencias a los certificadores, de supervisar su actividad
y dictar las normas tendientes a asegurar el régimen de libre competencia en el
mercado de los prestadores y la protección de los usuarios de Firma Digital.
Que el Decreto Nº 624/03 aprobó la estructura organizativa de primer nivel
operativo de la JEFATURA DE GABINETE DE MINISTROS, estableciendo
la responsabilidad primaria de la OFICINA NACIONAL DE TECNOLOGÍAS
DE INFORMACIÓN de la SUBSECRETARIA DE LA GESTIÓN PÚBLICA de la
JEFATURA DE GABINETE DE MINISTROS.

Que el Decreto Nº 624/03, a fin de reordenar y racionalizar los recursos en


materia de infraestructura de firma digital, disolvió el Ente Administrador de
firma digital y resolvió que su accionar sea llevado a cabo por la OFICINA
NACIONAL DE TECNOLOGIAS DE INFORMACION, como así también asignarle
la responsabilidad de intervenir en la definición de las normas y procedimientos
reglamentarios del régimen de firma digital establecido en la Ley Nº 25.506.

Que conforme al Decreto Nº 409/05, uno de los objetivos de la SECRETARIA


DE LA GESTION PUBLICA es actuar como autoridad de aplicación del régimen
normativo de Firma Digital así como en las funciones de entidad licenciante de

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 171


certificadores.

Que el Decreto Nº 724/06 modifica el Decreto Nº 2628/02 en sus


artículos 1º inciso b), 30 y 38, regulando la aceptación por parte
de terceros usuarios de los documentos firmados digitalmente.
Que ha tomado intervención el servicio jurídico competente.

Que la presente medida se encuadra en las facultades atribuidas


por el artículo 100 incisos 1 y 2 de la Constitución Nacional y
el artículo 6 del Decreto Nº 2628 del 19 de Diciembre de 2002.

Por ello, EL JEFE DE GABINETE DE MINISTROS DECIDE:

CAPITULO I

Artículo 1º- Establécese el marco normativo de firma digital aplicable al


otorgamiento y renovación de las licencias a los certificadores que así lo
soliciten, conforme a los requisitos y procedimientos de la presente Decisión y
sus correspondientes Anexos.

Art. 2º- Apruébanse los “Requisitos para el licenciamiento de certificadores” que


como Anexo I forma parte de la presente Decisión.

Art. 3º- Apruébanse los “Requisitos Mínimos para Políticas de Certificación” que
como Anexo II forma parte de la presente Decisión.

Art. 4º- Apruébanse l “Perfil Mínimo de Certificados y Listas de Certificados


Revocados” que como Anexo III forma parte de la presente Decisión.

Art. 5º- Apruébanse los “Contenidos Mínimos del Resumen de la Política de


Certificación y del Manual de Procedimientos de Certificación para Suscriptores”
que como Anexo IV forma parte de la presente Decisión.

Art. 6º- Apruébanse los “Contenidos Mínimos de los Acuerdos con Suscriptores”
que como Anexo V forma parte de la presente Decisión.

Art. 7º- Apruébanse los “Contenidos Mínimos de los Términos y Condiciones


con Terceros Usuarios” que como Anexo VI forma parte de la presente Decisión.

Art. 8º- Apruébanse los “Montos de aranceles y garantías” que como Anexo VII
forma parte de la presente Decisión.

Art. 9º- Apruébanse los “Contenidos Mínimos de la Política de Privacidad” que


como Anexo VIII forma parte de la presente Decisión.

CAPITULO II
PRINCIPIOS GENERALES

Art. 10.Principios. La actividad de los certificadores licenciados se realizara con


arreglo a los principios de objetividad, transparencia y no discriminación.

Art. 11.-Alcance. El cumplimiento de las normas reglamentarias técnicas


establecidas en la presente Decisión sólo será obligatorio para aquellas entidades
que decidan obtener el carácter de certificador licenciado.

Art. 12.- Confidencialidad. Toda la documentación exigida durante el proceso

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.172


de licenciamiento conforme lo determinado en el Anexo I “Requisitos para el
licenciamiento de certificadores”, será considerada confidencial.

El ente licenciante sólo procederá a su utilización a los fines de


valuar la aptitud del certificador para cumplir con sus funciones y
obligaciones inherentes al licenciamiento, absteniéndose de proceder
a revelarla, utilizarla para otros fines o bien divulgarla a terceros
aún después de haber finalizado el proceso de licenciamiento, salvo respecto de
aquella información que la normativa vigente establezca como pública.

CAPITULO III
INFRAESTRUCTURA DE FIRMA DIGITAL DE LA REPUBLICA ARGENTINA.

Art. 13. — Alcance. Se definen como componentes de la Infraestructura de Firma


Digital de la República Argentina.

a) al ente licenciante y su Autoridad Certificante Raíz,


b) los certificadores licenciados, incluyendo sus Autoridades Certificantes y sus
Autoridades de Registro,
c) los suscriptores de los certificados digitales de esas Autoridades Certificantes
y
d) los terceros usuarios de esos certificados.

Art. 14. — De la Autoridad Certificante Raíz. Es la Autoridad


Certificante administrada por el ente licenciante que emite
certificados digitales a las Autoridades Certificantes de los
certificadores licenciados correspondientes a sus Políticas de Certificación
aprobadas. Al otorgar la licencia respecto a una Política de Certificación, el ente
licenciante procederá a emitirle un certificado digital a través de su Autoridad
Certificante Raíz.

Art. 15. — Vínculo entre las Políticas de Certificación licenciadas y las Autoridades
Certificantes de los certificadores. El certificador licenciado debe implementar una
Autoridad Certificante por cada una de sus Políticas de Certificación licenciadas.

La Autoridad Certificante Raíz emitirá un certificado digital para cada una de esas
Autoridades Certificantes.

Art. 16. — De las Autoridades Certificantes de certificadores


licenciados: Los certificadores licenciados emitirán certificados
digitales a los suscriptores de sus Políticas de Certificación, a
través de las Autoridades Certificantes que forman parte de su infraestructura
tecnológica. Diferentes Autoridades Certificantes de un certificador licenciado
podrán compartir la misma infraestructura tecnológica, previa aprobación por
parte del ente licenciante.

Art. 17. — De la infraestructura tecnológica. Se entiende por


infraestructura tecnológica del certificador al conjunto de
servidores, software y dispositivos criptográficos utilizados para la
generación, almacenamiento y publicación de los certificados digitales y para
la provisión de información sobre su estado de validez. La infraestructura
tecnológica que soporta los servicios del certificador, deberá estar situada en
territorio argentino, bajo su control y afectada exclusivamente a las tareas de
certificación.

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 173


No se admitirá compartir infraestructuras tecnológicas entre distintos
certificadores.

Art. 18. — Condiciones de uso de la infraestructura tecnológica. El certificador


podrá utilizar la misma infraestructura tecnológica, para emitir certificados
digitales de políticas de certificación no licenciadas, mientras use los mismos
procedimientos y recursos utilizados para sus políticas de certificación licenciadas
siempre y cuando no se afecten las condiciones de seguridad y control que
dieron lugar al otorgamiento de la licencia.

En todos los casos debe mediar autorización previa del ente licenciante.

Art.19.—Restricciones a la emisión de certificados digitales por parte de los


certificadores licenciados.

Un certificador licenciado no podrá emitir certificados a Autoridades Certificantes


subordinadas.

CAPITULO IV
DE LOS ESTANDARES TECNOLOGICOS Y OPERATIVOS DE LA
INFRAESTRUCTURA DE FIRMA DIGITAL

Art. 20. — Estándares tecnológicos. Establécese como estándar


tecnológico de la Infraestructura de Firma Digital de la República
Argentina, en lo referente al formato de los certificados digitales y
listas de certificados revocados, al estándar ITU-T X.509 (ISO/IEC
9594-8) de acuerdo con las pautas definidas en el Anexo III.

Art. 21. — Estándares operativos. Establécense como estándares operativos de


la Infraestructura de Firma Digital de la República Argentina, los contenidos en
los Anexos I y II.

CAPITULO V
DE LOS CERTIFICADORES LICENCIADOS

Art. 22. — Certificadores licenciados. Aquellas entidades que soliciten el carácter


de certificadores licenciados deberán cumplir con los requisitos de licenciamiento
establecidos en el Anexo I.

Art. 23. — Consentimiento de los suscriptores de certificados digitales. Para la


emisión de certificados, los certificadores licenciados y/o sus autoridades de
registro, deberán contar con el consentimiento libre, expreso e informado del
suscriptor, el que deberá constar por escrito. Este consentimiento debe incluir
la confirmación, por parte del suscriptor, de que la información a incluir en el
certificado es correcta.

El certificador licenciado no podrá llevar a cabo publicación alguna de los


certificados que hubiere emitido sin previa autorización de su correspondiente
titular, sin perjuicio de lo dispuesto en el inciso f) del artículo 19 de la Ley Nº
25.506.

Art. 24. — Publicación de información adicional. Conforme


lo establecido en el inciso k) del Artículo 21 de la Ley Nº
25.506, los certificadores licenciados adicionalmente deberán

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.174


publicar en Internet, en forma permanente e ininterrumpida, los actos
administrativos por los cuales les fueron otorgadas y eventualmente revocadas
sus licencias, los acuerdos con suscriptores y términos y condiciones con
terceros usuarios, para cada una de las políticas de certificación por la
cual obtuvo una licencia, y toda otra información relevante relativa a ella.

Art. 25. — Domicilio del certificador licenciado. El certificador


licenciado deberá encontrarse domiciliado en el territorio
de la República Argentina, considerándose que cumple con
este requisito, cuando el establecimiento en el cual desempeña en forma permanente,
habitual o continuada su actividad, se encuentre situado en el territorio argentino.

Art. 26. — Comunicación de cambios. Los certificadores licenciados están


obligados a notificar al ente licenciante con una antelación no menor a DIEZ
(10) días, cualquier modificación que proyecten realizar sobre los aspectos que
fueron objeto de revisión para el otorgamiento de su licencia, reservándose
el ente licenciante la facultad de aceptar o rechazar dichos cambios.

Art. 27. — Uso del término “licenciado”. Queda absolutamente


prohibido el uso del término “licenciado” a todos aquellos
prestadores del servicio de certificación u otros servicios
relacionados con la firma digital, que no hayan cumplido con el correspondiente
proceso de licenciamiento establecido por la presente Decisión.

Art. 28. — Reconocimiento de certificados extranjeros. Sin


perjuicio de la validación que a dicho efecto deberá realizar la
Autoridad de Aplicación, todo aquel certificador licenciado que
quiera garantizar la validez y vigencia de certificados extranjeros
en los términos del inciso b) del artículo 16 de la Ley Nº 25.506,
deberá presentar al ente licenciante para su aprobación una política
de certificación apropiada a los fines de la obtención de la licencia
correspondiente, como así también acreditar el
cumplimiento de los demás requisitos exigidos.

CAPITULO VI
REGISTRO DE CERTIFICADORES LICENCIADOS
Art. 29. — Registro de certificadores licenciados. El ente
licenciante deberá mantener actualizado en forma regular y
continua, y accesible por Internet, un registro de certificadores
licenciados y de aquellos certificadores cuyas
licencias hayan vencido o hayan sido revocadas.

Este registro deberá contener el número de Resolución que concede, renueva


o revoca la licencia, el o los certificados digitales del certificador licenciado, la
identificación del certificador,
domicilio y números telefónicos, la dirección de su sitio en Internet,
las políticas de certificación del certificador licenciado, así como
las correspondientes Resoluciones que las aprueban. Toda
nueva Política de Certificación presentada por dicho certificador licenciado para
su licenciamiento y aprobada por el ente licenciante, será incluida en el registro
de certificadores mencionado en el presente artículo, con su correspondiente
Resolución.

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 175


CAPITULO VII
CERTIFICADOS DE PERSONAS JURIDICAS

Art. 30. — Certificados de personas jurídicas. Podrán solicitar certificados digitales


las personas jurídicas a través de sus representantes legales o apoderados con poder
suficiente a dichos efectos.

La custodia de los datos de creación de firma asociados a cada


certificado digital correspondiente a la persona jurídica solicitante,
será responsabilidad de su representante legal o apoderado,
debiendo su identificación ser incluida en dicho certificado.

Art. 31. — Certificados de aplicaciones. Las personas jurídicas podrán solicitar


certificados digitales para utilizar en sus aplicaciones informáticas.

Dicha solicitud deberá ser realizada según lo establecido en el artículo anterior.

La constancia de la identificación de la persona física responsable de la custodia


de los datos de creación de firma asociados a cada certificado digital, deberá
ser conservada por el certificador como información de respaldo de la emisión
del certificado.

CAPITULO VIII
AUDITORIAS

Art. 32. — Auditorias Ordinarias. El ente licenciante realizará auditorias ordinarias


a los certificadores y a sus autoridades de registro a fin de verificar el cumplimiento
de los requisitos de licenciamiento.

Dichas auditorias se realizarán previamente al otorgamiento de la licencia y


posteriormente en forma anual.

Art. 33. — Inspecciones extraordinarias El ente licenciante


podrá realizar inspecciones extraordinarias de oficio o en caso
de denuncias de terceros basadas en posibles deficiencias o
incumplimientos incurridos por el certificador licenciado.

CAPITULO IX
ARANCELES Y GARANTIAS

Art. 34. — Establecimiento de aranceles y garantías. De acuerdo


a los artículos 30 inciso f) y 32 de la Ley de Firma Digital el
ente licenciante procederá, cuando lo estime necesario, a
la actualización de los montos de los respectivos aranceles de licenciamiento y
renovación, monto de garantía de caución y multas por incumplimientos.

Asimismo, conforme al Anexo VII de la presente medida, procederá a fijar


aranceles para los nuevos servicios que pudieran prestarse en el marco de la
Infraestructura de Firma Digital de la República Argentina.

Art. 35. — Arancel de licenciamiento. El proceso de evaluación por parte del ente
licenciante acerca del cumplimiento de todas las condiciones legales y técnicas

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.176


que hacen al carácter de certificador licenciado, genera la obligación de pago del
arancel de licenciamiento. Dicho arancel no será reembolsable en caso alguno.

Art. 36. — Exención al pago del arancel. Los certificadores licenciados


pertenecientes a entidades y jurisdicciones del sector público quedarán exentos
de la obligación de pago del arancel licenciamiento.

Art. 37. — Lugar de pago de aranceles y multas. Los aranceles y las multas
que pudieran aplicarse deberán ser abonados en la COORDINACION
DE TESORERIA dependiente de la DIRECCION GENERAL TECNICO
ADMINISTRATIVA de la JEFATURA DE GABINETE DE MINISTROS.

Art. 38. — Garantías. Las entidades privadas que soliciten licencia


de certificador deberán constituir un seguro de caución a fin de
garantizar el cumplimiento de las obligaciones de la presente.

Las pólizas de seguro de caución deberán reunir las siguientes condiciones básicas:

a) Instituir al ente licenciante como asegurado.

b) Mantener la vigencia del seguro de caución mientras no se extingan las


obligaciones cuyo cumplimiento se cubre.

La garantía exigida deberá ser acreditada por el certificador como requisito


previo al otorgamiento de la licencia y sus renovaciones.

Art. 39. — Incumplimiento de obligaciones. Dictada la Resolución


que establece la responsabilidad del certificador licenciado por el
incumplimiento de las obligaciones a su cargo y, previa intimación
infructuosa de pago, el ente licenciante, en su calidad de asegurado,
procederá a exigir al asegurador el pago pertinente, el que deberá efectuarse
dentro del término de QUINCE (15) días de serle requerido, no siendo necesaria
ninguna otra interpelación ni acción previa contra sus bienes.

CAPITULO X
NORMAS DE PROCEDIMIENTO

Art. 40. — Plazos. Todos los términos y plazos fijados en la presente normativa se
regirán según lo establecido en la Ley Nº 19.549 y sus modificatorias.

Art. 41. — Inicio del trámite. Se dará inicio al procedimiento de licenciamiento


cuando el interesado presente la solicitud de licencia conjuntamente con toda la
documentación detallada en el Anexo I.

Art. 42. — Admisibilidad de la solicitud. Recibida la solicitud de


licencia, se procederá a su estudio de forma o admisibilidad
mediante la verificación de los antecedentes requeridos.

El interesado deberá subsanar las omisiones o bien ampliar o efectuar


aclaraciones sobre la documentación presentada dentro de los DIEZ (10) días
de haber sido notificado, caso contrario se procederá a rechazar la solicitud.

Art. 43. — Adecuación de condiciones. Cuando del análisis de la documentación


presentada o de las auditorias realizadas surgieran observaciones, se procederá
a informar al solicitante a los fines de que proceda a subsanarlas dentro del

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 177


plazo que el ente licenciante determine a dichos fines y efectos.

Art. 44. — Dictamen de aptitud. Una vez aceptada la documentación en las


condiciones requeridas por la presente decisión, se procederá a emitir en el
término de SESENTA (60) días el dictamen legal y técnico respecto a la aptitud
del certificador para cumplir con las funciones y obligaciones inherentes al
licenciamiento. Este plazo no se computará a los fines del artículo precedente.

Art. 45. — Finalización del trámite. Emitido el dictamen legal y técnico


que acredite la aptitud del certificador y, habiéndose presentado
el seguro de caución en los casos que así correspondiese, el ente
licenciante procederá al dictado de la Resolución que otorgue
la correspondiente licencia y ordenará su publicación en el Boletín Oficial.

Art. 46. — Rechazo de la solicitud. En caso que el dictamen legal y técnico fuera
desfavorable, el ente licenciante procederá a dictar una Resolución fundada
denegando la solicitud la cual deberá ser publicada en el Boletín Oficial.

RENOVACIÓN

Art. 47. — Renovación de licencias. Todo inicio de trámite de renovación está


supeditado al pago del correspondiente arancel, el que deberá ser abonado con
anterioridad a la presentación de la solicitud.

El trámite de renovación se regirá por las mismas normas establecidas en


los artículos precedentes y deberá ser iniciado con SESENTA (60) días de
anticipación al vencimiento de la licencia original.

Es responsabilidad del certificador tomar los recaudos necesarios en previsión


de demoras en la renovación de la licencia, para evitar que el vencimiento de
certificados y políticas afecte a sus suscriptores.

CAPITULO XI
CESE DE ACTIVIDADES

Art. 48. — Cese de actividades. El plan de cese de actividades deberá llevarse a


cabo en un todo conforme a lo establecido en el Anexo I.

Art. 49. — Notificación del cese de actividades.

Si el cese se produce por decisión unilateral del certificador


licenciado, esta circunstancia se deberá comunicar al ente
licenciante y a los suscriptores de certificados con una antelación
de TREINTA (30) días.

Si el cese se produjera por caducidad de su licencia dispuesta por


el ente licenciante o bien por cancelación de su personería jurídica,
el ente licenciante procederá, en un plazo no mayor a CUARENTA
Y OCHO (48) horas, a publicar dicho cese en el Boletín Oficial.

CAPITULO XII
DEFENSA DEL USUARIO
Art. 50. — Obligación de informar. Los certificadores licenciados deberán informar a
todo solicitante, previo a la emisión de los correspondientes certificados, la política
de certificación bajo la cual serán emitidos, sus condiciones y límites de utilización,

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.178


condiciones de la licencia obtenida y todo aquello que fuere relevante con
relación a un uso correcto y seguro de dichos certificados, como así también
prever procedimientos que aseguren la resolución preventiva de conflictos.

Art. 51. — Reclamos. En caso de reclamos de los usuarios de certificados digitales


que se encuentren relacionados con la prestación de los servicios de un certificador
licenciado conforme los términos de la presente normativa, el ente licenciante,
previa constancia de haberse formulado el reclamo previo correspondiente ante
su propio certificador licenciado con resultado negativo, procederá a recibir la
denuncia correspondiente, la que deberá ser evaluada y resuelta mediante la
instrucción de las actuaciones correspondientes, sin perjuicio de dejar a salvo
los derechos de las partes en conflicto de recurrir a la vía judicial cuando así lo
creyeran conveniente.

CAPITULO XIII
SANCIONES

Art. 52. — Gradación de Sanciones. En caso de incumplimiento a


las disposiciones de la Ley Nº 25.506, su Decreto Reglamentario y
la presente normativa el ente licenciante, previa instrucción sumarial
procederá a aplicar las sanciones administrativas que correspondan.

La gradación de las sanciones referidas en el artículo 41 de la Ley Nº 25.506


será realizada por el ente licenciante teniendo en cuenta el tipo de infracción,
su repercusión social, el número de usuarios afectados y la gravedad del ilícito.

Art. 53. — Cuantía de multas. El ente licenciante graduará la cuantía de las


multas que se impongan, dentro de los límites indicados, teniendo en cuenta lo
siguiente:
a) La existencia de dolo o intencionalidad

b) La reincidencia por comisión de infracciones de la misma naturaleza, cuando


así haya sido declarado por acto administrativo firme.

c) La naturaleza y cuantía de los perjuicios causados.

d) El tiempo durante el que se haya venido cometiendo la infracción.

e) El beneficio que haya reportado al infractor la comisión de la infracción.

Art. 54. — Inscripción de Sanciones. Cuando se imponga una sanción, será


inscripta en el Registro de certificadores licenciados

Art. 55. — Publicación de sanción de caducidad.


En los supuestos previstos en el artículo 44 de la Ley Nº 25.506, será obligación del
ente licenciante llevar a cabo la publicación en el Boletín Oficial de la Resolución que
ordene la caducidad de la licencia previamente otorgada, circunstancia que deberá
constar obligatoriamente en la página de inicio del sitio de Internet del certificador.

CAPITULO XIV
DISPOSICIONES GENERALES.

Art. 56. — Facúltase al Señor SUBSECRETARIO DE LA GESTION PUBLICA de


la JEFATURA DE GABINETE DE MINISTROS a dictar las normas aclaratorias y
complementarias de la presente medida.

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 179


Art. 57. — Comuníquese, publíquese, dése a la Dirección Nacional del Registro
Oficial y archívese.

Alberto A. Fernández. Alberto J.B Iribarne

NOTA: Esta Decisión Administrativa se publica sin Anexos. La documentación no


publicada puede ser consultada en la Sede Central de la Dirección Nacional del
Registro Oficial (Suipacha 767 - Ciudad Autónoma de Buenos Aires) y en www.
boletinoficial.gov.ar

m3 |contenidos | IC

información complementaria 19

Decreto 724/2006

Modificase la reglamentación de la Ley Nº 25.506


Bs. As., 8/6/2006

VISTO la Ley Nº 25.506 y el Decreto Nº 2628 del 19 de diciembre de 2002,


modificado por el Decreto Nº 1028 del 6 de noviembre de 2003, y

CONSIDERANDO:
Que la Ley Nº 25.506 de Firma Digital reconoce la eficacia jurídica del empleo del
documento electrónico, la firma electrónica y la firma digital.
Que el Decreto Nº 2628/02 reglamentario de la Ley antes mencionada, establece
las condiciones que deben cumplir a tal fin los certificadores que soliciten una
licencia.
Que entre dichas condiciones se encuentra la de contar con seguros vigentes
acordes con las responsabilidades asumidas, que cumplan con los requisitos
establecidos en el mencionado decreto.
Que a fin de eliminar condiciones que resulten gravosas sobre la actividad de
certificación, considerando especialmente que se trata de un área de reciente
desarrollo, resulta conveniente derogar el artículo 30 del mencionado Decreto.
Que asimismo, el mencionado Decreto contiene disposiciones de aplicación
específica a la Administración Pública Nacional, entre las cuales se encuentra la
de aceptar en sus aplicaciones certificados digitales de certificadores públicos
y privados.
Que en virtud de las capacidades desarrolladas por la propia Administración
Pública Nacional en materia de firma digital y con el fin de evitar que se encarezcan
innecesariamente las tramitaciones que efectúe la comunidad ante al Estado,
resulta conveniente la utilización de certificados emitidos por certificadores
licenciados públicos en forma gratuita.
Que conforme surge de la facultad contenida en el artículo 52 de la ley 25.506
se procede a actualizar los contenidos del anexo I correspondiente a dicha
normativa definiendo el alcance del término “Tercero Usuario”.
Que el artículo 23 de la Ley Nº 25.506 de Firma Digital establece el desconocimiento
de la validez de un certificado digital si es utilizado para alguna finalidad diferente
para la cual fue expedido.
Que en virtud de ello, el tercero usuario tiene derecho a aceptar o rechazar
documentos electrónicos firmados digitalmente utilizando certificados cuya

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.180


política de certificación no reúna las condiciones por él requeridas.
Que a fin de adecuar el decreto reglamentario al espíritu de la Ley 25.506, se
considera conveniente modificar su artículo 1º inciso b), reconociendo que los
certificados digitales emitidos por certificadores no licenciados permiten verificar
firmas electrónicas.
Que ha tomado intervención el servicio jurídico permanente de la jurisdicción.
Que la presente medida se dicta en virtud de lo dispuesto por el artículo 99,
inciso 2, de la Constitución de la Nación Argentina.
Por ello,

EL PRESIDENTE DE LA NACION ARGENTINA


DECRETA:
Artículo 1º — Derógase el artículo 30 del Decreto Nº 2628 del 19 de diciembre
de 2002.
Art. 2º — Sustitúyese el texto del artículo 38 del Decreto Nº 2628 del 19 de
diciembre de 2002 por el siguiente: “Artículo 38.- Las entidades y jurisdicciones
pertenecientes a la Administración Pública Nacional podrán ser certificadores
licenciados emitir certificados para agentes y funcionarios públicos y particulares,
tanto sean personas físicas como jurídicas. Dichos certificados deberán ser
provistos en forma gratuita.
En aquellas aplicaciones en las que la Administración Pública Nacional
interactúe con la comunidad, solamente se admitirá la recepción de documentos
digitales firmados digitalmente utilizando certificados emitidos por certificadores
licenciados o certificados extranjeros reconocidos en los términos del artículo 16
de Ley 25.506.”
Art. 3º — Incorpórase al Anexo I del Decreto Nº 2628 del 19 de diciembre de
2002, la siguiente definición: “18. TERCERO USUARIO: persona física o jurídica
que recibe un documento firmado digitalmente y que genera una consulta para
verificar la validez del certificado digital correspondiente.”
Art. 4º — Incorpórase como artículo 34 bis del Decreto Nº 2628 del 19 de
diciembre de 2002, el siguiente texto: “Aceptación por parte de terceros usuarios
de documentos electrónicos firmados digitalmente. Los terceros usuarios que
sean personas jurídicas que implementen aplicaciones que requieran firma
digital, tienen la facultad de definir las características y requerimientos que
deben cumplir las Políticas de Certificación, a los efectos de aceptar documentos
electrónicos firmados digitalmente utilizando certificados digitales amparados por
dichas Políticas. Dichas características y requerimientos deben ser manifestados
previamente en forma clara y transparente a los titulares de certificados que
pretendan operar con ellos.”
Art. 5º — Modifícase el texto del artículo 1º inciso b) del Decreto Nº 2628 del 19
de diciembre de 2002 por el siguiente: “Artículo 1º inciso b):
Firma electrónica basada en certificados digitales emitidos por certificadores no
licenciados en el marco de la presente reglamentación”.
Art. 6º — Comuníquese, publíquese, dése a la Dirección Nacional del Registro
Oficial y achívese. — KIRCHNER. — Alberto A. Fernández. — Alberto J. B.
Iribarne.

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 181


m3 |contenidos | IC

información complementaria 20

Decreto 2628/2002
Reglamentación de la Ley N° 25.506. Consideraciones Generales. Autoridad
de Aplicación. Comisión Asesora para la Infraestructura de Firma Digital. Ente
Administrador de Firma Digital. Sistema de Auditoría. Estándares Tecnológicos.
Revocación de Certificados Digitales. Certificadores Licenciados. Autoridades de
Registro. Disposiciones para la Administración Pública Nacional.
Bs. As., 19/12/2002
VISTO la Ley N° 25.506, el Decreto N° 427 del 16 de abril de 1998, el Decreto
N° 78 del 10 de enero de 2002, el Decreto N° 333 del 19 de febrero de 1985 y
sus modificatorios y la Resolución N° 194 del 27 de noviembre de 1998 de la ex
SECRETARIA DE LA FUNCION PUBLICA, y
CONSIDERANDO:
Que la sanción de la Ley N° 25.506 de firma digital representa un avance
significativo para la inserción, de nuestro país en la sociedad de la información y
en la economía digital, brindando una oportunidad para el desarrollo del sector
productivo vinculado a las nuevas tecnologías.
Que otros países ya han normado sobre la materia, con positiva repercusión
tanto en el ámbito privado como público.
Que con la sanción de la citada Ley N° 25.506, de firma digital se reconoce el
empleo de la firma, digital y de la firma electrónica y su eficacia jurídica en las
condiciones que la misma ley establece.
Que dicho reconocimiento constituye un elemento esencial para otorgar
seguridad a las transacciones electrónicas, promoviendo el comercio electrónico
seguro, de modo de permitir la identificación en forma fehaciente de las personas
que realicen transacciones electrónicas.
Que asimismo, la sanción de la Ley N° 25.506 otorga un decisivo impulso para
la progresiva despapelización del Estado, contribuyendo a mejorar su gestión,
facilitar el acceso de la comunidad a la información pública y posibilitar la
realización de trámites por Internet en forma segura.
Que la reglamentación de la Ley N° 25.506 permitirá establecer una Infraestructura
de Firma Digital que ofrezca autenticación, y garantía de integridad para los
documentos digitales o electrónicos y constituir la base tecnológica que permita
otorgarles validez jurídica.
Que debe regularse el funcionamiento de los certificadores licenciados de
manera de garantizar la adecuada prestación de los servicios de certificación.
Que resulta necesario crear un Ente Administrador de Firma Digital, encargado
de otorgar las licencias a los certificadores, supervisar su actividad y dictar las
normas tendientes a asegurar el régimen de libre competencia en el mercado de
los prestadores y protección de los usuarios de Firma Digital.
Que la citada Ley contempla la creación de una Comisión Asesora para la
Infraestructura de Firma Digital, conformada por un equipo multidisciplinario
de especialistas en la materia, con el fin de asesorar y recomendar a la
Autoridad de Aplicación estándares tecnológicos, y otros aspectos que hacen al
funcionamiento de la mencionada Infraestructura, por lo cual deben establecerse
las bases para su formación y adecuado funcionamiento.
Que el Decreto N° 427 del 16 de abril de 1998 ha sido una de las normas pioneras
a nivel nacional e internacional en reconocer la validez jurídica de la firma digital,
para lo cual creó una Infraestructura de Firma Digital para el Sector Público
Nacional bajo la dependencia de la JEFATURA DE GABINETE DE MINISTROS.

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.182


Que esta experiencia ha sido un antecedente fundamental para la incorporación
de la tecnología en la gestión pública, constituyendo una fuente de consulta para
distintas jurisdicciones nacionales y provinciales.
Que dado que la Ley N° 25.506 establece una Infraestructura de Firma Digital
de alcance federal, a fin de optimizar el aprovechamiento de los recursos y
las experiencias desarrolladas, resulta conveniente subsumir la mencionada
Infraestructura del Sector Público Nacional dentro de la creada a nivel federal
por la Ley citada.
Que a tal fin, corresponde derogar el Decreto N° 427/98, por el cual se reconoce
el empleo de la firma digital en el ámbito de la Administración Pública Nacional,
ya que la Ley N° 25.506 cubre los objetivos y el alcance del mencionado Decreto.
Que ha tomado intervención el servicio jurídico competente.
Que la presente medida se dicta en virtud lo dispuesto por el artículo 49 de la Ley
N° 25.506, y por el artículo 99, inciso 2, de la Constitución de la Nación Argentina.
Por ello,

EL PRESIDENTE DE LA NACION ARGENTINA


DECRETA:
CAPITULO I
CONSIDERACIONES GENERALES
Artículo 1° — Objeto. La presente reglamentación regula el empleo de la firma
electrónica y de la firma digital y su eficacia jurídica.
En los casos contemplados por los artículos 3°, 4° y 5° de la Ley N° 25.506 podrán
utilizarse los siguientes sistemas de comprobación de autoría e integridad:
a) Firma electrónica,
b) Firma digital basada en certificados digitales emitidos por certificadores no
licenciados en el marco de la presente reglamentación,
c) Firma digital basada en certificados digitales emitidos por certificadores
licenciados en el marco de la presente reglamentación,
d) Firma digital basada en certificados digitales emitidos por certificadores
extranjeros que hayan sido reconocidos en los siguientes casos:
1. En virtud de la existencia de acuerdos de reciprocidad entre la República
Argentina y el país de origen del certificador extranjero.
2. Por un certificador licenciado en el país en el marco de la presente
reglamentación y validado por la Autoridad de Aplicación.
Art. 2° — Validez de los certificados, digitales emitidos por certificadores no
licenciados. Los certificados digitales emitidos por certificadores no licenciados
serán válidos para producir los efectos jurídicos que la ley otorga a la firma
electrónica.
Art. 3° — Certificados digitales emitidos por certificadores licenciados. Los
certificados digitales contemplados, en el artículo 13 de la Ley N° 25.506 son
aquellos cuya utilización permite disponer de una firma digital amparada por las
presunciones de autoría e integridad establecidas en los artículos 7° y 8° de la
ley citada.
CAPITULO II
DE LA AUTORIDAD DE APLICACION
Art. 4° — Normas técnicas. Facúltase a la JEFATURA DE GABINETE DE
MINISTROS, a determinar las normas y los procedimientos técnicos para la
generación, comunicación, archivo y conservación del documento digital o
electrónico, según lo previsto en los artículos 11 y 12 de la Ley N° 25.506.
Art. 5° — Conservación. El cumplimiento de la exigencia legal de conservar
documentos, registros o datos, conforme a la legislación vigente a la materia,
podrá quedar satisfecha con la conservación de los correspondientes,
documentos digitales firmados digitalmente. Los documentos, registros o datos
electrónicos, deberán ser almacenados por los intervinientes o por terceros
confiables aceptados por los intervinientes, durante los plazos establecidos en

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 183


las normas específicas.
Se podrán obtener copias autenticadas a partir de los originales en formato digital
firmado digitalmente. La certificación de autenticidad se hará de conformidad a
los procedimientos legales, vigentes para el acto de que se trate, identificando el
soporte que procede la copia.
Art. 6° — Regulación. Facúltase a la JEFATURA DE GABINETE DE MINISTROS
a establecer:
a) Los estándares tecnológicos y de seguridad aplicables en consonancia con
estándares internacionales.
b) Los procedimientos de firma y verificación en consonancia con los estándares
tecnológicos definidos conforme el inciso precedente.
c) Las condiciones mínimas de emisión de certificados digitales.
d) Los casos en los cuales deben revocarse los certificados digitales.
e) Los datos considerados públicos contenidos en los certificados digitales.
f) Los mecanismos que garantizarán la validez y autoría de las listas de certificados
revocados.
g) La información que los certificadores licenciados deberán publicar por internet.
h) La información que los certificadores licenciados deberán publicar en el
Boletín Oficial.
i) Los procedimientos mínimos de revocación de certificados digitales cualquiera
que sea la fuente de emisión, y los procedimientos mínimos de conservación de
la documentación de respaldo de la operatoria de los certificadores licenciados,
en el caso que éstos cesen su actividad.
j) El sistema de auditoría, incluyendo las modalidades de difusión de los informes
de auditoría y los requisitos de habilitación para efectuar auditorías.
k) Las condiciones y procedimientos para el otorgamiento y revocación de las
licencias.
l) Las normas y procedimientos para la homologación de los dispositivos de
creación y verificación de firmas digitales.
m) El reglamento de funcionamiento de la Comisión Asesora para la Infraestructura
de Firma Digital.
n) El procedimiento de instrucción sumarial y la gradación de sanciones previstas
en la Ley N° 25.506, en virtud de reincidencia y/u oportunidad.
o) Los procedimientos aplicables para el reconocimiento de certificados
extranjeros.
p) Las condiciones de aplicación de la presente ley en el Sector Público Nacional,
incluyendo la autorización para prestar servicios de certificación
digital para las entidades y jurisdicciones de la Administración Pública Nacional.
q) Los contenidos mínimos de las políticas de certificación de acuerdo con los
estándares nacionales e internacionales y las condiciones mínimas que deberán
cumplirse en el caso de cese de actividades de un certificador licenciado.
r) Los niveles de licenciamiento.
s) Reglamentar el uso y los alcances de los certificados de firma digital emitidos
por los Registros Públicos de Contratos.
t) Exigir las garantías y seguros necesarios para prestar el servicio previsto.
u) Las condiciones de prestación de otros servicios en relación con la firma
digital y otros temas cubiertos en la ley.

CAPITULO III
DE LA COMISION ASESORA PARA LA INFRAESTRUCTURA DE FIRMA DIGITAL
Art. 7° — Comisión Asesora para la Infraestructura de Firma Digital. En el ámbito
de la JEFATURA DE GABINETE DE MINISTROS funcionará la Comisión Asesora
para la Infraestructura de Firma Digital, que se constituirá de acuerdo a lo
dispuesto por el artículo 35 de la Ley N° 25.506.
Art. 8° — Integración. La Comisión Asesora para la Infraestructura de Firma
Digital estará integrada multidisciplinariamente por profesionales de carreras

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.184


afines a la actividad, de reconocida trayectoria y experiencia, provenientes de
organismos del Estado Nacional, Universidades, Cámaras, Colegios u otros
entes representativos profesionales. Para integrar la Comisión Asesora para la
Infraestructura de Firma Digital se deberán reunir los siguientes requisitos:
a) Poseer título universitario, expedido por Universidad Nacional o privada
reconocida por el Estado, correspondiente a carrera profesional de duración no
inferior a CUATRO (4) años, con incumbencias relacionadas con la materia.
b) Antecedentes académicos y/o profesionales o laborales en la materia.
Art. 9° — Ejercicio de funciones. El ejercicio de las funciones como miembro de
la Comisión Asesora para la Infraestructura de Firma Digital será ad honorem.
Art. 10. — Consulta Pública. La Comisión Asesora para la Infraestructura de Firma
Digital establecerá los mecanismos que permitan mantener un intercambio de
información fluido con organismos públicos, Cámaras, usuarios y asociaciones
de consumidores sobre los temas que se está tratando a los efectos de recibir
aportes y opiniones. Para cumplir con este cometido podrá implementar
consultas públicas presenciales, por escrito o mediante foros virtuales, abiertos
e indiscriminados, o cualquier otro medio que la Comisión considere conveniente
o necesario.

