Académique Documents
Professionnel Documents
Culture Documents
o
r
I
5 TEMA
Esquema
TEMA 5 – Esquema
Sociedad de la información y comercio electrónico
2
Com unicaciones com erciales Inform ación en Contratación Firm a
La LSSI
por v ía electrónica m ateria de cookies electrónica electrónica
Aspectos Legales y Regulatorios
Ideas clave
Para estudiar este tema lee las Ideas clave que encontrarás a continuación, además de
todos los recursos que te recomendamos.
Ámbito de aplicación
Supuestos Requisitos
Obligados Obligaciones
Pueden acceder a los datos retenidos: los miembros de las Fuerzas y Cuerpos
de Seguridad; los funcionarios de la Dirección Adjunta de Vigilancia Aduanera; y
el personal del CNI.
La duda que ello plantea es los efectos que pueda tener dicha medida sobre las
regulaciones nacionales…
Para profundizar más en este tema es recomendable la lectura del interesante artículo
de Pedro de Miguel disponible en:
http://pedrodemiguelasensio.blogspot.com.es/2014/04/la-conservacion-de-datos-
relativos-las.html
o Forma permanente, fácil, directa y gratuita sobre los diferentes medios de carácter
técnico que aumenten los niveles de la seguridad de la información y permitan,
entre otros, la protección frente a virus informáticos y programas espía.
o Las medidas de seguridad que apliquen en la provisión de los mencionados
servicios.
o Las herramientas existentes para el filtrado y restricción del acceso a determinados
contenidos y servicios en Internet no deseados.
o Las posibles responsabilidades en que puedan incurrir por el uso de Internet con
fines ilícitos, en particular, para la comisión de ilícitos penales o vulneración de la
legislación de propiedad intelectual e industrial.
Régimen de responsabilidad
o Interesante son también algunas de las consideraciones que contiene otra de las
sentencias «famosas» (la relativa al caso alasbarricadas.org vs. Ramoncín, STS,
Sala de lo Civil, Sección 1ª, núm. 72/2011, de 2 de febrero) al hacer responsable al
foro por una «falta de diligencia» muy común en la red: no actualizar información
que se aporta en el registro de su dominio; no probar que el correo electrónico de
contacto que figuraba en la web fuera un medio de contacto eficaz; no contar con
un moderador u otros filtros; y que los contenidos se actualicen a diario o
semanalmente, o las características de su sistema o aplicación informática de modo
que se evite prolongar en el tiempo contenidos ilícitos.
o Beneficios para las entidades que se adhieren a ellos: generan confianza en los
usuarios; pueden aumentar sus ventas; y puede permitirles posicionarse frente a
su competencia.
o Beneficios para los usuarios: les permiten identificar a las entidades con las que
trabajar por «ser de confianza»; les proporciona confianza, tanto respecto al
tratamiento que se dará la información proporcionada como en la realización de
transacciones electrónicas o telemáticas; en caso de conflicto suelen ofrecer un
sistema de resolución sencillo y económico; y ofrece un eficaz sistema de
reclamaciones ante posibles abusos.
Sí Excepción No
Deber de información:
En cada comunicación de publicidad en la que se utilicen fuentes de acceso público
deberá informarse al afectado m ás lo establecido en el artículo 5 de la LOPD:
• Origen de los datos.
• Identidad del responsable del fichero así.
• Derecho que le asisten: acceso, rectificación, cancelación y oposición, derechos
A.R.C.O.
Sí ¡OJO! No
» Conductas sancionables:
» Cuantías:
o Muy graves. Las infracciones y sanciones muy graves prescribirán a los 3 años.
o Graves. Las infracciones y sanciones graves a los 2 años.
o Leves. Las infracciones leves prescribirán a los 6 meses. Y las sanciones leves
prescribirán al año.
o Cookies técnicas: son las que permiten al usuario la navegación a través de una
página web o aplicación y la utilización de las diferentes opciones o servicios que
en ella existan como, por ejemplo, realizar el proceso de compra de un pedido.
o Cookies de personalización: permiten al usuario acceder al servicio con algunas
características predefinidas en función de una serie de criterios en el terminal del
usuario como por ejemplo el idioma, el tipo de navegador… etc.
o Cookies de análisis: permiten al responsable, el seguimiento y análisis del
comportamiento de los usuarios de los sitios web a los que están vinculadas. Se
utiliza en la medición de la actividad de los sitios web, aplicación para la
elaboración de perfiles de navegación de los usuarios con el fin de introducir
mejoras en función del análisis del uso que hacen los usuarios del servicio.
o Cookies publicitarias: permiten la gestión de la forma más eficaz posible de los
espacios publicitarios que, en su caso, el editor haya incluido en una página web,
aplicación o plataforma desde la que presta el servicio solicitado en base a criterios
como el contenido editado o la frecuencia en la que se muestran los anuncios.
o Cookies de publicidad comportamental: permiten la gestión de los espacios
publicitarios que, en su caso, el editor haya incluido en una página web, aplicación
o plataforma desde la que presta el servicio solicitado. Almacenan información del
comportamiento de los usuarios obtenida a través de la observación continuada de
sus hábitos de navegación, lo que permite desarrollar un perfil específico para
mostrar publicidad en función del mismo.
