Pblico FTAA.

ecom/inf/124 14 de febrero de 2002

Marco legal peruano en comercio electrnico y algunas implicancias en la proteccin al consumidor

HUGO GALLEGOS C. Gerente General Instituto Peruano de Comercio Electrnico

Original: espaol

I. Aspectos generales de proteccin al consumidor

A. PROTECCION DEL CONSUMIDOR

Posibles amenazas que enfrentan los consumidores: Fraude y engao: el consumidor no tiene contacto directo con el productor y no puede verificar la calidad del producto ni la confiabilidad del productor. Trminos contractuales: los contratos en lnea deben contener informacin clara y precisa antes y despus de la transaccin.

Trminos contractuales: Esa informacin debe incluir la identidad legal del vendedor y su ubicacin fsica, el precio total de los bienes, disposiciones sobre la forma de pago, cualquier condicin sobre la compra, incluyendo garantas, trminos de reembolso, duracin, validez de la oferta y mecanismos para quejas y compensaciones.

Privacidad: hay facilidad para captar y difundir informacin personal. Jurisdiccin y solucin de controversias: las distancias transfronterizas generan mayores dificultades respecto al comercio al interior del pas. Problema importante para las transacciones de bajo monto.

B. PRIVACIDAD
Cuales son las posibles amenazas?:
Creciente capacidad para recolectar y distribuir informacin personal. Cotejando datos de varias fuentes se puede tener un retrato del estilo de vida de una persona. El compartir bases de datos genera el riesgo de que un error de computadora se transmita a otros antes de poder corregirse.

C. RESOLUCION DE CONFLICTOS

Constituir un instrumento de apoyo a la resolucin de conflictos ocurridos en el uso de Internet.

Apoyar el sistema de seguridad de las transacciones y comunicaciones electrnicas.

D. CONTRATACION ELECTRONICA.
Reconocer la validez de los documentos electrnicos. Permitir la manifestacin de voluntad por medios electrnicos. No debe discriminarse entre contratos en el medio fsico o por medios electrnicos. Permitir la contratacin entre ausentes. Es la base para los negocios electrnicos.

E. FIRMAS Y CERTIFICADOS DIGITALES.

Crear un equivalente funcional a la firma manuscrita. Dar seguridad a las comunicaciones y transacciones electrnicas.

 Debe garantizar los cuatro principios de la seguridad: autenticacin, integridad, confidencialidad y no repudio. No da legalidad a los contenidos ni garantiza la capacidad del agente (analizar rol del notario pblico).

II. Marco normativo peruano en comercio electrnico y su relacin con la proteccin al consumidor

A. LEY QUE PERMITE LA CONTRATACION ELECTRONICA (LEY No. 27291)

Aspectos importantes: Permite la utilizacin de medios electrnicos para la comunicacin de la manifestacin de la voluntad y la utilizacin de la firma electrnica en los casos en que la ley exige la firma. En el artculo 141 adiciona como una forma de manifestacin de voluntad el uso de medios electrnicos o anlogos (antes solo: oral, escrito o por cualquier otro medio directo). Si la ley pide una manifestacin expresa de la voluntad, sta se puede hacer de forma electrnica.

Aspectos importantes: Se acepta la contratacin entre ausentes. Para ello, si se contrata por medios electrnicos, se presumir la recepcin de la aceptacin y cualquier otra declaracin contractual dirigida a determinada persona, cuando el remitente reciba acuse de recibo. Facilitar y acelerar las negociaciones y contrataciones; y principalmente ser la base para relaciones B2B.

Aspectos importantes: En trminos de documentos electrnicos, es un avance a las microformas pues da valor jurdico a documentos en este formato. La Ley de Contratacin Electrnica ser un complemento y definir una forma cmo acoger los documentos electrnicos (acuse de recibo, backup de informacin, entre otros aspectos). Esta debe aprobarse en el transcurso del ao o inicios del prximo.