CAPITULO IV
DEL ENTE ADMINISTRADOR DE FIRMA DIGITAL
Art. 11. — Ente Administrador de Firma Digital. Créase el Ente Administrador
de Firma Digital dependiente de la JEFATURA DE GABINETE DE MINISTROS,
como órgano técnico, administrativo encargado de otorgar las licencias a los
certificadores y de supervisar su actividad, según las exigencias instituidas por el
presente decreto y las normas reglamentarias, modificatorias o de aplicación que
se dicten en el futuro y de dictar las normas tendientes a asegurar el régimen de
libre competencia, equilibrio de participación en el mercado de los prestadores
y protección de los usuarios.
(Nota Infoleg: Por art. 1° del Decreto N° 1028/2003 B.O. 10/11/2003 se disuelve el
Ente Administrador de Firma Digital creado por el presente artículo).
Art. 12. — Autoridades del Ente Administrador de Firma Digital. El Ente
Administrador de Firma Digital será conducido por un Directorio integrado por
TRES (3) miembros, designados por el JEFE DE GABINETE DE MINISTROS,
previo concurso. Hasta tanto, sea realizado el concurso el JEFE DE GABINETE
DE MINISTROS designará a los integrantes del Directorio, uno de los cuales
ocupará el cargo de Presidente del Ente. El gerenciamiento del Ente estará
a cargo del Coordinador Ejecutivo designado por el JEFE DE GABINETE DE
MINISTROS.
Art. 13. — Funciones del Ente Administrador.
Son funciones del Ente Administrador:
a) Otorgar las licencias habilitantes para acreditar a los certificadores en
las condiciones que fijen el presente decreto y las normas reglamentarias,
modificatorias o de aplicación que se dicten en el futuro.
b) Fiscalizar el cumplimiento de las normas legales y reglamentarias en lo
referente a la actividad de los certificadores licenciados.
c) Denegar las solicitudes de licencia a los prestadores de servicios de certificación
que no cumplan con los requisitos establecidos, para su licenciamiento.
d) Revocar las licencias otorgadas a los Certificadores licenciados que dejen de
cumplir con los requisitos establecidos para su licenciamiento.
e) Aprobar las políticas de certificación, el manual de procedimiento, el plan de
seguridad, de cese de actividades y el plan de contingencia, presentado por los
certificadores solicitantes de la licencia o licenciados.
f) Solicitar los informes de auditoría en los casos que correspondiere.
g) Realizar inspecciones a los certificadores licenciados por sí o por terceros.
h) Homologar los dispositivos de creación y verificación de firmas digitales, con

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 185


ajuste a las normas y procedimientos establecidos por la presente reglamentación.
i) Disponer la instrucción sumarial, la aplicación de sanciones e inhabilitar en
forma temporal o permanente a todo certificador o licenciado que no respetare o
incumpliere los requerimientos y disposiciones de la Ley N° 25.506, el presente
decreto y las normas complementarias.
j) Publicar en Internet o en la red de acceso público de transmisión o difusión de
datos que la sustituya en el futuro, en forma permanente e ininterrumpida, los
domicilios, números telefónicos, direcciones de Internet y certificados digitales
de los certificadores licenciados.
k) Publicar en Internet o en la red de acceso público de transmisión o difusión
de datos que la sustituya en el futuro, en forma permanente e ininterrumpida,
los domicilios, los números telefónicos, direcciones de Internet y certificados
digitales de los certificadores cuyas licencias han sido revocadas.
I) Publicar en Internet o en la red de acceso público de transmisión o difusión
de datos que la sustituya en el futuro, en forma permanente e ininterrumpida, el
domicilio, números telefónicos, direcciones de Internet y certificados digitales
del Ente Administrador.
m) Administrar los recursos generados de acuerdo con lo dispuesto por el
artículo 16 de la presente reglamentación, provenientes de las distintas fuentes
de financiamiento.
n) Fijar el concepto y los importes de todo tipo de aranceles y multas previstos
en la Ley N° 25.506 y en el artículo 16 de la presente reglamentación.
o) Solicitar la ampliación o aclaración sobre la documentación presentada por
el certificador.
p) Dictar las normas tendientes a asegurar el régimen de libre competencia,
equilibrio de participación en el mercado de los prestadores y protección de los
usuarios.
Art. 14. — Obligaciones del Ente Administrador.
El Ente Administrador tiene idénticas obligaciones que los titulares, de certificados
y que los Certificadores Licenciados, en su caso, y además debe:
a) Permitir el acceso público permanente a la nómina actualizada de certificadores
licenciados con los datos correspondientes.
b) Supervisar la ejecución del plan de cese de actividades de los Certificadores
licenciados que discontinúan sus funciones;
c) Registrar las presentaciones que le sean formuladas, así como el trámite
conferido a cada una de ellas.
d) Supervisar la ejecución de planes de contingencia de los certificadores
licenciados.
e) Efectuar las tareas de control del cumplimiento de las recomendaciones
formuladas por el Ente Administrador para determinar si se han tomado las
acciones correctivas correspondientes.
f) Recibir, evaluar y resolver los reclamos de los usuarios de certificados digitales
relativos a la prestación del servicio por parte de certificadores licenciados.
Art. 15. — Organización del Ente Administrador. Dentro del plazo de SESENTA (60)
días corridos de la fecha de constitución del Directorio, el ENTE ADMINISTRADOR
DE FIRMA DIGITAL elevará para su consideración al JEFE DE GABINETE DE
MINISTROS la propuesta de su estructura organizativa y de su reglamento de
funcionamiento.
Art. 16. — Recursos del Ente Administrador. El Ente Administrador podrá
arancelar los servicios que preste para cubrir total o parcialmente sus costos.
Los recursos propios del Ente Administrador se integrarán con:
a) Los importes provenientes de los aranceles que se abonen por la provisión de
los siguientes servicios:
1.- Servicios de certificación digital,
2.- Servicios de certificación digital de fecha y hora,
3.- Servicios de almacenamiento seguro de documentos electrónicos,

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.186


4.- Servicios prestados por autoridades de registro,
5. - Servicios prestados por terceras partes confiables,
6. - Servicios de certificación de documentos electrónicos firmados digitalmente
7.- Otros servicios o actividades relacionados a la firma digital.
b) Los importes provenientes de los aranceles de homologación de dispositivos
de creación y verificación de firmas digitales.
c) Los importes provenientes de los aranceles de certificación de sistemas que
utilizan firma digital.
d) Los importes provenientes de los aranceles de administración del sistema de
auditoría y las auditorías que el organismo realice por sí o por terceros.
e) Los subsidios, herencias, legados, donaciones o transferencias bajo cualquier
título que reciba.
f) El producido de multas.
g) Los importes que se le asignen en el cálculo de recursos de la respectiva ley
de presupuesto para la administración nacional.
h) Los demás fondos, bienes, o recursos que puedan serle asignados en virtud
de las leyes y reglamentaciones aplicables.
Art. 17. — Financiamiento del Ente Administrador. Instrúyese a la JEFATURA DE
GABINETE DE MINISTROS para que proceda a incluir en su presupuesto los
fondos necesarios para que el Ente Administrador pueda cumplir adecuadamente
sus funciones.
Transitoriamente, desde la entrada en vigencia de la presente reglamentación
y hasta que se incluyan las partidas necesarias en el Presupuesto Nacional los
costos de financiamiento del Ente Administrador serán afrontados con el crédito
presupuestario correspondiente a la JEFATURA DE GABINETE DE MINISTROS.

CAPITULO V
DEL SISTEMA DE AUDITORIA
Art. 18. — Precalificación de entidades de auditoría. La JEFATURA DE GABINETE
DE MINISTROS convocará a concurso público para la precalificación de entidades
de auditoría entre las universidades y organismos científicos y/o tecnológicos
nacionales o provinciales, los Colegios y Consejos profesionales, que acrediten
experiencia profesional acorde en la materia, interesadas en prestar el servicio
de auditoría de entidades prestadoras de servicios de certificación digital. A tal
fin, elaborará un Pliego Estándar de Precalificación de Entidades de Auditoría, y
determinará la periodicidad de la convocatoria.
Art. 19. — Informe de auditoría. El informe de auditoría evaluará los sistemas
utilizados por el certificador de acuerdo con los requerimientos de la Ley N°
25.506, el presente decreto y las normas complementarias.
Art. 20. — Conflicto de intereses. Para garantizar la objetividad e imparcialidad
de la actividad de auditoría no podrán desempeñarse en la prestación de
servicios de auditoría aquellas entidades o personas vinculadas con prestadores
de servicios de certificación, lo que será establecido en el Pliego Estándar de
Precalificación de Entidades de Auditoría previsto en el artículo 18 del presente
decreto.
Art. 21. — Deber de confidencialidad. Las entidades auditantes y las personas
que efectúen las auditorías deben mantener la confidencialidad sobre la
información considerada amparada bajo normas de confidencialidad por el
Certificado Licenciado.

CAPITULO VI
DE LOS ESTANDARES TECNOLOGICOS
Art. 22. — Aplicación provisoria de los estándares vigentes. Hasta tanto la
JEFATURA DE GABINETE DE MINISTROS apruebe los Estándares Tecnológicos
de Infraestructura de Firma Digital en consonancia con estándares tecnológicos
internacionales, mantendrán su vigencia los establecidos en la Resolución N°

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 187


194/98 de la ex Secretaría de la Función Publica.

CAPITULO VII
DE LA REVOCACION DE CERTIFICADOS DIGITALES
Art. 23. — Revocación de certificados. Se deberán revocar los certificados
digitales emitidos en los siguientes casos:
a) A solicitud del titular del certificado digital
b) Si se determina que un certificado digital fue emitido en base a una información
falsa que en el momento de la emisión hubiera sido objeto de verificación.
c) Si se determina que los procedimientos de emisión y/o verificación han dejado
de ser seguros.
d) Por condiciones especiales definidas en las Políticas de Certificación.
e) Por Resolución Judicial o de la Autoridad de Aplicación debidamente fundada.
f) Por fallecimiento del titular.
g) Por declaración judicial de ausencia con presunción de fallecimiento del titular.
h) Por declaración judicial de incapacidad del titular.
i) Si se determina que la información contenida en el certificado ha dejado de
ser válida.
j) Por el cese de la relación de representación respecto de una persona.

CAPITULO VIII
DE LOS CERTIFICADORES LICENCIADOS
Art. 24. — Obtención de la licencia. Para obtener una licencia, los proveedores
de servicios de certificación deberán particularizar las actividades para las cuales
requieren la licencia y acreditar por los medios que este determine ante el Ente
Administrador de Firma Digital:
a) Documentación que demuestre:
1.- En el caso de personas jurídicas, su personería.
2.- En el caso de registro público de contratos, tal condición
3.- En el caso de organización pública, la autorización de su máxima autoridad
para iniciar el proceso de licenciamiento y la correspondiente aprobación de la
JEFATURA DE GABINETE DE MINISTROS, de acuerdo con lo dispuesto en el
artículo 41 de la presente reglamentación.
b) El cumplimiento de las condiciones establecidas en la ley; este decreto y las
normas complementarias.
c) Las políticas de certificación para las cuales solicita licencia que respaldan la
emisión de sus certificados, Manual de Procedimientos, Plan de Seguridad, Plan
de Cese de Actividades y Plan de Contingencia satisfactorias de acuerdo con las
normas reglamentarias.
d) Toda aquella información o requerimiento, que demande la Autoridad de
Aplicación.
Art. 25. — Efectos del licenciamiento. El otorgamiento de la licencia no implica
que el Ente Administrador de la Infraestructura de Firma Digital, la JEFATURA DE
GABINETE DE MINISTROS, las entidades auditantes o cualquier organismo del
Estado garantice la provisión de los servicios de certificación o los productos
provistos por el Certificador Licenciado.
Art. 26. — Duración de la licencia. Las licencias tendrán un plazo de duración de
CINCO (5) años y podrán ser renovadas.
Los certificadores licenciados deberán efectuar anualmente una declaración
jurada en la cual conste el cumplimiento de las normas establecidas en la Ley N°
25.506, en el presente decreto y en las normas complementarias.
Los certificadores licenciados serán sometidos a auditorías anuales.
Art. 27. — Causales de caducidad de la licencia. El Ente Administrador podrá
disponer de oficio, y en forma preventiva la caducidad de la licencia en los
siguientes casos:
a) Falta de presentación de la declaración jurada anual.

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.188


b) Falsedad de los datos contenidos en la declaración jurada anual.
c) Dictamen desfavorable de auditoría basado en causales graves.
d) Informe de la inspección dispuesta por el Ente Administrador desfavorable
basado, en causales graves.
e) Cuando el certificador licenciado no permita la realización de auditorías o
inspecciones dispuestas por el Ente Administrador.
Art. 28. — Reconocimiento de certificados extranjeros. De acuerdo a lo establecido
en el artículo 6° de la presente reglamentación, facúltase a la JEFATURA DE
GABINETE DE MINISTROS a elaborar y firmar acuerdos de reciprocidad con
gobiernos de países extranjeros, a fin de otorgar validez, en sus respectivos
territorios, a los certificados digitales emitidos por certificadores de ambos
países, en tanto se verifique el cumplimiento de las condiciones establecidas
por la Ley N° 25.506 y su reglamentación para los certificados emitidos por
certificadores nacionales.
Los certificadores licenciados no podrán reconocer certificaciones emitidas por
certificadores extranjeros correspondientes a personas con domicilio o residencia
en la República Argentina. El Ente Administrador de Firma Digital establecerá
las relaciones que los certificadores licenciados deberán guardar entre los
certificados emitidos en la República Argentina y los certificados reconocidos de
certificadores extranjeros.
Art. 29. — Políticas de Certificación. La JEFATURA DE GABINETE DE MINISTROS
definirá el contenido, mínimo de las políticas de certificación de acuerdo con los
estándares nacionales e internacionales vigentes, las que deberán contener al
menos la siguiente información:
a) Identificación del certificador licenciado.
b) Política de administración de los certificados y detalles de los servicios
arancelados.
c) Obligaciones de la entidad y de los suscriptores de los certificados.
d) Tratamiento de la información suministrada por los suscriptores, y resguardo
de la confidencialidad en su caso.
e) Garantías que ofrece para el cumplimiento de las obligaciones que se deriven
de sus actividades.
Art. 30. — Seguros. El certificador licenciado debe contar con seguros vigentes
acordes con las responsabilidades asumidas, que cumplan con los siguientes
requisitos.
a) Ser expedidos por una entidad aseguradora autorizada para operar en la
República Argentina.
b) Establecer la obligación de la entidad aseguradora de informar previamente
al Ente Administrador de la Infraestructura de Firma Digital la terminación del
contrato o las modificaciones que reduzcan el alcance o monto de la cobertura.
Los certificadores licenciados pertenecientes a entidades y jurisdicciones del
sector público quedarán exentos de la obligación de constituir el seguro previsto
en el presente artículo.
Art. 31. — Responsabilidad de los certificadores licenciados. En ningún caso,
la responsabilidad que pueda emanar de una certificación efectuada por un
certificador licenciado, público o privado, comprometerá la responsabilidad
pecuniaria del Estado en su calidad de Ente Administrador de la Infraestructura
de Firma Digital.
Art. 32. — Recursos de los certificadores licenciados. Para el desarrollo adecuado
de las actividades de certificación, el certificador deberá acreditar que cuenta
con un equipo de profesionales, infraestructura física tecnológica y recursos
financieros, como así también procedimientos y sistemas de seguridad que
permitan:
a) Generar en un ambiente seguro las firmas digitales propias y todos los
servicios para los cuales solicite licencia.
b) Cumplir con lo previsto en sus políticas y procedimientos de certificación.

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 189


c) Garantizar la confiabilidad de los sistemas de acuerdo con los estándares
aprobados por la Autoridad de Aplicación.
d) Expedir certificados que cumplan con:
1.- Lo previsto en los artículos 13 y 14 de la Ley N° 25.506.
2.- Los estándares tecnológicos aprobados por la JEFATURA DE GABINETE DE
MINISTROS.
e) Garantizar la existencia de sistemas de seguridad física y lógica que
cumplimenten las normativas vigentes.
f) Proteger el manejo de la clave privada de la entidad mediante un procedimiento
de seguridad que impida el acceso a la misma a personal no autorizado.
g) Proteger el acceso y el uso de la clave privada mediante procedimientos que
exijan la participación de más de una persona.
h) Registrar las transacciones realizadas, a fin de identificar el autor y el momento
de cada una de las operaciones.
i) Utilizar con exclusividad los sistemas que cumplan las funciones de certificación
con ese propósito, sin que se les asigne ninguna otra función.
j) Proteger a todos los sistemas utilizados directa o indirectamente en la función
de certificación con procedimientos de autenticación y seguridad de alto nivel de
protección, que deban ser actualizados de acuerdo a los avances tecnológicos
para garantizar la correcta prestación de los servicios de certificación.
k) Garantizar la continuidad de las operaciones mediante un Plan de Contingencia
actualizado y aprobado.
l) Disponer de los recursos financieros adecuados al tipo de actividad de
certificación que desarrolla, acorde con los niveles de responsabilidad derivados
de la misma.
Art. 33. — Servicios de Terceros. En los casos en que el certificador licenciado
requiera o utilice los servicios de infraestructura tecnológicos prestados por un
tercero, deberá prever dentro de su Plan de Contingencia los procedimientos
a seguir en caso de interrupción de estos servicios, de modo tal que permita
continuar prestando sus servicios de certificación sin ningún perjuicio para los
suscriptores.
Los contratos entre el certificador licenciado y los proveedores de servicios
o infraestructura deberán garantizar la ejecución de los procedimientos
contemplados en el Plan de Cese de actividades aprobado por el Ente
Licenciante. El certificador licenciado o en proceso de licenciamiento deberá
facilitar al Ente Licenciante toda aquella información obrante en los contratos
vinculada a la prestación de servicios de certificación y a la implementación del
Plan de Cese de actividades y el Plan de Contingencia.
La contratación de servicios o infraestructura no exime al prestador de la
presentación de los informes de auditoría, los cuales deberán incluir los sistemas
y seguridades del prestador contratado.
Art. 34. — Obligaciones del certificador licenciado. Además de lo previsto en el
artículo 21 de la Ley N° 25.506, los certificadores licenciados deberán:
a) Comprobar por sí o por medio de una Autoridad de Registro que actúe en
nombre y por cuenta suya, la identidad y cualquier otro dato de los solicitantes
considerado relevante para los procedimientos de verificación de identidad
previos a la emisión del certificado digital, según la Política de Certificación bajo
la cual se solicita.
b) Mantener a disposición permanente del público las Políticas de Certificación y
el Manual de Procedimientos correspondiente.
c) Cumplir cabalmente con las políticas de certificación acordadas con el titular
y con su Manual de Procedimientos.
d) Garantizar la prestación establecida según los niveles definidos en el acuerdo
de servicios pactados con sus usuarios, relativo a los servicios para los cuales
solicitó el licenciamiento.
e) Informar al solicitante de un certificado digital, en un lenguaje claro y accesible,

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.190


en idioma nacional, respecto de las características del certificado solicitado, las
limitaciones a la responsabilidad, si las hubiere, los precios de los servicios
de certificación, uso, administración y otros asociados, incluyendo cargos
adicionales y formas de pago, los niveles de servicio al proveer, las obligaciones
que el suscriptor asume como usuario del servicio de certificación, su domicilio
en la República Argentina y los medios a los que el suscriptor puede acudir para
solicitar aclaraciones, dar cuenta del mal funcionamiento del sistema o presentar
sus reclamos.
f) Disponer de un servicio de atención a titulares y terceros, que permita evacuar
las consultas y la pronta solicitud de revocación de certificados.
g) Garantizar el acceso permanente, eficiente y gratuito de los titulares y terceros
al repositorio de certificados revocados.
h) Mantener actualizados los repositorios de certificados revocados por el
período establecido por el Ente Administrador.
i) Abstenerse de generar, exigir, tomar conocimiento o acceder bajo ninguna
circunstancia a la clave privada del suscriptor.
j) Informar al Ente Administrador de modo inmediato la ocurrencia de cualquier
evento que comprometa la correcta prestación del servicio.
k) Respetar el derecho del titular del certificado digital a no recibir publicidad de
ningún tipo por su intermedio, salvo consentimiento expreso de éste.
l) Publicar en el Boletín Oficial durante UN (1) día, el certificado de clave pública
correspondiente a la política para la cual obtuvo licenciamiento;
m) Cumplir las normas y recaudos establecidos para la protección de datos
personales.
n) En los casos de revocación de certificados contemplados en el apartado 3 del
inciso e) del artículo 19 de la Ley N° 25.506, deberá sustituir en forma gratuita
aquel certificado digital que ha dejado de ser seguro por otro que sí cumpla con
estos requisitos.
El Ente Administrador deberá establecer el proceso de reemplazo de certificados
en estos casos. En los casos en los que un certificado digital haya dejado de
ser seguro por razones atribuibles a su titular, el certificador licenciado no estará
obligado a sustituir el certificado digital.
o) Enviar periódicamente al Ente Administrador, informes de estado de
operaciones con carácter de declaración jurada.
p) Contar con personal idóneo y confiable, con antecedentes profesionales
acordes a la función desempeñada.
q) Responder a los pedidos de informes por parte de un tercero respecto de la
validez y alcance de un certificado digital emitido por él.

CAPITULO IX
DE LAS AUTORIDADES DE REGISTRO
Art. 35. — Funciones de las Autoridades de Registro. Los Certificadores
Licenciados podrán delegar en Autoridades de Registro las funciones de validación
de identidad y otros datos de los suscriptores de certificados y de registro de las
presentaciones y trámites que les sean formuladas, bajo la responsabilidad del
Certificador Licenciado, cumpliendo las normas y procedimientos establecidos
por la presente reglamentación.
Una autoridad de Registro es una entidad responsable de las siguientes
funciones:
a) La recepción de las solicitudes de emisión de certificados.
b) La validación de la identidad y autenticación de los datos de los titulares de
certificados.
c) La validación de otros datos de los titulares de certificados que se presenten
ante ella cuya verificación delegue el Certificador Licenciado.
d) La remisión de las solicitudes aprobadas al Certificador Licenciado con la que
se encuentre operativamente vinculada.

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 191


e) La recepción y validación de las solicitudes de revocación de certificados; y su
direccionamiento al Certificador Licenciado con el que se vinculen.
f) La identificación y autenticación de los solicitantes de revocación de certificados.
g) El archivo y la conservación de toda la documentación respaldatoria del proceso
de validación de identidad, de acuerdo con los procedimientos establecidos por
el certificador licenciado.
h) El cumplimiento de las normas y recaudos establecidos para la protección de
datos personales.
i) El cumplimiento de las disposiciones que establezca la Política de Certificación
y el Manual de Procedimientos del Certificador Licenciado con el que se encuentre
vinculada, en la parte que resulte aplicable.
Art. 36. — Responsabilidad del certificador licenciado respecto de la Autoridad de
Registro. Una Autoridad de Registro puede constituirse como una única unidad
o con varias unidades dependientes jerárquicamente entre sí, pudiendo, delegar
su operatoria en otras autoridades de registro, siempre que medie la aprobación
del Certificador Licenciado. El Certificador, Licenciado es responsable con los
alcances establecidos en la Ley N° 25.506, aún en el caso de que delegue
parte de su operatoria en Autoridades de Registro, sin perjuicio del derecho
del certificador de reclamar a la Autoridad de Registro las indemnizaciones por
los daños y perjuicios que aquél sufriera como consecuencia de los actos y/u
omisiones de ésta.

CAPITULO X
DISPOSICIONES PARA LA ADMINISTRACION PUBLICA NACIONAL
Art. 37. — Despapelización del Estado. Sin perjuicio de la aplicación directa de la
ley en lo relativo a la validez jurídica de la firma electrónica, de la firma digital y de
los documentos digitales, la implementación de las disposiciones de la ley y del
presente decreto para la digitalización de procedimientos y trámites internos de la
Administración Pública Nacional, de las Administraciones Públicas Provinciales,
y de los Poderes Legislativos y Judiciales del orden nacional y provincial, así
como los vinculados a la relación de las mencionadas jurisdicciones y entidades
con los administrados, se hará de acuerdo a lo que fijen reglamentariamente
cada uno de los Poderes y Administraciones.
Art. 38. — Aplicaciones en organismos de la Administración Pública Nacional.
Los organismos de la Administración Pública Nacional que para la tramitación
de documentos digitales o la implementación de aplicaciones requieran firma
digital, solamente aceptarán certificados digitales emitidos por Certificadores,
Licenciados, o certificados digitales emitidos por certificadores extranjeros
reconocidos por acuerdos internacionales o por certificadores licenciados del
país.
Las entidades y jurisdicciones pertenecientes al sector público podrán ser
certificadores licenciados y emitir certificados para agentes y funcionarios
públicos destinados a las aplicaciones de gestión interna de los organismos
públicos a que éstos pertenecieran. Cuando razones de orden público o de
interés social lo ameriten y cuenten con la autorización de la JEFATURA DE
GABINETE DE MINISTROS podrán emitir certificados a particulares.
En aquellas aplicaciones en las que el Estado interactúe con la comunidad,
se deberá admitir la recepción de documentos digitales firmados digitalmente
utilizando certificados digitales emitidos por certificadores licenciados privados
o públicos, indistintamente.
Art. 39. — Autoridades de Registro pertenecientes a la Administración Pública
Nacional. En las entidades y jurisdicciones pertenecientes a la Administración
Pública Nacional, las áreas de recursos humanos cumplirán las funciones de
Autoridades de Registro para los agentes y funcionarios de su jurisdicción. En
el caso, y si las aplicaciones de que se trate lo requieren, la máxima autoridad
del organismo podrá asignar, adicionalmente, a otra unidad las funciones de

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.192


Autoridad de Registro.
Art. 40. — Agentes y funcionarios. La Autoridad de Aplicación podrá requerir para
el cumplimiento de lo establecido en la presente reglamentación la adscripción
de agentes y funcionarios pertenecientes a las entidades y jurisdicciones
comprendidas en el artículo 8° de la Ley N° 24.156 y sus modificatorias.
Art. 41. — Utilización por las entidades y jurisdicciones de la Administración
Pública Nacional. La JEFATURA DE GABINETE DE MINISTROS, establecerá
las normas de aplicación de la presente reglamentación en la Administración
Pública Nacional, que deberán contemplar:
a) Las acciones tendientes a promover el uso masivo de la firma digital con el
fin de posibilitar el trámite de los expedientes en forma simultánea, búsquedas
automáticas de información, seguimiento y control por parte de los interesados.
b) Las acciones tendientes a implementar la progresiva despapelización del
Estado, a fin de contar en un plazo de CINCO (5) años con la totalidad de la
documentación administrativa en formato digital.
c) La interoperabilidad entre aplicaciones.
d) La autorización para solicitar el licenciamiento como certificador ante el
Ente Administrador de la Infraestructura de Firma Digital para las entidades y
jurisdicciones de la Administración Pública Nacional.
e) La participación del Cuerpo de Administradores Gubernamentales a los fines
de difundir el uso de la firma digital y facilitar los procesos de despapelización.
Art. 42. — Presentación de documentos electrónicos. Los organismos de la
Administración Pública Nacional deberán establecer mecanismos que garanticen
la opción de remisión, recepción, mantenimiento y publicación de información
electrónica, siempre que esto sea aplicable, tanto para la gestión de documentos
entre organismos como para con los ciudadanos.
Art. 43. — Normas para la elaboración y redacción de la documentación
administrativa. Lo dispuesto en la presente reglamentación constituye una
alternativa a lo establecido por el Decreto N° 333/85 y sus modificatorios.
Art. 44. — Glosario. Apruébase el glosario que obra como Anexo I del presente
Decreto.
Art. 45. — Derogación. Derógase el Decreto N° 427/98.
Art. 46. — Comuníquese, publíquese, dése a la Dirección Nacional del Registro
Oficial y archívese. — DUHALDE. — Alfredo N. Atanasof. — Juan J. Alvarez.

ANEXO I

GLOSARIO
1.- Firma Electrónica: Se entiende por firma electrónica al conjunto de datos
electrónicos integrados, ligados o asociados de manera lógica a otros datos
electrónicos, utilizados por el signatario como su medio de identificación, que
carezca de algunos de los requisitos legales para ser considerada firma digital.
En caso de ser desconocida la firma electrónica corresponde a quien la invoca
acreditar su validez (artículo 5°, Ley N° 25.506).
2.- Firma digital: Se entiende por firma digital al resultado de aplicar a un
documento digital un procedimiento matemático que requiere información
de exclusivo conocimiento del firmante, encontrándose ésta bajo su absoluto
control. La firma digital debe ser susceptible de verificación por terceras partes,
tal que dicha verificación simultáneamente permita identificar al firmante y
detectar cualquier alteración del documento digital, posterior a su firma.
Los procedimientos de firma y verificación a ser utilizados para tales fines serán
los determinados por la Autoridad de Aplicación en consonancia con estándares
tecnológicos internacionales vigentes (artículo 2°, Ley N° 25.506).
3.- Documento Digital o Electrónico: Se entiende por documento digital a la
representación digital de actos o hechos, con independencia del soporte:
utilizado para su fijación, almacenamiento archivo. Un documento digital también

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 193


satisface el requerimiento de escritura (artículo 6°, Ley N° 25.506).
4.- Certificado Digital: Se entiende por certificado digital al documento digital
firmado digitalmente por un certificador, que vincula los datos de verificación de
firma a su titular (artículo 13, Ley N° 25.506).
5.- Certificador Licenciado: Se entiende por certificador licenciado a toda
persona de existencia ideal, registro público de contratos u organismo público
que expide certificados, presta otros servicios en relación con la firma digital y
cuenta con una licencia para ello, otorgada por el ente licenciante.
La actividad de los certificadores licenciados no pertenecientes al sector público
se prestará en régimen de competencia. El arancel de los servicios prestados
por los certificadores licenciados será establecido libremente por éstos (artículo
17, Ley N° 25.506).
6.- Política de Certificación: Conjunto de criterios que indican la aplicabilidad de
un certificado a un grupo de usuarios en particular o a un conjunto de aplicaciones
con similares requerimientos de seguridad. En inglés Certification Policy (CP).
7.- Manual de Procedimientos: Conjunto de prácticas utilizadas por el certificador
licenciado en la remisión y administración de los certificados. En inglés
Certification Practice Statement (CPS).
8.- Plan de Seguridad: Conjunto de políticas, prácticas y procedimientos
destinados a la protección; de los recursos del certificador licenciado.
9.- Plan de Cese de Actividades: conjunto de actividades a desarrollar por el
certificador licenciado en caso de finalizar la prestación de sus servicios.
10.- Plan de Contingencias: Conjunto de procedimientos a seguir por el certificador
licenciado ante situaciones de ocurrencia no previstas que comprometan la
continuidad de sus operaciones.
11.- Lista de certificados revocados: Lista de certificados que han sido dejados
sin efecto en forma permanente por el Certificador Licenciado, la cual ha sido
firmada digitalmente y publicada por el mismo. En inglés Certificate Revocation
List (CRL).
12.- Certificación digital de fecha y hora: Indicación de la fecha y hora cierta,
asignada a un documento o registro electrónico por una tercera parte confiable
y firmada digitalmente por ella.
13.- Terceras partes confiables: Entidades independientes que otorgan seguridad
y confiabilidad al manejo de la información.
14.- Proveedor de servicios de certificación digital: Entidad que provee el servicio
de emisión y administración de certificados digitales.
15.- Homologación de dispositivos de creación y verificación de firmas digitales:
Proceso de comprobación efectuado para establecer la adecuación de los
dispositivos a requerimientos mínimos establecidos.
16.- Certificación de sistemas que utilizan firma digital: Proceso de comprobación
efectuado para establecer la adecuación de un sistema o aplicación a
requerimientos mínimos establecidos.
17.- Suscriptor o Titular de certificado digital: Persona a cuyo nombre se emite
un certificado y posee una clave privada que se corresponde con la clave pública
contenida en el mismo.

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.194


m3 |contenidos | IC

información complementaria 21

Contrato de confidencialidad estándar

ACUERDO DE CONFIDENCIALIDAD DE INFORMACION

Este acuerdo se celebra entre DCHO & TECH., con domicilio en


_____________________, en adelante “DCHO & TECH”, representada en este
acto por el Sr. ______________, en su carácter de _________, con facultades
suficientes para celebrar el presente; y DIPLOMATURA S.A., con domicilio en Av.
_____________de la Ciudad de __________, Provincia de _________, en adelante
DIPLOMATURA, representada en este acto por ______________, en su carácter
de _______________; de aquí en más se las llamará Parte en forma individual y
Partes en forma conjunta.

CONSIDERANDO

Que DCHO & TECH es una empresa dedicada a proveer servicios de alojamiento
y mantenimiento de bases de datos comercialmente sensibles;

Que DIPLOMATURA es propietaria de cinco bases de datos de sus alumnos que


contienen datos comercialmente sensibles, especialmente sus calificaciones y
desea analizar la posibilidad de alojarla en servidores de DCHO & TECH.

Que las Partes desean proteger dicha Información Confidencial, que puede o
no haber sido patentada o que puede constituir la base de inventos patentables.

Que a estos fines, y en el marco del presente Acuerdo las Partes definen el
término Información Confidencial, a toda información o dato revelado por
cualquiera de las Partes hacia la otra, conforme al presente, ya sea en forma
escrita u oral y sujeta a las condiciones establecidas en el mismo, incluyendo
sin ningún tipo de limitación cualquier muestra o modelo de documento escrito
o impreso o cualquier medio de divulgación de dicha Información Confidencial
que las Partes elijan utilizar mientras esté vigente este Acuerdo.

POR LO TANTO, las Partes acuerdan lo siguiente:

1. Que a los fines de analizar los costos y beneficios propuestos por


DCHO & TECH, DIPLOMATURA le proveerá la información a los fines
de este proyecto, bajo las condiciones establecidas en el presente.
2. De la interpretación de este Acuerdo se desprende que ninguna de
las Partes está obligada a revelar ninguna Información Confidencial.
3. Cada Parte, dentro del marco legal del presente, revelará a la otra sólo
aquella Información Confidencial que la Parte reveladora hubiere
autorizado a transferir considere apropiada para cumplimentar los
objetivos de este Acuerdo según se establece en los Considerandos
del presente.
4. Todo tipo de Información Confidencial revelada por cualquiera de
las Partes hacia la otra, sujeta a los términos y condiciones de este
Acuerdo, será designada como Información Confidencial de la
Parte que la revela, por medio de un sello, leyenda u otra notificación

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 195


escrita apropiada. En caso de que dicha información sea revelada
en forma oral, se la designará como Confidencial al momento de
ser revelada y se confirmará y designará por escrito, dentro de un
plazo máximo de treinta días, que la misma es Confidencial de la
Parte que la revela, la cual estará sujeta a los términos y condiciones
establecidos en el presente.
5. La Parte receptora conviene por el presente que la Información Confidencial
que reciba de la Parte que la revela:
a) estará protegida y será resguardada en estricta confidencialidad por la Parte
receptora, quien debe tener el mismo grado de precaución y seguridad que
emplea para proteger su propia Información.
b) será divulgada y utilizada sólo por aquellas personas dentro de la
organización de la Parte receptora, que necesiten estar informados y
relacionados con el propósito expreso en este Acuerdo.
c) no será utilizada en su totalidad o en parte para otro propósito que no sea el
de este Acuerdo, sin el consentimiento previo y por escrito de la Parte que
la revela, según se especifica en el párrafo 3.
d) no será divulgada ni se forzará su divulgación en forma directa o indirecta
a ninguna tercera Parte o a personas que no sean las mencionadas en el
párrafo (b).
e) no será copiada, ni reproducida, ni duplicada en todo o en parte, sin la
previa autorización por escrito de la Parte que la revela.
f) deberá ser devuelta en su totalidad a la Parte que la revela a la finalización
de los trabajos encomendados o a la finalización de este Acuerdo cualquiera
haya sido la causa, sin que pueda la Parte receptora, mantener bajo su
poder ninguna copia ni información relacionada que haya sido dada para la
ejecución de los trabajos.
6. La Parte receptora no tendrá obligaciones ni restricciones con respecto a
cualquier Información Confidencial de la otra Parte, cuando logre probar:

a) que ha tomado dominio público antes o después de su revelación y que no


constituye una infracción de la Parte receptora; o
b) que ya es de conocimiento de la Parte receptora según consta en
documentación escrita de los archivos de la misma; o
c) que ha sido recibida lícitamente de una tercera Parte, sin restricciones o sin
infringir el presente Acuerdo; o
d) que ha sido o es publicada sin violar este Acuerdo; o
e) que se desarrolla en forma independiente y de buena fe por los empleados
de la Parte receptora sin que quienes no tuvieron acceso a la Información
Confidencial; o
f) que ha sido autorizada en forma escrita por la Parte que la revela, a su
divulgación o utilización; o
g) que no está debidamente designada o confirmada como Información
Confidencial.
7. En relación a cualquier intercambio de Información Confidencial que
puede resultar de este Acuerdo, se interpreta y acuerda que los representantes
listados a continuación serán, en representación de las Partes respectivas,
las únicas personas autorizadas para recibir y/o transmitir dicha Información
Confidencial:
por DCHO & TECH: Sr. ________________
por DIPLOMATURA: Sr. ___________________

En relación a las personas identificadas en el punto 7, cada Parte tendrá el derecho


y la autoridad para reemplazarlas dentro de sus respectivas organizaciones, como
así también autorizarlas para recibir y/o transmitir la Información Confidencial
que se intercambiará según este Acuerdo. Estos reemplazos realizados por

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.196


cualquiera de las Partes se deberán notificar en forma escrita a la otra Parte.

8. Cualquier Información Confidencial clasificada como tal revelada por


las Partes conforme al presente Acuerdo será identificada por la Parte que la
revela como Información Clasificada en el momento de revelarla, y su revelación,
protección, utilización y manejo estará de acuerdo con los procedimientos de
seguridad prescriptos por el Gobierno competente.
9. En forma expresa, las Partes entienden y acuerdan que la revelación y
provisión de la Información Confidencial conforme a este Acuerdo no debe
interpretarse como que otorga a la Parte receptora cualquier derecho expreso
o implícito de una licencia o similar de los temas, inventos o descubrimientos
inherentes a dicha Información Confidencial o cualquier patente, marca o
derecho sobre un secreto industrial o comercial.
11. La celebración, vigencia, y ejecución del presente Acuerdo deberá ser
mantenido en carácter confidencial por las Partes y no deberá ser divulgado por
ninguna de las Partes sin el previo consentimiento escrito de la otra.
12. Toda enmienda a este Acuerdo se hará por escrito, y será firmado por los
representantes de las Partes debidamente autorizados.
13. La fecha efectiva de este Acuerdo será la fecha en la cual sea firmado por
ambas Partes. Ninguna de las Partes pide ni justifica la exactitud, integridad
o certeza en relación a la información revelada o en relación a la violación de
cualquier derecho, inclusive la propiedad intelectual de los derechos de otros.
14. Este Acuerdo no se cederá o transferirá sin el expreso consentimiento
previo de ambas Partes. Es nulo todo intento de cesión o transferencia sin
consentimiento previo por escrito.
15. Este Acuerdo podrá ser rescindido por cualquiera de las Partes por medio
de una notificación escrita a la otra Parte, cuando mediara un incumplimiento
de cualquiera de las obligaciones contempladas en el presente o una causa
justificada. En caso de rescisión por incumplimiento de las obligaciones, la
Parte damnificada, podrá reclamar los daños y perjuicios pertinentes. De no ser
rescindido el presente por las causas antes mencionadas, y de estar vigente la
relación que originó la firma del presente, este Acuerdo caducará a los dos (2)
años de la fecha en que fue firmado. Sin embargo, la obligación de dicha Parte
de proteger la Información Confidencial previamente recibida continuará a
pesar de la rescisión y estará sujeta a las limitaciones establecidas en el presente
Acuerdo.
16. Lo anteriormente expresado constituye en su totalidad el Acuerdo
entre las Partes en relación al objeto del presente, y reemplaza y anula toda
representación, negociación, compromiso, emprendimiento o comunicación oral
o escrita, aceptación, entendimiento y acuerdo previo entre las Partes y que esté
relacionado con cualquiera de los temas que dicho Acuerdo contempla.
17. Este acuerdo se regirá e interpretará conforme a las leyes de la República
Argentina.
18. Las Partes acuerdan someter a la competencia de los Tribunales Ordinarios
de la Provincia de Córdoba, cualquier disputa o diferendo, que entre ellas no
puedan resolver y que esté relacionado con o que resulte de la existencia,
validez, desarrollo, ejecución y rescisión de este acuerdo o de alguno de sus
términos.
EN FE DE LO CUAL, cada una de las Partes firma este Acuerdo por medio de
sus representantes autorizados, en la Ciudad de _____________, a los ____
días del mes de ____________ de 20__.

Por DCHO & TECH Por DIPLOMATURA S.A.