Las cookies pueden ser usadas para gestionar el flujo de usuarios de un sitio web
y mejorar su experiencia de navegación. Pero también son herramientas con las que se
pueden llevar a cabo acciones que pueden vulnerar la privacidad del usuario mediante la
instalación de programas espías, los cuales recopilan información de un ordenador cuya
finalidad es poder conseguir información sobre los hábitos de navegación del
usuario y utilizar los datos obtenidos sin su consentimiento con fines comerciales, o
para ceder la información obtenida a una entidad externa sin el consentimiento o
conocimiento del titular de los datos.
Debe ser suficientemente completa para permitir a los usuarios entender la finalidad
para las que se instalaron y conocer los usos que se les darán.
De incumplir dicha obligación, estaríamos ante la vulneración del artículo 22.2 de la Ley
34/2002, de 11 de julio, de servicios de la sociedad de la información y comercio
electrónico. Dicha vulneración se considera una infracción grave (art 38.3) con una
pena de multa económica de 30.001 hasta 150.000 euros.
El art. 23 modula la validez y eficacia de los contratos celebrados por vía electrónica
estableciendo tres:
» Un contrato celebrado por vía electrónica es válido siempre que concurran los
siguientes requisitos. Nos remitimos a la teoría general contractual y a los
requisitos de validez contenidos en el Art. 1261 del Código Civil:
Para que un contrato celebrado por vía electrónica sea válido no es necesario el previo
acuerdo de las partes sobre la utilización de medios electrónicos. El contrato
celebrado por vía electrónica produce todos los efectos previstos en el ordenamiento
jurídico cuando concurran todos los requisitos necesarios para su validez.
» «Los contratos electrónicos se regirán por lo dispuesto en este título, por los Códigos
Civil y de Comercio y por las restantes normas civiles o mercantiles sobre contratos.
Remite a la regulación civil y mercantil como derecho supletorio, para aquello no
regulado por la propia LSSI.
El objeto es otorgar una mayor protección al consumidor y conseguir que el mismo confíe
en la contratación electrónica.
En este punto la LSSI en su art. 24 señala que «el soporte electrónico en que conste un
contrato celebrado por vía electrónica será admisible en juicio como prueba
documental». Siendo además de ello el resto de medios de prueba admitidos en el
Ordenamiento Jurídico. En cualquier caso, el medio de prueba por excelencia de este
tipo de contratos es la firma electrónica (la avanzada y la reconocida).
Será admisible como prueba documental regulado en el 384.3. LEC: «el tribunal valorará
los instrumentos a que se refiere el apartado primero de este artículo conforme a las
reglas de sana crítica aplicables a aquellos según su naturaleza». Se trata de una
documental con un valor tasado y que se somete como todas a la sana crítica del juzgador.
Como medio adicional y cualificado de prueba la LSSI establece la figura del tercero
de confianza (art 25 LSSI), permitiendo a las partes pactar que una persona (física o
jurídica) ajena al contrato:
» Archive las declaraciones de voluntad que hubieran tenido lugar por vía
telemática y que integran los contratos electrónicos en soporte informático. El archivo
será por el tiempo estipulado que, en ningún caso, será inferior a cinco años.
» Consigne la fecha y la hora en que dichas comunicaciones han tenido lugar.
El límite a su intervención son las funciones que desarrollan los notarios, corredores
de comercio, registradores u otros fedatarios públicos, a los que en ningún caso
podrán sustituir.
Para minimizar los riesgos que este tipo de contratación presenta para los
clientes/usuarios y maximizar la seguridad jurídica de la transacción, la LSSI establece
una obligación genérica de información al cliente/usuario.
Las obligaciones comunes que derivan de la presencia en Internet para las empresas con
presencia en la red, realicen o no contratación electrónica, se recogen en los art. 9 a 12
de la LSSI bajo la rúbrica de «Obligaciones y régimen de responsabilidad de los
prestadores de servicios de la sociedad de la información», y son las siguientes:
Además, las empresas que realicen contratación electrónica deberán respecto a los
usuarios:
Excepciones:
» Los contratos celebrados por vía de correo electrónico: las partes manifiestan su
consentimiento mediante el uso del lenguaje tradicional y la escritura, pero constando
su declaración de voluntad en vez de en soporte papel en soporte electrónico.
» Aquellos en los que la aceptación se manifiesta siguiendo los pasos de
contratación que encontramos en una página web en la que se van completando
formularios de pedido del producto o del servicio que se quiere contratar y aceptando,
mediante la acción de «clickear» o un icono, o en el que se incluyen expresiones como
«aceptar», «ok», «siguiente», «finalizar» o pulsar la tecla «enter».