Aspectos importantes: En trminos de los consumidores, esta norma les da seguridad jurdica para hacer transacciones en lnea y donde la aceptacin se hace haciendo click en el link de ACEPTAR. Dado que se da validez jurdica a la manifestacin de voluntad por medios electrnicos, esto obliga a los consumidores a tener cuidado al avanzar o concluir transacciones en lnea puesto que despus no podran desconocerla. Los consumidores pueden usar los registros electrnicos como medio de prueba en el caso de un proceso contencioso sin que el juez pueda objetar el uso de los mismos.

B. LEY DE DELITOS INFORMATICOS (LEY NO. 27309)

Agrega artculos al Cdigo Penal (Decreto Legislativo No. 635), incorporando un Captulo sobre Delitos Informticos. Artculo 207 A.- El que indebidamente utilice o ingrese a una base de datos, sistema o red de computadoras o a cualquier parte de la misma, con el propsito de disear, ejecutar o alterar un esquema o artificio con el fin de defraudar, obtener dinero, bienes o informacin ser reprimido con pena privativa de la libertad no mayor de dos aos, o con prestacin de servicios comunitario de cincuentids a ciento cuatro jornadas. Esta ley permite penalizar a las acciones de los hackers, sniffers.

 Artculo 207 B.- El que indebidamente, interfiera, reciba, utilice, altere, dae o destruya un soporte o programa de computadora o los datos contenidos en la misma, en la base, sistema o red ser reprimido con pena privativa de la libertad no mayor de dos aos.
Esta ley permite penalizar a las acciones de los crackers y autores de virus.

 Esta norma tiene un mayor impacto en la proteccin de los sistemas de informacin de las organizaciones privadas y pblicas. Desde el punto de vista del consumidor domstico, esta norma podra protegerlo de intrusiones indebidas a la informacin de su computador cuando ste se encuentre en lnea y cuando el infractor se encuentre en la jurisdiccin nacional. Puede ser usada contra los autores de virus cuando estos sean destructivos y el autor se encuentra en la jurisdiccin nacional. Puede ser usada para evitar intrusiones no autorizadas por parte de agentes gubernamentales en procesos de investigacin.

C. LEY DE FIRMAS Y CERTIFICADOS DIGITALES (LEY No. 27269)

Componentes:
Entidades de Certificacin: Persona jurdica que presta servicios de emisin, cancelacin u otros servicios inherentes a la certificacin digital. Asimismo, puede asumir las funciones de una Entidad de Registro o Verificacin. Entidades de Registro o Verificacin: Persona natural o jurdica que se encarga del levantamiento de datos, as como de la comprobacin de los mismos respecto a un solicitante de certificado digital y cuyos servicios son empleados por las Entidades de Certificacin.

 Componentes:
Autoridad Administrativa Competente: Organismo pblico responsable de registrar a las Entidades de Certificacin y de Registro o Verificacin, de reconocer los estndares tecnolgicos aplicables en la Infraestructura Oficial de Firma Electrnica y de supervisar dicha Infraestructura, as como de las otras funciones sealadas en el presente Reglamento.

Reglamento de Firmas Digitales Consideraciones inciales

El servicio de certificacin digital a nivel mundial opera en un marco de libre competencia y se brinda en base a estndares internacionales y por medio de polticas de certificacin definidas por cada Entidad Certificadora, las mismas que estn reflejadas en sus respectivas declaraciones de Prcticas de Certificacin. En funcin de los negocios electrnicos, las firmas digitales son importantes para las relaciones empresa-consumidor, pero son fundamentales para las transacciones empresa-empresa al ser el medio para desarrollar contratos electrnicos y al crear un medio para la manifestacin de la voluntad.