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 197


m3 |contenidos | IC

información complementaria 22

Requisitos del Documento Electrónico

Código Civil Ley de Firma Digital 25.506

Requisito de Escritura

Art. 975 C.C.: En los casos en


que la expresión por escrito fuere
Un documento digital también
exclusivamente ordenada o convenida
satisface el requerimiento de la
no puede ser suplida por ninguna
escritura (Art. 6)
otra prueba y el acto y la convención
sobre la pena son de ningún efecto.

Requisitos de Firma

Condición esencial para la validez del Cuando la ley requiera una firma
acto, tanto en instrumentos públicos manuscrita, esa exigencia queda
(Art. 988) como privados (Art. 1012) satisfecha por una firma digital (Art. 3)

Requisito de Original y de Doble Ejemplar

Los documentos electrónicos y


digitales firmados digitalmente a partir
Los actos deben ser redactados en
de originales de primera generación,
tantos originales como partes haya
también serán considerados originales
con un interés legítimo (Art. 1021)
y poseen como consecuencia de ello,
valor probatorio como tales (Art. 11)

m3 |contenidos | IC

información complementaria 23

Licenciamiento
BUENOS AIRES,

VISTO la Ley Nº 25.506, el Decreto N° 2628/2002 del 20 de


diciembre de 2002, el Decreto N° 152/03 del 5 de junio del 2003, el Decreto N°
624/03 del 22 de agosto de 2003 y el Decreto N° 1028/2003 del 10 de noviembre
de 2003 y

CONSIDERANDO:
Que la Ley N° 25.506 legisló la incorporación de la firma digital y
el documento electrónico a la normativa legal vigente.
Que el Decreto N° 2628, reglamenta la Ley N° 25.506 de Firma

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.198


Digital creando, a través de su artículo 11, el Ente Administrador de Firma Digital
dependiente de la JEFATURA DE GABINETE DE MINISTROS, como órgano
técnico administrativo encargado de otorgar las licencias a los certificadores y
de supervisar su actividad y dictar las normas tendientes a asegurar el régimen
de libre competencia en el mercado de los prestadores y protección de los
usuarios de Firma Digital.
Que el Decreto N° 152/03 procedió, entre otras, a incorporar
las competencias mencionadas en el párrafo anterior a la órbita de la
SUBSECRETARIA DE LA GESTION PUBLICA de la JEFATURA DE GABINETE DE
MINISTROS.
Que por Decreto N° 624/03 se aprobó la estructura organizativa
de la JEFATURA DE GABINETE DE MINISTROS.
Que el Decreto N° 1028/2003 a fin de reordenar y racionalizar
los recursos en materia de infraestructura de firma digital encontró conveniente
disolver el Ente Administrador de Firma Digital y resolvió que su accionar sea
llevado a cabo por la Oficina Nacional de Tecnologías de Información de la
SUBSECRETARIA DE LA GESTION PUBLICA de la JEFATURA DE GABINETE
DE MINISTROS, como así también asignarle la facultad de definir las normas y
procedimientos reglamentarios del régimen de firma digital definido en la Ley Nº
25.506.

Por ello,
EL DIRECTOR NACIONAL DE LA OFICINA NACIONAL
DE TECNOLOGIAS DE INFORMACION
DISPONE:
Artículo 1°.- Establécese el marco normativo aplicable al otorgamiento y
revocación de las licencias de firma digital a otorgarse a los certificadores que
así lo soliciten conforme a los requisitos y procedimientos establecidos por la
presente Disposición y su Anexo.

PRINCIPIOS GENERALES

Artículo 2°.- Serán certificadores licenciados todas aquellas personas de


existencia ideal, registro público de contratos u organismo público que expida
certificados, sin perjuicio de los restantes servicios que puedan realizar, que
cumpla con los requisitos establecidos por la ley 25.506, el Decreto Nº 2628/2002
y la presente Disposición y obtenga la aprobación, legal y técnica de su solicitud,
por parte de la Oficina Nacional de Tecnología de Información.
El certificador licenciado deberá encontrarse domiciliado en el territorio de la
República Argentina, considerándose que cumple con este requisito cuando
la sede principal de sus negocios o su principal establecimiento se encuentre
situado en el territorio argentino.

Artículo 3°.- La actividad de los certificadores licenciados del sector privado


se realizará en régimen de libre competencia con arreglo a los principios de
objetividad, transparencia y no discriminación.

Artículo 4°.- El cumplimiento de las normas reglamentarias técnicas establecidas


en la presente Disposición sólo será obligatorio para aquellas entidades que
voluntariamente decidan obtener el carácter de certificador licenciado.

Artículo 5°.- En caso de modificación de las referidas normas, la Oficina Nacional


de Tecnologías de Información de la Subsecretaría de la Gestión Pública de
la Jefatura de Gabinete de Ministros (ONTI), como autoridad encargada del
otorgamiento de las licencias habilitantes conforme surge de las facultades que
le confiere el Decreto N° 1028/2003, establecerá los plazos en los cuales un

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 199


certificador licenciado deberá adecuarse a las mismas, bajo apercibimiento de
revocación de la licencia otorgada en caso de incumplimiento.

Artículo 6°.- La Oficina Nacional de Tecnologías de Información se reserva el


derecho de proceder a la elaboración y fijación de nuevas normas técnicas y
de procedimiento así como a la modificación de los respectivos aranceles de
licenciamiento o su renovación, multas por incumplimientos y, demás sanciones
cuando así lo crea necesario.

DE LOS ESTANDARES TECNOLÓGICOS DE LA INFRAESTRUCTURA DE FIRMA


DIGITAL

Artículo 7°.- Los Estándares Tecnológicos de la Infraestructura de Firma Digital


vigentes son los contenidos en el Anexo que acompaña la presente Disposición.

DE LOS CERTIFICADORES LICENCIADOS

Artículo 8°.- Aquellas entidades que soliciten el carácter de certificadores


licenciados deberán obtener la aprobación, por parte de la ONTI, de la solicitud de
licencia acompañada por documentación que deberá contener una descripción
detallada de su modelo de negocio, de la plataforma tecnológica utilizada, del
manual de procedimientos de certificación, de su política de certificación, plan de
seguridad, análisis de riegos, plan de cese de actividades, plan de continuidad
del negocio, descripción de los procedimientos y mecanismos que se obligan a
cumplir en la prestación de sus servicios de certificación conforme condiciones
establecidas en la presente Disposición y demás normativa aplicable.

Artículo 9°.- Asimismo, deberán mantener un registro de certificados revocados


de acceso público, garantizando de este modo la disponibilidad de la información
contenida en los mismos de una manera continua y regular.

Artículo 10.- Para la emisión de certificados al público, los certificadores


licenciados o la Autoridad de Registro, por él autorizada, únicamente podrán
recabar datos personales directamente de sus titulares, o bien con previo
consentimiento expreso y por escrito de éstos.
Los datos requeridos serán exclusivamente los necesarios para la expedición
y el mantenimiento del certificado y la prestación de aquellos otros servicios
relacionados con firma digital, no pudiendo ser tratados con fines distintos sin el
expreso consentimiento de su titular.
El certificador licenciado no podrá llevar a cabo publicación alguna de los
certificados que hubiere emitido sin previa autorización de su correspondiente
titular.

Artículo 11.- Aquellos certificadores que hayan consignado un seudónimo en


el certificado, a solicitud del titular, deberán constatar su verdadera identidad y
conservar la documentación que así lo acredite.
Sin embargo dichos certificadores estarán obligados a revelar la identidad de
los titulares cuando así lo soliciten los órganos judiciales, en el ejercicio de las
funciones que tienen atribuidas, y en los demás supuestos previstos en el art. 5
inc. b de la Ley N° 25.326.
También se podrá dejar constancia en el certificado de cualquier otra circunstancia
personal del titular siempre que fuere significativa en función de la finalidad de
dicho certificado y, siempre que el titular así lo hubiera consentido.

Artículo 12.- Los certificadores licenciados deberán conservar registrada toda


la información y documentación respaldatoria de todos los certificados por

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.200


ellos emitidos por el término de 10 (diez) años contados a partir de la fecha de
vencimiento o revocación de dicho certificado. Asimismo deberán publicar en su
sitio web la Disposición que les otorga el carácter de certificadores licenciados
publicando la política de certificación conforme a la cual adquirieron dicho
carácter.
Queda absolutamente prohibido el uso del término “certificador licenciado” para
todos aquellos prestadores del servicio de certificación, u otros servicios que
puedan realizar, que no hallan cumplido con el correspondiente proceso de
licenciamiento establecido por la presente Disposición.

LICENCIAMIENTO

Articulo 13. La Oficina Nacional de Tecnologías de Información cumplirá las


funciones de Ente Licenciante conforme las facultades otorgadas por el Decreto
N° 1028/03.

Artículo 14.- El procedimiento a llevarse a cabo a los efectos de la obtención


del carácter de certificador licenciado es aquel que tiene por objeto demostrar
al Ente Licenciante la aptitud del solicitante para cumplir con sus funciones
y obligaciones. A dichos fines y efectos, el certificador deberá contar con las
instalaciones, sistemas, programas informáticos y recursos humanos necesarios
a los fines de la emisión de certificados de firma digital conforme a su política
de certificación, permitiendo su inscripción en el registro electrónico de
certificadores licenciados que el Ente Licenciante llevará a dicho efecto.
Toda política de certificación deberá adaptarse a las condiciones reglamentarias
y requisitos mínimos establecidos por el Ente Licenciante.

REGISTRO DE CERTIFICADORES LICENCIADOS

Artículo 15.- El Ente Licenciante deberá mantener en forma regular y continua un


registro de certificadores licenciados, dicha inscripción se deberá llevar a cabo
dejando constancia del número de Disposición que concede dicha licencia,
domicilios, números telefónicos, direcciones de Internet y los datos de aquellos
certificadores cuyas licencias hayan sido revocadas.
Este registro deberá ser permanente e ininterrumpidamente accesible por
Internet.

AUDITORÍAS

Artículo 16.- A los fines de la revisión de los parámetros establecidos en la presente


Disposición, así como la confiabilidad y calidad de los sistemas utilizados por
el certificador licenciado, la integridad, confidencialidad y disponibilidad de
los datos, y el cumplimiento de los manuales de procedimientos y los planes
de seguridad y contingencia aprobados, el Ente Licenciante podrá ordenar
la realización de auditorías, solicitar documentación adicional, y realizar
inspecciones a las instalaciones del interesado por medio de personal autorizado.

Artículo 17.- Las auditorias o inspecciones necesarias a los fines de cumplimentar


los requisitos establecidos en el proceso de licenciamiento tendrán el carácter
de obligatorias y serán realizadas por el Ente Licenciante, por sí o por terceros
habilitados a tal efecto, dejándose constancia que el costo que implique
la realización de cualquier tipo de auditoría quedará a exclusivo cargo del
certificador.

Artículo 18.- Se denominarán inspecciones ordinarias a aquellas que consisten


en la facultad de practicar una visita anual a las instalaciones del certificador

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 201


licenciado, como así también monitorear o bien requerir en forma periódica
información sobre el desarrollo de su actividad.
Sin perjuicio de la sanción que implica la falta de cumplimiento de las referidas
inspecciones por causas imputables a los certificadores licenciados, los mismos
deberán indicar al momento de presentación de su correspondiente declaración
jurada anual la fecha de realización de su última auditoría efectuada.

Artículo 19.- Las inspecciones extraordinarias serán llevadas a cabo en caso


de denuncia por motivos que hacen a la forma de prestación del servicio del
certificador licenciado o bien de oficio por el Ente Licenciante.

PAGO DE TASAS

Artículo 20.- El proceso de evaluación por parte del Ente Licenciante acerca del
cumplimiento de todas las condiciones legales y técnicas que hacen al carácter
de certificador licenciado, cuando la solicitud sea presentada por una persona
de existencia ideal o registro público de contratos, genera la obligación de pago
del arancel de certificación.

Artículo 21.- El pago de dicho arancel es comprensivo de la correspondiente


auditoria de inicio y deberá ser abonado por el certificador que se beneficia con
tal reconocimiento.
Por cada política de certificación que el certificador presente para su licenciamiento
deberá abonar la suma de $30.000, suma que se devengará desde el momento
de la presentación de la solicitud de licencia y, la que podrá ser abonada hasta
el momento previo al pase del expediente a estudio de fondo o resolución.

Artículo 22.- El certificador licenciado debe contar con un seguro vigente acorde
con las responsabilidades asumidas y su política de certificación, dicha póliza
deberá ser expedida por una entidad autorizada para operar en la República
Argentina y deberá cubrir un importe de pesos 3.000.000 (tres millones),
porcentaje que podrá ser reducido en solo un 2 (dos) por ciento.
Es obligación del certificador licenciado, informar al Ente Licenciante acerca de
todas las circunstancias de dicho contrato, indicando debidamente su fecha de
iniciación y terminación así como su alcance y modificaciones.
El monto referido podrá ser modificado por el Ente Licenciante, debiendo ser
acreditado por el certificador con anterioridad al pase del expediente a su estudio
de fondo y resolución, bajo apercibimiento en caso de omisión de denegársele
la licencia solicitada.

NORMAS DE PROCEDIMIENTO

Artículo 23.- Se dará inicio al procedimiento de licenciamiento cuando el


certificador proceda a enviar el formulario electrónico correspondiente a dichos
fines conjuntamente con su solicitud de licencia por escrito.
Toda la documentación detallada en el punto 2.1 etapa I del Anexo deberá ser
presentada por triplicado.

Artículo 24.- Recibida la solicitud de licencia, el responsable de la Unidad de


Recepción del Ente Licenciante, procederá a llevar a cabo su estudio de forma o
admisibilidad mediante la verificación de los antecedentes requeridos.
En caso de inadmisibilidad se procederá a notificar al interesado, concediéndole
un plazo de gracia de 10 (diez) días a los fines de la ampliación o aclaración de
la documentación presentada.

Artículo 25.- Una vez admitido el trámite de solicitud, el Ente Licenciante

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.202


procederá a notificar al interesado acerca de la aceptación de la misma,
debiendo el interesado acompañar dentro de los 10 (diez) días contados
desde la notificación de la Disposición de aceptación, todos aquellos requisitos
exigidos en la etapa 2 punto 2.1 del Anexo, a fin que el Ente Licenciante proceda
a efectuar el correspondiente estudio de fondo legal y técnico previo pago del
arancel correspondiente.

Artículo 26.- Todos los plazos fijados en la presente normativa se contarán


en días hábiles administrativos, salvo que específicamente se establezca otra
modalidad, y solo serán prorrogables por motivos fundados.

Artículo 27.- Transcurridos 90 (noventa) días contados desde la Disposición


que admite el pase del expediente a “estudio de fondo”, el Ente Licenciante
procederá a certificar si el interesado cumple con todos los requisitos técnicos y
legales establecidos en la Ley N° 25.506, el Decreto N° 2628/2002 y la presente
normativa, procediendo de este modo a dictar Disposición licenciando a dicho
certificador para las políticas de certificación que hubiere presentado.
Esta Disposición deberá ser publicada por el Ente Licenciante en el Boletín
Oficial.

Artículo 28.- La Oficina Nacional tendrá facultades para aprobar, revocar o bien
denegar solicitudes de licencias cuando contare para ello con motivos fundados.
Cuando el incumplimiento de la normativa legal y técnica afecte la finalidad
prevista por la Ley N° 25.506 de Firma Digital y su Decreto Reglamentario, se
procederá a dictar Disposición rechazando o denegando dicha solicitud.

Artículo 29.- En aquellos casos en donde se considere que los incumplimientos


son subsanables se procederá a recabar al solicitante las medidas correctivas
necesarias, las cuales deberán ser completadas dentro del plazo que el Ente
Licenciante determine a dichos fines y efectos.
Una vez cumplimentadas las mismas, se dispondrá la admisión y el pase del
expediente a estudio de fondo legal y técnico previa solicitud del interesado,
solicitando la correspondiente certificación.

Artículo 30.- Toda renovación de licencia estará supeditada al pago del arancel
de renovación el que se establece en la suma de pesos 15.000 (quince mil).

PLAN DE CESE DE ACTIVIDADES

Artículo 31.- El plan de cese de actividades deberá llevarse a cabo en un todo


conforme a lo establecido en el punto 2.6 del Anexo.
Si el cese se produce por decisión unilateral del certificador licenciado, esta
circunstancia se deberá comunicar al Ente Licenciante y al titular del certificado
con una antelación de 30 (treinta) días, en caso de no existir objeción al respecto,
los certificados podrán ser transferidos a otro certificador licenciado, dentro del
plazo de los 10 (diez) días contados desde dicha notificación, caso contrario
deberán ser revocados inmediatamente.
En caso de no existir acuerdo alguno entre certificadores que aseguren la
adecuada transferencia de los certificados o bien cuando el titular se oponga a
dicha transferencia, se deberá proceder a la revocación de los mismos sin más
trámite.

CESE DEL CERTIFICADOR

Artículo 32.- En caso de cese del certificador ya sea por decisión unilateral
del certificador licenciado, cancelación de su licencia dispuesta por el Ente

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 203


Licenciante o bien por cancelación de su personería jurídica, se deberá
proceder a la notificación inmediata a los titulares de certificados emitidos por
dicho certificador, debiéndose en todos los casos notificar al Ente Licenciante y
proceder a la publicación de dicho cese en el Boletín Oficial y en otro medio de
difusión nacional a costa del certificador licenciado.

CADUCIDAD DE LICENCIA

Artículo 33.- La caducidad de la licencia del certificador licenciado se producirá


por las causales determinadas en el artículo 27 del Decreto N° 2628/02 y se
establecerá mediante Disposición fundada, debiéndose tomar nota de esta
circunstancia en el registro que a tal fin lleve el Ente Licenciante

DEFENSA DEL USUARIO

Artículo 34.- A los fines de lograr un mayor equilibrio en la protección de los


intereses en juego correspondientes al solicitante, al certificador licenciado y al
tercero usuario, los certificadores licenciados deberán informar a todo solicitante
o tercero usuario , previa emisión de los correspondientes certificados, respecto
de las políticas de certificación bajo la cual fueron emitidos, sus condiciones
y límites de utilización, condiciones de la licencia obtenida y acerca de todo
aquello que fuere relevante con relación a un uso correcto y seguro de los
mismos, como así también prever procedimientos que aseguren la resolución
preventiva de conflictos.

Artículo 35.- A los fines de una correcta interpretación de los acuerdos a celebrarse
entre el certificador licenciado y los titulares de certificados y usuarios de sus
servicios, el Ente Licenciante considerará como no convenidas, las cláusulas
que:

a) Desnaturalicen las obligaciones o limiten la responsabilidad por daños y


perjuicios del certificador licenciado salvo aquellas excepciones establecidas
y autorizadas en su política de certificación, en los casos que así lo admitiere
el Ente Licenciante.
b) Importen renuncia o restricción de los derechos del consumidor o bien
amplíen los derechos de la parte proveedora.
c) Las que impliquen la inversión de la carga de la prueba en perjuicio del
consumidor.
d) Las que sirvan para interpretar los contratos en el sentido más favorable al
certificador licenciado.
e) Las que insertadas en un contrato de adhesión violen las disposiciones de la
Ley N° 24.240 art. 37 CAP IX

Artículo 36.- En aquellos supuestos de reclamos de los usuarios de certificados


digitales siempre que dichos reclamos se encuentren relacionados con la
prestación de los servicios de un certificador licenciado conforme los términos
de la presente normativa, el Ente Licenciante procederá a recibir la denuncia
correspondiente, la que deberá ser evaluada y resuelta sin más trámite mediante
la instrucción de las actuaciones correspondientes y, sin perjuicio de dejar a
salvo los derechos de los usuarios de recurrir a la vía judicial cuando así lo
creyeran conveniente.

RESPONSABILIDAD

Artículo 37.- Los certificadores licenciados responderán por los daños y perjuicios
causados en el ejercicio de sus actividades, cuando actúen negligentemente o

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.204


bien incurran en incumplimiento de sus obligaciones respecto de los solicitantes,
titulares y terceros usuarios de los certificados digitales por ellos emitidos o
demás servicios de firma digital provistos.
Solo podrán establecer límites a dicha responsabilidad en función de la clase de
certificados que emitan conforme a la política de certificación licenciada o bien
conforme a las condiciones establecidas en el artículo 39 de la Ley N° 25.506.

SANCIONES

Artículo 38.- Sin perjuicio de la responsabilidad administrativa y de la


responsabilidad que por daños y perjuicios que pudiere corresponder al
certificador licenciado, el Ente Licenciante procederá a aplicar las sanciones
administrativas que correspondan previa instrucción sumarial.
Dichas sanciones consistirán en apercibimiento, multa o bien caducidad de
licencia por violación a la Ley N° 25506 y su decreto reglamentario, conforme
las condiciones establecidas en los artículos 40 a 46 de la Ley N° 25.506 firma
digital.

Artículo 39.- La gradación de dichas sanciones según su reincidencia y


oportunidad serán establecidas de la siguiente forma:
a) Por la comisión de las infracciones enumeradas en el artículo 43, se
impondrán al infractor multas que oscilarán entre los 10.000 (diez mil) y
500.000 (quinientos mil) pesos conforme la gravedad de las mismas.
b) La reiteración de 2 (dos) o más infracciones de las enumeradas en el
artículo 43, en el plazo de 3 (tres) años, podrá dar lugar, en función de sus
circunstancias, a la inhabilitación para actuar como prestador de servicios
de firma digital en el territorio argentino durante un plazo máximo de 2 (dos)
años.
Cuando la Disposición de imposición de esta sanción esté consentida, será
inscripta en el Registro de certificadores licenciados que a dicho efecto llevará
el Ente Licenciante a fin de proceder a la cancelación de la inscripción del
certificador licenciado sancionado.

Artículo 40.- La sanción de caducidad de licencia conforme artículo 27 del


Decreto N° 2628/03, provocará la inhabilitación para ser titular de una licencia de
certificación conjuntamente a la entidad y a sus órganos directivos por el término
de 10 (diez) años.
En el supuesto especial enunciado en el artículo 21 b de la Ley N° 25.526,
debido a la gravedad que implica el acceso o bien el conocimiento a los datos
de creación de firma por parte del certificador licenciado, se procederá de
inmediato a la instrucción sumarial correspondiente la cual será enviada a los
efectos de la aplicación de la sanción correspondiente a la Dirección Nacional de
Protección de Datos Personales, sin perjuicio si correspondiere de la denuncia
que, por violación del artículo 157 bis del Código Penal, deberá efectuar el Ente
Licenciante.

Artículo 41.- En los supuestos previstos en el artículo 44 de la Ley N° 25.506, será


obligación del Ente Licenciante llevar a cabo la publicación de la Disposición
sancionatoria que ordena la caducidad de la licencia previamente otorgada en el
Boletín Oficial, circunstancia que deberá constar obligatoriamente en la página
de inicio del sitio de Internet del certificador, una vez que la misma se encuentre
consentida y firme.

Artículo 42.- La sanción a aplicarse dependerá en todos los casos del tipo de
infracción cometida, de la repercusión social de la misma, el número de usuarios
afectados y la gravedad del ilícito.

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 205


Artículo 43.- La cuantía de las multas que se impongan, dentro de los límites
indicados, se graduarán teniendo en cuenta lo siguiente:
a) La existencia de dolo o intencionalidad o reiteración,
b) La reincidencia por comisión de infracciones de la misma naturaleza, cuando
así haya sido declarado por Disposición firme.
c) La naturaleza y cuantía de los perjuicios causados.
d) Plazo de tiempo durante el que se haya venido cometiendo la infracción.
e) El beneficio que haya reportado al infractor la comisión de la infracción.

Artículo 44.- Comuníquese, publíquese, dése a la Dirección Nacional del Registro


Oficial y archívese.-

m3 |contenidos | IC

información complementaria 24

Proyecto de Regulación del Correo Electrónico Laboral


Por Matías Altamira*

Se ha presentado un proyecto de ley en el Congreso que regula el tan controvertido


correo electrónico en el ámbito laboral. Sus firmantes Bisutti, García, Quiróz,
Gorbacz y Ríos, promueven la incorporación a la Ley de Contrato de Trabajo
de un nuevo Artículo 86 bis, donde tratan una gran variedad de situaciones que
se suscitan en torno del uso del correo electrónico por los empleados, ya sea
provisto por la empresa como propio.
En su primer párrafo sostienen cuando el correo electrónico sea provisto por el
empleador al trabajador se entenderá que la titularidad del mismo corresponde
al empleador siempre y en todos los casos, independientemente del nombre
y clave de acceso que sean necesarias para su uso. Esta definición brindará
claridad sobre la propiedad de la herramienta, rechazando los fundamentos
sobre la privacidad respaldados en la generación un nombre de usuario y una
clave de acceso.
El empleador –continúa– se encuentra facultado para acceder y controlar toda la
información que circule por dicho correo electrónico laboral, como asimismo a
prohibir su uso para fines personales. Consecuentemente, siendo su propietario,
tiene todo el derecho de control y disposición.
En su segunda parte, borra con el codo lo anterior al disponer que el
empleador no podrá prohibir al trabajador el uso de sus direcciones de correo
electrónico personales o privadas, aunque sean abiertas desde el lugar de
trabajo. En otras palabras, los empleados podrán configurar su computadora
para recibir también los correos personales, que estarán exentos del control
del empleador. La necesidad de control radica en saber para qué utiliza la
herramienta de comunicación, qué información recibe y envía y si tal información
es comercialmente sensible o privada de la empresa. Si para filtrar datos se
comunica por el e-mail corporativo o por el personal es irrelevante.
Para disminuir los efectos citados, los legisladores establecen que el empleador
deberá notificarle su política de acceso y uso de correo electrónico personal en
el lugar de trabajo y la del correo electrónico laboral al ponerlo a su disposición.
Concluye, que cuando el e-mail laboral se conforme con el nombre del trabajador,

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.206


una vez finalizada por cualquier causa la relación laboral, el empleador deberá,
en 24 horas, eliminar esa dirección de correo electrónico.
Si se va a modificar la LCT, es recomendable ampliar su alcance y contemplar
las nuevas formas de comunicación, entre ellos los celulares que hoy permiten
transmisión de voz, texto e imágenes.

m3 |contenidos | IC

información complementaria 25

Decreto Nacional 283/2003

FIRMA DIGITAL.
BUENOS AIRES, 14 DE FEBRERO DE 2003
BOLETIN OFICIAL, 17 DE FEBRERO DE 2003
- VIGENTE DE ALCANCE GENERAL -

SINTESIS

SE AUTORIZA, CON CARACTER TRANSITORIO, A LA OFICINA NACIONAL DE


TECNOLOGIAS INFORMATICAS A PROVEER CERTIFICADOS DIGITALES PARA
SU UTILIZACION EN AQUELLOS CIRCUITOS DE LA ADMINISTRACION PUBLICA
NACIONAL QUE REQUIERAN FIRMA DIGITAL, DE ACUERDO A LA POLITICA
DE CERTIFICACION VIGENTE.

NOTICIAS ACCESORIAS

CANTIDAD DE ARTICULOS QUE COMPONEN LA NORMA 2

TEMA

FIRMA DIGITAL-CERTIFICADO DIGITAL-OFICINA NACIONAL DE TECNOLOGIAS


INFORMATICAS

VISTO

el Expediente N 453/2003 del registro de la SUBSECRETARIA DE LA GESTION


PUBLICA de la JEFATURA DE GABINETE DE MINISTROS, la Ley 25.506, el
Decreto N 2628 de fecha 19 de diciembre de 2002, y el Decreto N 78 de fecha
10 de enero de 2002, y

CONSIDERANDO

Que mediante la Ley 25.506 se ha establecido la Infraestructura de Firma Digital


de alcance federal, cuya reglamentación fuera aprobada por el Decreto N
2628/2002. Que el Decreto 2628/2002 ha creado el Ente Administrador de Firma
Digital, quien se encargará de otorgar licencias a los certificadores responsables
de emitir certificados digitales, de acuerdo a las políticas de certificación
vigentes en la materia.
Que a la fecha, se encuentra en proceso la puesta en funcionamiento del citado
Ente, de conformidad con las atribuciones que le fueran conferidas en el Capítulo

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 207


IV de la aludida reglamentación. Que resulta necesario dar continuidad
al régimen de emisión de certificados digitales hasta tanto se encuentre
operativo el Ente Administrador de Firma Digital. Que la OFICINA NACIONAL
DE TECNOLOGIAS INFORMATICAS dependiente de La SUBSECRETARIA DE
LA GESTION PUBLICA de la JEFATURA DE GABINETE DE MINISTROS, en orden
a su responsabilidad primaria determinada por el Decreto N 78 de fecha 10
de enero de 2002, debe promover la utilización de la firma digital en los
organismos del Sector Público Nacional actuando como Autoridad Certificante.
Que en cumplimiento de dicha responsabilidad primaria existen a la fecha
aplicaciones informáticas y convenios con otras jurisdicciones para la emisión
de certificados de firma digital que permitan su utilización en los respectivos
ámbitos.
Que la presente medida se dicta en uso de las facultades emergentes del artículo
99 incisos 1 y 2 de la CONSTITUCION NACIONAL.

Por ello,

EL PRESIDENTE DE LA NACION ARGENTINA DECRETA:

Artículo 1

Artículo 1 - Autorízase con carácter transitorio y hasta tanto se encuentre la


Administración Pública Nacional en condiciones de emitir certificados digitales
en los términos previstos en la Ley N 25.506 y en su Decreto Reglamentario
N 2628/2002, a la OFICINA NACIONAL DE TECNOLOGIAS INFORMATICAS
dependiente de la SUBSECRETARIA DE LA GESTION PUBLICA de la JEFATURA
DE GABINETE DE MINISTROS a proveer certificados digitales para su utilización
en aquellos circuitos de la Administración Pública Nacional que requieran
firma digital, de acuerdo a la política de certificación vigente.

Artículo 2

Art. 2 - Comuníquese, publíquese, dése a la DIRECCION NACIONAL DEL


REGISTRO OFICIAL y archívese.

FIRMANTES

DUHALDE-Atanasof

m3 |contenidos | IC

información complementaria 26

Encuesta 2007 sobre Monitoreo Electrónico de Empleados


Por Matías Altamira*

Según la encuesta realizada por la Asociación Americana de Gerenciamiento


(AMA) y el Instituto de e-Política en los Estados Unidos de Norteamérica, los
empleadores cada vez más controlan la actividad de sus empleados mediante el
uso de distintas tecnologías.
Tanto se controla los correos electrónicos, se bloquea el acceso a páginas
de Internet contrarias a la política de la empresa, se graban las comunicaciones
telefónicas, como se monitorean los lugares que frecuentan sus empleados
mediante GPS. Resultando que en el 2007 un cuarto de los empleadores despidió

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.208


a sus empleados por abuso del e-mail y un tercio por abuso de Internet.
Algunos números: el 28% de los empleadores que despidieron a sus
empleados por abuso del e-mail su fundamentó en las siguientes razones: 64%
por violación de alguna regulación interna; el 62% por lenguaje inapropiado u
ofensivo; el 26% por uso excesivo para fines personales; el 22% por incumplimiento
de la confidencialidad laboral; y el restante 12% por otros motivos. Un 73% de
las empresas usan herramientas de monitoreo automático y un 40% tiene a una
persona encargada de tal actividad.
El 30% de las empresas que despidieron a sus empleados por abuso de
Internet, se basó en los siguientes motivos: 84% por haber visitado, bajado y/o
subido contenido inapropiado u ofensivo; el 48% por incumplir alguna política
empresaria; el 34% por excesivo uso personal; y el 9% por otros motivos.
Se experimentó un incremento del 27% con relación al 2001 de las
empresas que bloquean el acceso a determinadas páginas web, expresando los
empleadores preocupación por la visita de sus empleados a sitios adultos con
contenido sexual, romántico o pornográfico (96%); a sitios de juegos (61%); a
sitios de relaciones sociales (50%); a sitios de entretenimiento (40%); a sitios de
subastas y ventas en general (27%); y a sitios de deportes (21%).
El 45% controla las llamadas telefónicas, número discado y tiempo
de conversación; un 16% graba las comunicaciones; y un 9% controla los
contestadores de los empleados.
Finalmente, el GPS (Sistema de Posicionamiento Global) es en un 8%
utilizado por empresarios para controlar su flota vehicular; un 3% para rastrear
sus celulares y un 1% para rastrear las tarjetas inteligentes asignadas a sus
empleados.
La tecnología como herramienta es excesivamente útil y excesivamente
peligrosa si tanto empleados como empleadores la utilizan para fines contrarios
a la moral, las buenas costumbres y los códigos de conducta previamente fijados
por las partes.

m3 |contenidos | IC

información complementaria 27

Las Cámaras de Vigilancia vs La Protección de Datos Personales


Por Matías Altamira

Municipal como provincialmente se analiza la implementación de cámaras de


vigilancia en lugares públicos, además de las existentes en lugares privados
-empresas y barrios- cuya finalidad principal es la seguridad, pero no la única
y entonces surge la protección de los datos personales como contrapeso y
balance necesario.
Ante esta situación y preocupación mundial, la Agencia de Protección de Datos
de Madrid, dictó la Instrucción 01/2007, a fin de regular la captación y grabación
de imágenes de personas físicas identificadas o identificables por medio de
sistemas de cámaras o videocámaras, al constituir la novedad de los últimos
años con importante incidencia en materia de protección de datos.
Considerando el principio de calidad de los datos, establece los parámetros
de legitimación y finalidad que se deben cumplir en el tratamiento de las
imágenes. Entre ellos, destaca la posibilidad de que las imágenes se recojan
para el ejercicio de las funciones propias de las Instituciones en el ámbito de
sus competencias, con fines de vigilancia para la seguridad y para control y

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 209


disciplina del tráfico. Como novedad, establece supuestos específicos de
legitimación los derivados del mantenimiento o cumplimiento de una relación
negocial, laboral o administrativa; con fines sanitarios y asistenciales, para el
diagnóstico y tratamiento a distancia de enfermedades a través de técnicas de
telemedicina o con fines de monitorización de pacientes en Unidades médicas de
Cuidados Intensivos; y con fines históricos, estadísticos y científicos, así como la
realización de tratamientos de imágenes con fines de investigación y/o docencia.
El contrapeso a estas capacidades de filmación es la obligación de ponderar los
bienes jurídicos protegidos y exige que toda instalación respete el principio de
proporcionalidad en relación con el fin perseguido.
Para comprobar si una medida restrictiva de un derecho fundamental supera el
juicio de proporcionalidad, la Instrucción 01/2007 exige constatar si cumplen
los tres requisitos o condiciones siguientes: a) Si tal medida es susceptible de
conseguir el objetivo propuesto (juicio de idoneidad); b) si, además, es necesaria,
en el sentido de que no exista otra medida más moderada para la consecución
de tal propósito con igual eficacia (juicio de necesidad); y, c) si la misma es
ponderada o equilibrada, por derivarse de ella más beneficios o ventajas para el
interés general que perjuicios sobre otros bienes o valores en conflicto (juicio de
proporcionalidad en sentido estricto).
La necesidad de control flanqueada por la legitimación del fin y por la
proporcionalidad de la medida, reducirán la vulneración de los datos personales.

m3 |contenidos | IC

información complementaria 28

¿Cuando hablamos de Firma Electrónica hablamos de Firma Digital?


Por Matías Altamira*

¿Es lo mismo Firma Electrónica que Firma Digital? ¿Cuál es cual? Esta
diferenciación o falta de diferenciación es un problema común a la mayoría de
los países, que han definido la cuestión por la vía legislativa, como es el caso de
Argentina al promulgar la ley de Firma Digital número 25.506.
Doctrinariamente se sostiene que la firma electrónica es el género y la digital la
especie, ya que solo será digital si cumple con todos los requisitos establecidos
por la legislación aplicable, caso contrario será electrónica. Algunas legislaciones
distinguen entre firma electrónica y electrónica avanzada o electrónica certificada
en reemplazo de “digital”.
La Ley Modelo de la CNUDMI habla solo de firma electrónica. Por su parte, Europa
en la Directiva 1999/93/CE establece que “firma electrónica” será aquella en la
que se agreguen datos en forma electrónica anexos a otros datos electrónicos o
asociados de manera lógica con ellos, utilizados como medio de autenticación;
y “firma electrónica avanzada” será la que esté vinculada al firmante de manera
única; permita su identificación; los medios de creación estén bajo su exclusivo
control; y detecte cualquier cambio ulterior.
Estados Unidos solo define a la firma electrónica como el sonido, símbolo o
proceso electrónico adjunto a o lógicamente asociado con un documento
o adoptado por una persona con la intención de firmar tal documento. Brasil
adopta la firma digital y la distingue de la electrónica al establecer que deberá
ser firmada con un par de claves criptográficas certificadas electrónicamente por
procesos algorítmicos. Por su parte, Uruguay le otorga a la firma digital idéntica
validez y eficacia que la autógrafa cuando cumpla con las mismas exigencias de

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.210


la directiva europea y se base en un doble par de claves asimétricas, también
contempla la firma electrónica pero como un medio de identificación menos
seguro y con menor valor probatorio que juzgará el juez mediante el criterio de
la sana crítica.
Nuestra ley de Firma Digital distingue entre digital y electrónica exigiéndole a
la primera para su validez el cumplimiento de específicos requisitos detallados
en el artículo 9, que hacen referencia al Certificado y al Certificador licenciado,
ninguno de los cuales se encuentra vigente al día de la fecha, ya que todavía no se
ha dictado la reglamentación respectiva e iniciado el proceso de licenciamiento
necesario. Por lo que hasta que ello suceda, todas las firmas en Argentina serán
electrónicas.

m3 |contenidos | IC

información complementaria 29

La Agencia Española de Protección de Datos sanciona falta de seguridad


Por Matías Altamira*

La Agencia Española de Protección de Datos (AEPD) ha sancionado a una


empresa por no tomar las medidas de seguridad necesarias para proteger los
datos de sus empleados, según informó la Agencia EFE.
En el comunicado, se manifiesta que la AEPD ha sancionado por primera vez a
una entidad por la difusión en internet de más de 20.000 datos personales de sus
trabajadores a través del programa de intercambio de archivos eMule. Este tipo
de programas, conocidos como P2P, permite compartir todo tipo de datos como
programas, música, videojuegos y películas, con todos aquellos usuarios que
tengan instalado el mismo software en sus computadoras personales.
Ante esta irregularidad, la AEPD aconsejó seleccionar y delimitar correctamente
la información que se desea compartir en dichos directorios; consideró necesario
que las empresas controlen la instalación de sistemas de intercambio de ficheros
en los centros de trabajo debido a los riesgos que conlleva en cuanto a la difusión
de información confidencial; y finalmente, recomendó que, en el caso de que
se empleen estos programas, se implanten medidas de seguridad tales como
cortafuegos para evitar el acceso no deseado al propio ordenador.
Brevemente, el motivo de la sanción es la falta de implementación de las
medidas de seguridad necesarias para evitar el acceso no autorizado a archivos
confidenciales de la empresa. El medio de la infracción ha sido un programa
de intercambio de archivos P2P. El partícipe necesario fue el empleado que lo
instaló en la computadora que se le asignó para desempeñar su trabajo.
De estos tres condimentos necesarios, se concluye que las empresas deben
elaborar una Política de Uso de las Herramientas Informáticas adquiridas y
puestas a disposición de los empleados para desempeñar exclusivamente sus
tareas. Aún cuando se cuente con tal Política, las empresas deben implementar
programas internos y externos de control de la información que transita por
sus redes, que permitan auditar los productos instalados en las computadoras
y demás elementos informáticos de las empresas (celulares y palms) y que
rechacen la recepción de archivos que excedan el negocio de la compañía.
De suceder en Córdoba, el Encargado de Sistemas primero tendrá que explicarle
al Directorio qué es el eMule, luego que estaba instalado en sus computadoras,
que permitió el filtrado de datos confidenciales, que fue sancionado por una
actividad ajena a su rubro comercial y finalmente, que debe pagar la multa. Se
recomienda prevenir.

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 211


m3 |contenidos | IC

información complementaria 30

Crece el Comercio Electrónico en Argentina


Por Matías Altamira

El comercio electrónico en Argentina crece en porcentajes importantes, lo


que indefectiblemente genera controversias que deben atender y resolver
los Tribunales, por lo que es importante analizar la línea rectora que se está
generando.
Por un lado, el comercio electrónico directo a consumidores finales alcanzará
este año en Argentina, un volumen de 2.200 millones de pesos, con un aumento
de casi un 60 por ciento respecto de 2005, según la nota publicada por el diario
HoyDía.Net de la ciudad de La Plata. El comercio electrónico de empresas a
consumidores –menciona la nota- cerró el año pasado con $ 1.380 millones y este
año subirá a $ 2.200 millones, informa Pablo Tedesco, analista de la firma Prince
& Cooke. Coincidentemente, su colega Enrique Carrier, sostuvo que uno de los
nuevos impulsores del comercio electrónico lo constituyen los compradores del
interior del país, que encuentran en esa operatoria la manera de acceder a los
productos que no tienen en sus localidades.
Por otro lado, una Cámara Nacional Comercial en autos: “Cooperativa de Vivienda
Crédito y Consumo Fiduciaria LTDA c/Becerra L.” sentenció que el correo
electrónico no puede ser reputado como acuerdo transaccional, principalmente
porque no cumple con las formalidades exigidas por el Código Civil y por la Ley
de Firma Digital.
El ejecutado pretendió oponer a la liquidación practicada por la accionante,
la existencia de un acuerdo transaccional donde se reajustaba el monto de la
demanda. La Cámara sostuvo que la transacción sobre derechos litigiosos exige
la incorporación del instrumento en que conste la transacción firmada por ambas
partes al expediente judicial como requisito sustancial; por ello la doctrina reputa
que se está ante una solemnidad absoluta, que no puede materializarse vía
correo electrónico.
La Ley 25.506 reconoce el empleo de la firma electrónica y digital y su eficacia
jurídica, más prevé una serie de requisitos que no es dable tener por acreditados
con la emisión de un simple correo electrónico, aún cuando hubiera sido
reconocido su envío. El art. 4º inc. d) excluye su aplicabilidad a los actos que
deben ser instrumentados bajo exigencias o formalidades incompatibles con
la utilización de la firma digital, ya sea como consecuencia de disposiciones
legales o acuerdo de partes. Tal es el caso de autos.
Si bien el crecimiento del comercio electrónico exige resguardos legales
apropiados, no puede prescindirse de ciertas formalidades de actos jurídicos
específicos argumentando el masivo uso de los nuevos canales de comunicación.

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.212


m3 |contenidos | IC

información complementaria 31

Para visualizar esta información complementaria dirijasé al sector respectivo en


Plataforma.

m3 |contenidos | IC

información complementaria 32

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 213


m3 material

Material básico

Para el abordaje de la presente asignatura Usted deberá estudiar los temas


desarrollados en los contenidos de cada módulo.

Material complementario

FERNÁNDEZ DELPECH, Horacio: Internet: su problemática jurídica. Editorial


Lexis-Nexis Abeledo-Perrot. Buenos Aires, 2000.
LORENZETTI, Ricardo L: Comercio electrónico. Editorial Abeledo-Perrot. Buenos
Aires, 2001.

m3 actividades

m3 | actividad 1

Protecciones Tecnológicas

Situación:

En su organización están preocupados porque se viene reiterando un problema


con las negociaciones por correo electrónico, en donde los términos convenidos
con los proveedores después son desconocidos por éstos últimos, lo que
complica sustancialmente la producción de la empresa. Es por esta cuestión y
su calidad de especialista en seguridad de la información que el Directorio de la
organización lo convoca para que proponga medidas tecnológicas que permitan
demostrar los aspectos acordados entre las partes.

¿Qué medidas propondría? Fundamente.

m3 | actividad 2

Protecciones Tecnológicas

Situación:

En su organización le comentan que si bien han seguido sus recomendaciones


y han implementado como política institucional que toda comunicación que
involucre presupuestos y negociaciones con proveedores se realice con firma
electrónica, ahora se encuentran con que un proveedor ha desconocido esas

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.214


comunicaciones, por lo que le cuestionan a Ud. su recomendación y le piden
que explique por qué el proveedor puede negar esa comunicación si se realizó
con firma electrónica.

m3 | actividad 3

Protecciones Tecnológicas

Situación:

En su organización, al enterarse que Ud. es Licenciado en Seguridad y que entre


sus conocimientos está la Seguridad de la Información, le comentan que están
por cotizar para un plan de seguridad que implementará el Gobierno Nacional en
las triples fronteras, para lo cual una de las exigencias es que las comunicaciones
durante el período de cotización y en su caso negociación de los términos de
la propuesta, no puedan ser interceptadas por los otros proveedores y en el
hipotético caso que ello suceda, que éstos últimos no puedan conocer los
detalles de sus propuestas. Con esta exigencia, le piden que les recomiende
qué herramienta tecnológica se puede implementar.

m3 | actividad 4

Protecciones Laborales

La empresa multinacional MUNDOWEB en la que Ud. se desempeña ha tenido


serios problemas judiciales en sus sucursales de Chile, Brasil y México por
haber revisado la navegación en Internet y los correos electrónicos de algunos
empleados cuyas actitudes hacían desconfiar a los directivos de la empresa.
Con esta experiencia negativa, le han solicitado a Ud. que en función de la
legislación laboral vigente y sus conocimientos técnicos, les informe cómo se
debe proceder ante la desconfianza sobre el contenido de las comunicaciones
electrónicas de un empleado específico.

m3 | actividad 5

Protecciones Laborales

Al comentarle al Directorio de la organización donde se desarrolla el análisis


visto en esta Unidad respecto de la leyenda que se inserta al final de los
correos electrónicos corporativos, el Directorio le ha solicitado que formule una
nueva leyenda y que diagrame una política de implementación de la misma,
estableciendo en qué casos y situaciones se debe utilizar la leyenda elaborada
por Ud.

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 215


m3 | actividad 6

Protecciones Laborales

De paseo por el Shopping se encuentra con un ex compañero de trabajo de


la empresa Transportando Papeles Privados S.A. Ambos se desempeñaban
transportando los caudales de las más grandes empresas de su ciudad. Al
preguntarle qué estaba haciendo ahora, él le cuenta que aprovechando todo lo
que había aprendido en su puesto más toda la información que había recolectado
del funcionamiento de las empresas para las que prestaban servicios, había
armado su propia empresa de servicios y que ya tenía a esas empresas de cliente,
porque les había planteado todas las deficiencias en seguridad que tenían y les
había insinuado que si no lo contrataban, usaría esa información en contra de
ellas. Ud se sorprende por su metodología y le advierte sobre los alcances de la
ley de confidencialidad.

Desarrolle su advertencia para su ex compañero.

m3 | actividad 7

Protecciones Contractuales

El Presidente de la empresa Aeropuertos Argentinos Unidos S.A., le comenta que


va a solicitar cotizaciones para tercerizar el servicio de seguridad, y un amigo le
ha propuesto hacer firmar a los potenciales proveedores el siguiente Acuerdo de
Confidencialidad de la Información, que en principio a él le parece bien salvo por
la siguiente cláusula que le genera cierta duda y le pide a Ud. que lo oriente y en
su caso le recomiende alguna modificación, expresando los motivos:

QUINTA: El Proveedor conviene por el presente que la Información Confidencial


que reciba de AEROPUERTOS:

1. estará protegida y será resguardada en estricta confidencialidad por


el PROVEEDOR, quien deberá tener el mismo grado de precaución y
seguridad que emplea para proteger su propia Información.

2. será divulgada y utilizada a aquellas personas que necesiten estar


informados.

3. no será utilizada en su totalidad o en parte para otro propósito que no


sea el de este Acuerdo, sin el conocimiento previo de AEROPUERTOS.

4. no será divulgada ni se forzará su divulgación en forma directa o indirecta


a ninguna tercera Parte o a personas que no sean las mencionadas en

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.216


el párrafo 2.

5. no será copiada, ni reproducida, ni duplicada en todo o en parte, sin el


previo conocimiento de AEROPUERTOS.

6. deberá ser devuelta en su totalidad a AEROPUERTOS a la finalización de


los trabajos encomendados o a la finalización de este Acuerdo cualquiera
haya sido la causa, debiendo el PROVEEDOR mantener bajo su poder
una copia para resguardo de la información que haya sido dada para la
ejecución de los trabajos.

m3 | actividad 8

Protecciones Contractuales

Le comentan que existe un muy buen sitio de compra y venta de productos,


llamado “De Remate” y que está alojado en http://www.deremate.com/. Ud
ingresa y se encuentra con una imagen del logo de este sitio y muchos países
con sus respectivas banderitas. Elige Venezuela, porque es un lindo país y
porque es el primero en la lista. Luego efectúa una compra y no le entregan el
producto pero sí le retiran el depósito que Ud. efectuó.

Con esta breve reseña investigue dónde tiene que iniciar acciones judiciales, qué
ley le es aplicable y por qué. Si no está de acuerdo con el Tribunal competente y
su ley aplicable, fundamente por qué le corresponde otro.

m3 | actividad 9

Protecciones Contractuales

En una reunión de trabajo, un colega le comenta que está desarrollando un


portal interactivo para compra y venta de productos, que estará focalizado en
conseguir como clientes sólo a gente conocida, y como sabe que en estas
actividades siempre se generan conflictos, ya sea porque el producto no era
lo que pensaba, porque se rompió en el viaje, y muchas otras cuestiones más,
quiere establecer un sistema de resolución de conflictos que sea amigable, por
lo que le pregunta a Ud. cuál elegiría y por qué motivo.

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 217


m3 glosario

Diríjase a la página 8 para leer el contenido de este glosario.

m ó dulos

m4

m4 microobjetivos

 Distinguir entre las defensas posibles de ser activadas a fin de saber


responder ante un ataque a la seguridad de la información sensible de
la organización,

 Reconocer una defensa para participar en su implementación, al menos


en su rol de supervisor

 Reconocer, desde su rol de empleado de una organización, las


responsabilidades asumidas en el tratamiento de la información, así
como las consecuencias por su incorrecto tratamiento, para evitar ser
sancionado por desconocimiento.

 Evaluar sólidamente los riesgos que se asumirían si se optara por violar


un convenio de confidencialidad que lleva inserto una cláusula penal.

 Aplicar debidamente los requisitos legales al momento de realizar una


auditoría de la seguridad de la información, para que sea efectiva y
legalmente válida en caso de ser presentada judicialmente.

 Reconocer los alcances penales del incorrecto tratamiento de la


información, tanto en su rol de empleado, como en su rol de responsable
de la organización, para desalentar usos delictivos de la misma.

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.218


m4 contenidos

Defensas por Ataques a la Información

Unidad 7: Contractuales

1-Violación de Acuerdos de Confidencialidad

Como viéramos al tratar las protecciones contractuales a la información,


específicamente al analizar un Acuerdo de Confidencialidad típico, las partes
firmantes establecen un procedimiento para identificar la información que cada
una considera que es sensible y que está por ser transmitida a la otra, por lo que
le pide que utilice los mismos estándares de seguridad que utiliza para su propia
información sensible.
También vimos que a esa información confidencial recibida de la otra parte con
un fin específico, como puede ser cotizar un servicio de seguridad de un predio
o cotizar un sistema de seguridad cerrado que debe contar con requerimientos
específicos en función de la información y documentación allí almacenada, no
puede ser difundida a toda la empresa que está cotizando, sino sólo a aquella
que tiene “necesidad de saber” para poder cotizar.
Por ejemplo, quienes deberán conocer de la información sensible serán el
encargado de proyecto, el de presupuesto, el jefe de seguridad y una o dos
personas más. No tendrán necesidad de saber para presupuestar el encargado
de impuestos el telefonista, los guardias de seguridad que todavía no están en
funciones, hasta quizás el presidente de la organización, porque normalmente no
se involucra en los detalles de cada presupuesto sino en los aspectos relevantes
del proyecto.
También se destacó que solamente parte de la información recibida era
confidencial, especialmente aquella marcada como tal, quedando liberada de
protección toda la otra información general recibida para cotizar el servicio
o producto. Por ejemplo, la cantidad de empleados de la organización, sus
sucursales, los datos personales del cuerpo gerencial, entre tantos otros, no
están alcanzados por el secreto convenido.
Entonces, el acuerdo de partes a la confidencialidad se reduce a un ámbito muy
específico, que requiere el máximo control y cuidado por parte del receptor de la
información, que si no fuera respetado o los parámetros del convenio no fueran
cumplidos fielmente, autorizan a la parte propietaria de la información a accionar
por los daños y perjuicios que esa falta de celo le ha generado a su organización.
Así lo establece la cláusula 15ª del Acuerdo de Confidencialidad analizado en
el Módulo 3 al que nos remitimos y que el párrafo específico textualmente dice:

15. En caso de rescisión por incumplimiento de las obligaciones, la


Parte damnificada, podrá reclamar los daños y perjuicios pertinentes.

Para reclamar los daños y perjuicios generados deberá demostrar en primer


lugar que es titular de la información en cuestión, en segundo lugar que esa
información le fue proporcionada a la parte demandada en cumplimiento de un
acuerdo celebrado entre ellas, en tercer lugar que al momento de brindarla se
le informó debidamente que esa información era confidencial, en cuarto lugar
que la parte receptora no respetó los parámetros de resguardo convenidos por
lo que terceros accedieron a ella, y en quinto lugar que esa fuga de información

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 219


confidencial le produjo un daño específico.
Como podrá fácilmente observar el reclamo judicial no es tan simple y directo,
ya que se deben probar cuestiones que muchas veces son de muy difícil o
complicada prueba. Principalmente, la cuestión probatoria dependerá de la
singularidad de la información indebidamente difundida.
Veamos un ejemplo, si estamos hablando de una fórmula farmacéutica que
está en proceso de análisis para tratar una enfermedad muy puntual que a la
fecha no tiene cura posible, entonces será más fácil su prueba, ya que esa
información tan específica quizás recorra dos o tres laboratorios en el mundo.
Por el contrario, si la información está relacionada a un novedoso sistema de
control de acceso y egreso de las personas de los aeropuertos, es posible que
muchas organizaciones en muy diferentes ciudades del mundo estén analizando
la misma cuestión sin conocer de las investigaciones de los demás, por ser una
temática de gran preocupación en cada ciudad del mundo que tiene aeropuerto
internacional, lo que hará que la prueba de la divulgación sea más complicada.
En conclusión, con la firma de un Acuerdo de Confidencialidad para evaluar una
potencial relación comercial se puede accionar judicialmente ante una violación
a dicho acuerdo sin mayores ni menores inconvenientes que la probanza del
incumplimiento de las exigencias asumidas.

2- Incumplimiento contractual

Ya en una etapa contractual, es decir cuando las partes han celebrado un


contrato para la prestación de un servicio (por ejemplo, monitoreo de accesos
a las instalaciones de la organización) o la provisión de un producto (por
ejemplo, entrega programada de cien cámaras de vigilancia), el Acuerdo de
Confidencialidad celebrado en la etapa inicial de negociación es superado por
el contrato. Muchas veces, según la política contractual que se siga, las partes
contratantes deciden integrar el Acuerdo de Confidencialidad al contrato y en su
texto hacer referencia a las obligaciones de secreto y resguardo allí asumidas.
Lo más común es establecer una cláusula en el contrato, que sea independiente
al acuerdo inicial y que establezca parámetros similares a los siguientes:

Séptima: Confidencialidad De La Información


AGENCIA se compromete por sí y por el personal afectado
al servicio a mantener absoluta reserva de la información,
a tratar en forma confidencial y a no revelar a terceras
personas ningún tipo de información a la que haya accedido
con relación a la CONTRATANTE. Toda información a la
que tenga acceso la AGENCIA, el personal a su cargo,
sea en relación de dependencia y/o contratado, asesores
y/o demás dependientes afectados a la prestación del
servicio, será tratada como estrictamente confidencial, no
pudiendo ser utilizada para ningún otro propósito que no
sea el cumplimiento de las obligaciones previstas en el
presente contrato. Dicho compromiso de confidencialidad
que la AGENCIA asume, será mantenido durante la vigencia
del presente contrato y se extenderá aún más allá de su
culminación por cualquier causa. La divulgación total o
parcial de dicha información considerada confidencial por
la CONTRATANTE como el uso de la misma para cualquier
fin distinto al previsto en el presente convenio, dará derecho
a la misma a iniciar contra la AGENCIA las acciones legales
a que hubiere lugar.

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.220


En este caso, la contratante es la única de las partes que provee información
confidencial, por lo que la agencia es la única que podría incumplir su
compromiso de confidencialidad, reconociendo explícitamente en el contrato
que si lo hace, será pasible de las acciones legales que correspondieren. Queda
abierto el abanico de opciones judiciales, para que llegado el momento de la
violación de la confidencialidad la contratante vea cuál es el medio judicial más
idóneo para reclamar el daño que le generó la agencia por haber divulgado
información confidencial que había comprometido su secreto.

3- Ejecución de Cláusula Penal

En otros casos, especialmente cuando la esencia del contrato es el manejo de


la información confidencial y no la prestación de un servicio que accesoriamente
utiliza información confidencial, las partes establecen una cláusula penal en el
contrato.
Para analizar la cláusula penal nos remitiremos al Código Civil argentino que
trata la cuestión a partir del artículo 652, el que textualmente dice:

Artículo. 652.- La cláusula penal es aquella en que una


persona, para asegurar el cumplimiento de una obligación,
se sujeta a una pena o multa en caso de retardar o de no
ejecutar la obligación.

El artículo del contrato que establezca la cláusula penal, siguiendo el ejemplo de


la “agencia” y la “contratante” sería de la siguiente manera:

La divulgación total o parcial de dicha información


considerada confidencial por la CONTRATANTE como el
uso de la misma para cualquier fin distinto al previsto en el
presente convenio, dará derecho a la misma a demandar
a la AGENCIA el pago de la suma de ciento cincuenta mil
Pesos ($ 150.000) en concepto de Cláusula Penal.
En el caso que las partes contratantes contemplen una cláusula penal, la parte
en falta no podrá demostrar que fue por causas ajenas a ella o que fue porque
un tercero la forzó, ya que el artículo 654 textualmente dice:

Art. 654.- Incurre en la pena estipulada, el deudor que no


cumple la obligación en el tiempo convenido, aunque por
justas causas no hubiese podido verificarlo.

Para balancear esta imposibilidad de excusarse del cumplimiento por alguna


causa extraña al obligado, el Código Civil dispone que el damnificado sólo
pueda ejecutar la cláusula penal y no pueda solicitar también una indemnización
por los daños causados por la violación de la confidencialidad.

Art. 655.- La pena o multa impuesta en la obligación, entra en


lugar de la indemnización de perjuicios e intereses, cuando
el deudor se hubiese constituido en mora; y el acreedor no
tendrá derecho a otra indemnización, aunque pruebe que la
pena no es indemnización suficiente.

Otra característica importante de la cláusula penal es que la pura y simple


constatación de la violación de la confidencialidad es suficiente para su ejecución,

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 221


no importa si le causó o no daños.
Veamos un ejemplo, una empresa contrata a una persona especializada en
monitoreo de empleados y para sus tareas le provee una habitación con las
suficientes pantallas para visualizar aleatoriamente réplicas de lo que están
viendo los empleados en sus propias computadoras. En el contrato se establece
una cláusula penal por $100.000 en caso de violación de la confidencialidad de
sus actividades.
Un sábado estando de guardia, lo visita su novia y como ninguno de los jefes
estaba, la hace entrar a su habitación para que la acompañe unos minutos.
El lunes su jefe lo llama, le comunica que el sistema de televisión cerrada
mostraba que una mujer había ingresado a su oficina, por lo que había violado
la confidencialidad, en consecuencia debía abonar los $100.000 convenidos.
El guardia argumenta que si bien reconocía que estaba prohibido el ingreso de
terceros, la empresa no había sufrido daño alguno, ya que su novia no le había
contado a nadie lo que había visto, principalmente porque no entendía nada
de lo que se reproducía en las pantallas. A lo que la empresa responde que el
artículo 656 del Código Civil los autoriza a ejecutar la cláusula penal.

Art. 656.- Para pedir la pena, el acreedor no está obligado a


probar que ha sufrido perjuicios, ni el deudor podrá eximirse de
satisfacerla, probando que el acreedor no ha sufrido perjuicio
alguno.
Los jueces podrán, sin embargo, reducir las penas cuando su
monto sea desproporcionado con la gravedad de la falta que
sancionan, habida cuenta del valor de las prestaciones y demás
circunstancias del caso, configuren un abusivo aprovechamiento
de la situación del deudor.

El contrato de confidencialidad de la información está especialmente contemplado


en el Código Civil, ya que es una obligación de no hacer, es decir, de no divulgar
a terceros información sensible.
Art. 657.- El deudor incurre en la pena, en las obligaciones de no
hacer, desde el momento que ejecute el acto del cual se obligó
a abstenerse.

Siguiendo con el ejemplo, y por lo dispuesto por el artículo 657, desde el


momento que el guardia permite el ingreso de su novia a su oficina, la pena se
activa.
También es importante destacar que el obligado a la confidencialidad no puede
liberarse del secreto, ofreciendo pagar la pena convenida, los $100.000 del
ejemplo, ya que no es que a la empresa le de lo mismo, la confidencialidad de su
sistema de monitoreo o cobrar $100.000. Si fuera así, el guardia podría ofrecer
a las empresas competidoras conocer el sistema de monitoreo por $150.000 y
obtener una ganancia significativa por su violación de confidencialidad.

Art. 658.- El deudor no podrá eximirse de cumplir la obligación,


pagando la pena, sino en el caso en que expresamente se
hubiese reservado este derecho.

En conclusión, el titular de la información confidencial tiene varias opciones


contractuales para resguardarla que variará en función de la sensibilidad de la
información y de las personas a quienes le brinde acceso a ella.

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.222


Unidad 8: Laborales

1- Ley de Contrato de Trabajo

Dos artículos que ya fueran citados en el Módulo anterior son aplicables al análisis
actual respecto de las acciones que tiene el empleador contra el empleado por
violación de la información confidencial a la que éste último tenía acceso.
El primer artículo es el siguiente:

Artículo 85: Deber de fidelidad

El trabajador debe observar todos aquellos deberes


de fidelidad que deriven de la índole de las tareas que
tenga asignadas, guardando reserva o secreto de las
informaciones a que tenga acceso y que exijan tal
comportamiento de su parte.

Este artículo va de lo general a lo particular. Empieza exigiendo al empleado que


sea fiel con su empleador; aclarando que esa fidelidad será mayor cuanta más
responsabilidad tenga su puesto. Luego, le exige que guarde reserva o secreto
de la información a la que acceda, pero no de toda la información que conoce
diariamente, sino sólo de aquella que por su sensibilidad para la empresa u
organización, exija tal secreto o reserva.
Si el empleado no cumple con su deber de fidelidad y especialmente de secreto
de la información sensible y confidencial de la organización en la que se
desempeña, será pasible de las sanciones que correspondan en proporción con
la infidelidad ocasionada.
Además de sancionarlo, la organización podrá exigir que el empleado la indemnice
por los daños y perjuicios sufridos por su omisión de guardar confidencialidad
de la información a la que tuvo acceso y se le advirtió de su sensibilidad, en
consonancia con lo dispuesto por el artículo 87 de la Ley de Contrato de Trabajo:

Artículo 87: Responsabilidad por daños


El trabajador es responsable ante el empleador de los daños
que cause a los intereses de éste, por dolo o culpa grave en el
ejercicio de sus funciones.

Como vemos, el límite de la responsabilidad del trabajador es que haya


obrado con dolo, es decir con la intención de dañar o con culpa grave siendo
manifiestamente negligente, en toda otra actuación en que no se hayan
presentado estas características el empleado no responde por los daños
causados a su organización.
Veamos un ejemplo: Ante las intrusiones sufridas por la empresa la semana
anterior, se adquieren las actualizaciones de los programas antivirus y de firewalls,
para que el encargado de la seguridad de las redes y sistemas de la organización
los instale inmediatamente, pero no lo hace y esa noche desconocidos ingresan
mediante virus a la base de datos de la empresa, la bloquean, toman la base
de clientes y eliminan toda la información contable. En este caso el encargado
no adoptó las precauciones necesarias para evitar el daño, por lo que será
responsable de su negligencia.

2-Auditoría de la Seguridad de la Información: El proceso de auditoría.


Aspectos legales a tener en cuenta. Resguardo de la información recabada.

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 223


Posibilidad de utilizar en juicio.

Para que el empleador pueda sancionar a sus empleados en función de los


artículos antes analizados de la ley de Contrato de Trabajo, debe en primer lugar
tomar conocimiento de las acciones infieles que se están llevando a cabo en su
organización, y con ese objetivo es que se establecen auditorías de la seguridad
de la información.
Como toda auditoría, la misma tiene un proceso muy detallado a seguir por
todas las áreas de la organización, para que finalmente se informe cómo se está
tratando la información sensible y en cómo se puede calificar a las medidas de
seguridad implementadas. En caso que se encuentre novedades, se registran
separadamente y se informa tanto al superior como al encargado de implementar
las acciones correctivas.
Estas novedades pueden ser inocuas, inofensivas, en cuyo caso solo se buscará
perfeccionar el tratamiento de la información sensible para lograr un mayor grado
de protección y seguridad. Ahora bien, si esas novedades generan un alto riesgo
de fuga de información, la situación se verá modificada, debiendo activarse todos
los mecanismos necesarios para verificar si se ha fugado información sensible,
en tal caso quien ha sido su autor y quien es la persona responsable o a cargo
de supervisar al autor.
Como todo proceso de auditoría, quienes tienen a cargo su ejecución son
personas extrañas a la organización o al menos al área auditada, para que
se logre la mayor independencia posible al momento de presentar el informe
y sus novedades. Es por ello que quienes desarrollen estas tareas deberán
previamente celebrar un convenio de confidencialidad de la información a la que
tendrán acceso, así como de sus informes.
En el supuesto que de la auditoría surgiera que se ha estado filtrando información
sensible de la organización, quien esté a cargo de ella deberá activar los
resguardos legales necesarios para que toda la información recabada sea útil
en una hipotética acción judicial como que proteja los derechos de quien está
siendo investigado.
Para ilustrar lo que estamos diciendo es oportuno hacer referencia a lo dispuesto
por la Sala IV de la Cámara Nacional de Apelaciones en lo Criminal y Correccional
en autos “Redruello, Fabián L. y otros s/ estafa – Nulidad”, que rechazó la
apelación interpuesta por el Fiscal contra la resolución que declaró ilícitas las
constancias del e-mail del imputado acompañadas al juicio por considerarlas
violatorias de las garantías constitucionales.
En esta acción judicial, el Tribunal sostuvo que “cualquier injerencia en el ámbito
privado de una persona debe ser realizada con el control insoslayable del órgano
jurisdiccional, y ajustarse a las previsiones contenidas en la normativa procesal,
que no es más que la implementación de las garantías contenidas en nuestra
carta magna”.
Recordemos que nuestra Constitución Nacional en su Artículo 18 protege los
papeles privados y la correspondencia epistolar a la que se asimila el correo
electrónico, pero por otra parte es imperioso resolver qué puede hacer una
organización que es testigo de que sus empleados filtran su información sensible
por medios electrónicos, para actuar eficaz y legalmente ante tal daño.
Al respecto, el Código Procesal Penal de la Nación en su artículo 234 expresa
“el juez podrá ordenar, mediante auto fundado, la intercepción y secuestro
de la correspondencia postal o telegráfica o de todo otro efecto remitido por
el imputado o destinado a éste, aunque sea bajo nombre supuesto”. Sería
cuestionable que los Tribunales sostuvieran que el artículo sólo hace referencia
a la correspondencia postal o telegráfica y no a la telemática, como es el e-mail.
De ser así, la ley 25.760 incorporó al artículo 236, el siguiente párrafo: “bajo las
mismas condiciones, el Juez podrá ordenar también la obtención de los registros
que hubiere de las comunicaciones del imputado o de quienes se comunicaran

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.224


con él.”. Por lo que, la empresa afectada podrá al menos presentar en juicio los
registros, que brindarán información del tráfico (origen y destino) pero no del
contenido de los mensajes de su empleado.
Siguiendo el fallo analizado, si de la auditoría surgiere que un empleado de la
organización está enviando información confidencial fuera de la organización,
ésta deberá recurrir al artículo 234 para acceder al contenido del e-mail y que
el juez analice su pertinencia y al 236 para conocer la actividad desarrollada
vía medios electrónicos. Disposiciones que dictará el juez interviniente y que
acatará la misma empresa querellante, ya que sus sistemas informáticos son los
que almacenan la información procurada hasta ahora ilícitamente.
Ahora veamos otro caso donde también se resuelve respecto de información
confidencial que partía con destino a la competencia. El juicio es “Viloria, Myrian
A. c. Aseguradora de Créditos y Garantías S.A.” que fuera resuelto por la
Cámara Nacional de Apelaciones del Trabajo, Sala VII consideró que existió justa
causa de despido.
Analizando el caso, la Cámara sostuvo que resulta justificado el despido
dispuesto por el empleador alegando el incumplimiento de los deberes de
lealtad y reserva por parte del trabajador —art. 85 y 88, ley de contrato de
trabajo—, ya que se encuentra acreditado y documentado que éste remitió
por correo electrónico información confidencial —en el caso, datos de las
operaciones, valores y clientes— de su principal a una empresa competidora,
circunstancia que constituye una conducta injuriante y de una gravedad tal que
impide la prosecución del vínculo, máxime cuando el trabajador había asumido
un compromiso escrito de confidencialidad.
Más allá de la conducta que resulta ilustrativa para los primeros puntos tratados
en este Módulo, lo que es relevante ahora es el procedimiento que siguió la
empresa para verificar el accionar de su empleado infiel.
Al respecto, la Cámara sostiene que el proceder del empleador que cotejó los
registros y constancias de la información que contenía el servidor de Internet de
la empresa y revisó el correo electrónico del trabajador, no vulnera del derecho
a la intimidad de éste ni viola su correspondencia personal, pues la inspección
estuvo limitada prudentemente a verificar las comunicaciones dirigidas por
parte del dependiente a otra empresa competidora, a fin de comprobar el grave
incumplimiento de aquél en sus deberes.
También quedó acreditado en el juicio que el empleado había firmado un
documento titulado “Cumplimiento Seguridad Informática”. Asimismo, la
empresa labró tres actas notariales inherentes a lo siguiente:
a) la constatación por parte de un escribano público del acceso de un técnico
del sistema informático a la información vertida en Servidor Central de la firma,
labor que le fuera encomendado por una apoderada de empresa;
b) otra constatación en la cual se procedió a imprimir la información recopilada en
el procedimiento anterior; mas concretamente, se procedió a hacerlo respecto de
los mails enviados por la actora, aunque ello circunscrito pura y exclusivamente
a los dirigidos al dominio de la empresa Afianzadora Latinoamericana S.A.
(afianzadora.com.ar); y
c) la notificación de la decisión del despido a la dependiente, atribuyéndosele el
haber faltado a los deberes de fidelidad y no concurrencia de los arts. 85 y 88 de
la Ley de Contrato de Trabajo.

En otro pasaje del fallo judicial, la Cámara sostiene que mal puede invocar la
actora (empleado) el haberse visto sorprendida por el proceder de su dadora
de trabajo, cuanto suscribió un documento titulado “Cumplimiento de Seguridad
Informática” que le advertía, mediante la asunción de un compromiso de
confidencialidad, acerca de la cautela y celo con el que debía resguardar tanto la
utilización de los accesos al sistema como la información que de ellos surgiere.
También la Cámara destaca el proceder de la empleadora respecto de cotejar

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 225


los registros y constancias de la información que contenía el servidor de la
empresa, en la cual —al menos en lo esperable— no debía ser del ámbito
personal de la actora sino perteneciente a la firma, mediante una inspección
limitada prudentemente a verificar las comunicaciones dirigidas por parte de
la trabajadora a otra empresa competidora (se advierte en el acta que de los
940 correos enviados por la actora se procedió a la selección de aquéllos 35
enviados al dominio “afianzadora.com.ar”), dejó perfectamente salvaguardada
su intimidad, sin que por ello se hubiera menoscabado su esfera mas íntima ni
tampoco violado su correspondencia personal (art. 386 del Código Procesal).
En esta otra cita judicial, se destaca el prolijo proceder de la organización que
debe seguirse como ejemplo ante casos de violación a la confidencialidad que
surjan de las auditorías o de cualquier otra fuente de información.
Por su parte, las Asociaciones de Jefes de Policía del Reino Unido, Escocia
e Irlanda del Norte han publicado en conjunto una guía de buenas prácticas
para la recolección de evidencia electrónica a fin de asistir al personal policial
al momento de enfrentar alegatos referidos a delitos tecnológicos y asegurar la
recolección en tiempo y forma de toda evidencia relevante, que es oportuno que
nosotros analicemos.
Parten reconociendo que las computadoras pueden ser usadas para delinquir,
pueden contener evidencias de delitos y hasta pueden ser víctimas de ellos,
para el caso que almacenen pruebas, se debe comprender que por su misma
naturaleza, la evidencia electrónica es frágil, ya que puede ser alterada, dañada
o destruida por un manejo o examen inadecuado. Es por su vital importancia
que debe ser tratada de la misma forma que la evidencia forense tradicional: con
respeto y cuidado.
Los métodos de recolección de evidencia electrónica –sostienen- si bien
mantienen la evidencia íntegra y por un prolongado período de tiempo, pueden
parecer costosos y complejos, pero la experiencia ha demostrado que si son
procesados en forma correcta producirán evidencia que será irrefutable y
económica a la vez.
La guía se fundamenta en cuatro principios básicos:
1) Las investigaciones no deberán cambiar información almacenada en una
computadora o sistema informático en el que se pueda confiar en el posterior
juicio;
2) Sólo en casos excepcionales se podrá ingresar a la computadora o sistema
para recabar información original, debiendo realizarlo una persona capacitada
para ello y que pueda fundamentar la necesidad;
3) Se deberá establecer y preservar un sistema de registro de los procesos
aplicados a la evidencia digital, pudiendo una tercera persona examinar la
evidencia y arribar a idéntico resultado; y
4) La persona encargada de la investigación será la responsable de que tanto los
principios aquí contenidos como la legislación aplicable sean respetadas.

No existen diferencias sustanciales entre la evidencia documental (tradicional) y


la digital, por lo que la doctrina aplicable sigue siendo la misma: el investigador
debe poder demostrarle al juez que la evidencia producida no es ni más ni menos
que cuando la policía tomó posesión de la misma, es decir que los requisitos de
integridad y continuidad mantienen su vigencia.
En la misma línea, el Ing. Presman en su exposición en las 4ª Jornadas de
Derecho Informático organizadas por la Asociación Argentina de Derecho
Informático, se refirió a que cuando se habla de la Informática Forense se hace
referencia a cuatro grandes actividades que son: Adquirir, Preservar, Obtener
y Presentar datos. La característica fundamental es que estos datos o se
encuentran almacenados en un medio digital o electrónico (que son sinónimos)
o transmitidos a través de un medio informático, es decir el tráfico de datos que
va viajando a través de la red interna de una empresa.

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.226


Expresó el Ing. Presman que se puede encontrar evidencia digital en cualquier
elemento que almacene información digital desde memorias, cámaras
fotográficas, dispositivos móviles, las impresoras corporativas, que se usan a
nivel de departamento suelen tener discos rígidos donde tienen copia de todo
lo que ha sido enviado a imprimir. Es por ello que la evidencia digital va a estar
presentada en dos partes, bien vale el ejemplo del iceberg, ya que lo que aflora
es lo que el dispositivo me muestra y la otra que está debajo, que no es tan
accesible y que tiene que ver con su operatoria propia. Estos últimos sólo pueden
ser recabados con herramientas específicas.
Es muy común que en los puntos de pericia se diga “para qué se copia los
documentos Word que contiene la carpeta xx”, ese tipo de enumeración que no
incluye la parte de abajo del iceberg nos está privando de la posibilidad de analizar
por ejemplo los documentos que han sido borrados de las computadoras, saber
quiénes son sus usuarios actuales y pasados, de levantar claves y contraseñas,
entre otras investigaciones asociadas.
Concluyó sosteniendo que no es necesario contar con la información oculta
cuando se busca un correo electrónico con una palabra clave, un intercambio
entre determinadas direcciones, los logs, que registran actividades como
accesos a bases de datos, a sistemas de comunicación de la empresa, para
averiguar si alguien pudo haber manipulado su información.

3-Sanciones contempladas en la ley 24.766 de Confidencialidad.

Ya fuimos analizando distintos aspecto de esta ley de confidencialidad, quedando


para esta oportunidad focalizarnos en las acciones allí contempladas.
Al respecto, en su artículo 11 se establece que:

La protección conferida por esta ley no crea derechos exclusivos


en favor de quien posea o hubiera desarrollado la información.
El acceso por terceros a la información de manera contraria a
los usos comerciales honestos, dará derecho a quien la posea a
ejercer las siguientes acciones:
a) Solicitar medidas cautelares destinadas a hacer cesar las
conductas ilícitas.
b) Ejercer acciones civiles destinadas a prohibir el uso de la
información no divulgada y obtener la reparación económica del
perjuicio sufrido.

Comienza declarando contundentemente que el poseedor o desarrollador de


la información confidencial no tiene un derecho exclusivo sobre ella, salvo
que quien ha tomado conocimiento de ella, haya hecho mediante abuso o
acciones comerciales deshonestas, en cuyo caso habilita al poseedor a exigir
judicialmente que siga tomando conocimiento de más información confidencial
o que la divulgue a terceros. También le permite al poseedor, accionar civilmente
para prohibir su uso, es decir si bien el tercero ya la conoció a la información
confidencial, lo que se busca es que no la utilice para su provecho personal.
Finalmente, lo autoriza a requerir una indemnización por los daños sufridos por
la violación de la información confidencial que ha sido difundida. En este caso,
la acción deberá efectuarse principalmente contra quién por omisión o acción
permitió que la información se fugara.
No sólo contempla la posibilidad de solicitar medidas cautelares, es decir
resoluciones judiciales que rápidamente impidan difundir más la información; de
accionar civilmente por los daños ocasionados; sino también ir por la vía penal
por los delitos que se pudieran haber cometido, como lo dispone el Artículo 12

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 227


que a continuación transcribimos:

ARTICULO 12- Quien incurriera en la infracción de lo dispuesto


en la presente ley en materia de confidencialidad, quedará
sujeto a la responsabilidad que correspondiera conforme con
el Código Penal, y otras normas penales concordantes para la
violación de secretos, sin perjuicio de la responsabilidad penal
en que se incurra por la naturaleza del delito.

Con este último artículo concluimos con la Unidad que abordó las acciones que
se pueden implementar ante la fuga de información confidencial dentro de la
organización, ya sea en cumplimiento de la Ley de Contrato de Trabajo o la ley de
Confidencialidad; y en ambos casos, qué procedimientos se deben respetar tanto
al realizar una auditoría como al recabar la prueba para el posterior juicio, que
nos permitan utilizarla para nuestro provecho, y así evitar que el juez considere
que al hacernos de la prueba necesaria violentamos derechos constitucionales
de los trabajadores involucrados.