 La firma digital, en su concepcin tecnolgica, da seguridad tcnica a los mensajes de datos pero ello debe estar aparejado por un marco de seguridad jurdica que lo da el reconocimiento de la validez jurdica de la firma digital en el marco de la normatividad peruana. Esa seguridad jurdica debe basarse en crear las condiciones para que la firma digital sea un equivalente funcional a la firma manuscrita y sea reconocida como medio de prueba. Debe compatibilizarse con las funciones de fe pblica en ciertos actos definidos por la normatividad vigente o cuando los agentes as lo demanden.

 Dado el carcter tecnolgico del servicio, la regulacin no debera crear una intromisin en los procesos seguidos por las entidades de certificacin para la prestacin del mismo. Lo anterior podra daar la prestacin del servicio, crear sobrecostos a los usuarios o generar barreras de entrada o de salida. La existencia de una entidad reguladora busca garantizar la continuidad en la prestacin del servicio (velando el cumplimiento de la Declaracin de Prcticas de Certificacin de cada Entidad Certificadora) y la no afectacin de los usuarios y de terceros de buena fe en comunicaciones basadas en mensajes de datos (sean o no contratos).

OBJETIVOS DEL REGLAMENTO

Definir la Infraestructura Oficial de Firma Electrnica. Generar el marco para el uso y aplicacin de las firmas digitales en el pas, dando validez y eficacia jurdica a los mensajes de datos firmados digitalmente. Permitir el uso de otro tipo de firmas electrnicas, as como de la provisin del servicio de certificacin por parte de entidades nacionales y forneas.

De la validez y efectos jurdicos de la firma electrnica

Para efectos de la manifestacin de voluntad, las firmas electrnicas aadidas o asociadas lgicamente a un mensaje de datos tienen la misma validez y eficacia jurdica que las firmas manuscritas, siempre que vinculen e identifiquen al firmante, y garanticen la autenticacin e integridad de los documentos electrnicos. Las firmas electrnicas constituyen prueba vlida en procesos judiciales y administrativos siempre que demuestren dicha equivalencia de funciones (artculo 5).

 Se presume, salvo prueba en contrario, que toda firma electrnica aadida o asociada lgicamente a un mensaje de datos y generada bajo la Infraestructura Oficial de Firma Electrnica, cumple las funciones de vincular e identificar al firmante, a la vez que garantiza la autenticacin e integridad de los documentos electrnicos (artculo 6). Luego cumple funciones respecto a la persona (garantizando su identificacin y su vinculacin para que luego no pueda repudiar) y respecto al documento electrnico.

 Las disposiciones del presente Reglamento no excluyen el cumplimiento de las formalidades adicionales requeridas por otras normas legales para la creacin de actos jurdicos; y en tal sentido, no afectan las funciones que corresponden a las personas facultadas a dar fe pblica de firmas en documentos, y a intervenir en su elevacin a documentos pblicos (artculo 8). Luego, se reconoce la labor y la accin de los notarios pblicos y de los fedatarios en aquellas actividades que el actual marco legal les define como mbito de accin.

Conceptos claves
Cmo diferenciar a las firmas electrnicas que se acogen a la ley y a su respectivo reglamento de las que estn fuera de dicho marco legal? Infraestructura Oficial de Firma Electrnica: Sistema confiable regulado y supervisado por la Autoridad Administrativa Competente, y que est constituido por programas, equipos, estndares, polticas, procedimientos u otros recursos que permiten la generacin de firmas electrnicas que vinculan e identifican al firmante y que garantizan la autenticacin e integridad de los documentos electrnicos.

 Infraestructura Oficial de Firma Digital.Infraestructura Oficial de Firma Electrnica basada en la tecnologa de firma digital y en el que participan Entidades de Certificacin y de Registro o Verificacin registradas ante la Autoridad Administrativa Competente, quien las regula y supervisa.