Unidad 9: Penales

Para iniciar este apartado, conviene hacerlo con una definición de delitos
informáticos, que si bien existen muchas y variadas, consideramos que la
siguiente es apropiada:

Los Delitos Informáticos son aquellas conductas ilícitas


susceptibles de reproche y pasibles de sanción por el
derecho penal, en las cuales se utilizan de manera indebida
cualquier medio, mecanismo y/o sistema informático, ya
sea como fin en sí mismo o como medio para la comisión
de otro delito.

Si bien al día de la fecha tanto la doctrina como la jurisprudencia siguen


debatiendo sobre si existe o no el delito informático propiamente dicho o si es
una variante más de los delitos tradicionales, el Congreso Nacional, receptó una
treintena de proyectos de ley y fue dictando diversas leyes que impactaron en la
materia de forma desordenada, a saber:

a) Ley Penal Tributaria: Se penaliza la sustracción, adulteración o falsificación


de soportes informáticos de la administración penal tributaria con el objetivo de
disimular la real situación del contribuyente (art. 12 Ley 24.769).
b) Ley de Confidencialidad: Se especifica que los secretos están protegidos al
estar contenidos, entre otros medios posibles, en soportes informáticos (Arts. 1
y 2, ley 24.766).
c) Ley de Propiedad Intelectual: Se penaliza la copia ilícita de obras de software
y bases de datos (Ley 25.036, reformando el art. 1 de la Ley 11.723).
d) Ley de Firma Digital: Se incluye una definición de documento electrónico en
el art. 78 bis del Código Penal (Ley 25.506).
e) Ley de Protección de Datos Personales: Se crean dos nuevos tipos delictivos
relativos a las bases de datos: 1) La inserción de datos falsos (art. 117 bis Cód.
Penal); y 2) el acceso a sabiendas e ilegítimamente a bases de datos (art. 157
bis Cód. Penal) (Ley 25.326).

Finalmente, en el año 2008 se sanciona la Ley 26.388, denominada Ley de Delitos


Informáticos, que incorpora nuevos términos al Código Penal tratando los delitos
contra la integridad sexual y la pornografía infantil, contra la privacidad y la

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.228


violación de las comunicaciones electrónicas, contra la propiedad y el fraude en
medios electrónicos, y los daños producidos en perjuicio de datos o programas
informáticos.
Con esta breve introducción, nos focalicemos en los delitos cometidos contra la
tecnología, es decir donde una computadora, un sistema informático, una base
de datos, es el objeto o la víctima de una acción delictual.

1- Acceso no autorizado a sistemas informáticos. Concepto. Características

Siguiendo la doctrina mayoritaria, se entiende por acceso no autorizado a


sistemas informáticos o redes informáticas, al conjunto de comportamientos
de acceso o interferencia subrepticios, a un sistema informático o red de
comunicación electrónica de datos y a la utilización de los mismos, sin
autorización o excediendo la autorización otorgada.
En el caso de no poseer autorización para ingresar a un sistema informático,
quien lo haga deberá violar códigos y barreras, como puede ser descifrar el
nombre de usuario y la clave secreta, para luego poder acceder a la información
allí almacenada. Para el caso de poseer autorización pero excederla podemos
mencionar a modo de ejemplo la persona que, trabajando en la recepción de
una Tarjeta de Crédito, tiene autorización para verificar los datos de los clientes
que la consultan y derivarla al operador que le pueda solucionar el inconveniente
motivo de la visita.
Luego, en su tiempo libre, aprovecha esa autorización para ingresar al sistema
de consulta y toma conocimiento de quiénes registran una deuda mayor a cinco
años y superior a los diez mil pesos, los agrupa y procesa para venderlos a un
tercero interesado en ese específico universo de deudores de la tarjeta.
Antes de la sanción de las leyes que se mencionaron al inicio de esta
Unidad, ocurrió un caso penal que aceleró la sanción penal de este accionar,
principalmente porque la víctima fue el mismo Poder Judicial de la Nación. Es el
caso “Gornstein, Marcelo H. y otros” donde se dispuso que el acceso y cambio
de la portada del sitio de Internet del Poder Judicial por parte de un grupo de
hackers no constituía delito alguno al no encuadrar tales conductas en figura
penal alguna, por lo que se sobreseyó a los imputados, ya que en ese momento
la violación de seguridad de los sistemas informáticos así como el daño a una
página Web no eran objeto de delito, tanto porque en Derecho Penal no se
puede aplicar la analogía como porque los sistemas informáticos y los sitios web
no eran considerados “cosas” según el alcance del Código Civil.
Al punta pié inicial de regulación de accesos no autorizados a sistemas
informáticos lo realiza la Ley Nacional de Protección de Datos Personales N°
25326, cuando incorpora como objeto de tutela jurídico-penal a los bancos o
archivos de datos personales que, como viéramos en un módulo anterior, están
definidos por el artículo 2º como “el conjunto organizado de datos personales
que sean objeto de tratamiento o procesamiento electrónico o no, cualquiera
fuere la modalidad de su formación, almacenamiento, organización o acceso”.
Esta ley incorpora al Código Penal el artículo 157 bis con sus siguientes dos
incisos:

Artículo 157 bis: Será reprimido con la pena de prisión de un mes a


dos años el que: 1º. A sabiendas e ilegítimamente, o violando sistemas
de confidencialidad y seguridad de datos, accediere, de cualquier
forma, a un banco de datos personales.

El hecho típico de este artículo es “el acceso indebido y doloso a un banco de


datos”. La ley menciona dos modalidades de acceso uno es el “ilegítimo” y
el otro es “violando sistemas de confidencialidad”, que tienen como común

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 229


denominador la falta de autorización para acceder al banco de datos.
Por su parte, el inciso segundo del artículo 157 bis incorporado por la ley de
Protección de Datos Personales disponía:

2º. (Será reprimido quien) Revelare a otro información registrada


en un banco de datos cuyo secreto estuviere obligado a preservar
por disposición de una ley.

Este inciso fue luego modificado por la ley de Delitos Informáticos, cuyo texto
actual dice:
2. (Será reprimido con la pena de prisión de un (1) mes a dos (2) años
el que) Ilegítimamente proporcionare o revelare a otro información
registrada en un archivo o en un banco de datos personales cuyo
secreto estuviere obligado a preservar por disposición de la ley.

A su vez se agregó un tercer inciso, que dispone:


3. Ilegítimamente insertare o hiciere insertar datos en un archivo de
datos personales.
Cuando el autor sea funcionario público sufrirá, además, pena de
inhabilitación especial de un (1) a cuatro (4) años.

Claramente, la modificación se circunscribió al agregado de la palabra


“ilegítimamente” para contemplar el elemento subjetivo del tipo, es decir
remarcando que el autor obra a sabiendas e ilegítimamente, lo que significa tener
pleno conocimiento de lo que hace o no hace y que esa acción u omisión es
ilegal. Concluyendo, el autor no debe poseer autorización alguna para acceder;
y con relación al saber, el mismo está determinando subjetivamente al autor,
excluyendo de este modo la posibilidad del dolo eventual.
La Ley de Delitos Informáticos también modifica el artículo 153 que ahora dice:

“Será reprimido con prisión de quince días a seis meses el


que abriere o accediere indebidamente a una comunicación
electrónica, una carta, un pliego cerrado, un despacho
telegráfico, telefónico o de otra naturaleza, que no le esté
dirigido; o se apoderare indebidamente de una comunicación
electrónica, una carta, un pliego, un despacho u otro papel
privado, aunque no esté cerrado; o indebidamente suprimiere o
desviare de su destino una correspondencia o una comunicación
electrónica que no le esté dirigida”.

Aquí, el bien jurídico protegido es la intimidad y privacidad, que ahora también


se consolida en las comunicaciones personales, donde los papeles privados son
su soporte.
La acción del sujeto activo está centrada en el acceso indebido a una
comunicación electrónica, en la que obviamente no es el destinatario (sin
necesidad de motivar o fundamentar su acceso) lo que torna peligrosa la figura,
ya que con esta redacción comete delito el amigo que revisa el e-mail de otro,
como el empleador que revisa las cuentas personales de sus empleados, todos
vulnerando las medidas de seguridad típicas como nombre de usuario y clave.
A su vez, la Ley de Delitos Informáticos dispone en el artículo 153 bis que:

“será reprimido con prisión de quince (15) días a seis (6)


meses, si no resultare un delito más severamente penado, el
que a sabiendas accediere por cualquier medio, sin la debida
autorización o excediendo la que posea, a un sistema o dato
informático de acceso restringido”.

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.230


Dicho artículo viene a agregar en su primer párrafo el escenario completo
del delito aquí tratado, donde el acceso no autorizado a un sistema o dato
informático o excedido de dicha autorización vulnera derechos que pertenecen
al fuero íntimo de las personas.
En el Portal de Segu-Info.com http://blog.segu-info.c2om.ar/search/label/
espionaje encontrará un variado espectro de accesos no autorizados o
comúnmente llamados espionaje.

2- Daño y Sabotaje informático. Concepto. Características

Tanto el daño y el sabotaje informático son utilizados en el ámbito de la


informática y los sistemas de comunicaciones como sinónimos para describir
aquellas acciones que generan un perjuicio en los sistemas informáticos que
integran el patrimonio de una persona.
Antes de la promulgación de la Ley de Delitos Informáticos, la persona
damnificada debía recurrir al artículo 183 del Código Penal que dispone:

“será reprimido con prisión de quince días a un año, el que


destruyere, inutilizare, hiciere desaparecer o de cualquier
modo dañare una cosa mueble o inmueble, o un animal, total
o parcialmente ajeno, siempre que el hecho no constituya otro
delito más severamente penado”.

Ahora bien, este artículo se refiere al daño a una cosa mueble, un inmueble o un
animal, pero nada dice de un sistema de información, del borrado o destrucción
de programas de computación, menos de la inutilización de un sistema por la
introducción de virus, entre muchas otras nuevas formas de dañar objetos que
no son cosas muebles, menos inmuebles y menos que menos animales. Si se
hubiera dañado la computadora podríamos argumentar que es una cosa mueble,
pero lo dañado es la información almacenada en ella, aunque muchas veces esa
información ni siquiera está almacenada en la computadora que la generó, ya
que puede estar en un servidor central.
Podemos decir que el Sabotaje Informático comprende aquellas conductas
tipificadas atendiendo al objeto que se afecta o atenta con la acción delictual,
y que puede ser un sistema de tratamiento de la información o de sus partes
componentes, el funcionamiento de un sistema de tratamiento de la información,
y/o los datos contenidos en un sistema automatizado de tratamiento de la
información. El atentado a estos objetos puede ser a través de su destrucción,
inutilización, obstaculización o modificación, como señala el documento “Delitos
Informáticos” de la Universidad de Concepción, disponible en http://www2.udec.
cl/contraloria/docs/materias/delitosinformaticos.pdf.
Con la sanción de la Ley de Delitos Informáticos, se agrega un segundo párrafo
al artículo 183 para contemplar al sabotaje informático que dispone lo siguiente:

“En la misma pena incurrirá el que alterare, destruyere


o inutilizare datos, documentos, programas o sistemas
informáticos; o vendiere, distribuyere, hiciere circular o
introdujere en un sistema informático cualquier programa
destinado a causar daños”.

Entendemos que tanto el acceso no autorizado, como el daño o sabotaje a


redes y sistemas informáticos tienen por objeto la vulneración de los sistemas
en sí mismos, sin importar el contenido que ellos tengan o lo que soporten, en
definitiva solamente se ven atacados de una u otra manera por modalidades
que intentan quebrantarlos y luego provocar alguna consecuencia en bienes

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 231


jurídicos determinados.
Para amenizar este estudio vea a continuación el siguiente video: http://www.
youtube.com/watch?v=t1XslHSJL0o , que trabaja a partir del humor los
problemas de la Seguridad de la Información.
Pasemos ahora a analizar los casos cuando la tecnología no es el objeto del
daño sino la herramienta para dañar.

4- Delitos cometidos por medio de la utilización de la Tecnología: Concepto.


Características.

La doctrina tradicional se basa en estos nuevos casos delictivos para sostener


que no existen “Delitos Informáticos” propiamente dichos, sino que los delitos
tradicionales como puede ser el fraude, la estafa, la extorsión, la pornografía
infantil, entre tantos otros son ahora cometidos en nuevos ambientes, nuevas
situaciones y con nuevas herramientas, por lo que son tan sólo una actualización
o modernización de los ancestrales delitos.
Estos autores tienen una cuota importante de razón, sin embargo descansar
en esos argumentos nos llevaría sin duda a menospreciar nuevas acciones y
quedar desfasados con la aplicación del Derecho a las consecuencias delictivas
generadas a través de la tecnología.
Veamos algunos casos emblemáticos y otros más puntuales que están vinculados
al tratamiento de la información, que es el eje de esta materia.

4.1- Pornografía Infantil

Como mencionáramos recién, no es tema central de esta materia, pero por su


importancia y relevancia a nivel mundial gracias a la difusión lograda a través de
Internet vamos a analizar los aspectos más destacados de la pornografía infantil.
La pornografía infantil es concebida como toda representación de menores
de edad, de cualquier sexo, en conductas sexualmente explícitas, reales
o simuladas, o toda representación de las partes genitales de un niño con
fines primordialmente sexuales. Las facilidades de producción, publicación,
distribución, y anonimato que proporciona Internet ha llamado la atención a los
Estados para regular esta materia.
En esta línea, la República Argentina a través de su ley de Delitos Informáticos
modificó el artículo 128 del Código Penal con el objetivo de contemplar las
nuevas modalidades delictivas auspiciadas por Internet, disponiendo:

“Será reprimido con prisión de seis (6) meses a cuatro (4) años,
el que produjere, financiare, ofreciere, comerciare, publicare,
facilitare, divulgare o distribuyere, por cualquier medio, toda
representación de un menor de dieciocho (18) años dedicado
a actividades sexuales explícitas o toda representación de sus
partes genitales con fines predominantemente sexuales, al igual
que el que organizare espectáculos en vivo de representaciones
sexuales explícitas en que participaren dichos menores”.

En primer lugar, este nuevo artículo contempla muy variadas conductas del
autor o promotor de las actividades sexuales de menores, que se materializan en
cada uno de los verbos utilizados en la norma. Y en segundo lugar, este artículo

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.232


dispone que la comisión del delito se puede realizar “por cualquier medio”,
ampliando significativamente el espectro de herramientas utilizadas, conocidas
o por conocerse.

Luego, en el segundo párrafo del artículo 128 se dispone que:

“Será reprimido con prisión de cuatro (4) meses a dos (2)


años el que tuviere en su poder representaciones de las
descriptas en el párrafo anterior con fines inequívocos de
distribución o comercialización”.

Quedando el elemento subjetivo, es decir la intencionalidad del autor, claramente


descripto en la norma.
Para complementar este breve panorama, le recomiendamos la lectura de los
siguientes artículos: ¿Es punible la Pornografía Infantil Virtual IC 1 ? y ¿Son
privados los mensajes pornográficos? IC 2

4.2- Fraudes Informáticos

Ahora pasaremos a analizar los fraudes por medios electrónicos, especialmente


a través de Internet, en donde los portales de venta de bienes y servicios así
como los de las instituciones bancarias han sido una plataforma ideal para
cometer estos delitos.
Recordemos que el fraude se configura al relacionarse debidamente tres
elementos fundamentales: el ardid, el error y la disposición patrimonial
perjudicial. Observe la relación entre estos conceptos y la práctica leyendo una
nota del diario Comercio y Justicia titulada Los Consumidores son engañados o
negligentes IC 3.
Estas partes esenciales del fraude también deben producirse concatenadamente.
Es decir, primero viene el ardid, lo que genera el error, que trae como consecuencia
la disposición patrimonial o entrega de dinero o bienes, que al comprobarse que
era un fraude se transforma en un perjuicio.
Las nuevas tecnologías han sido un ambiente ideal para que los diversos tipos
de fraudes crezcan, se desarrollen y propaguen de una manera creciente y
exponencial, principalmente por un condimento particular que es el anonimato,
o al menos la sensación de anonimato. Veamos una situación, si una persona
piensa defraudar a otra en la compra-venta de un inmueble, tiene que presentarse,
ir juntos a conocerla, intercambiar datos e información relacionada, ver cómo es
cada persona físicamente, en su forma de vestir, caminar, hablar, entre muchas
otras cualidades o características que se analizan en el trato personal.
Ahora bien, casi todos estos reconocimientos se diluyen en Internet o vía un
correo electrónico, ya que no tengo posibilidades ciertas de conocer a la persona
que está del otro lado de la computadora y en caso que viera a una no sabría a
ciencia cierta si realmente es la persona con la que estoy comunicándome. Estas
y muchas otras características alientan a las personas sin prurito moral a ofrecer
bienes y servicios que no tienen o que no se condicen con lo que realmente son,
ya que es muy difícil, casi improbable, que el comprador defraudado termine
encontrando al autor del hecho.
Para ilustrar este tema, es oportuno mencionar que las Naciones Unidas han
clasificado a esta tipología de la siguiente manera:

 Manipulación o sustracción de datos de entrada (manipulación de


input): es el más común porque es fácil de realizar y difícil de descubrir.
No requiere, por parte del autor, de conocimientos técnicos especiales,

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 233


sino sólo tener el acceso a la función normal de procesamiento de datos
en la fase de ingreso.
 Manipulación de programas: consiste en modificar los programas
existentes en un sistema o insertarle nuevos programas o rutinas. Exige
del autor conocimientos concretos de programación y es muy difícil de
detectar. Ejemplo: el llamado “Caballo de Troya” (Troyan Horse Method),
que consiste en insertar instrucciones en un programa en forma
encubierta de modo que a la vez que realiza su función normal, hace
también una no autorizada.
 Manipulación de datos de salida (manipulación del output): se hace
por medio de la fijación de un objetivo al funcionamiento de un sistema
informático. Su expresión más común ha sido el fraude con cajeros
automáticos falsificando instrucciones en la fase de adquisición de
datos, disponiéndolos para una operación determinada.
 Fraude efectuado por manipulación informática: es una variante de
las anteriores en que se aprovechan las repeticiones automáticas de
los procesos de cómputos. La defraudación informática puede recaer
sobre muy diferentes objetos y puede realizarse una o muchas veces,
ya que una vez ingresado fraudulentamente al sistema, no requiere la
participación permanente del autor, al poder determinar éste último que
el programa se active cuando se encienda la computadora.

Volviendo a la ley de Delitos Informáticos número 26.388, se debe destacar que


incorporó el inciso 16º al artículo 173 del Código Penal, cuya redacción final es
la siguiente:

“El que defraudare a otro mediante cualquier técnica de


manipulación informática que altere el normal funcionamiento
de un sistema informático o la transmisión de datos”.

Esta redacción permite abarcar todas las alternativas que las herramientas
informáticas pueden facilitar para la comisión del fraude, entre las cuales el sitio
Identidad Robada, www.identidadrobada.com, en su pestaña Tipos de Fraude
presenta una explicación de cada uno de los fraudes más utilizados o sufridos,
para ser más precisos, a los que el alumno deberá visitar y conocer.
Como habrá leído, el phishing es uno de los fraudes informáticos. ¿Se anima
a probar sus conocimientos sobre el mismo? Juegue entonces en http://www.
identidadrobada.com/site/phishing/phishing.htm

4.3- Delitos contra la Propiedad Intelectual

Para analizar la cuestión de la propiedad intelectual, debemos partir de lo más


esencial y fundamental de nuestra organización como sociedad, que es la
Constitución Nacional, donde se fijan los pilares fundamentales por los que se
regirá la relación entre las personas que habiten el territorio nacional.
Al respecto su artículo 17 dispone que:

“La propiedad es inviolable y ningún habitante de la Nación


puede ser privado de ella, sino en virtud de sentencia fundada
en ley […] Todo autor o inventor es propietario exclusivo de su
obra, invento o descubrimiento, por el término que le acuerde
la ley…”.

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.234


Llevando esta definición a la vida diaria, podríamos parafrasearla diciendo: “El
autor de la obra intelectual es el único que decide qué se hace con ella y todos
los demás deben respetar y honrar su decisión durante el plazo que fije la ley.” Es
decir, este artículo cambia la regla general de convivencia fijada por el Artículo 19
de la Constitución Nacional que dispone:

Las acciones privadas de los hombres que de ningún


modo ofendan al orden y a la moral pública, ni perjudiquen
a un tercero, están sólo reservadas a Dios, y exentas de la
autoridad de los magistrados. Ningún habitante de la Nación
será obligado a hacer lo que no manda la ley, ni privado de lo
que ella no prohíbe.

Según este artículo las personas pueden hacer todo aquello que no esté
expresamente prohibido. Por el contrario, según el artículo 17 antes mencionado
las personas (no autores) solo pueden hacer con la creación de otro lo que éste
último autorice.
Con estos conceptos preliminares entramos al mundo Internet y nos encontramos
con que el común de las personas quiere aplicar el artículo 17 y no el 19 a toda
creación que allí se difunda, con la sensación de que en Internet todo es gratuito,
todo es accesible, todo es de todos y nadie le pone límites a nada.
Obviamente esta postura es principalmente enarbolada por los usuarios y no por
los creadores, aunque existe un grupo importante de creadores que adhieren
a ella para reprochar el accionar de los intermediarios, sellos discográficos
o grandes grupos empresarios por ejemplo, que sofocan las iniciativas de
particulares.
Adentrándonos más en la protección de la propiedad intelectual, nos
encontramos con la ley 11.723 que regula todo el tratamiento de la Propiedad
Intelectual, y particularmente entre sus artículos 71 al 78, bajo el título “De las
Penas” protege penalmente a las obras del intelecto humano de conductas que
buscan beneficiarse de esas creaciones sin respetar la voluntad de su autor.
La 11.723 es reformada por la ley 25.036 que incorpora a los programas de
computación dentro de las obras protegidas. Veamos cómo queda redactado el
artículo 1º de la ley:

“A los efectos de la presente ley, las obras científicas, literarias


y artísticas comprenden los escritos de toda naturaleza
y extensión, entre ellos los programas de computación
fuente y objeto; las compilaciones de datos o de otros
materiales; las obras dramáticas, composiciones musicales,
dramático-musicales; las cinematográficas, coreográficas
y pantomímicas; las obras de dibujo, pintura, escultura,
arquitectura; modelos y obras de arte o ciencia aplicadas al
comercio o a la industria; los impresos, planos y mapas; los
plásticos, fotografías, grabados y fonogramas; en fin, toda
producción científica, literaria, artística o didáctica, sea cual
fuere el procedimiento de reproducción”.

A lo largo de toda la norma se han incorporado protecciones específicas contra


los ataques de reproducción, venta, edición, falsificación de un programa de
computación (software) sin autorización.
Para profundizar las protecciones a las creaciones intelectuales, le recomiendo
visitar la Sección Propiedad Intelectual de Carranza Torres & Asociados , en
http://www.carranzatorres.com.ar/index.php?option=com_content&view=article
&id=283:propiedad-intelectual&catid=90:articulos&Itemid=125

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 235


4.4- Interceptación de Comunicaciones – Correo Electrónico.

En módulos anteriores ya vimos los distintos métodos o alternativas para conocer


la comunicación que está dirigida a un tercero. Métodos que con la informática
y las nuevas tecnologías se ha facilitado enormemente, transformando su costo
a centavos, tanto operativos como económicos.
Ahora bien, ante una interceptación de las comunicaciones de mi organización
¿qué acciones penales puedo activar?, ya que se ha vulnerado sin duda alguna
la privacidad que, como también viéramos en anteriores módulos, está en cabeza
tanto de las personas físicas como de las jurídicas.
Podemos remitirnos por una parte a la Ley Nacional de Telecomunicaciones Nro.
19.798, que focalizada en toda la relación de los operadores de servicios de
telecomunicación y sus usuarios dispone lo siguiente:

Artículo 18 – “La correspondencia de telecomunicaciones es


inviolable. Su interceptación solo procederá a requerimiento
de juez competente.”

Nadie puede tener conocimiento de los contenidos de las telecomunicaciones


salvo que medie una orden judicial, para lo que previamente quien las intercepte
deberá haber justificado por qué necesita conocer esas telecomunicaciones.

Artículo 19 – “La inviolabilidad de la correspondencia de


telecomunicaciones importa la prohibición de abrir, sustraer,
interceptar, interferir, cambiar su texto, desviar su curso,
publicar, usar, tratar de conocer o facilitar que otra persona
que no sea su destinatario conozca la existencia o el contenido
de cualquier comunicación confiada a los prestadores del
servicio y la de dar ocasión de cometer tales actos”.

Este artículo 19 clarifica y detalla el alcance del concepto de inviolabilidad


del artículo anterior, mencionando acciones concretas en las que puede tener
participación un prestador del servicio de telecomunicaciones.

Artículo 20 – “Las personas afectadas a los servicios de


telecomunicaciones están obligadas a guardar secreto
respecto de la existencia y contenido de la correspondencia
de que tengan conocimiento en razón de su cargo”.

Ahora, el artículo 20 compromete también a las personas que trabajan para los
prestadores de telecomunicaciones y las obliga en directa proporción al cargo
o función que desempeñan en tales organizaciones. Asumiendo que el acceso
a los contenidos de las telecomunicaciones no estará disponible a cualquier
empleado, sino que habrá sido limitado a ciertos y determinados puestos
laborales.

Artículo 21 – “Toda persona que de cualquier manera


tenga conocimiento de la existencia o contenido de la
correspondencia de telecomunicaciones, está obligada a
guardar secreto sobre la misma con las excepciones que fija
la presente ley”.

Este artículo amplía el alcance de la norma y avanza sobre cualquier persona

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.236


que tenga conocimiento de la correspondencia de telecomunicaciones, es decir
se dejó atrás al prestador del servicio y a sus funcionarios o empleados que por
su trabajo tienen acceso a dicha información, para comprometer a las personas
que han recibido la información requerida a través de una orden judicial.
Por otra parte, la Ley de Delitos Informáticos modifica los artículos 153 y 197 del
Código Penal por el siguiente para proteger directamente a las comunicaciones
electrónicas y sus contenidos:

Artículo 153 – “Será reprimido con prisión de quince (15) días


a seis (6) meses el que abriere o accediere indebidamente a
una comunicación electrónica, una carta, un pliego cerrado,
un despacho telegráfico, telefónico o de otra naturaleza, que
no le esté dirigido; o se apoderare indebidamente de una
comunicación electrónica, una carta, un pliego, un despacho
u otro papel privado, aunque no esté cerrado; o indebidamente
suprimiere o desviare de su destino una correspondencia o
una comunicación electrónica que no le esté dirigida.
En la misma pena incurrirá el que indebidamente interceptare
o captare comunicaciones electrónicas o telecomunicaciones
provenientes de cualquier sistema de carácter privado o de
acceso restringido.
La pena será de prisión de un (1) mes a un (1) año, si el autor
además comunicare a otro o publicare el contenido de la
carta, escrito, despacho o comunicación electrónica”.
Artículo 197 – “Será reprimido con prisión de seis (6)
meses a dos (2) años, el que interrumpiere o entorpeciere la
comunicación telegráfica, telefónica o de otra naturaleza o
resistiere violentamente el restablecimiento de la comunicación
interrumpida”.

Este artículo 197 del Código Penal amplía las obligaciones y responsabilidades
que la Ley de Telecomunicaciones le había asignado sólo a los prestadores
de servicios de telecomunicación, para abarcar a cualquiera persona que la
interrumpa, entorpezca o impida su restablecimiento, que en este último caso
sería por la prestadora.

4.5- Calumnias e Injurias en Internet

Nuestro Código Penal contempla estas acciones dañinas en el Título dedicado a


la protección del honor de las personas, sancionando a la calumnia en el artículo
109 y a la injuria en el 110, que disponen:

ARTICULO 109. - La calumnia o falsa imputación de un delito


que dé lugar a la acción pública, será reprimida con prisión de
uno a tres años.

ARTICULO 110. - El que deshonrare o desacreditare a otro,


será reprimido con multa de pesos mil quinientos a pesos
noventa mil o prisión de un mes a un año.

Es decir, se calumnia cuando se dice por ejemplo que “Héctor, cuando fue
Jefe de Seguridad del Presidente de la Nación cobraba para permitir que
alguien se acercare al Presidente sin ser inmediatamente expulsado por sus
guardaespaldas”. Se calumnia porque se dice que este señor cometía un delito
que es de acción pública, es decir que el Fiscal de turno está obligado a iniciar

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 237


de oficio las investigaciones penales necesarias para determinar si hubo o no
delito, siendo la excepción lo dispuesto en los artículos 71 al 73 del Código
Penal. A 1
Se injuria cuando se expresa que “Héctor siempre está buscando hacer sus
negocios paralelos y turbios mientras viaja supuestamente cuidando al
Presidente”.
Hasta ahora, la cuestión de las calumnias e injurias no tiene gran trascendencia
ya que es una figura penal si se realizan en un Portal de Internet o en un periódico
local, tomando una mayor repercusión cuando a través de la figura autónoma del
art. 113 del Código Penal se pretende responsabilizar a terceros por su difusión,
ya que este último artículo dispone:

ARTICULO 113. - El que publicare o reprodujere, por cualquier


medio, injurias o calumnias inferidas por otro, será reprimido
como autor de las injurias o calumnias de que se trate.

Reproduce la injuria o calumnia vertida por otro, quien la hace conocer por otras
personas que no estuvieron presentes cuando su autor la realizó. Por su parte,
publica la ofensa quien la produce de modo que pueda llegar a conocimiento
de un número indeterminado de personas. Para esta figura penal se requiere
que se trate de la persona efectivamente dotada de la facultad de examinar el
original y de impedir su publicación, lo que complica a los propietarios de sitios
en los que se permite comentar notas y artículos periodísticos, en aquellos que
proveen servicios de alojamiento de páginas personales como blogs, espacios
en las redes sociales, entre tantas otras herramientas de comunicación que
están disponibles en la actualidad.
De todas maneras, la Presidente Cristina Fernández envió a fines del 2009 un
proyecto de ley para eliminar las Injurias y Calumnias del Código Penal. Léalo en
http://www.lanacion.com.ar/nota.asp?nota_id=1173601.
En el ámbito de la injuria encontramos una limitante cultural que excede la
territorialidad a la que estamos acostumbrados en el ámbito penal, ya que
por ejemplo si en el sitio http://estoyopinando.blogspot.com comento mis
experiencias sobre los malos tratos recibidos por una empresa u organización
al contratar sus servicios de seguridad o los robos que experimentó el barrio
cerrado mientras era custodiado por “Seguridad Imbatible S.A.”, con datos
precisos y objetivos, desde la perspectiva de esta empresa es posible que se
la esté injuriando por concluir que es incompetente, ineficaz, fraudulenta, entre
otras calificaciones deshonrosas, pero desde la perspectiva del sitio sólo se
estará emitiendo un comentario “desagradable” pero real y por lo tanto debe ser
tolerable, y la empresa debe aprender a vivir con esos comentarios negativos y
aceptarlos para corregir sus errores y mejorar sus servicios.
Al respecto, lea ahora el artículo Qué hago con los que me critican en Internet
IC 4 publicado en Comercio y Justicia.
A modo de conclusión sobre los delitos informáticos que existen en la actualidad
y las acciones penales que una persona física o jurídica tiene a su alcance para
defender sus derechos, le recomiendo visitar http://www.tribunalmmm.gob.
mx/biblioteca/almadelia/Cap4.htm para conocer un estudio comparado de las
legislaciones mundiales sobre Delitos Informáticos.
Este informe le brindará una noción general que le mostrará que el mundo entero
está concentrado en buscar soluciones y protecciones a las nuevas modalidades
delictivas que las nuevas tecnologías han permitido generar, por lo que se puede
concluir que no estamos solos en este desafío, que no está todo dicho en la
materia y principalmente son los congresos nacionales quienes tienen que estar
atentos a las nuevas modalidades delictivas evaluando si se está en presencia de
un nuevo delito o si es sólo una nueva manera de materializar un delito ancestral
y no se incurrirá en el analogismo al castigarlo.

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.238


Aquí finaliza el desarrollo de los contenidos de la materia. Le proponemos que
realice las actividades que diseñamos para Usted, y que lea además los artículos
a continuación que le darán una visión cercana a la realidad de los conceptos y
problemáticas que trabajamos hasta aquí.

Admisibilidad de las Pruebas Electrónicas IC 5

Delitos Informáticos vs Seguridad Informática IC 6

La Caja Previsión de Formosa víctima de un delito informático IC 7

Delitos informáticos y nuevas formas de resolución del conflicto penal chileno


IC 8

El Messenger sirvió de prueba IC 9

Adulteración de una base de datos de organismo nacional IC 10

Flamante modificación al Código Penal IC 11

Violación de secreto con email IC 12

Iribarren, Estela J. s/sobreseimiento IC 13

Reflexiones sobre los Delitos Informáticos motivadas por los desaciertos de la


Ley Chilena IC 14

Proveedores de Internet vs. Intercambio de Archivos IC 15

Violación de Derechos de Autor en Internet IC 16

Límites de Difusión de las Fallas de Seguridad Informática IC 17

Las Comunicaciones Electrónicas demostraron la Infidelidad IC 18

Justa Causa de Despido en E-Mail Pornográficos IC 19

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 239


m4 |contenidos | IC

información complementaria 1

¿Es punible la Pornografía Infantil Virtual?


Por Matías Altamira

El Congreso de la República de Chile está analizando un proyecto de ley


que pretende castigar la creación virtual de pornografía infantil con prisión hasta
de 540 días.
El proyecto incorpora al Artículo 366 quinquies el siguiente párrafo: “Si en
la producción de material pornográfico no hubieren sido utilizados directamente
menores de edad, pero se empleare su voz o imagen alterada o modificada, se
impondrá la pena de presidio menor en su grado mínimo.”
Actualmente la producción de pornografía infantil virtual no puede ser
castigada porque el bien jurídico protegido es la indemnidad sexual del menor, y
cuando solamente se utiliza material pornográfico producto de la creación de la
mente humana, sin participación real de menores no existe afectación de dicha
indemnidad.
El Diputado Guillermo Ceroni Fuentes, autor del proyecto, expuso en sus
fundamentos que la nueva figura no protege el mismo bien jurídico objeto de
la tipología sobre pornografía infantil, ya que no existe participación real de
menores; sino que se trataría de un delito de peligro que cautelaría la seguridad
de los menores frente al riesgo que importa la existencia de este tipo de material.
Los representantes del Ejecutivo apoyaron la iniciativa, resaltando
inconvenientes con relación al bien jurídico protegido. Los fundamentos
del proyecto señalan que la protección es respecto de los menores, pero,
posteriormente, se ataca la producción de pornografía a la que podría acceder
el menor, situación en la cual el bien jurídico protegido, sería, entonces, la
moralidad pública. Ante esta divergencia, recomendaron proteger la voz y la
imagen del menor de edad.

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.240


Reconociendo mis pocos conocimientos de Derecho Penal, se me
generan varios interrogantes: si ahora se penaliza la representación animada
de menores desnudos, por qué no se penaliza también los juegos animados
donde el objetivo es matar la mayor cantidad de personas o la destrucción de
poblaciones o el derrocamiento de un gobierno, que también atentan contra
bienes jurídicamente protegidos en la vida real. Avanzando más, también se
tendría que castigar las telenovelas donde se representan hechos que si fueran
reales serían delitos contra el Estado Civil de las Personas, como los matrimonios
de nulidad absoluta. Ejemplos sobran.
Si la mejor solución es el proyecto chileno cómo se aplicará cuando el juez
llegue a la conclusión que la voz también es un producto creado artificialmente
por la computadora y que la imagen no corresponde a niño alguno.
Se reconoce las buenas intenciones de los legisladores chilenos, pero se
debe tener mucho cuidado al legislar para no incluir como delitos creaciones
intelectuales y para no quedar desactualizados instantáneamente.

m4 |contenidos | IC

información complementaria 2

¿Son Privados los Mensajes Pornográficos entre Adolescentes?


Por Matías Altamira*

Debe intervenir la Autoridad si los adolescentes intercambian mensajes vía


celulares con fotos de ellos desnudos, o están protegidos por el Derecho a la
Privacidad de sus comunicaciones.
La tecnología que nos desvela ha incorporado palabras como “Tweeting”,
localmente “twitear”, “defriending” usado para cuando se elimina a supuestos
amigos de las redes sociales, y también “Sexting”, que refiere a enviar mensajes
eróticos o pornográficos vía celular.
Por estos días, los adolescentes empiezan intercambiando mensajes
inocentes que terminan en eróticos, con fotos y videos, lo que hace que
involucren a las autoridades por su contenido pornográfico. Este es el caso
de un adolescente en el colegio La Joya School District en Tejas, USA, que
es acusado de poseer imágenes pornográficas de menores, con el riesgo de
terminar en prisión.
En otro caso, Jorge Suchil de 17 años se mensajeaba con una chica de
16, hasta que la conversación se volvió erótica y él le pidió que le mandara una
foto en topless. La chica accedió, por lo que le pidió una totalmente desnuda
o le mandaría la del topless a sus amigos. La chica le mandó la nueva foto
y al día siguiente lo acusó a la Dirección del Colegio Palmview High School.
Jorge reconoció su proceder cuando el Director encontró las fotos en su celular
y lo confesó por escrito ante la policía, siendo arrestado por pedófilo, al haber
encontrado más fotos de muchas otras menores desnudas en su celular. Suchil
es probable que sea juzgado como adulto.
Por otra parte, la Asociación de Americana de Libertades Civiles (ACLU)
está reclamando judicialmente en el estado de Pennsylvania, que si bien los
Directores de instituciones educativas bajo ciertas circunstancias pueden
confiscar los teléfonos celulares de los alumnos; no pueden invadir la privacidad
al revisar el contenido allí almacenado. Argumentan que los celulares ahora son
repositorios de la más privada información personal, incluyendo mensajes de

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 241


texto, lista de contactos, fotos y videos. Por ello, los celulares solo pueden ser
revisados bajo una “razonable sospecha”.
Lo que no está resuelto en Estados Unidos es si el “sexting” integra la
libertad de expresión o la pornografía infantil, definición que la Cámara del 3er
Circuito evitó.
Nuestro Código Penal, en su artículo 128 dispone que será reprimido con
prisión de 6 meses a 4 años el que produjere o publicare imágenes pornográficas
en que se exhibieran menores de dieciocho años.
Al igual que en Estados Unidos, la ley no distingue entre producción o
difusión de imágenes propias o ajenas.

m4 |contenidos | IC

información complementaria 3

¿Los Consumidores son Engañados o Negligentes?


Por Matías Altamira

Investigadores de las universidades estadounidenses de Harvard y Berkeley,


analizaron por qué el sistema de fraude denominado “phishing” funcionaba,
llegando luego de un dictamen de diez hojas que: “LOS USUARIOS EN LA RED
SE DEJAN ENGAÑAR”.
En breves palabras, el phishing es un sistema fraudulento que opera vía
Internet o vía correo electrónico, comúnmente solicitándole al destinatario que
ingrese datos sensibles y privados haciéndose pasar por su entidad financiera
o de seguros. El destinatario cumple con el requerimiento de “actualización de
datos” e inmediatamente comprueba que su antes opulenta cuenta bancaria hoy
agoniza.
La investigación se realizó con 22 participantes quienes debían seleccionar
entre 20 páginas web cuáles eran fraudulentas, de lo que resultó que el 23% no
se fijó en la información que provee el navegador, como son la dirección web,
el estado de la web y si es un sitio seguro o no, lo que llevó a tener un 40% de
respuestas incorrectas.
Este resumen de la investigación realizada en Estados Unidos, sirve
para plantear la cuestión a nivel local. Argentina y por supuesto Córdoba,
está experimentando un gran avance en el comercio electrónico, propulsado
principalmente por los sitios de compra-venta, algunos con sistemas de remates
tradicionales, otros con remates inversos (donde el consumidor ofrece y el
vendedor elige el que más le convenga), y otros donde el sitio solamente opera
como conector entre el vendedor y el comprador de un producto determinado.
Una característica particular de este sistema es que tanto vendedor como
comprador se deben registrar ingresando sus datos personales y seleccionando
un sobrenombre, por ejemplo “STRSOUTH1”. Lo cierto es que estos sitios no
tienen manera de corroborar la identidad de las partes, y por lo tanto, es un riesgo
tanto para el vendedor como para el comprador desconocer la real identidad de
la otra parte. El vendedor está protegido desde que exige el pago anticipado o el
depósito en cuenta para realizar el envío, pero el comprador puede asegurarse
proponiendo el pago contra entrega, lo que no siempre está disponible.
Si Ud. acepta depositar el monto del producto en una cuenta bancaria sin
haber visto el producto, sin conocer al vendedor o sin tener otras referencias
que le brinden la seguridad y confiabilidad necesaria que normalmente exige
para efectuar una operación comercial, ¿está siendo engañado o está siendo
negligente?.

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.242


m4 |contenidos | IC

información complementaria 4

¿Qué hago con los que me critican en Internet?


Por Matías Altamira*

¡Qué sorpresa cuando me entero que un ex cliente publicó en Internet los


problemas que tuvo con mi empresa! ¡Encima a ese comentario se sumaron otros!
¿Qué hago? ¿Cómo paro esta bola de nieve? Ya sé, un juicio por difamación.
Esta situación no solo está pasando en Córdoba, sino en cada ciudad y
empresa del mundo entero, como lo refleja el New York Times al narrar el caso de
Justin Kurtz, de 21 años, a quien la grúa le remolcó su auto porque no se veía su
permiso de estacionamiento. Luego de hacer todos los trámites para recuperarlo
y pagar $118, creó en Facebook una página “Kalamazoo Residents against T&J
Towing” (Residentes de Kalamazoo en contra de T&J Remolques), que en 2 días
tuvo 800 adherentes comentando sus desgracias con esa empresa. T&J inició
contra Kurtz una demanda por difamación con daños por $750.000. Kurtz dijo
que él no hizo nada incorrecto, solo comentó su caso.
Antes las críticas a las empresas no salían de las reuniones sociales, salvo
contada excepción donde el consumidor estaba realmente enojado como para
reclamar administrativa o judicialmente. Ahora, la situación cambió, en minutos
se crea el sitio contestatario en Internet.
Desde las empresas el argumento es que no existe proporcionalidad entre
el daño que le genera esa “mala prensa” y los inconvenientes sufridos por el
consumidor. Situación que se complica en el caso de los profesionales, como
médicos o abogados, que si contestan las críticas brindando más información
sobre el caso puntual estarán violando la confidencialidad impuesta por ley a la
relación médico-paciente o abogado-cliente.
La compañía Medical Justice que protege a médicos de mala-praxis
infundadas, promueve la firma de un convenio que regula los comentarios en
Internet, admitiéndolos solo en sitios acreditados que exijan el registro para
valorar el desempeño médico, por lo que si comentan en Facebook se podrán
eliminar por incumplimiento contractual.
Los consumidores, por su parte, se escudan en la libertad de expresión, y
sostienen que las empresas inician estos juicios en su contra, para amedrentarlos
y hacerlos desistir; que si no les gusta lo que leen, entonces que mejoren sus
productos y servicios. Sus abogados argumentan que para que haya difamación
lo narrado debe ser falso y sus clientes solo comentaron con coloridos detalles
su caso concreto y verídico.
Por estas épocas, prestatarios como consumidores deberán acostumbrarse
a este nuevo medio de comunicación, aceptando críticas constructivas públicas
unos y controlando sus expresiones otros.

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 243


m4 |contenidos | AA

asistente académico 1

ARTICULO 71.- Deberán iniciarse de oficio todas las acciones penales, con
excepción de las siguientes:
1º. Las que dependieren de instancia privada;
2º. Las acciones privadas.

ARTICULO 72.- Son acciones dependientes de instancia privada las que nacen
de los siguientes delitos:
1º) Los previstos en los artículos 119, 120 y 130 del Código Penal cuando no
resultare la muerte de la persona ofendida o lesiones de las mencionadas en el
artículo 91.
2º) Lesiones leves, sean dolosas o culposas.
Sin embargo, en los casos de este inciso se procederá de oficio cuando mediaren
razones de seguridad o interés público.
3º) Impedimento de contacto de los hijos menores con sus padres no convivientes.
En los casos de este artículo, no se procederá a formar causa sino por acusación
o denuncia del agraviado, de su tutor, guardador o representantes legales. Sin
embargo, se procederá de oficio cuando el delito fuere cometido contra un
menor que no tenga padres, tutor ni guardador, o que lo fuere por uno de sus
ascendientes, tutor o guardador.
Cuando existieren intereses gravemente contrapuestos entre algunos de éstos y
el menor, el Fiscal podrá actuar de oficio cuando así resultare más conveniente
para el interés superior de aquél.

ARTICULO 73.- Son acciones privadas las que nacen de los siguientes delitos:
1. Calumnias e injurias;
2. Violación de secretos, salvo en los casos de los artículos 154 y 157;
3. Concurrencia desleal, prevista en el artículo 159;
4. Incumplimiento de los deberes de asistencia familiar, cuando la víctima fuere
el cónyuge.

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.244


m4 |contenidos | IC

información complementaria 5

Admisibilidad de las Pruebas Electrónicas


Por Matías Altamira*

La irrupción de las nuevas tecnologías y la evolución de los sistemas de información


y de telecomunicaciones han aumentado exponencialmente la creación de
documentos digitales en las organizaciones, cambiando radicalmente el lugar y
las estrategias que abogados e investigadores deben seguir para la obtención
y presentación de estas pruebas. Sin embargo un estudio realizado a nivel
Europeo concluye que ninguno de los países analizados tiene una legislación
procesal que contemple esta realidad.

Cada año se envían mundialmente más de 2.8 trillones de e-mails, más del 90%
de los documentos creados en la organización son electrónicos y menos del
30% se imprimen. Las pruebas tradicionales están migrando desde el soporte
papel hacia un entorno virtual, donde los procesos de gestión y criterios de
admisibilidad cambian por completo. La prueba electrónica está adquiriendo
una mayor importancia en los procesos judiciales, exigiendo a todos los actores
del ámbito jurídico incluirlas en sus estrategias legales.

Ante esta situación, la Dirección General de Justicia, Libertad e Interior de la


Comisión Europea designó a la compañía española Cybex para dirigir un estudio
sobre la Admisibilidad de las Pruebas Electrónicas ante los Tribunales de los 15
Estados más antiguos de la Unión Europea más Rumania.

Al término de la primera etapa de investigaciones, se concluyó que existe un


claro vacío legislativo en los países analizados y se constató que se están
aplicando métodos para la presentación y admisibilidad de dichas pruebas
desde hace años. En la segunda parte de la investigación, se deberá confirmar
estas hipótesis y concluir cuáles son exactamente los mecanismos o soluciones
implementados para paliar la inexistencia de leyes.

El estudio de la legislación existente en cada Estado más la información brindada


por los entrevistados (jueces penales, civiles y comerciales, miembros del
Consejo del Poder Judicial y de los Colegios de Abogados, altos representantes
de las brigadas europeas de investigación tecnológica, notarios, empresarios,
fiscales, expertos en Computer Forensics, etc.) ofrecerá una visión completa de
la realidad, cuyos resultados finales esperan publicarse a mediados del 2006,
coincidiendo con la celebración de la conferencia para expertos en la materia
en Barcelona.

Las conclusiones, en esta etapa preliminar, ya apuntan a que ningún Estado


comunitario tendría una legislación procesal específica para la presentación
de pruebas electrónicas ante los tribunales. Esta situación europea, no debe
justificar la ausencia de normas en Argentina, todo lo contrario, debe alertar a
los legisladores para que aprovechen los resultados y recomendaciones que se
obtengan y adecuarlos a la realidad argentina.

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 245


m4 |contenidos | IC

información complementaria 6

Delitos Informáticos vs Seguridad Informática


Por Matías Altamira*

El Instituto de Seguridad Informática (CSI) en conjunto con el FBI de los Estados


Unidos publicaron días atrás, su encuesta 2005 sobre delitos informáticos y
seguridad, concluyendo que el promedio de tales delitos se ha reducido.

Entre sus conclusiones más relevantes se mencionar que:


- El total de las pérdidas económicas causadas por fallas en la seguridad
informática está reduciéndose, con un promedio de pérdida de US$ 204.000,
un 61% menos que el promedio del año pasado US$ 526.000
- Los ataques de virus siguen siendo la mayor causa de las pérdidas
económicas, el 32% de ellas fueron a causa de virus.
- El acceso no autorizado mostró un significativo incremento, reemplazando
al rechazo de servicio que pasó a ser el segundo factor de los delitos
informáticos.
- El robo de información confidencial también mostró un importante crecimiento
en el promedio de pérdidas por empresa consultada, duplicando los registros
del año pasado.
- El porcentaje de denuncias de intrusiones a las autoridades públicas por
las empresas ha mantenido su constante baja. La razón principal es la
preocupación empresaria por la publicidad e imagen negativa.

La 10ª edición de la encuesta se realizó a 700 especialistas en seguridad informática


de los Estados Unidos que trabajan en grandes empresas, dependencias
públicas, instituciones financieras, instituciones médicas y universidades, cuyos
resultados confirmaron que el peligro de los delitos informáticos y de otras
violaciones a la seguridad informática son reales.

Chris Keating, Director del CSI, sostiene que las organizaciones que eleven su
nivel de conciencia en seguridad podrán palpar rápidamente el recupero de la
inversión en el área. Explica que la naturaleza del delito informático está cambiando,
ahora los particulares están más expuestos a los delitos, especialmente al de
robo de identidad.
Por su parte, Robert Richardson, expresó que los encuestados obtenien cada
vez mejores resultados de sus acciones en seguridad, aún cuando no todos
le destinen el mismo esfuerzo. Lo claro es que las fallas en seguridad pueden
ser desastrosas no solo en la relación con sus clientes sino también desde la
perspectiva económica, sobre todo cuando alcanzan estado público.
Si este relevamiento se hiciera en Argentina los números serían más alarmantes,
por lo que se recomienda que de a poco la seguridad informática vaya escalando
el orden de prioridades empresarial, para que no sea de golpe la número uno.

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.246


m4 |contenidos | IC

información complementaria 7

La Caja Previsión de Formosa víctima de un delito informático


Por Matías Altamira*

El Excmo. Superior Tribunal de Justicia de la Provincia de Formosa confirmó


la Sentencia de Cámara por la que se condenó a un empleado de la Caja de
Previsión provincial a 2 años de prisión en suspenso con más la inhabilitación
especial perpetua para ejercer cargos públicos por haber adulterado la base de
datos informática del organismo público.
El Tribunal de Casación, con el voto preopinante del Dr. Ariel Gustavo
Coll, a lo que se adhirieron los demás integrantes, rechazó los argumentos de la
defensa del Sr. Carlos Walter Nuñez, que esgrimía entre otras cuestiones típicas
del proceso penal, que no se había demostrado fehacientemente que él había
modificado los datos de la Sra. Rigonato, aumentando intencionalmente su haber
jubilatorio entre los meses de Julio a Septiembre de 1998 como contraprestación
por el alquiler que el Sr. Nuñez le debía abonar a la Sra. Rigonato.
A esta defensa, el Tribunal sostuvo que de las pruebas incorporadas a
autos se desprende que está suficientemente acreditado que Nuñez era parte del
personal autorizado para realizar la carga de los datos en el sistema informático
de la Caja de Previsión, que cotidianamente lo hacía desde su computadora,
utilizando su clave personal. También quedó acreditado que el movimiento
informático cuestionado se realizó desde la computadora del acusado, que su
nombre de usuario era “Carlitos” y que sólo se podía acceder al equipo mediante
la contraseña o password que solamente él conocía.
La conclusión surge contundente – continúa- de las declaraciones
testimoniales en las que se refiere a la puesta en marcha de un informe de
auditoría del sistema AS400 IBM del equipo central, del cual surge que el usuario
“Carlitos” había realizado la carga de datos irregular, nombre de usuario que
se corresponde con el acusado Carlos Walter Nuñez; en las que se revela que
las modificaciones fueron realizadas mediante la clave personal del acusado
y que las claves de cada usuario son desconocidas para el resto, aún cuando
como sostiene el imputado “todos sabemos como se maneja la caja de Previsión
Social... que todos los empleados están juntos en el mismo recinto y cualquiera
puede acceder a las terminales de los compañeros”.
La Sentencia se basó en los artículos 40, 41, 172, 174 inc. 5º y último
párrafo del mismo del Código Penal, pudiendo haberse fundamentado también
en el artículo 173 inc. 16 que castiga a quien defraude mediante cualquier técnica
de manipulación informática que altere el normal funcionamiento de un sistema
informático, que fuera recientemente incorporado por la ley 26.388.

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 247


m4 |contenidos | IC

información complementaria 8

Delitos informáticos y nuevas formas de resolución del conflicto penal


chileno.
Fecha: 30 de Septiembre 2002

Por Cristián Andrés Meneses Díaz, abogado.


I.- GENERALIDADES.
II.- CONCEPTO DE DELITOS INFORMÁTICOS.
III.-LEGISLACION APLICABLE.
IV.- MODALIDADES DELICTIVAS.
V.- NUEVAS FORMAS DE RESOLUCIÓN DEL CONFLICTO PENAL.
VI.- PRINCIPIO DE OPORTUNIDAD, SUSPENSIÓN CONDICIONAL DEL
PROCEDIMIENTO, ACUERDOS REPARATORIOS Y SU VINCULACIÓN CON LA
LEY 19.223.

I.- GENERALIDADES.
En los últimos años el mundo entero ha experimentado un sorprendente y
explosivo avance en el desarrollo de la ciencia informática, la tecnología de las
comunicaciones y la Internet.
No cabe duda que la “era digital” ha otorgado y seguirá proporcionado
innumerables beneficios a nuestra sociedad, sin embargo no podemos
desconocer que este desarrollado tecnológico ha propiciado, también, la
aparición de nuevas modalidades delictivas, las que hasta hace poco eran
desconocidas en nuestro ordenamiento jurídico.
Llama la atención, que junto con este proceso de modernidad tecnológica,
nuestro país ha impulsado, al mismo tiempo, un proceso de modernidad en la
justicia criminal, buscando su eficiencia y transparencia.
En efecto, a partir de la dictación del Código Procesal Penal, ya en aplicación en
las Regiones II, III, IV, VII y IX, y que próximamente se aplicará en las regiones
I, XI y XII, se establece un innovador sistema procesal penal en que, como
características generales, podemos señalar que: se pasa de un sistema inquisitivo
a uno de tipo acusatorio; se establece la creación del Ministerio Público como
organismo autónomo, que tiene como funciones la de dirigir en forma exclusiva
la investigación de los hechos que revisten los caracteres de delito, ejercer la
acción penal pública y otorgar protección a las víctimas y testigos. Asimismo,
se crean nuevos tribunales - Juzgados de Garantía y Tribunales del Juicio Oral;
de igual modo se crea la Defensoría Penal Publica como institución encargada
de proporcionar defensa penal a los imputados o acusados que carezcan de
abogado; se establece la existencia de un juicio oral y público; se incorporan
salidas alternativas; se asigna a la víctima un rol preponderante en el proceso y
se reconoce la existencia del principio de inocencia.
Es en el marco de las nuevas formas de resolución del conflicto penal, establecidas
en el nuevo sistema de justicia criminal, que he considerado oportuno realizar un
análisis de la ley N°19.223 sobre Delitos Informáticos y establecer su vinculación
con el nuevo sistema.
Para tal efecto, creo necesario iniciar este trabajo efectuando un breve análisis
de los Delitos Informáticos en cuanto a su concepto, legislación aplicable,
modalidades delictivas. Una vez efectuado tal análisis, procuraré establecer la
vinculación de estos ilícitos con las nuevas formas de resolución del conflicto
penal.

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.248


II.- CONCEPTO DE DELITOS INFORMÁTICOS.
Variados son los especialistas en la materia que han elaborado una noción sobre
delitos informáticos. Al respecto, puedo destacar al autor mexicano Julio Téllez
Valdés, quien ha señalado que los Delitos Informáticos se pueden conceptualizar
de forma típica y atípica, entendiendo por la primera a “ las conductas típicas,
antijurídicas y culpables en que se tienen a las computadoras como instrumento
o fin” y por las segundas “actitudes ilícitas en que se tienen a las computadoras
como instrumento o fin”.
A su turno, la abogado española Noelia García Noguera define el Delito Informático
como “todo ilícito penal llevado a cabo a través de medios informáticos y que
está íntimamente ligado a los bienes jurídicos relacionados con las tecnologías
de la información o que tiene como fin estos bienes”. En la doctrina nacional,
destaca el concepto elaborado por los autores Marcelo Huerta y Claudio
Líbano, para quienes los Delitos Informáticos son todas “aquellas acciones u
omisiones típicas, antijurídicas y dolosas, trátese de hechos aislados o de una
serie de ellos, cometidos contra personas naturales o jurídicas, realizadas en
uso de un sistema de tratamiento de la información y destinadas a producir un
perjuicio en la víctima a través de atentados a la sana técnica informática, lo
cual, generalmente, producirá de manera colateral lesiones a distintos valores
jurídicos, reportándose, muchas veces, un beneficio ilícito en el agente, sea o no
de carácter patrimonial, actúe con o sin ánimo de lucro” .
Para los efectos del presente trabajo, seguiré el concepto entregado por Ezequiel
Zabale y otros para quienes el Delito Informático es ‘toda conducta que revista
características delictivas, es decir, sea típica, antijurídica y culpable y atente
contra el soporte lógico de un sistema de procesamiento de información, y el
cual se distingue de los delitos computacionales o tradicionales informatizados”.

III.- LEGISLACIÓN APLICABLE.


Con la entrada en vigencia de la ley N°19.223, Chile se convierte en país pionero
en Latinoamérica en dictar una legislación especifica relativa a los Delitos
Informáticos. Dicho cuerpo normativo, como señala don Sergio Valenzuela
Guzmán ha sido objeto de variadas críticas, algunas de las cuales desarrollaré
en el presente trabajo:
a) Confusión entre Delitos Informáticos y Delitos Computacionales.-
Para autores, como Rodolfo Herrera Bravo , la ley Nº 19.223 confunde los
denominados delitos informáticos con los delitos computacionales. Para Herrera
- que sigue en este sentido a don Renato Jijena - la primera denominación
correspondería a aquellos ilícitos que atentan contra los datos digitalizados y
contra los programas computacionales contenidos en un sistema.
Los segundos, en cambio, serían delitos de carácter convencional que estarían
ya establecidos en el Código Penal.

Tal posición, se fundamentaría en lo dispuesto en el artículo 1 de la ley Nº 19.223


que señala: “El que maliciosamente destruya o inutilice un sistema de tratamiento
de información o sus partes o componentes...”.

Del análisis de dicho artículo, se desprende que a partir de éste, se pretende


sancionar a quienes destruyan o inutilicen el equipo o aparato computacional y
sus partes piezas o componentes, en circunstancias que, como señala don Sergio
Valenzuela, el aparato computacional o hardware ya es objeto de protección por
la vía de delitos ya conocidos en nuestra legislación, como el robo, el hurto, la
apropiación indebida, o los daños.
En mi concepto, otra manifestación de estos Delitos Computacionales, aunque
no se encuentran establecidos en la ley N°19.223, lo constituyen las estafas por
Internet, figura que no debe confundirse, como ya explicaremos, con los delitos
de fraude informático. A propósito de estas estafas realizadas por Internet, la

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 249


Comisión Federal de Comercio de los Estados Unidos, ha publicado un listado
en que figuran las 10 estafas más comunes realizadas al amparo de Internet,
considerando como más frecuentes las siguientes: las subastadas en Internet en
que se ofrecen productos a muy bajos precios y luego de haber efectuado el pago
del producto se recibe un bien de menor valor o sencillamente no se recibe nada;
el Acceso gratuito a Servicio de Internet en que se ofrece un servicio sin costo
y en realidad el usuario suscribe, inducido por el engaño de esta gratuidad, un
contrato con cláusulas penales para asegurar el cumplimiento de la obligación;
la solicitud de número de tarjeta de crédito para comprobar mayoría de edad, en
que obtenido el número se aplican cargos a la tarjeta respectiva ocasionando el
perjuicio patrimonial a su titular; las Ventas piramidales en que se ofrece a los
usuarios falsas promesas de obtener dinero fácil a cambio de vender productos
a determinados compradores; Oportunidades de negocio; en que ofrece la
posibilidad de ganar grandes sumas a cambio de realizar una pequeña inversión
en una oportunidad de negocio; los productos y servicios milagrosos; en que se
ofertan productos capaces de curar todo tipo de enfermedades. En las estafas
por Internet, precisamente se da el fenómeno descrito por Rodolfo Herrera Bravo
“ Cuando los delincuentes de delitos tradicionales comienzan a utilizar como un
medio especifico de comisión a las tecnologías de Información, se produce una
informatización de los tipos tradicionales, naciendo el delito computacional, que
en realidad se trataría solo de ilícitos convencionales que ya están regulados
en el Código Penal”. En efecto, las estafas por Internet constituyen un delito
de carácter convencional ya regulado en nuestro Código Penal, por lo que no
se requiere crear una supuesta figura delictiva nueva. En ellas, como cualquier
estafa, existe un ardid o engaño que induce a error en una persona para realizar
una determinada conducta que le genera un perjuicio.
b) Ubicación fuera del Código Penal.-
El autor Rodolfo Herrera Bravo, formula como crítica a la ley N° 19.223 su ubicación
fuera del Código Penal, lo que en su concepto constituye una desafortunada
técnica legislativa. Al respecto, debemos recordar que el proceso de codificación
del derecho fue un fenómeno iniciado en el siglo XIX, fundamentalmente en los
países de Europa. Desde el Viejo Continente este fenómeno pasó a los países
americanos, los que en la medida que obtenían su independencia comenzaron
a realizar la denominada codificación del derecho nacional. Es consecuencia de
este proceso, que en el año 1874 Chile dicta el Código Penal, formando un cuerpo
de leyes metódico y sistemático. La dictación de leyes aisladas, necesariamente
desvirtúan nuestra tradición legislativa. Al respecto, creo oportuno fomentar la
realización una reforma al derecho penal sustantivo, que tenga como uno de
sus pilares la existencia de un Código Penal como único cuerpo normativo que
regule esta materia. En este mismo sentido, debo señalar que en el derecho
penal español estas figuras delictivas han sido incorporadas en su Código
Penal (artículo 248° que trata de la estafa informática; artículo 264° que regula
el delito de daño informático o sabotaje y el artículo 278° que trata el espionaje
informático).
c) Deja sin regulación ciertos Delitos Informáticos.
Por último, se crítica la ley N° 19.223 por dejar fuera de regulación ciertos delitos
informáticos. Al respecto, existe consenso en la doctrina en cuanto a que nuestra
normativa, contempla sólo dos modalidades delictivas: el sabotaje informático
(artículos 1° y 3°) y el espionaje informático ( artículos 2° y 4°) dejando de lado
las figuras del fraude informático, la del acceso no autorizado o hacking directo
y la piratería de programas.

IV.- MODALIDADES DELICTIVAS.


En doctrina se reconocen, generalmente, como delitos informáticos las siguientes
modalidades:
a) Sabotaje informático;

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.250


b) Espionaje Informático;
c) Fraude informático;
d) Piratería de programas
e) Acceso no autorizado o hacking directo.
SABOTAJE INFORMÁTICO.
El termino Sabotaje proviene del francés “sabots”, que corresponde al nombre
que se le entregaba a los zapatos de madera usados por lo obreros hacia el siglo
XVIII en Francia. Algunos obreros textiles - a modo de protesta por los constantes
despidos y malas condiciones laborales - utilizaban los “sabots” con el propósito
de trabar las máquinas en esas fábricas.
Sin perjuicio de lo anterior, podemos señalar que para alguna parte de la
doctrina el sabotaje informático, es el acto de borrar, suprimir o modificar sin
autorización funciones o datos de computadora con intención de obstaculizar el
funcionamiento normal del sistema.
Para Marcelo Huerta, el delito de sabotaje informático “Es toda conducta típica,
antijurídica y culpable que atenta contra la integridad de un sistema automatizado
de tratamiento de información o de sus partes componentes, su funcionamiento
o de los datos contenidos en él” . A su turno, Rodolfo Herrera Bravo, sostiene
que el sabotaje informático es “toda acción típica, antijurídica y dolosa destinada
a destruir o inutilizar el soporte lógico de un sistema computacional, empleando
medios computacionales”. A mi juicio, este último concepto sería más acertado,
puesto que sólo comprende la hipótesis del articulo 3º de la ley N° 19.223
con lo que deja de lado la destrucción del hardware o soporte físico, lo que
sería lógico si se considera que este ilícito corresponde a los llamados Delitos
Computacionales. Sin perjuicio de lo anterior, diremos - siguiendo a la mayoría
de la doctrina - que el Sabotaje Informático se encuentra regulado en los artículos
1º y 3º de la ley Nº 19.223; así por ejemplo distinguimos:
Sabotaje Informático establecido en el artículo 1º: “El que maliciosamente
destruya o inutilice un sistema de tratamiento de información o sus partes o
componentes, o impida, obstaculice o modifique su funcionamiento, sufrirá la
pena de presidio menor en su grado medio a máximo.
Si como consecuencia de estas conductas se afectaren los datos contenidos
en el sistema, se aplicará la pena señalada en el inciso anterior, en su grado
máximo”.
Sabotaje Informático regulado en el artículo 3º: “El que maliciosamente
altere, dañe o destruya los datos contenidos en un sistema de tratamiento de
información, será castigado con presidio menor en su grado medio”.
Por otra parte, puedo señalar que el autor nacional Marcelo Huerta sostiene que
dentro del elemento objetivo del delito de sabotaje regulado en los artículos 1° y
3º de la ley N° 19.223, se encuentran tres clases de acciones:
a)acciones contra el sistema de tratamiento de información, b) acciones contra
el funcionamiento del sistema de tratamiento de información y c) acciones que
afectan los datos contenidos en un sistema de tratamiento de Información.
Estas últimas acciones, corresponden a la hipótesis prevista en articulo 3° de la
ley N°19.223 que, como ya he señalado, corresponde propiamente a un Delito
Informático. Por otra parte, puedo agregar que una de las modalidades más
conocidas de sabotaje informático está representada por los denominados Virus
Informáticos, los que pueden ser objeto de diversas clasificaciones y que podemos
conceptualizar, siguiendo la legislación Venezolana, como “aquel programa o
segmento de programa indeseado que se desarrolla incontroladamente y que
genera efectos destructivos o perturbadores en un programa o componente del
sistema”.
Por último, cabe mencionar que se encuentra en trámite legislativo el Proyecto de
ley que Sanciona la Creación y Distribución de Virus Computacionales. Proyecto
ingresado el 31 de julio de 2002 ( Boletín Nº 3010-07) y que propone agregar
en el artículo 485 del Código Penal el siguiente Nº 9: “ El que maliciosamente

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 251


cree o distribuya cualquier dispositivo o programa con el objeto de interferir,
dañar o alterar el funcionamiento de sistemas electrónicos de almacenamiento,
procesamiento o transmisión de datos”.
ESPIONAJE INFORMÁTICO.
Según Marcelo Huerta, el delito de espionaje informático es “toda conducta
típica, antijurídica y culpable que tiene por finalidad la violación de la reserva u
obligación de secreto de la información contenida en un sistema de tratamiento
de la información”.
Por su parte, Rodolfo Herrera sostiene que el espionaje informático “ consiste en
obtener no autorizadamente datos almacenados en un fichero automatizado, en
virtud de lo cual se produce la violación de la reserva o secreto de información
de un sistema de tratamiento automatizado de la misma”.
La ley N° 19.223, regula el delito de sabotaje informático en los artículos 2º
y 4º. En virtud de la hipótesis del artículo 2º, se sanciona a todo aquel que
acceda, intercepte o interfiera un sistema de tratamiento de información, con
animo de apoderarse, usar o conocer indebidamente la información contenida
en él. Puedo agregar, que es a partir de este artículo que se genera la polémica
acerca de la regulación o no del delito de hacking en nuestra legislación. Por
otra parte, en virtud de lo establecido en el artículo 4º se sanciona a todo aquel
que maliciosamente revele o difunda los datos contenidos en un sistema de
tratamiento de información. Respecto de esta modalidad, considero oportuno
destacar lo señalado por Marcelo Huerta en cuanto a que los datos contenidos
en el sistema deben “tratarse de informaciones privadas, reservadas o secretas”.
El problema se presenta en determinar cuando una información tiene el carácter
de privada, secreta o reservada. A mi juicio, a partir de lo establecido en la
ley N° 19.653 sobre Probidad Administrativa aplicada a los Órganos de la
Administración del Estado y de lo señalado en el Decreto Supremo Nº 26 del
Ministerio Secretaría General de la Presidencia que fija el Reglamento sobre
secreto o reserva de los actos de la Administración del Estado, esta problemática
al menos en el ámbito de la administración pública se encuentra solucionada.

FRAUDE INFORMÁTICO.
Para el autor español Carlos Romeo Casabona, el fraude informático es “la
incorrecta utilización del resultado de un procesamiento automatizado de
datos, mediante la alteración en cualquiera de las fases de su procesamiento o
tratamiento informático, siempre que sea con ánimo de lucro y en perjuicio de
tercero”.
Como ya se expresó, la ley N° 19.223 no contempla la figura del delito de fraude
informático. Además, este ilícito no cumple con los supuestos del delito de
estafa, puesto que no se aprecia la existencia de un ardid o engaño que induzca
a error a una persona y que la motive para la realización de una determinada
conducta ocasionándole un perjuicio. En este mismo sentido, Santiago Acurio
Del Pino sostiene que “al verse el tipo penal de la estafa desbordado por los
nuevos avances tecnológicos aplicados por los delincuentes para efectuar
sus defraudaciones, llevaron a que naciera un nuevo tipo delictivo, el fraude
informático, que vendría a absorber todas aquellas conductas defraudatorias
que, por tener incorporada la informática como herramienta de comisión, no
podían ser subsumidas en el tipo clásico de la estafa”. Al mismo tiempo, Noelia
García sostiene que los principales elementos que constituyen el delito de Fraude
Informático son: el ánimo de lucro; la acción de valerse de una manipulación
informática o artificio semejante; la transferencia no consentida del patrimonio
de otra persona sin utilizar violencia y la existencia de perjuicio a tercero. Como
se advierte, desaparece el engaño y el error.
Al respecto, puedo señalar que se encuentra en tramite legislativo el Proyecto
de ley que sanciona el fraude informático. (Boletín Nº 3009-07). Dicho proyecto,
se inició por moción de los señores diputados Paya, Barros, Egaña, Longueira,

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.252


Masferrer, Rodrigo González, Prieto, Salaberry, Varela y Walker. En ésta, los
señores diputados reconocen que el delito de fraude Informático no cumple con
los supuestos del delito de estafa por lo que este ilícito no podría ser sancionado
en atención a lo dispuesto en el artículo 468º, expresando que “Mucho se ha
discutido si las conductas sancionadas mediante el fraude informático pueden
ser sancionadas al amparo del delito de estafa tipificado en el Art. 468 de nuestro
Código Penal”, continúa señalando que “ El delito de estafa presupone que una
persona sea engañada, y que se la induzca como consecuencia de esa conducta
a un error que la lleve a realizar un acto de disposición patrimonial lesivo, pero en
las manipulaciones defraudatorias, este engaño no ocurre. No se puede engañar
a una máquina (computador), el engaño supone una relación sicológica entre el
agente y el sujeto engañado”.
Por último, puedo señalar que el proyecto de ley propone intercalar, a continuación
del artículo 468 del Código Penal, el siguiente artículo 468 bis nuevo: “ Incurrirá
asimismo en las penas del artículo 467 el que, con ánimo de lucro y en perjuicio
de tercero, obtenga mediante una manipulación informática una transferencia
indebida de cualquier activo patrimonial”.
PIRATERÍA INFORMÁTICA.
Esta modalidad delictiva, encuentra regulación en los artículos 79 a) y 80 b)
de la ley Nº 17.336 sobre Propiedad Intelectual. En virtud de esta normativa,
se sanciona: a) a quienes sin estar expresamente facultados para ello, utilicen
obras de dominio ajeno protegidas por la ley de propiedad intelectual, inéditas
o publicadas, en cualquiera de las formas o por cualquiera de los medios
establecidos en el artículo 18 de la misma normativa y b) a aquellos que en
contravención con las disposiciones de la ley sobre propiedad intelectual o los
derechos que ella protege, intervengan, con ánimo de lucro, en la reproducción,
distribución al público o introducción al país, o adquieran o tengan con fines de
venta programas computacionales.

ACCESO NO AUTORIZADO O HACKING DIRECTO


Para el autor nacional Claudio Líbano, el delito de hacking puede clasificarse
en: a) delito de hacking directo, hacking propiamente dicho o acceso indebido
y b) Delito de hacking indirecto o hacking como medio de comisión de otros
delitos. Claudio Líbano sostiene, que el acceso no autorizado o hacking directo
“es un delito informático que consiste en acceder de manera indebida, sin
autorización o contra derecho a un sistema de tratamiento de información, con
el fin de obtener una satisfacción de carácter intelectual por el desciframiento de
los códigos de acceso o passwords, no causando daños inmediatos y tangibles
en la víctima, o bien por la mera voluntad de curiosear o divertirse de su autor”.
Agrega, que este ilícito tiene como elementos: la existencia de un acceso no
autorizado a un sistema de tratamiento de información; su finalidad es lograr
una satisfacción de carácter intelectual; el “hacker” ( sujeto que comete el delito
de hacking) no busca causar un daño con su actuar y, es un delito de resultado
que se consuma al ser descifrados los códigos de acceso secretos y sin que,
necesariamente, los usuarios tomen conocimiento del hecho. Por otra parte, el
delito de hacking indirecto sería aquel en que el acceso indebido se utiliza como
medio de comisión de otros delitos.
Puedo señalar, que prácticamente existe consenso en nuestra doctrina que el
delito de Hacking no encontraría regulación en nuestro ordenamiento jurídico.
Sin perjuicio de lo anterior, resulta interesante analizar la propuesta de Don
Sergio Valenzuela, para quien el delito de hacking se encontraría sancionado
en el artículo 2° de la Ley N° 19.223 “”El que con ánimo de apoderarse, usar o
conocer indebidamente la información contenida en un sistema de tratamiento
de la misma, lo intercepte, interfiera o acceda a él, será castigado con presidio
menor en su grado mínimo a medio”.
Don Sergio Valenzuela, sostiene que la tipificación penal se desprende del giro

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 253


“conocer” presente en la redacción legislativa, y su connotación ilegítima en el
agregado “indebidamente”, Agrega, además que el delito de hacking estaría
regulado “aunque sea esta exploración con fines intelectuales o de diversión,
en tanto se trate de datos o programas computacionales privados, para lo cuál
el intérprete deberá acudir a signos explícitos o implícitos de que la información
que se trate no es de acceso público, como si para acceder a ella se requiere
una clave”.

V.- NUEVAS FORMAS DE RESOLUCION DEL CONFLICTO PENAL.


Se puede afirmar que no existe un sistema con la capacidad para conocer y
someter a juicio la totalidad de hechos punibles que ocurren en un determinado
tiempo y lugar. Nuestro Código Procesal Penal, hace suya esta problemática
y, al respecto, crea nuevas formas de respuesta al conflicto penal, como el
Principio de Oportunidad, la Suspensión Condicional del Procedimiento y los
Acuerdos Reparatorios. Estos mecanismos responden a la necesidad de lograr
una selectividad controlada - sobre la base de ciertos patrones o criterios
normativa o jurídicamente regulados- de los casos que ingresan al sistema
penal, estableciendo como criterio orientador la selectividad, la negociación y la
alternatividad por sobre el principio de legalidad. Como sostiene Mauricio Duce,
un sistema procesal penal moderno no sólo es eficiente cuando tiene capacidad
de racionalizar su carga de trabajo, sino que también cuando es capaz de
diversificar sus respuestas y ofrecer alternativas socialmente más útiles para los
casos en que ello aparece más conveniente y razonable.

VI.- PRINCIPIO DE OPORTUNIDAD, SUSPENSIÓN CONDICIONAL DEL


PROCEDIMIENTO, ACUERDOS REPARATORIOS Y SU VINCULACIÓN CON LA
LEY N° 19.223.
El principio de oportunidad permite flexibilizar la legalidad procesal penal, puede
responder a principios de política criminal o puede orientarse a generar aspectos
beneficiosos para el sistema penal en su conjunto, logrando una mejor utilización
de los recursos de que dispone el sistema. El principio de oportunidad puede ser
analizado en un sentido estricto y en un sentido amplio.
a) Principio de Oportunidad en sentido estricto: se encuentra regulado en el
artículo 170 del Código Procesal Penal. Es la facultad de los titulares de la acción
pública, para resolver no investigar o abandonar las investigaciones ya iniciadas
de lo que se conoce como “ insignificancia” o “criminalidad de bagatela”, con
independencia de se que se haya acreditado la existencia del hecho punible
cometido por un autor determinado. De lo señalado en el artículo 170 se desprende
que los requisitos, para ejercer el principio de oportunidad, son los siguientes:
que los hechos delictuales no comprometan gravemente el interés público; que
la pena mínima abstracta asignada al delito no sea superior a presidio o reclusión
menor en su grado mínimo; que el delito no haya sido cometido por funcionarios
públicos en el ejercicio de sus funciones. A mi juicio, el principio oportunidad
sólo tendría aplicación respecto de la hipótesis contenida en el artículo 2° de la
ley N° 19.223, y siempre que el delito de espionaje informático no comprometiere
gravemente el interés público y no fuere cometido por un funcionario público
en el ejercicio de sus funciones. En efecto, el artículo 2 de la ley N° 19.223
sanciona con presidio menor en su grado mínimo a medio a todo aquel que
acceda, intercepte o interfiera un sistema de tratamiento de información, con
animo de apoderarse, usar o conocer indebidamente la información contenida
en él, por lo que cumple con el requisito que la pena mínima asignada al delito
no sea superior a presidio o reclusión menor en su grado mínimo. Por otra parte,
los delitos de sabotaje informático y espionaje informático establecidos en los
artículos 1°, 3° y 4° de la ley N° 19.223, por tener asignadas penas mínimas
superiores a presidio o reclusión menor en su grado mínimo, se encuentran fuera
del límite establecido por la ley para la procedencia de esta salida alternativa.