Infraestructura Oficial de Firma Electrnica

Infraestructura Oficinal de Firma Digital

Firma digital

Otras firmas electrnicas

Firma electrnica X

Firma electrnica Z

Firma electrnica Y

ESTRUCTURA DE LA INFRAESTRUCTURA OFICIAL DE FIRMA DIGITAL

Regulador: Autoridad Administrativa Competente Regulados: Entidades Certificadoras Entidades de Registro o Verificacn Otros: Titulares de certificados digitales (personas naturales y jurdicas)

Estructura de Relaciones
Autoridad Administrativa Competente

Entidades Certificadoras

Entidades de Registro O Verificacin

Titulares de Certificados Digitales

Autoridad Administrativa Competente

1
Entidades Certificadoras

1. Las Entidades Certificadoras se registran ante la AAC. Le provee facilidades para la auditora. 2. La AAC registra a las EC y supervisa el cumplimiento de su Declaracin de Prcticas de Certificacin.

Autoridad Administrativa Competente

Entidades de Registro O Verificacin

3. Las ERV se registran ante la AAC y provee facilidades para su supervisin. 4. La AAC registra y supervisa a las ERV.

5 Entidades Certificadoras 6 Entidades de Registro O Verificacin

Previa relacin contractual de outsourcing entre una(s) Entidad Certificadora con una(s) ERV.

5. La EC delega la funcin de anlisis de la informacin de los solicitantes a la ERV.

6. La ERV verifica y valida la informacin de un solicitante y luego seala la emisin de un certificado digital a la EC.

Entidades Certificadoras 7

Entidades de Registro O Verificacin 8 Titulares de Certificados Digitales

7. El solicitante va a una EC o una ERV a solicitar la emisin de un certificado digital. Brinda informacin fidedigna. 8. La EC directamente o por medio de una ERV verifica y valida la informacin del solicitante. Se le emite el certificado digital.

 Cmo generar un marco de titularidad que considere los aspectos de representacin y poderes propios de las personas jurdicas?
Objetivos de la diferenciacin entre titular del certificado y de la firma digital: Generar un marco para las personas naturales. Generar un marco para la personas jurdicas que considere la propiedad de los certificados digitales por parte de las mismas y, de otro lado, les d la administracin de los mismos para poder responder a los cambios que puedan haber en los poderes de sus representantes legales para no quedar a merced de stos.

 Titular de certificado digital.- Persona a quien se le atribuye de manera exclusiva un certificado digital. Titular de firma digital.- Persona natural a quien se le vincula de manera exclusiva con un mensaje de datos firmado digitalmente utilizando su clave privada. Por excepcin, en el caso de firmas digitales generadas a travs de agentes automatizados, se considera titular de la firma digital a la persona natural o jurdica titular del certificado digital a partir del cual se generan dichas firmas digitales.

 La American Bar Association (ABA) usa una distincin similar: ABA Propuesta peruana

Suscriptor = Titular del certificado digital Signatario = Titular de la firma digital

Del Titular de la Firma Digital

Dentro de la Infraestructura Oficial de Firma Digital, la responsabilidad sobre los efectos jurdicos que se generen al utilizar una firma digital corresponden al titular del certificado digital.

Persona Natural
Titular del certificado digital Titular de la firma digital El mismo

Persona Jurdica
La misma

El mismo; an

en casos de usar agentes automatizados.

Los representantes debidamente acreditados quienes, adems, generan las claves privadas de los certificados digitales (salvo en el caso de agentes automatizados).

Del Certificado Digital

Aspecto Persona Natural Persona Jurdica

Solicitante del certificado digital

Por medio de representantes legales debidamente acreditados. Requisitos Tener plena Estar para ser titular capacidad de debidamente de un ejercicio de sus inscrita en certificado derechos Registros digital civiles. Pblicos.

Estrictamente personal.

 En el caso de personas jurdicas, debe estar claramente especificado, en cada caso, quien ser el representante que generar y usar la clave privada (el titular de la firma digital); as como las atribuciones y los poderes de representacin correspondientes.