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.254


b) Principio de Oportunidad en sentido amplio: permite introducir criterios
para flexibilizar el principio de legalidad, tales como la selectividad de manera
de seleccionar aquellos hechos que efectivamente van a ser perseguidos, la
negociación y la alternatividad reconociendo, en este último caso, formas
alternativas al procedimiento distintas a la aplicación de la pena como la
Suspensión Condicional del Procedimiento y los Acuerdos Reparatorios.
La Suspensión Condicional Del Procedimiento: se encuentra regulada en el
artículo 237 del citado cuerpo legal y, como expresa Mauricio Duce, fue concebida
para delitos de escasa o mediana gravedad y para imputados que cuentan con
un bajo compromiso delictual . Para que opere este mecanismo, deben concurrir
los siguientes requisitos: que la pena privativa de libertad que pudiera imponerse
al imputado no supere los tres años; que el imputado no haya sido condenado
anteriormente por crimen o simple delito; que exista un acuerdo entre el fiscal
y el imputado para solicitar al Juez de Garantía que decrete la suspensión
condicional. Es necesario destacar, que el imputado siempre tiene posibilidad de
negarse a la proposición del fiscal y solicitar que el caso sea llevado hasta el juicio
oral. Por otra parte, la aceptación del imputado importa admitir la veracidad de
los hechos que se le imputan y los antecedentes de la instrucción que lo fundan.
Debo señalar, que le corresponde al Juez de Garantía decretar la suspensión
condicional del procedimiento, fijando el plazo - que no puede ser inferior a
un año ni superior a tres - y las condiciones que el imputado deberá cumplir
. En todo caso, el Juez de Garantía sólo estaría llamado a realizar un control
de legalidad acerca de su procedencia, ya que la voluntad del fiscal, sumada
a la del imputado, debieran ser los elementos decisorios para su procedencia.
La Suspención Condicional del Procedimiento, produce los siguientes efectos:
suspende la persecución penal; suspende el curso de la prescripción de la
acción penal y el plazo para declarar el cierre de la investigación; no impide el
derecho a perseguir por la vía civil las responsabilidades pecuniarias del hecho
y transcurrido el plazo, sin que haya sido revocada , extingue la acción penal.
Para determinar la procedencia de la Suspensión Condicional del Procedimiento
en los delitos de la ley N°19.223, debemos analizar con especial cuidado, los
siguientes requisitos:
a) Que la pena privativa de libertad que pudiera imponerse al imputado no
supere los tres años. Este requisito se refiere a la pena concreta que pudiere
aplicársele al imputado, luego de haber considerado para su determinación
el grado de desarrollo del delito, la participación criminal y la concurrencia de
circunstancias agravantes o atenuantes de responsabilidad. En este sentido,
creo necesario señalar que el señor Fiscal Nacional , recomienda a los Fiscales
Adjuntos del país, no proponer la Suspensión Condicional del Procedimiento
en caso de delitos que tengan pena abstracta asignada de crimen. Al respecto,
señala que “En el evento que por aplicación de las rebajas de pena derivadas del
grado de desarrollo y de participación y del juego de circunstancias atenuantes y
agravantes, la pena probable para el imputado en el caso concreto bajare a pena
privativa de presidio menor, será preferible esperar el cierre de la investigación
y negociar la pena a requerir para optar por el procedimiento abreviado, en la
acusación, o verbalmente en la audiencia de preparación del juicio oral”.
Puedo señalar - siguiendo la recomendación del señor Fiscal Nacional - que no
existe impedimento para que los delitos de la ley N° 19.223, puedan ser objeto
de Suspensión Condicional del Procedimiento, toda vez que del análisis del
citado texto legal, estas modalidades delictivas tienen asignada pena abstracta
de simple delito.
b) que el imputado no haya sido condenado anteriormente por crimen o simple
delito. Este es un requisito que, evidentemente, debe ser analizado para el caso
concreto. En todo caso, debe tenerse claro que se refiere a condenas impuestas
por sentencias ejecutoriadas.
Los Acuerdos Reparatorios se encuentra establecido en el artículo 241 del

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 255


Código Procesal Penal, tiene como fundamento lograr la satisfacción concreta
de los intereses de la víctima , requiere un acuerdo entre el imputado y la víctima,
que será aprobado por el Juez de Garantía cuando el consentimiento de los
intervinientes hubiere sido prestado en forma libre y con pleno conocimiento
de sus derechos y, cuando los hechos investigados afectaren bienes jurídicos
disponibles de carácter patrimonial, consistieren en lesiones menos graves o
constituyeren delitos culposos. Comparto la opinión de varios autores en cuanto
a que la intervención judicial, debe vincularse al control de los requisitos de
procedencia y no al mérito de la respectiva salida alternativa . Junto con aprobar
el acuerdo reparatorio, el juez dictará sobreseimiento definitivo, total o parcial,
en la causa, con lo que se extingue, total o parcialmente, la responsabilidad
penal del imputado que lo hubiere celebrado. En este instituto, la intervención
del Ministerio Público se traduce en la facultad de manifestar u opinión respecto
de la procedencia del acuerdo reparatorio, salvo en la audiencia en que el Juez
de Garantía debe aprobar el acuerdo presentado por las partes, en la que podrá
manifestar su opinión respecto de la procedencia del acuerdo reparatorio, sea
favoreciéndolos, estudiando con detención su procedencia o conveniencia o
bien oponiéndose a su aprobación.
En el ámbito de los delitos de la ley N° 19.223, considero que el requisito de
mayor relevancia para efectos de establecer la procedencia de este instituto,
está en determinar si estos ilícitos afectan o no bienes jurídicos disponibles de
carácter patrimonial. Al respecto, debe señalar que la doctrina considera que el
bien jurídico protegido en los Delitos Informáticos es la pureza de las técnicas de
la información, pero al mismo tiempo reconocen que estos ilícitos lesionan otros
bienes jurídicos. Por lo anterior, podemos concluir que el problema consiste
en determinar si estos delitos afectan bienes jurídicos disponibles de carácter
patrimonial. Al respecto, don Mario Garrido Montt, citado en el instructivo general
N° 34 sobre criterios de actuación relativos a los acuerdos reparatorios, sostiene
que “el Código Penal, en cuanto se refiere a la propiedad, debe entenderse en
un sentido normativo muy amplio y flexible, comprensivo de aquellas relaciones
jurídicamente reconocidas por el sistema y que existen entre una persona y una
cosa, relación que le confiere a esa persona algunas facultades sobre la cosa,
que son susceptibles de apreciación económica”. Siguiendo tal posición, podría
señalar que el delito de Sabotaje Informático de los artículos 1° y 3°, podrían
afectar bienes jurídicos de carácter patrimonial, aunque de manera accesoria a
la lesión del bien jurídico pureza de la información. Por tal razón, considero que
es altamente discutible la aplicación de esta salida alternativa en los delitos de
la ley N° 19.223.

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.256


m4 |contenidos | IC

información complementaria 9

El Messenger sirvió de prueba


Por Matías Altamira

La Sala VIII de la Cámara Nacional del Trabajo convalidó el despido


dispuesto al empleado que pasaba cotizaciones a la competencia por mensajería
instantánea.
La Cámara admitió que la causa esgrimida por la empleadora como
sustento del despido ha sido acreditada y justificada. En efecto, expresa el
Camarista preopinante, de la declaración del testigo Olivera surge que resultó
testigo presencial del momento en que el actor fue echado de su lugar de trabajo
por el Sr. Brusca, y que la situación tenía relación con una conversación donde
Vidal pasó un precio que estaba cotizando una persona de la empresa, a una
empresa de la competencia, y que lo sabe porque se vió en una conversación
de messenger.
El proceder del empleado implicó la violación del deber de fidelidad, en
tanto afectó la lealtad y confianza mutua que deben primar en un contrato de
trabajo, y habilitó al empleador a considerar que esa conducta podría reiterarse;
afectando asimismo el deber de buena fe, propio también de la relación laboral.
Concluyendo revocar lo decido en grado, en relación con este aspecto, y
en su mérito rechazar la acción fundada en un despido injustificado y las
indemnizaciones y multas reclamadas por esa causa.
El sistema de comunicación que utilizaba el empleado para chatear con la
competencia era el MSN Messenger de Microsoft. Según Wikipedia, la mensajería
instantánea (conocida también en inglés como IM) requiere el uso de un cliente
informático que realiza el servicio de mensajería instantánea y se diferencia del
correo electrónico en que las conversaciones son en tiempo real. La mayoría
de los servicios ofrecen el aviso de presencia, indicando cuando un contacto
se conecta o en qué estado se encuentra, si está disponible para tener una
conversación. Permiten dejar mensajes aunque la otra parte no esté conectada y
enviar archivos de texto, imágenes y sonido. Anecdóticamente, la Real Academia
Española incorporó el verbo chatear en Junio de 2007 con el significado de
mantener una conversación mediante el uso de mensajes electrónicos.
Normalmente se cuestiona la validez probatoria de las comunicaciones
electrónicas mantenidas por las partes en conflicto, que en el caso analizado, se
reforzó con el testimonio de otro empleado que presenció lo ocurrido.
Como conclusión no solo se debe dar con el empleado infiel y con su
actividad ilícita sino también buscar todos aquellos elementos de prueba que
sirvan para reforzar a la comunicación electrónica por la que se canalizó la
deslealtad, y así se logrará que los Tribunales ratifiquen –como en este caso- la
decisión disruptiva adoptada por la patronal.

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 257


m4 |contenidos | IC

información complementaria 10

Adulteración de una base de datos de organismo nacional

Delitos informáticos. Adulteración de una base de datos de organismo


nacional. Atipicidad de la conducta. Falta de previsión legal de la base de
datos como objeto de tutela
 
 
“M. R., H. R y otros s/procesamiento” - CNCRIM Y CORREC FED
14/04/2007  
 
  “Cabe señalar que, teniendo en cuenta la imputación que pesa sobre los
encartados, esta Alzada advierte que los hechos no encuadran en la figura típica
seleccionada por la magistrado de grado (artículo 13 en función del 12 de la ley
24.769)”.
“Ello así por cuanto, más allá de la correcta adecuación de la conducta en
alguno de los verbos típicos previstos por la citada norma -lo que sólo podría
lograrse mediante la realización de algunas medidas de prueba que permitieran
demostrar que E. y D. G. “adulteraron” un registro ya existente- lo cierto es que,
como bien lo señala la defensa, el presente caso no es uno de aquellos en
los que la finalidad en la modificación o adulteración del registro o soportes
documentales o informáticos del fisco nacional, relativos a las obligaciones
tributarias o de recursos de la seguridad social, sea hecha con el propósito de
“disimular la real situación fiscal de un obligado”.
“En lo que atañe a nuestro caso en concreto, pareciera que la conducta
reprochada podría encontrarse alcanzada por las previsiones legales del artículo
117 bis (Código Penal). Sin embargo, si bien este artículo en su inciso 1° reprime
con pena de prisión de un mes a dos años al que “...insertara o hiciera insertar a
sabiendas datos falsos en un archivo de datos personales.”, no puede soslayarse
su ubicación sistemática dentro del Código Penal, por lo que si tenemos en
cuenta el bien jurídico protegido por el título la nueva figura parece limitarse sólo
a la inserción de datos falsos que disminuyan el honor. Por tal motivo, la única
interpretación adecuada del citado artículo, es la de considerar que contempla
las acciones que desacreditan o deshonran, pese a que ello no surge del texto
de la ley”.
“Por lo expuesto, es que tampoco podrá considerarse típica en los términos de
dicha norma legal, en tanto la ubicación de la figura en este título exige que la
conducta pesquisada tenga el alcance antes señalado lo que no se corrobora
en autos”.
“Por ello es que, y aún cuando la legislación ha ido incluyendo específicamente
algunos supuestos en los cuales parece asimilar un concepto al otro, tal el
caso de las citadas leyes de “Protección de Datos Personales” y de “Régimen
Penal Tributario” -art. 12 de la ley 24.769 primer supuesto en que se recepta
penalmente la protección de un documento informático de la administración
pública-, figuras que han sido descartadas a lo largo de este resolutorio,
cabe concluir que los hechos que se les imputaran no encuadran tampoco
en las previsiones del artículo 293 del Código Penal ni en ninguna otra norma
penal”.

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.258


m4 |contenidos | IC

información complementaria 11

Flamante modificación al Código Penal


Por Matías Altamira

El Congreso de la Nación aprobó el 4 de Junio pasado la modificación


al Código Penal, cuyo proyecto se denominaba “Ley de Delitos Informáticos”,
luego que la Cámara de Diputados aprobara por unanimidad el referido proyecto.
Los principales puntos tratados son: 1) Distribución y tenencia con fines
de distribución de pornografía infantil; 2) Violación de las comunicaciones
electrónicas; 3) Acceso ilegítimo a sistemas informáticos; 4) El daño informático
y distribución de virus; 5) el Daño informático agravado; y 6) La interrupción de
comunicaciones.
Se incorporó al artículo 77 “conceptos y reglas de interpretación”, las
definiciones de documento, firma, suscripción, instrumento privado y certificado,
siguiendo la línea marcada por la ley de firma digital 25.506.
Se modificó sustancialmente el artículo 128 “Difusión de imágenes y
objetos obscenos”, incorporando como hecho típico a “toda representación de
sus partes genitales (de un menor de 18 años) con fines predominantemente
sexuales”. En esta descripción se encuadran todos los dibujos animados y
representaciones computarizadas de personas menores que tengan un alto
contenido erótico.
Al tipo penal del artículo 153 “Violación de Secretos” se le incluyó entre la
descripción de los objetos que podían abrirse a las comunicaciones electrónicas,
además de las cartas, pliego cerrado, despacho telegráfico o telefónico. Que
en principio estaban contempladas por “…o de otra naturaleza”, ya que la
comunicación electrónica puede ser catalogada como un despacho de otra
naturaleza, hoy electrónica. Siguiendo esta crítica se modificó el artículo 197
“Delitos contra las comunicaciones”.
También se incorporó al artículo 153 un párrafo que penaliza al
que indebidamente intercepte o capte comunicaciones electrónicas o
telecomunicaciones provenientes de cualquier sistema privado o de acceso
restringido. Es decir, el remitente tiene que tener ese tipo de sistema de
comunicación.
Se incorpora el artículo 153 bis para reprimir al que acceda por cualquier
medio, sin la debida autorización o excediendo la que posea, a un sistema o dato
informático de acceso restringido. Aquí se incluye al “dato informático” como
elemento novedoso y que genera incógnitas sobre su alcance, ya que no fue
definido en el artículo 77.
El primer párrafo del artículo 117 incorporado por la ley de Hábeas Data,
se incluyó como inciso 3º del artículo 157 bis.
La mayoría de la doctrina considera insuficientes las modificaciones al
Código Penal, sin embargo es importante promover estas actualizaciones que
reconocen los cambios tecnológicos que hace tiempo son parte de nuestra vida
diaria.

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 259


m4 |contenidos | IC

información complementaria 12

Violación de secreto con email

VIOLACION DE SECRETO ~ CORREO ELECTRONICO ~ VIOLACION DE


CORRESPONDENCIA ~ DELITO INFORMATICO ~ DERECHO PENAL ~
EMPLEADO DE CORREOS ~ BANCO DE DATOS ~ DAÑOS Y PERJUICIOS ~
INTERVENCION DE LINEAS TELEFONICAS ~ PROTECCION DE INFORMACION
~ DELITO ~ DERECHO A LA INTIMIDAD

Título: 
Violación de secretos y privacidad. Los documentos electrónicos

Autor: 
Ghersi, Sebastián

Publicado en: 
LA LEY 03/10/2008, 1

SUMARIO: 1. Introducción. - 2. Apertura o acceso indebido de correspondencia


o correo electrónico. - 3. Apoderamiento indebido de cualquier forma de
correspondencia. - 4. Supresión o desvío de correspondencia o comunicación
electrónica. - 5. Captación o interceptación indebida de correspondencia o
correo electrónico. - 6. Develar el contenido de correspondencia o correo
electrónico a persona distinta de su autor o destinatario. - 7. La comisión
por funcionario público. - 8. El delito de los “hackers”. - 9. Los empleados de
correo público o privado: la confianza. - 10. Publicación de correspondencia
sin autorización. - 11. Develar secreto cuya divulgación cause daño. - 12.
Protección de archivos y bancos de datos.

1. Introducción

La violación de secretos resulta ser un delito de acción privada previsto en el


(1) Cfr. D’ALESSIO,
art. 153 del Código Penal y que se encuentra integrado por 5 tipos básicos (1).
André José, “Código
Penal Comentado 2. Apertura o acceso indebido de correspondencia o correo electrónico
y Anotado, Parte
Especial”, p. 359, Ed. LA Primeramente, la apertura o acceso de correspondencia que no está dirigida al
LEY, Buenos Aires, 2007. autor, es decir, que la apertura en cuestión debe ser indebida, no bastando la
ajenidad de la misma, sino que se requiere que el sujeto activo no cuente con el
permiso o la autorización de su dueño, ni exista orden judicial que lo disponga.

Por el contrario, no resulta necesario acreditar el conocimiento cierto del


contenido de la correspondencia, sino solamente su apertura o el acceso al
mensaje comprendido.

Vale decir que la redacción anterior del código contemplaba solamente la acción
típica de ‘abrir’, pero actualmente la reforma impuesta por la ley 26.388, incluyó

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.260


la de ‘acceder’, circunstancia que hace más abarcativo el tipo. Sin embargo, por
acceso, debe entenderse una acción concreta que deje expuesta irrestrictamente
para el autor el contenido de la correspondencia.

El objeto del delito puede ser una carta —papel escrito introducido en un sobre
destinado a la comunicación con otra persona—, pliego cerrado -papel escrito
doblado sobre sí mismo y cerrado-, un despacho teletipográfico —telegrama— o
(2) Cfr. BUOMPADRE, telefónico —pieza escrita en la que se asienta una comunicación telefónica— (2)
Jorge Eduardo, “Delitos o una comunicación electrónica –cualquier transferencia de datos escritos de
contra la Libertad”, una computadora o símil (teléfono celular, agenda electrónica, etc.) a otra que
pág. 188, Ed. Mave, no se efectúa en soporte de papel-. Esto último incorporado por la nueva reforma
Corrientes, 1999. cristaliza la tendencia jurisprudencial (3)que venía aceptando dicha posibilidad,
al igual que gran parte de la doctrina (4). Lo que sí resulta necesario es que el
(3) Vgr, CNCrimyCorrec, correo en cuestión, se encuentre cerrado. Para el caso del electrónico, el archivo
Sala VI, “Lanata, que lo contiene debe estarlo.
Jorge”, rta. 04/03/1999.
También se alude como objeto de la maniobra al despacho ‘de otra naturaleza’,
(4) Cfr. ROMANO pero la amplitud de este concepto indeterminado colisiona con el principio de
DUFFAU, Gustavo, máxima taxatividad, derivado del de estricta legalidad que siempre debe regir en
“Protección del materia penal.
e-mail”, en Revista del
Notariado, Vol. 866, Se trata de un delito doloso, que podría permitir el dolo eventual y que admite
pág. 309, Ed. Colegio la tentativa.
de Escribanos de la
Ciudad de Buenos Aires, 3. Apoderamiento indebido de cualquier forma de correspondencia
Buenos Aires, 2001.
El segundo de los tipos contenidos por el artículo es el apoderamiento indebido
de cualquiera de las formas de correspondencia mencionada en el acápite
anterior, aunque se añade cualquier otro papel privado, entendido éste por
cualquier manuscrito o impresión restringido al conocimiento de terceros,
siempre en soporte de papel.

El apoderamiento en cuestión puede darse por cualquier medio, mientras que


sea indebido, tanto por hurto, robo, retención indebida, apoderamiento ardidazo
e incluso apropiación de cosa perdida. Asimismo, debe darse el requisito de
ajenidad del autor, tanto porque no le pertenezca como por no estarle dirigido,
(5) Cfr. BUOMPADRE, sin que resulte relevante, en este supuesto, que se encentre abierta o cerrada o
Jorge Eduardo, “Delitos que se acceda efectivamente a su contenido.
contra la Libertad”,
pág. 191, Ed. Mave, Se trata también de un delito doloso, de dolo directo (5), que admite la tentativa.
Corrientes, 1999.
4. Supresión o desvío de correspondencia o comunicación electrónica
(6) Cfr. BUOMPADRE,
Jorge Eduardo, “Delitos La tercera de las figuras contempladas se relaciona con la supresión o desvío
contra la Libertad”, de la correspondencia de cualquier tipo, o comunicación electrónica. El sujeto
pág. 191, Ed. Mave, activo, ajeno a la correspondencia, debe sacarla de su curso, evitando así que
Corrientes, 1999. llegue a su destinatario, ya sea destruyéndola —afectando su existencia material
(6)—, borrando el archivo, ocultándola, haciendo imposible la determinación de
su destino o cambiando este permanentemente por cualquier medio. Tampoco
interesa, en este caso, que se encuentre abierta o cerrada, que se conozca su
contenido o incluso que lo tenga —por ejemplo cuando se envía un sobre vacío
en señal de contestación—.
(7) Cfr. BUOMPADRE,
Jorge Eduardo, “Delitos También requiere conocimiento y voluntad de realización, aunque admitiría el
contra la Libertad”, dolo eventual (7)y admite la tentativa.
pág. 191, Ed. Mave,
Corrientes, 1999.

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 261


5. Captación o interceptación indebida de correspondencia o correo
electrónico

En cuarto lugar, se prevé la captación o interrupción indebida, incluidas por la ley


26.388, de comunicaciones electrónicas o telecomunicaciones provenientes de
cualquier sistema de carácter privado o de acceso restringido.

Se trata del caso de quien sin ser el emisor o receptor de las comunicaciones
ni encontrándose autorizado por ellos ni por orden judicial, accediere
intencionalmente a las mismas, aun cuando no se evite la recepción por parte
del verdadero destinatario. No se requiere ningún fin específico para ello ni que
las comunicaciones sean estrictamente privadas, sino que basta con que el
acceso no sea ilimitado.

“No se requiere orden judicial por no implicar una violación a la correspondencia,


la obtención de la información si el material se encontraba publicado en un sitio
(8) CNCrimyCorrec, Sala de Internet de libre acceso” (8).
I, c. 25.846, ‘Malomo,
Enrique...’, rta. 27/06/05. Abarca este tipo las llamadas ‘pinchaduras telefónicas’ clandestinas, el acceso
no autorizado a las casillas de correo electrónico o el accionar de quien
ardidosamente falsea su identidad o alguno de sus datos para poder ingresar
a alguna sala de chat, o conferencia que restrinja de alguna forma la calidad de
sus miembros (por ejemplo: solo mujeres) y a la cual no podría haber accedido
de aportar sus datos verdaderos, posibilitándole escuchar o leer lo que allí se
ventila, aunque sin resultar necesario que efectivamente lo haga, por tratarse de
un delito de peligro.

Es también una figura dolosa que admite la tentativa, por ejemplo en el caso de
quien intenta la entrada con datos falsos y es rechazado.

6. Develar el contenido de correspondencia o correo electrónico a persona


distinta de su autor o destinatario

La última de las figuras contenidas en el nuevo art. 153 del C.P., se refiere al autor
de cualquiera de los delitos antes reseñados, que además comunicara a otro, es
decir, a un tercero, que no sea el emisor ni el destinatario o hiciera público de
alguna manera —publicación escrita, audiencia radial o televisiva, publicación
electrónica, etc.—, el contenido de una carta, escrito, despacho o comunicación
electrónica.

No se incluyeron en la redacción, esta vez, las telecomunicaciones, razón por


la cual la publicación de su contenido no será punible, dada la prohibición de
analogía en contra del imputado.

Es un delito doloso que admite la tentativa, por ejemplo, cuando se intenta


realizar una publicación y no se logra su cometido.

7. La comisión por funcionario público

Si cualquiera de los delitos reseñados fuera cometido por un funcionario público


públicos —tanto funcionarios como empleados de cualquier jerarquía de acuerdo
por lo previsto el art. 77 del C.P.— que abusa de sus funciones, o sea que debe
estar en el ejercicio de las mismas, se lo pena además con la inhabilitación
especial.

8. El delito de los *hackers*

Por otra parte la incorporación del art. 153bis del C.P., pena el accionar de los

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.262


‘hackers’, que dolosamente accedan por cualquier medio a un sistema o dato
informático de acceso restringido, sin la debida autorización o excediéndose
de la que posea. Se incluye el falseamiento u obtención con ardid de claves o
contraseñas de seguridad, o falseamiento de identidad o cualquier otra maniobra
similar capaz de lograr esos fines.

Se exige, como en el caso del artículo anterior, que el sistema o dato no sea
público o de acceso ilimitado, aunque no resulta necesario que sea estrictamente
privado, bastando con que exista cualquier tipo de condicionamiento al acceso.

La conducta se agrava cuando el acceso se realice en perjuicio de un sistema o


dato informático de un organismo estatal —de cualquier tipo aunque sea un ente
autárquico—, un proveedor de servicios públicos o de servicios financieros, que
pueden no ser del estado.

Es obviamente un tipo doloso que admite la tentativa y a pesar de omitirse su


inclusión en el art. 73 del C.P., entiendo que ello no fue adrede y que debe
considerarse de acción privada.

9. Los empleados de correo público o privado: la confianza

Como figura independiente se legisló la actuación inapropiada del empleado de


correo, teniendo en cuenta la confianza depositada en él, como principal garante
de la inviolabilidad de la correspondencia (art. 154 del C.P.), resultando por ello
un delito de acción pública y no privada como casi todas las figuras relacionadas
con la violación de secretos.

En concreto, se pena al empleado de correos o telégrafos, públicos o


privados, de cualquier jerarquía que abusando de la función específica que le
otorga su puesto, se apodera de una carta, pliego, telegrama u otra pieza de
correspondencia. Así como también, al que se imponga de su contenido, es
decir, al que acceda por cualquier medio a lo que la correspondencia refiere,
aunque no implique abrirla, como por ejemplo, viendo el contenido de la misiva
a trasluz, siempre y cuando el contenido se encuentre resguardado, dado que si
no, se presume que al emitente no le importa que sea vista.

También resulta típica la acción del empleado que entrega la correspondencia a un


tercero ajeno al intercambio o le comunica su contenido, de cualquier forma, aun
publicándolo; y quien suprime -destruye- u oculta permanente o temporalmente
—es decir se la esconde o se impide que sea vista por terceros— o el que
(9) Cfr. BUOMPADRE, cambia su texto —modificando total o parcialmente, sustituyendo un texto por
Jorge Eduardo, “Delitos otro o alterando palabras o puntuaciones que modifiquen su contenido— (9).
contra la Libertad”,
pág. 193, Ed. Mave, Debe entenderse que cada una de las acciones típicas descriptas resulta punible
Corrientes, 1999. en forma independiente y sin necesidad de que el empleado realice todas ellas
para ser perseguido. Por ello en el caso de la comunicación de su contenido o
cambio de su texto puede darse un concurso real o ideal, según el caso, con la
imposición previa del mismo, que resulta punible en sí misma. Ello no ocurrirá
así cuando la correspondencia sea abierta o no se encuentre resguardada, por
ejemplo en el caso de un telegrama.

Se trata de un delito doloso, de dolo directo (10), que admite la tentativa.


(10) Cfr. BUOMPADRE,
Jorge Eduardo, “Delitos 10. Publicación de correspondencia sin autorización
contra la Libertad”,
pág. 194, Ed. Mave, En el art. 155 del C.P. se plasma el delito de acción privada referente a la
Corrientes, 1999. publicación no autorizada de correspondencia. Concretamente contempla a

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 263


quien se encuentra en posesión de correspondencia, pero esta vez en forma
legítima, en cualquier carácter, tanto por ser el destinatario, mandatario, cadete,
etc —no así empleado de correos dado que se daría la figura de acción pública
más grave del art. 154 del C.P.—, la cual no está destinada a la publicidad —ello
puede surgir expresa o tácitamente de su contenido o puede haber sido dicho
por el emisor— y aun así la hace publicar indebidamente, o sea sin autorización
(11) Cfr. D’ALESSIO,
y sin que el autor tenga derecho a hacerlo (11), siempre que se cause o se pueda
André José, “Código
causar un perjuicio de cualquier tipo —no sólo económico— a terceros.
Penal Comentado
y Anotado”, Parte
Publicar significa dar a conocer un número indeterminado de personas, de modo
Especial, p. 367, Ed. LA
que éstas puedan llegar a tomar conocimiento real de ella (12).
LEY, Buenos Aires, 2007.
(12) Cfr. BUOMPADRE, Se trata entonces de un delito de peligro concreto, que no requiere la causación
Jorge Eduardo, “Delitos efectiva del daño, sino simplemente que la publicidad tenga entidad suficiente
contra la Libertad”, para causarlo, pero dicha posibilidad debe ser concreta.
pág. 194, Ed. Mave,
Corrientes, 1999. La reforma impuesta por la ley 26.388 (Adla, LXVIII-C, 2281), incluyó como objeto
del delito, además de la correspondencia en soporte de papel, propiamente dicha,
las comunicaciones electrónicas, pliegos cerrados, despachos teletipográfico
o telefónico o de cualquier otra naturaleza, lo cual debe interpretarse
restrictivamente.

Asimismo, la reforma referida agregó una causal que excluye la responsabilidad,


dejando impune el delito cometido con el propósito inequívoco de proteger un
interés público, como puede ocurrir, por ejemplo, con una carta en la que se da
cuenta de una futura sublevación militar. Debe considerársela como una causal
de justificación que excluye la antijuridicidad, dado que no es otra cosa que una
causa especial de estado de necesidad justificante.

Resulta ser un delito doloso en el cual el autor debe estar al tanto de la voluntad
de que la misiva no sea publicada y de la posibilidad del perjuicio y aun así
posea una inequívoca intención de publicarla. Admite la tentativa.

En ambos casos, no importa el soporte utilizado para la fijación de los datos, ya


sea papel, electrónico o auditivo, visual o audiovisual.

11. Develar secreto cuya divulgación cause daño

También resulta de acción privada el delito cometido por quien en razón de


su estado -especial condición social, de hecho o derecho-, oficio —ocupación
habitual de quien no es profesional, ni empleado ni artista—, empleo —actividad
remunerada o no que se ejerce en relación de dependencia—, profesión —
actividad que requiere para su ejercicio título habilitante— o arte —actividad
que supone la posesión de conocimiento o técnicas especiales o superiores—,
(13) Cfr. BUOMPADRE,
tuviera noticias de un secreto cuya divulgación pueda causar daño y lo revelara
Jorge Eduardo, “Delitos
injustamente (art. 156 del C.P.) (13).
contra la Libertad”,
pág. 205/6, Ed. Mave, Está claro que sólo puede ser autor del delito quien en razón de su condición
Corrientes, 1999. —y no por alguna otra circunstancia— tenga acceso al secreto en cuestión, que
puede ser, a su vez, de cualquier tipo, sí debe tratarse de una información que
(14) Cfr. BUOMPADRE, no esté al alcance del público general. Puede haber sido confiado en virtud de
Jorge Eduardo, “Delitos una relación de confianza o confidencialidad o por descubrimiento del autor. Por
contra la Libertad”, otro lado debe ser un secreto que a quien le concierne no desee rebelar y que a
pág. 201, Ed. Mave, su vez, tenga potencialmente entidad suficiente para causar un daño concreto y
Corrientes, 1999. cierto de cualquier clase, aunque no llegue a ocasionarlo efectivamente, ya que
también se trata de un delito de peligro. Por otro lado carece de relevancia que
el receptor ya conozca, por otra vía, el contenido del secreto (14).

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.264


Finalmente la revelación debe realizarse sin justa causa, por lo que quedan
excluidos los casos en los que existe obligación de denunciar o cuando se
realiza para proteger un inequívoco interés público como en el caso del art.
155 del C.P., tratándose en estos casos de causas de justificación excluyentes
de la antijuridicidad, relacionadas con el cumplimiento del deber y el estado de
necesidad justificante.

La revelación de un secreto implica descubrirlo, ponerlo de manifiesto, darlo a


conocer a una o varias personas y puede consistir en contar un secreto a un
(15) Cfr. BUOMPADRE, tercero no obligado a guardarlo, denunciar, publicar, o divulgar anónimamente
Jorge Eduardo, “Delitos de cualquier modo la información restringida. Se trata de un delito doloso, que
contra la Libertad”, admite el dolo eventual (15) y la tentativa.
pág. 201 y 207, Ed.
En el caso particular del médico que interviene en un caso de aborto, coincido
Mave, Corrientes, 1999.
con Buompadre, en cuanto a que se encuentra obligado a guardar el secreto
profesional y la realización de la denuncia o comunicación del hecho, lo hace
(16) Cfr. BUOMPADRE,
incurrir en el delito en estudio, salvo que medie justa causa para ello, dado que
Jorge Eduardo, “Delitos
en el conflicto entre la libertad individual del enfermo y la administración de
contra la Libertad”,
justicia, debe privar la primera (16).
pág. 204/5, Ed. Mave,
Corrientes, 1999. “Si el profesional del arte de curar efectuó la denuncia, ésta ha sido realizada
soslayando la obligación de guardar el secreto de la paciente, puesto que la
violación de ese deber constituyó una ilegítima afectación de su derecho a la
intimidad (art. 19 de la Constitución Nacional)” (17).
(17) CNCrim. y Correc.,
Sala IV, c. 19.383, La variante de acción pública de este delito, prevista en el art. 157 del C.P., es
‘Ferrara, Claudia la que se le imputa al funcionario público o empleado de cualquier categoría
Felisa...’, rta.4/03/03. —conforme al art. 77 del C.P.—, que revela hechos, es decir, acontecimientos
fácticos, o actuaciones —cualquier tipo de conjunto de papeles emitidos por una
autoridad—, o documentos —públicos o privados— o datos (agregado por la ley
26.388), a los cuales no necesariamente accedió por razón de su cargo, dado
que el tipo no lo exige, pero que por ley deban ser secretos.

Tampoco se exige la causación de perjuicio efectivo, dado que se trata de un tipo


de peligro abstracto, por lo que basta con la simple revelación de la información
resguardada legalmente, que puede producirse por dar noticia del secreto a
un tercero que no esté obligado a guardarlo, o por publicarlo o por divulgarlo
anónimamente de cualquier forma y por cualquier medio.

Al hacer referencia expresa el artículo a ‘la ley’, debe entenderse que la constitución
del secreto debe provenir de una ley propiamente dicha, es decir emitida por el
poder legislativo con las formalidades respectivas y no un decreto, ordenanza
o disposición administrativa, dado que se estaría ampliando indebidamente el
tipo o realizándose una interpretación in malam partem. Es un delito doloso que
admite la tentativa y su inclusión como delito de acción pública se basa en el
interés público que se ve comprometido.

12. Protección de archivos y bancos de datos

Especial protección se otorga a los archivos y bancos de datos personales,


entendidos estos últimos por cualquier almacenamiento de información
identificatoria o básica, ya sea de características, hábitos, estados o de cualquier
otra índole que tenga que ver con un conjunto determinado o no de personas
físicas o jurídicas, incluida obviamente la información financiara. Mientras que
la referencia a archivos personales no requiere pluralidad de sujetos cuya
información se acumula, bastando que se trate de datos de cualquier tipo de
un solo sujeto, tratándose por lo tanto de una relación de género y especie,

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 265


dado que los bancos de datos está compuestos por diversos archivos de datos
personales, pero no a la inversa. Tanto unos como los otros pueden ser públicos
o privados.

En este marco el art. 157bis persigue a quien en forma ilegítima o violando


sistemas de confidencialidad acceda de cualquier forma a un banco de datos
personales. Es decir que el sujeto activo no debe tener permiso ni autorización
para ello, a pesar de lo cual, mediante cualquier medio, como por ejemplo,
mediante el falseamiento o obtención ardidosa de claves o contraseñas de
seguridad, falseamiento de la identidad, apertura de un fichero restringido, etc,
accede a la información contenida en los bancos, sin resultar necesario que
tome real conocimiento del contenido, ni que lo revele, ni que se apodere de
algún documento.

Por otro lado se pena a quien revela o proporciona ilegítimamente la información


registrada en archivos o bancos de datos personales por cualquier medio,
incluso mediante su publicación, cuando estuviera obligado a guardar el secreto
por disposición de la ley (vale al respecto lo dicho en el comentario del artículo
anterior).

En este supuesto el sujeto activo tiene acceso permitido al banco o archivo, pero
no le está autorizada la divulgación por una ley.

Finalmente, la ley 26.388 incluyó en el inciso tercero del art. 157bis del C. P.,
un tipo similar al antes contenido en el inciso primero del art. 117bis del C.P.,
transformando así un delito contra el honor, en uno contra la libertad.

En la nueva versión se castiga la conducta de quien ilegítimamente inserta o


hace insertar datos en un archivo de datos personales. Lo que se pena es la
(18) Cfr. VILLADA, Jorge acción de quien no tiene autorización o excede la que posee e inserta —mediante
Luis, “Delitos Contra el cualquier medio idóneo o apto (18)—, tanto personalmente como valiéndose por
Honor”, p. 177, Ed. Nova terceros, cualquier información no contenida anteriormente en el archivo, el cual
Tesis, Rosario 2005. podrá a su vez formar parte de un banco de datos personales. A diferencia de la
anterior versión, la actual no exige que los nuevos datos que se consignan sean
(19) Cfr. VILLADA, Jorge falsos, pudiendo incluso ser veraces. No fue receptada por el nuevo artículo la
Luis, “Delitos Contra el supresión de datos, sí el cambio, dado que éste implica la inserción de datos
Honor”, p. 177, Ed. Nova nuevos.
Tesis, Rosario 2005.
Se sanciona la mera conducta, por lo que no se demanda un resultado dañoso,
(20) Cfr. VILLADA, Jorge tratándose de un delito de peligro abstracto (19. El autor puede ser un sujeto
Luis, “Delitos Contra el autorizado para tener acceso a los archivos, pero no para insertar datos. En
Honor”, p. 177, Ed. Nova todas las variantes se agrava la pena si el sujeto activo es funcionario público.
Tesis, Rosario 2005. Se exige dolo directo (20)y el tipo admite la tentativa.

(21) Cfr. D’ALESSIO, En cuanto a su investigación oficiosa, corresponde su consideración como


André José, “Código delito de acción privada, aunque no se encuentren expresamente incluidos en
Penal Comentado la enumeración del art. 73 del C.P., dado que tampoco se los excluye (21)y todo
y Anotado”, Parte parece indicar que se debe a una omisión involuntaria. En contra de esta postura,
Especial, p. 374, Ed. LA se pronuncia Villada (22).
LEY, Buenos Aires, 2007.
Especial para La Ley. Derechos reservados (Ley 11.723).
(22) Cfr. VILLADA, Jorge
Luis, “Delitos Contra el
Honor”, p. 181, Ed. Nova
Tesis, Rosario 2005

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.266


m4 |contenidos | IC

información complementaria 13

Iribarren

C. 37593 - “Iribarren, Estela J. s/sobreseimiento” - CNCCRIM Y CORREC


FED - Sala I - 11/08/2005

SUMARIOS

“Indicó el querellante que Iribarren violando los sistemas de seguridad del Banco
Central de la República Argentina, accedió directamente a los archivos, contando
para ello con la autorización del directorio de esa entidad o bien lo logró a través
de la complicidad de un empleado o funcionario del Banco Itaú que le suministró
esos datos, sabiendo tanto la nombrada como sus eventuales auxiliadores que
estaban recabando y manipulando información calificada como “secreta” por el
art. 39 de la Ley 21.526 y por ende, violatoria de la norma contenida en el art. 157
bis, inciso 1, del Código Penal, la que, además, fue revelada a terceros a través
de escrito en cuestión.”
“Este Tribunal concuerda con la decisión adoptada por el Juez de grado por
cuanto de los distintos elementos incorporados durante la instrucción no puede
inferirse que la conducta de Iribarren encuadre en las previsiones del art. 157 bis,
inciso 1, del Código Penal.”
“En efecto, repárese que, en el caso de autos se encuentra ausente el elemento
normativo del tipo objetivo exigido por la figura penal en cuestión para su
configuración. Ello así, por cuanto, no ha podido establecerse que la información
aportada por Iribarren ante la Corte Suprema de Justicia de la Nación haya sido
obtenida ilegítimamente.”
“Al comentar el tipo penal previsto y reprimido en el art. 157, inciso 1, del Código
Penal señala Jorge E. Buompadre que: “quien por cualquier medio acceda
ilegítimamente a la información almacenada en un registro de datos personales,
concretará el delito”.”
“De esta forma, teniendo en cuenta que Iribarren no formaba parte del equipo
jurídico del Banco Itaú ni se encontraba vinculada de algún modo profesional a
dicha entidad, como tampoco integraba alguna otra repartición que podría haber
tenido acceso a la información sobre los depósitos del ex Ministro de la Corte
Suprema, Adolfo Vázquez, es que no puede sostenerse, tal como lo pretende
el querellante, que la imputada haya accedido a los datos en cuestión de una
manera ilegítima.”
“Ello aunado a que acorde se desprende de la declaración de Rubén Omar
Sánchez (Jefe de Seguridad Informática del Banco Itaú), es imposible identificar
a la persona que realiza una operación de consulta en el sistema operativo de
dicha entidad bancaria (AS-400), al que, por otra parte, pueden acceder todos
los funcionarios del banco -cualquiera sea la sucursal donde se desempeñen-
que posean usuario y clave correspondiente

TEXTO COMPLETO

Buenos Aires, 11 de agosto de 2005.