De la Autoridad Administrativa Competente

Hay que conjugar la regulacin de los servicios de certificacin digital con la realidad tecnolgica, no poniendo requisitos de regulacin que puedan interferir o perturbar los mismos servicios de certificacin. La regulacin debe estar en capacidad de regular el mercado sin generar barreras de entrada a la competencia extranjera.

 La Autoridad Administrativa Competente tiene las siguientes funciones:

Registrar Entidades de Certificacin. Registrar Entidades de Registro o Verificacin. Supervisar a las Entidades de Certificacin y de Registro o Verificacin registradas, estableciendo de ser el caso las sanciones correspondientes. Cancelar los registros otorgados a las Entidades de Certificacin y de Registro o Verificacin conforme a lo dispuesto en el presente Reglamento. Publicar permanente e ininterrumpidamente la relacin de Entidades registradas. Aprobar el empleo de estndares tcnicos internacionales dentro de la Infraestructura Oficial de Firma Electrnica y determinar la compatibilidad de otros estndares tcnicos con los estndares internacionales.

 La Autoridad Administrativa Competente tiene las siguientes funciones:

Establecer los requisitos mnimos para la prestacin de los servicios de certificacin y de registro o verificacin que informen las polticas y procedimientos de las entidades registradas. Definir los criterios para evaluar la suficiencia del respaldo financiero con el que deben contar las entidades registradas. Aprobar la utilizacin de otras tecnologas de firmas electrnicas distintas a las firmas digitales, previa verificacin del cumplimiento de los requisitos establecidos en el artculo 2 de la Ley y regular su utilizacin al interior de una Infraestructura Oficial de Firma Electrnica. Suscribir Acuerdos de Reconocimiento Mutuo con autoridades administrativas extranjeras que cumplan funciones similares, a efectos de reconocer certificados digitales emitidos por entidades de certificacin extranjeras.

 La Autoridad Administrativa Competente definir el procedimiento y los plazos en que se dar el proceso de registro. La Autoridad debe garantizar un procedimiento que permita la subsanacin de las observaciones que se den duramente el proceso de registro. El registro ser por un perodo de 10 aos renovables. Durante ese perodo realizar inspecciones anuales. Podr aceptar las evaluaciones hechas en el extranjero siempre que las calificaciones estn bajo condiciones equivalentes a las realizadas en el pas. Los costos del registro sern asumidos por las entidades solicitantes del registro.

LEY Y REGLAMENTO DE FIRMAS Y CERTIFICADOS DIGITALES Y SU RELACION CON EL CONSUMIDOR

Bajo el principio de autenticacin, el consumidor que usa una firma digital puede ser identificado de una manera ms clara en sus transacciones en la Internet. Y, al transar con empresas que las usan igualmente, ste puede sentirse ms seguro en el marco de sus transacciones. Bajo los principios de integridad y no repudio, ambas partes no pueden desconocer lo actuado en el transcurso de una transaccin que ha usado firmas digitales por una o ambas partes.

 Se debe considerar que el uso de la firma digital se convierte en una forma explcita de la manifestacin de voluntad por medios electrnicos al ser el equivalente funcional a la firma manuscrita. Por lo anterior, la firma digital puede ser usada como medio de prueba inmediata en procesos contenciosos siempre y cuando sta est comprendida en el marco de la Infraestructura Oficial de Firma Digital. En caso de caso de no estarlo, el juez no puede rechazarla aunque puede pedir pruebas complementarias.

 As, al garantizar la identidad de las partes. Las manifestaciones de voluntad y el intercambio de informacin ocurrido entre stas, el consumidor puede usar lo actuado en un proceso de defensa del consumidor dentro del marco de la ley respectiva. El marco normativo protege al consumidor en su relacin con las entidades participantes dentro de la Infraestructura Oficial de Firma Digital al definir las obligaciones de las mismas, pero, a su vez, le genera una serie de obligaciones que ste debe cumplir a su vez.

Muchas gracias. Hugo Gallegos Gerente General IPCE hgallegos@ipce.org.pe