Y VISTOS: Y CONSIDERANDO: Llegan las presentes actuaciones a conocimiento


y decisión del Tribunal en virtud de los recursos de apelación interpuestos por el
Agente Fiscal, Dr. Jorge Álvarez Berlanda, a fs. 121 y por el querellante, Adolfo

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 267


Roberto Vázquez, a fs. 123/4 contra la resolución de fs. 116/20 por la cual se
decretó el sobreseimiento de Estela Juana Iribarren (art. 336, inciso 3, del Código
Procesal Penal de la Nación).
La presente causa se inició a raíz de la denuncia formulada ante esta Cámara el
día 23 de diciembre de 2002 por el entonces Ministro de la Corte Suprema de
Justicia de la Nación, Adolfo Roberto Vázquez (conf. fs. 1/2).
En dicha oportunidad, el nombrado refirió que el día 20 de diciembre de 2002,
en ocasión en que se encontraba reunido junto con los restantes Ministros
de la Corte Suprema a los efectos de analizar la decisión a adoptarse en los
autos “Beratz, Mirta Ester c/P.E.N. s/amparo. Medida cautelar” (relacionados
con la pesificación de ahorros de particulares que se encontraban depositados
en casa bancarias con sede en el país), ingresó por la Mesa de Entradas de
ese Tribunal un escrito suscripto por la Dra. Estela Juana Iribarren, por medio
del cual se solicitaba que se establezca la veracidad de la información que
allí se proporcionaba -relacionada con la existencia de depósitos a plazo fijo
reprogramados a su nombre en el Banco Itau-. Así, en caso de confirmarse dicho
extremo, pidió su excusación en los autos de mención.
Más precisamente, en ese escrito se expresaba que Vázquez sería titular de
tres depósitos a plazo fijo reprogramados en la entidad bancaria recientemente
aludida, los que estarían constituidos por: 1) tres cedros de $ ... cada uno
(correspondientes a U$S ...), 2) dos cedros de $ ... cada uno (correspondientes
a U$S ...) y 3) un depósito reprogramado por la suma de ... (conf. copia de la
presentación efectuada por Iribarren de fs. 64). Al respecto, indicó el querellante
que Iribarren violando los sistemas de seguridad del Banco Central de la
República Argentina, accedió directamente a los archivos, contando para ello
con la autorización del directorio de esa entidad o bien lo logró a través de
la complicidad de un empleado o funcionario del Banco Itaú que le suministró
esos datos, sabiendo tanto la nombrada como sus eventuales auxiliadores que
estaban recabando y manipulando información calificada como “secreta” por el
art. 39 de la Ley 21.526 y por ende, violatoria de la norma contenida en el art. 157
bis, inciso 1, del Código Penal, la que, además, fue revelada a terceros a través
del escrito en cuestión.
Finalmente, expuso Vázquez que sólo dos cedros por la suma de U$S ...
(ochocientos sesenta y siete dólares), de la totalidad de los depósitos a los
que se hacía referencia en el escrito presentado por Estela Iribarren, eran de su
titularidad. Ahora bien, luego de la realización de distintas medidas probatorias, el
a quo concluyó que la actividad atribuida a la nombrada no reunía los caracteres
propios de la conducta delictiva que le fue atribuida en el escrito que dió inicio
a estos obrados, motivo por el cual dispuso su sobreseimiento de conformidad
con lo normado por el art. 336, inciso 3, del Código Procesal Penal de la Nación.
Analizadas las constancias de la causa, este Tribunal concuerda con la decisión
adoptada por Juez de grado en la resolución traída a estudio de esta alzada por
cuanto de los distintos elementos incorporados durante la instrucción no puede
inferirse que la conducta de Iribarren encuadre en las previsiones del art. 157 bis,
inciso 1, del Código Penal.
En efecto, repárese que, tal como lo indicó el magistrado de la anterior instancia,
en el caso de autos se encuentra ausente el elemento normativo del tipo objetivo
exigido por la figura penal en cuestión para su configuración. Ello así, por cuanto,
no ha podido establecerse que la información aportada por Iribarren ante la Corte
Suprema de Justicia de la Nación haya sido obtenida ilegítimamente.
Al comentar el tipo penal previsto y reprimido en el art. 157, inciso 1, del Código
Penal señala Jorge E. Buompadre que: “quien por cualquier medio acceda
ilegítimamente a la información almacenada en un registro de datos personales,
concretará el delito” (conf. Derecho Penal-Parte Especial, Mario A. Viera Editor,
Tomo I, Buenos Aires, 2003, pág. 632).
De esta forma, teniendo en cuenta que Iribarren no formaba parte del equipo

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.268


jurídico del Banco Itaú ni se encontraba vinculada de algún modo profesional
a dicha entidad (conf. informe de fs. 114), como tampoco integraba alguna otra
repartición que podría haber tenido acceso a la información sobre los depósitos
del ex Ministro de la Corte Suprema, Adolfo Vázquez (conf. declaración testimonial
de Daniel Horacio Romero de fs. 95/6), es que no puede sostenerse, tal como lo
pretende el querellante, que la imputada haya accedido a los datos en cuestión
de una manera ilegítima.
Ello aunado a que acorde se desprende de la declaración de Rubén Omar
Sánchez (Jefe de Seguridad Informática del Banco Itaú), de fs. 112, es imposible
identificar a la persona que realiza una operación de consulta en el sistema
operativo de dicha entidad bancaria (AS-400), al que, por otra parte, pueden
acceder todos los funcionarios del banco -cualquiera sea la sucursal donde se
desempeñen- que posean usuario y clave correspondiente (conf. informes del
Banco Itaú de fs. 93 y 104).
Finalmente, con relación a la propuesta de Agente Fiscal y del querellante
respecto a que hubiese sido correcto escuchar a Iribarren en los términos del
art. 294 del Código Procesal Penal de la Nación a fin de que ella misma brinde
las explicaciones sobre la fuente de los secretos revelados y de esta manera se
determine su ilegitimidad o no, este Tribunal comparte el criterio sostenido por el
Juez de grado en el auto de fs. 125 en cuanto a que la declaración indagatoria del
imputado debe ser entendida como el acto de defensa, de mayor trascendencia
en esta etapa del proceso, y como tal, no puede ser considerado como legítima
fuente de producción de prueba en perjuicio del imputado.
Por todo lo expuesto y toda vez que no existen medidas de prueba pendientes,
es que este Tribunal RESUELVE: CONFIRMAR la resolución de fs. 116/20 en
cuanto decreta el SOBRESEIMIENTO de Estela Juana Iribarren, en orden a los
hechos que le fueran imputados, de conformidad con lo normado por el art. 336,
inciso 3, del Código Procesal Penal de la Nación. Regístrese, hágase saber al
Fiscal de Cámara y devuélvase sin más trámite, debiendo el a quo practicar las
restantes notificaciones que correspondan. Sirva la presente de muy atenta nota
de envío. Fdo: Vigliani – Cavallo.
 

m4 |contenidos | IC

información complementaria 14

Reflexiones sobre los Delitos Informáticos motivadas por los desaciertos de


la Ley Chilena.
Por Rodolfo Herrera Bravo (*)
::: En DerechoTecnológico.com :::

Ponencia presentada en el X Congreso Latinoamericano y II Iberoamericano de


Derecho Penal y Criminología, celebrado en la Universidad de Chile en agosto
de 1998

En junio de 1993 entró en vigencia en Chile la Ley n°19.223, sobre delitos


informáticos, un cuerpo legal que consta de 4 artículos a partir de los cuales
señalaré algunas breves reflexiones sobre la delincuencia informática, surgidas
principalmente de los desaciertos encontrados en dicha ley. Hago presente el
número de artículos para señalar que, a diferencia de quienes ven en ello una
crítica importante, yo le resto importancia, ya que de nada sirven leyes extensas

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 269


si están mal redactadas, confunden las instituciones que deben regular, se
contradicen o sufren vacíos importantes. En esos casos, un sólo artículo bien
elaborado podría ser suficiente. Lamentablemente, ese no es el caso de la Ley
n°19.223 que, no obstante se pionera en la región al abordar expresamente el
delito informático, adolece de muchas deficiencias de forma y de fondo, que me
llevan a considerarla como desafortunada.
1.- Una primera reflexión surge en relación al concepto de delito informático.
De la relación entre delito e informática surgen dos tipos de ilícitos, los delitos
computacionales y los delitos informáticos. Cuando los delincuentes de delitos
tradicionales comienzan a utilizar como un medio específico de comisión a
las tecnologías de la información, se produce una informatización de los tipos
tradicionales, naciendo el delito computacional, que en realidad se trataría sólo
de ilícitos convencionales que ya están regulados en el Código Penal.
Sin embargo, también se crean conductas nuevas, no contempladas en los
ordenamientos penales por su especial naturaleza, lo que hace necesario crear
nuevos delitos, llamados delitos informáticos.
Es así como entendemos por delito informático a la acción típica, antijurídica
y dolosa cometida mediante el uso normal de la informática, contra el soporte
lógico o software, de un sistema de tratamiento automatizado de la información.
Por lo tanto, únicamente estaremos ante un delito informático cuando se
atenta dolosamente contra los datos digitalizados y contra los programas
computacionales contenidos en un sistema; otros casos parecidos, serán sólo
delitos computacionales que no ameritan la creación de un nuevo ilícito penal.
Al respecto, la Ley n°19.223 confunde esta distinción y trata como delito
informático a algunos delitos computacionales. Esto tiene como consecuencia,
que en esos casos en vez de actualizar el tipo tradicional contenido en el Código
Penal, -que habría sido lo correcto- crea una supuesta nueva figura. El problema
que produce es comparable con la situación de considerar como delitos distintos
el robo de una lámpara y el de una impresora, pese a que se trata de un mismo
delito.
2.- Otra idea surge en relación al bien jurídico protegido por los delitos
informáticos. En la moción presentada al Congreso se indicó que se buscaba
proteger un nuevo bien jurídico: la calidad, pureza e idoneidad de la información
en cuanto a tal, contenida en un sistema automatizado de tratamiento de la
misma y de los productos que de su operación se obtengan.
Es común observar en parte de la doctrina mucha confusión para determinar el
bien jurídico, porque no se limitan exclusivamente a los delitos informáticos, sino
que también consideran a los computacionales, que al ser delitos convencionales
ya tienen un bien jurídico específico. Por ejemplo, los atentados contra el
hardware tienen claramente como bien jurídico al patrimonio. 11
Ahora bien, como los delitos informáticos atentan contra programas
computacionales y ciertos datos, es ahí donde debemos buscar el bien jurídico.
En el caso de los datos digitalizados, no todos merecen protección penal, sólo
aquellos que sean relavantes o importantes. Ese grado de importancia puede ser
dado por la naturaleza de la información, por ejemplo, nominativa, estratégica
o económica. Por lo tanto, los delitos informáticos son pluriofensivos, afectan la
intimidad, el patrimonio, la propiedad intelectual, la seguridad, etc.
Y respecto al nuevo bien jurídico creado por la Ley n° 19.223, es discutible, porque
ni el mismo legislador lo entiende con claridad. Citando la opinión del profesor
Renato Jijena Leiva, expuesta en el VI Congreso Iberoamericano de Derecho e
Informática, fue inadecuado aludir a “la información en cuanto tal”, sin otorgarle
carga o contenido valórico, sin reparar en que no todo conjunto organizado de
datos reviste igual importancia. Él incluso observó la ambigüedad del legislador
quien durante la tramitación señaló que al legislar “no debe importar el tipo de
información sino las acciones delictuales para obtenerla”.
Agrega que, además, expresamente se dejó de lado la tutela de la intimidad

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.270


a través de una protección penal de los datos personales, indicándose que
la Ley no buscaba sancionar delitos que pudieran ser cometidos utilizando la
información que contienen los sistemas informáticos, especialmente en cuanto
afectasen la vida privada de las personas.
Pero donde se aprecia la confusión del legislador con mayor claridad es en
el hecho que, si bien se indicó a la información (en la forma incorrecta que
explicamos) como el nuevo bien jurídico, durante la tramitación se sostuvo que
“el sistema informático es un nuevo bien jurídico que se quiere proteger, el
cual difícilmente puede asimilarse a otros penalmente protegidos”. Es claro el
desconocimiento sobre la delincuencia informática, por no distinguir dentro del
sistema informático entre el hardware y el software.
3.- Sin perjuicio de que el proyecto original contemplaba penas más altas que las
contenidas en la Ley en vigor, aún consideramos que la penalidad es sumamente
elevada. Según el artículo 1, si, por ejemplo, alguien destruye dolosamente un
computador, puede recibir como castigo la pena de presidio menor en su grado
medio a máximo, es decir, puede tener desde 541 días hasta 5 años de cárcel.
En virtud del artículo 2, si un hacker, por ejemplo, ingresa indebidamente a un
sistema para conocer información sin autorización, puede recibir desde 61 días
hasta 3 años de presidio. De acuerdo al artículo 3, si alguien, por ejemplo, graba
intencionalmente un virus en un sistema, puede ser castigado desde 541 días
hasta 3 años de presidio.
Finalmente, en virtud del artículo 4, podría recibir también presidio desde 541
días hasta 3 años, un operador que dé a conocer dolosamente el contenido de la
información guardada en el sistema informático, e incluso podría alcanzar hasta
5 años si la persona es el responsable del sistema.
Sería conveniente recordar que en el proyecto original se contemplaba la
facultad del tribunal para sustituir las penas corporales por multas, expresadas
en unidades tributarias mensuales, cuando las consecuencias del delito no
fueren de especial gravedad.
El Director del Instituto de Ciencias Penales de Chile, don Carlos Kunsemuller
Loebenfelder se refirió al respecto, a través de un informe enviado al Congreso
durante la tramitación, señalando: “...consideramos muy positivo el hecho de
que se consagre la facultad del tribunal instructor de sustituir la pena... por multa,
cuando... .- Creemos que en este tipo de delitos, de caracteres muy particulares,
en cuanto al entorno cultural y socio-económico en que normalmente se habrán
de producir y a la tipología criminológica de los delincuentes, la privación de
libertad -cuya crisis es por todos reconocida- no parece ser el tipo de sanción
más adecuado, desde un punto de vista político criminal. Una pena pecuniaria
severa, bien administrada y ejecutada, a través del sistema de días-multa, por
ejemplo, con fracciones que disminuyan en forma sustancial el nivel de vida
del condenado, como asimismo, ciertas formas de trabajo obligatorio, como la
prolongación de la jornada laboral, el trabajo de fin de semana, la ejecución
controlada de determinadas actividades, destinadas a reparar el daño
ocasionado... podrían operar como alternativas que satisfarían las exigencias de
retribución, prevención general y especial, sin provocar los males tan conocidos
de la pena carcelaria”.
4.- Además, la ubicación del texto fuera del Código Penal es una desafortunada
técnica legislativa, por lo que lamento que las opiniones de algunos
parlamentarios en este mismo sentido no hayan sido escuchadas. Se hizo
presente durante la discusión de la ley, ideas tales como, que al tratarse de una
legislación codificada, la tendencia de los legisladores debería fortalecerla y no
seguir creando legislaciones penales particulares y especiales que sólo sirven
para desperdigar la normativa penal existente, lo que dificulta la labor del juez
y la defensa de los inculpados. Además, en la medida que no se incorporen los
nuevos delitos que exige la realidad social en el Código Penal, dicho cuerpo
legal quedará desadaptado a los tiempos actuales.

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 271


En definitiva, pienso que lo más adecuado habría sido tipificar en el Código
Penal los nuevos delitos que surgen del mal uso que se le da a las tecnologías
de la información y que por sus características no puedan encuadrarse dentro
de los delitos tradicionales. En el caso de los delitos computacionales, es decir,
figuras tradicionales informatizadas, no es correcto tratarlas como sinónimos de
los delitos informáticos.
Pero como muchos de estos delitos convencionales no se adaptan a las
exigencias de la sociedad de la información, se debería haber actualizado y
ampliado sus tipos en el Código Penal, por ejemplo, respecto del delito de daños
cometido contra el hardware.
5.- Dentro de las múltiples clasificaciones aportadas por la doctrina, creo que las
figuras más comúnmente aceptadas son:
a) el sabotaje informático, es decir, una acción típica, antijurídica y dolosa
destinada a destruir o inutilizar el soporte lógico de un sistema computacional,
empleando medios computacionales. Por ejemplo, introduciendo un virus
informático;
b) el fraude informático o las manipulaciones no autorizadas de datos, que
según Carlos Romeo Casabona, es la incorrecta utilización del resultado de un
procesamiento automatizado de datos, mediante la alteración en cualquiera de
las fases de su procesamiento o tratamiento informático, siempre que sea con
ánimo de lucro y en perjuicio de tercero. Por ejemplo, al ingresar datos falsos,
manipular programas computacionales con fines ilícitos, o al alterar los datos
procesados que salen por los dispositivos periféricos;
c) el espionaje informático, que consiste en obtener no autorizadamente datos
almacenados en un fichero automatizado, en virtud de lo cual se produce la
violación de la reserva o secreto de información de un sistema de tratamiento
automatizado de la misma. Por ejemplo, interceptando la información que circula
en línea a través de las líneas telefónicas;
d) la piratería informática o copia ilegal de obras digitales, que consiste en la
reproducción, plagio, distribución, comunicación, transformación, exportación o
importación de software, sin autorización, con o sin ánimo de lucro. Por ejemplo,
al grabar en el disco duro la copia de un programa sin contar con la licencia de
uso respectiva;
e) el acceso no autorizado o hacking directo, que según los autores nacionales
Marcelo Huerta y Claudio Líbano, consiste en acceder de manera indebida, sin
autorización o contra derecho a un sistema de tratamiento de la información, con
el fin de obtener una satisfacción de carácter intelectual por el desciframiento de
los códigos de acceso o passwords, no causando daños inmediatos y tangibles
en la víctima, o bien por la mera voluntad de curiosear o divertirse de su autor. Por
ejemplo, rompiendo las medidas de seguridad se logra ingresar a la información
contenida en un sistema del Gobierno o de alguna empresa.
En la Ley n° 19.223, no se contemplan las figuras de hacking directo o la de
fraude informático. Tampoco se refiere a la copia ilegal de programas, cuyo
delito se encuentra tipificado en la Ley n° 17.336, sobre Propiedad Intelectual,
específicamente en dos artículos: el artículo 79 letra a) y el artículo 80 letra b).
Es interesante mencionar que en el primer caso, se sanciona con presidio menor
en grado mínimo (desde 61 a 540 días) y multa de 5 a 50 unidades tributarias
mensuales, al que, sin estar expresamente facultado para ello, utilice obras de
dominio ajeno protegidas por la ley de propiedad intelectual, inéditas o publicadas,
en cualquiera de las formas o por cualquiera de los medios establecidos en el
artículo 18 de dicho cuerpo legal. Es decir, sólo el titular del derecho de autor del
programa o quien esté expresamente facultado (normalmente a través de una
licencia de uso) podrá utilizar la obra. En los demás casos, se incurrirá en las
sanciones mencionadas.
A mi juicio, por el tenor del artículo 79 letra a), la utilización (por ejemplo,
publicando, reproduciendo, adaptando o ejecutando públicamente la obra)

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.272


puede ser hecha a título oneroso o gratuito, sin necesidad de reportarle un
provecho al infractor, ni tampoco que éste haya tenido ánimo de lucro o intención
de perjudicar. Si a ello agregamos que no todas las formas de utilización que
establece el artículo 18 deben publicitarse al público en general (únicamente
en caso de publicar o ejecutar la obra), se sanciona como delito de copia no
autorizada al que reproduce total o parcialmente un programa, aún para fines
privados (salvo en los casos excepcionales en que la ley permite la copia sin
autorización expresa del titular).
Dicho esto, a contrario sensu, la Ley n° 19.223 contemplaría los delitos informáticos
de sabotaje y espionaje informáticos, aunque no de una forma clara. Así pues, en
el artículo 1, el inciso primero alude a los daños que se puedan cometer contra
el hardware, sea destruyéndolo o inutilizándolo, por lo que no se trataría de un
delito informático sino que de un delito de daños convencional.
Es en el artículo 3° en donde encontraríamos la figura del sabotaje informático
al sancionar al que maliciosamente altere, dañe o destruya los datos contenidos
en un sistema.
Por su parte, el espionaje informático se tipificaría en el artículo 2 y 4. En este
último caso, el tipo es demasiado amplio y no otorga contenido valórico a los
datos afectados, dando, a mi parecer, un tratamiento inadecuado.
Como este trabajo ha sido preparado para una instancia no sólo nacional,
no ahondaré en un análisis específico del articulado, por lo que me limito a
transcribir el texto para finalizar.
Artículo 1. “El que maliciosamente destruya o inutilice un sistema de tratamiento
de información o sus partes o componentes, o impida, obstaculice o modifique su
funcionamiento, sufrirá la pena de presidio menor en su grado medio a máximo.
Si como consecuencia de estas conductas se afectaren los datos contenidos
en el sistema, se aplicará la pena señalada en el inciso anterior, en su grado
máximo”.
Artículo 2. “El que con ánimo de apoderarse, usar o conocer indebidamente la
información contenida en un sistema de tratamiento de la misma, lo intercepte,
interfiera o acceda a él, será castigado con presidio menor en su grado mínimo
a medio”.
Artículo 3. “El que maliciosamente altere, dañe o destruya los datos contenidos
en un sistema de tratamiento de información, será castigado con presidio menor
en su grado medio”.
Artículo 4. “El que maliciosamente revele o difunda los datos contenidos en un
sistema de información sufrirá la pena de presidio menor en su grado medio. Si
quien incurriere en estas conductas es el responsable del sistema de información,
la pena se aumentará en un grado”.
En síntesis, el tema de la criminalidad informática presenta una complejidad
elevada, la necesidad de un estudio profundo y la creación de una regulación
adecuada, que a mi juicio, lamentablemente no ocurrió con la Ley n° 19.223, al
extremo de existir algunos profesores partidarios de su derogación. Esperamos
que los legisladores adviertan que el tema no fue bien manejado, para que
futuras leyes sobre materias de Derecho Informático se redacten correctamente.
***

Rodolfo Herrera Bravo


Abogado de la División Jurídica de la Contraloría General de la República de
Chile.
Coordinador del Boletín Hispanoamericano de Informática y Derecho.
Coautor del libro “Derecho Informático”, Editorial La Ley Ltda.
Santiago, Chile

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 273


m4 |contenidos | IC

información complementaria 15

Proveedores de Internet vs. Intercambio de Archivos


Por Matías Altamira

La Proveedora de Servicios de Internet de Estados Unidos, Comcast


Corporation, luego de ser investigada por impedir la transmisión de archivos
cambia de política y firma acuerdo con BitTorrent Inc., principal proveedora de
servicios de intercambio.
Según informa Deborah Yao de Associated Press, en Octubre pasado
los consumidores y la asociación “Net Neutrality” presentaron reclamos ante
la Comisión Federal de Comunicaciones, aduciendo que Comcast interfería
con el intercambio de archivos, al bloquear en forma secreta, los protocolos de
intercambio utilizados por BitTorrent y eDonkey, que acumulan 1/3 del tráfico de
Internet, transformándose en Juez y Policía de Internet. También se lo acusó de
impedir la transferencia de videos, actividad que compite directamente con su
televisión por cable.
Comcast, principal proveedora de TV por cable y segunda proveedora de
Internet en Estados Unidos, fundamentó su control en que si no controlaba estas
comunicaciones se saturaban las líneas de televisión por cable, donde los vecinos
comparten estos servicios. También en que la gran mayoría de los archivos son
copias ilegales y violan la propiedad intelectual de un tercero, aunque reconoció
que se estaba incrementando su uso como un medio económico de distribución
de contenidos legales, en especial, videos.
Ante estos reclamos, que no solo experimentó Comcast, las proveedoras
de Internet se han acercado a las empresas de intercambio de archivos para
coordinar acciones conjuntas que permitan mejorar ambos sistemas. Comcast
trabajará conjuntamente con BitTorrent, Verizon Communications con Pando
Networks y AT&T con otra empresa no informada todavía. Time Warner Cable,
por su parte, decidió establecer un tope máximo de transmisión, que en caso de
excederse el usuario deberá abonar un cargo extra. Similar a la idea que tuvo
Telecom años atrás y dejó sin efecto.
Las herramientas de comunicación efectivas avanzan aún con obstáculos,
y cuántas barreras se interpusieron para que el sistema P2P (Peer-to-Peer) no
prosperara, desde las Asociaciones de Músicos, Cinematográficas y también
proveedoras de Internet. Hoy se están asociando para trabajar en conjunto,
siguiendo la recomendación “si no lo vences, asóciate”, y optimizar los servicios
que cada cual brinda.
Una vez más la tecnología se presenta como una herramienta independiente,
maleable y perdurable, cuyos frutos pueden ser beneficiosos o perjudiciales
según quien sea su usuario, el que será el único responsable de sus actos,
principio concebido en el artículo 1113 de nuestro Código Civil.

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.274


m4 |contenidos | IC

información complementaria 16

Violación de Derechos de Autor en Internet


Por Matías Altamira

Desde que Internet logró difusión y aceptación mundial le ha generado a


los Derechos de Autor innumerables dolores de cabeza, especialmente porque
los especialistas en la materia no han sabido cómo manejarse en este nuevo
medio de comunicación. El Caso Google en Bélgica es un ejemplo.
El Tribunal de Primera Instancia de Bruselas ha condenado a Google News
a borrar de sus bases de datos los artículos, fotografías y gráficos que sean
propiedad de los redactores belgas en francés y alemán representados por la
sociedad Copiepresse, gestora de los derechos de editores belgas de prensa.
Con una multa de un millón de euros por día de demora.
La Secretaria General de Copiepresse, Margaret Boribon destacó que no
ha sido la intención impedir a Google el uso de los contenidos, pero sí que
se atenga a las directivas comunitarias y a las leyes de los distintos Estados
miembros de la UE que prevén que primero se pida autorización y se pague un
canon si es preciso y no como dijeron desde Google que si algo les molestaba
les avisáramos y retirarían los contenidos.
El Dr. Horacio Fernández Delpech enseña que la mayoría de las
legislaciones si bien determinan el derecho exclusivo del autor a autorizar la
reproducción de la obra, establecen limitaciones a ese derecho exclusivo como
“la copia privada para uso del copista”, admitida por España, Brasil, Colombia,
Costa Rica, Honduras, Panamá, Perú, México y Chile. Otras legislaciones en
cambio no aceptan esta excepción, tal el caso de Argentina, en donde para la
ley 11723 el copiado sin autorización, aún para uso privado, configura un ilícito
civil y penal.
El publicar una obra en un sitio de Internet – continúa – constituye un acto
de comunicación pública y de reproducción que consecuentemente requiere la
expresa autorización de su autor. De no ser así, tal incorporación es un acto
ilícito generador de responsabilidad tanto para el titular del sitio que incorpora la
obra sin esa autorización como incluso en algunos casos para los proveedores
de servicios de Internet (Proveedor de Acceso y de Hosting) que posibilitan tal
incorporación.
Es común ver sitios que arman extractos de noticias de distintos diarios para
conformar su columna periodística sin contar con las debidas autorizaciones. El
caso Google News debe llamar la atención de autores e infractores, para que
sepan que pueden defender sus derechos intelectuales aún en Internet, y los
segundos que seguramente será más económico obtener la autorización de los
titulares y afrontar multas millonarias.

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 275


m4 |contenidos | IC

información complementaria 17

Límites de Difusión de las Fallas de Seguridad Informática


Por Matías Altamira

El Tribunal Correccional de París encontró culpable al experto en seguridad


informática, Guillaume Tena, por violación a la ley de Propiedad Intelectual
francesa al haber divulgado las fallas de seguridad que presentaba el anti-virus
ViGuard, propiedad de Tegam, su antigua empleadora.
Tena, conocido como Guillermito, difundió en un newsgroup y en su página
web, los códigos fuente y las fallas del ViGuard, además de los resultados de
sus testeos para demostrar que el anti-virus genérico de Tegam no podía detener
el 100% de los virus conocidos y por conocer como promocionaba la empresa,
provocando acciones judiciales por parte de su ex empleadora. El Tribunal lo
sancionó con una multa en suspensión de 5.000 Euros, la que será abonada si
vuelve a dañar a Tegam dentro de los próximos 5 años.
Esta situación presenta varias aristas para ser analizadas. Una desde la
perspectiva laboral y el deber de confidencialidad que debe guardar un empleado
cuando cesa en sus funciones, otra desde la perspectiva de los derechos de los
consumidores a recibir información veraz, y otra desde la perspectiva comercial,
analizando si la empresa tiene algún derecho a recibir antes que los terceros
(usuarios o no) la información sobre fallas en sus productos para poder así
enmendarlos.
Desde la perspectiva laboral, nuestra ley en su artículo 85 establece que
el trabajador debe observar todos aquellos deberes de fidelidad, guardando
reserva o secreto de las informaciones a que tenga acceso y que exijan tal
comportamiento de su parte. Si bien no establece un límite temporal, el artículo
65 dice que las partes están obligadas a obrar de buena fe tanto al celebrar,
ejecutar o extinguir la relación de trabajo. Por lo que hubiera sido más adecuado
publicar que existen fallas en dicho antivirus en vez de describirlas.
Desde la perspectiva del consumidor, Guillermito podría fundamentar
su accionar en su intención altruista de proteger al usuario del antivirus,
teniendo como contrapeso el hecho de brindarle información muy sensible
a la competencia, intrusos y atacantes de la empresa. ¿Cuál derecho prima:
Propiedad Intelectual o Defensa del Consumidor?.
Desde la perspectiva comercial, y sin tener en cuenta el carácter de
ex empleado de Guillermito, ¿tiene derecho la empresa a ser la primera en
informarse por terceros de las fallas de sus sistemas, productos y servicios?
¿Podría obligarse a los terceros a que intimen a la empresa a subsanar el error
en un plazo determinado sino quedan liberados para alertar al público?.
Todas son cuestiones complicadas y más si se trata de bienes intangibles,
cuyas fallas también intangibles son publicadas en Internet.

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.276


m4 |contenidos | IC

información complementaria 18

Las Comunicaciones Electrónicas demostraron la Infidelidad


Por Matías Altamira

La Cámara Nacional del Trabajo – Sala VII resolvió que el intercambio de correos
electrónicos con la competencia genera la violación de las más elementales y
fundamentales pautas de una relación de Trabajo, agravada por su conocimiento
de los usos permitidos, y que no se violó privacidad alguna.
En los autos “Viloria, A.M. c/ Aseguradora de Créditos y Garantías S.A. s/
Despido” la Sala sostuvo que al haber remitido información respecto de las
operaciones, valores y demás datos de clientes, datos propios de la firma, y
enviados a la competencia, a cambio de una recompensa, la empleada incurrió
en una conducta injuriante y contraria a la que se espera de un dependiente,
quien debe cumplir con los deberes de lealtad y reserva impuesto por la ley (art.
85 y 88 LCT).
Mal puede invocar la actora –continúa- el haberse visto sorprendida por el
proceder de su dadora de trabajo, cuanto suscribió un documento titulado
“Cumplimiento de Seguridad Informática” que le advertía, mediante la asunción
de un compromiso de confidencialidad, acerca de la cautela y celo con el
que debía resguardar tanto la utilización de los accesos al sistema como la
información que de ellos surgiere; al respecto, es válido recordar que el art. 902
del Código Civil impone el deber de mayor diligencia cuando las circunstancias
lo impongan.
El tercer aspecto relevante surge al analizar si la privacidad del empleado fue
violada, a lo que la Cámara responde que su intimidad o privacidad no se ha
visto ultrajada ni tampoco el reclutamiento de las pruebas se realizó por una vía
ilegítima, ya que el cotejo de los registros y constancias de la información que
contenía el servidor de la empresa, en la cual –al menos en lo esperable- no
debía ser del ámbito personal de la actora sino perteneciente a la firma, mediante
una inspección limitada prudentemente a verificar las comunicaciones dirigidas
por parte de la trabajadora a otra empresa competidora (de los 940 correos
enviados por la actora se eligieron los 35 enviados al dominio “afianzadora.com.
ar”), dejó perfectamente salvaguardada su intimidad, sin que por ello se hubiera
menoscabado su esfera mas íntima ni tampoco violado su correspondencia
personal.
Esta Resolución Judicial detalla claramente los pasos que toda empresa debe
implementar: 1) Elaborar una Política de Uso de las Herramientas Informáticas;
2) Controlar el tráfico de las comunicaciones recibidas y enviadas por su
personal; y 3) En caso de duda, controlar el contenido únicamente de aquellas
comunicaciones afectadas.

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 277


m4 |contenidos | IC

información complementaria 19

Justa Causa de Despido en E-Mail Pornográficos


Por Matías Altamira*

La resolución del juez laboral Jorge Finizzola considerando justo el despido de


una empleada que usó las computadoras de su empresa para recibir y enviar
correos electrónicos de contenido pornográfico, vuelve sobre tan controvertido
tema por lo que merece su correspondiente análisis.
En términos generales, sus fundamentos fueron que el abundante material era
en su mayoría, ofensivo a la moral y buenas costumbres y que utilizó su horario
y herramienta de trabajo, pese a las indicaciones que le fueron reiteradamente
impartidas.
Esta resolución refresca una vieja discusión generada a nivel mundial sobre
los alcances de los controles, es decir, si se puede controlar el continente o el
contenido o ambas cosas, entendiéndose por conteninente, por ejemplo a quién
va dirigido, el objeto descripto, existencia de archivos adjuntos, sin detenerse en
el análisis del contenido de lo que se envía tanto en el cuerpo principal del e-mail
como en los archivos adjuntos.
Gran parte de la doctrina sostiene que el control del contenido vulnera principios
legales básicos, como son el derecho a la intimidad y a la privacidad de la
correspondencia. Por su parte, el sector empresario, encabezado por los
proveedores de servicios de Internet, argumenta que tal actividad, muchas
veces exigida por los organismos gubernamentales, generaría costos excesivos
y difíciles de trasladar a los usuarios, que por otro lado, los distraería de su
objeto principal que es brindar acceso a Internet y no controlar la actividad de
sus clientes.
En este caso puntual, el Juez se basó en el contenido de los e-mail bajo auditoría,
es decir, que fundamentándose en el contenido y trascendencia del material
difundido, justificó la causa del despido decidido por la patronal.
Por lo que, no fue el hecho de que usara el tiempo y herramientas de la empresa la
principal causal de despido, ya que fue la única dependiente despedida, cuando
seguramente de la auditoría surgió que muchos sino todos sus empleados y
directivos enviaron y recibieron correspondencia ajena a la actividad de dicha
empresa. Es decir, que los resultados se hubieran producido lo mismo si la
difusión de pornografía –conducta reprochada- se hubiera materializado en
forma impresa vía el correo interno de la empresa.
Finalmente, otro aspecto a tener en cuenta, resaltado por el juez actuante, es
que la patronal le advirtió en forma reiterada que la actividad desarrollada por la
despedida era contraria a la política empresaria vigente, por lo que el despido no
puede ser considerado intempestivo por la ex empleada.

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.278


m4 material

Material básico

Para el abordaje de la presente asignatura Usted deberá estudiar los temas


desarrollados en los contenidos de cada módulo.

Material complementario

FERNÁNDEZ DELPECH, Horacio: Internet: su problemática jurídica. Editorial


Lexis-Nexis Abeledo-Perrot. Buenos Aires, 2000.
LORENZETTI, Ricardo L: Comercio electrónico. Editorial Abeledo-Perrot. Buenos
Aires, 2001.
TOBARES CATALÁ, Gabriel H. y CASTRO ARGÜELLO, Maximiliano J.: Delitos
informáticos. Editorial Advocatus. Córdoba, 2010.

m4 actividades

m4 | actividad 1

Acuerdo de Confidencialidad

Situación:

Su Secretaria le avisa que tiene una reunión de último momento y de suma


urgencia en el Directorio de la Empresa. Llega a la reunión y le informan que se
ha filtrado la fórmula matemática que controlará el ingreso y egreso del personal
según el ADN del cabello de cada empleado, que estaba pronto a presentarse en
el Congreso Mundial de la materia. Ud. pide más información sobre los posibles
usuarios de esa información y llega a la conclusión que las posibles fugas se
pueden haber dado vía correo electrónico con los tres principales proveedores.
Pide al área de legales los Acuerdos de Confidencialidad firmados y le informan
que no los encuentran. Entonces, revisa los correos electrónicos intercambiados
y encuentra que en la última semana se intercambiaron 346; de los cuales 278
eran por temas generales; 22 eran por un evento social al que asistirían las
empresas del rubro; 35 eran por cuestiones de pagos, fiscales y administrativas;
y 11 estaban estrictamente vinculados a la fórmula en cuestión. Sigue analizando
y encuentra que todos estos e-mail contenían la leyenda “Toda la Información
intercambiada es estrictamente confidencial y secreta y no podrá ser divulgada a
terceras personas, bajo pena de acciones civiles y penales”.

El Presidente del Directorio lo cita y le pide que le informe fundadamente si la


empresa está en una posición sólida para accionar civil y penalmente como dice
la leyenda del correo electrónico contra estos proveedores involucrados.

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 279


m4 | actividad 2

Acciones Laborales

Situación:

Del análisis del caso de la Actividad anterior, donde la empresa “ADN Security
Search, Corporation” sufrió la fuga de la fórmula secreta, y su investigación
también surge que uno de los empleados de la empresa estaba involucrado en la
fuga. Al tomar conocimiento el Directorio de esta situación, le consulta a Ud. si la
información recabada puede ser utilizada sin mayores inconvenientes para echar
con causa y desprestigio público al empleado infiel. Ud., le pide al Directorio
un par de horas para presentar su dictamen, ya que quiere fundarlo en la ley
procesal y laboral vigente y necesita revisar específicamente algunos artículos.

A continuación elabore su dictamen, fundamente sus razones, qué artículos son


aplicables y cómo se debe proceder. Este dictamen no deberá superar las 800
palabras.

m4 | actividad 3

Acciones Penales

Situación:

Al elaborar su dictamen para la empresa “ADN Security Search, Corporation”,


descubre que el empleado infiel no tenía acceso autorizado a la fórmula sustraída,
que tuvo que violentar unas medidas de seguridad tanto lógicas como físicas
para acceder al archivo donde estaba almacenada la información secreta. Que
al sustraer la información, el empleado intentó eliminar todo rastro, destruyendo
también información sensible de la empresa, mediante la inserción de un virus
en la red interna de la compañía. Con esta información, Ud. consulta con un
Abogado Penalista para que lo ilustre si se ha cometido algún delito y en su caso
cuál.

A continuación, detalle en un máximo de 800 palabras cuál debería ser la


respuesta del Abogado Penalista.

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag.280


m4 glosario

Diríjase a la página 8 para leer el contenido de este glosario.

e v a l u ación

La versión impresa no incluye las actividades obligatorias (parciales). Las


mismas se encuentran disponibles directamente en la Plataforma.

EDUBP | LICENCIATURA EN GESTION DE LA SEGURIDAD |Seguridad Informática - pag. 281

You might also like