Así como todas las combinaciones de los anteriores: contratos entre empresario y
consumidor, entre empresario y administración pública y contrato entre administración
pública y consumidor.
Asimismo, la ley procede a dar cumplimiento a lo establecido por la Sentencia del TJUE
de 14 de junio de 2012 (EDL 2012/109012), en relación con la interpretación del art. 6.1
de la Directiva 93/13/CE del Consejo, de 5 de abril de 1993, sobre las cláusulas abusivas
en los contratos celebrados con los consumidores (EDL 1993/15910) y que comporta la
modificación de la redacción del art. 83 Real Decreto-Legislativo 1/2007, de 16 de
noviembre (EDL 2007/205571) sobre la facultad que se atribuye al juez nacional de
modificar el contenido de las cláusulas abusivas que figuran en los contratos para
integrar la parte afectada por la nulidad.
o El consumidor y usuario solo quedará vinculado una vez haya firmado la oferta o
enviado su acuerdo por escrito en papel, por fax, correo electrónico o SMS. En este
sentido, la grabación sonora no servirá como prueba del consentimiento
contractual y correlativa vinculación del cliente al contrato.
» Se limita el spam o acoso telefónico. De acuerdo con la nueva regulación, las llamadas
telefónicas comerciales no podrán efectuarse antes de las 9 horas ni más tarde de las
21 horas ni en festivos o fines de semana.
» Se crean nuevos derechos:
o Derecho a recibir la factura en papel sin coste adicional.
o El tamaño de la letra de los contratos debe tener un mínimo de un milímetro y
medio y el contraste con el fondo no debe hacer difícil su lectura.
o Forma y plazos de entrega (máximo 30 días naturales).
o Riesgo de pérdida o deterioro de los bienes: serán de cuenta de la empresa todos
aquellos daños que se hayan producido antes de que le sean entregados al cliente.
» Se concede legitimación del Ministerio Fiscal para interponer una acción de cesación
en defensa de los intereses de los consumidores y usuarios. Con ello se pretende
resolver la contradicción existente entre la normativa en materia de consumo y la
procesal sobre las entidades que deben considerarse legitimadas para interponer una
acción de cesación y, a su vez, atribuir legitimación activa al Ministerio Fiscal para
ejercitar cualquier acción en defensa de intereses difusos y colectivos de
consumidores y usuarios.
En una operación de firma electrónica el remitente emplea su clave privada para firmar
y quien desee verificar que la firma es auténtica necesitará la clave pública del remitente
o firmante.
Verificación de la firma
El tercero de confianza que vincula los datos de verificación de firma a una persona o
entidad se conoce como prestador de servicios de electrónicos de confianza
(PSEC) que comprueba la identidad del solicitante del certificado mediante algún
documento presentado y firma electrónicamente el par de claves junto con los datos del
solicitante conformando el certificado.
En España, el PSEC que mayor número de certificados había emitido hasta la aparición
del DNI electrónico del que se hablará más adelante es CERES de la Fábrica Nacional de
Moneda y Timbre (FNMT - RCM). El uso más habitual del certificado era para presentar
la declaración de la Renta por Internet, aunque son muchas sus posibilidades de cara a
la administración electrónica e incluso en la banca electrónica, siendo ya varios los
bancos que los aceptan para la validación de transacciones.
La ley se creó para mitigar la desconfianza por parte de los intervinientes en las
transacciones telemáticas y, en general, en las comunicaciones lo que constituía un freno
para el desarrollo de la sociedad de la información, la administración electrónica y el
comercio electrónicos.
Por otra parte, la ley contiene las garantías que deben ser cumplidas por los dispositivos
de creación de firma para que puedan ser considerados como dispositivos
cualificados y conformar así una firma electrónica cualificada.
La ley obliga a los PSECs a efectuar una tutela y gestión permanente de los certificados
electrónicos que expiden. Los detalles de esta gestión deben recogerse en la llamada
declaración de prácticas de certificación, donde se especifican las condiciones
aplicables a la solicitud, expedición, uso, suspensión y extinción de la vigencia de los
certificados electrónicos. Los PSC están obligados a mantener accesible un servicio de
consulta sobre el estado de vigencia de los certificados en el que debe indicarse de manera
actualizada si estos están vigentes o si su vigencia ha sido suspendida o extinguida.
Entró en vigor el 1 de julio de 2016 y es de aplicación directa por los estados miembros.
La Ley 527 define y reglamenta el acceso y uso de los mensajes de datos, del comercio
electrónico y de las firmas digitales fue aprobada el 18 de agosto de 1999. Esta norma
presenta una definición para firma digital «como un valor numérico que se adhiere a un
mensaje de datos y que, utilizando un procedimiento matemático conocido vinculado a
la clave del iniciador y al texto del mensaje permite determinar que este valor se ha
obtenido exclusivamente con la clave del iniciador y que el mensaje inicial no ha sido
modificado después de efectuada la transformación».
Si bien no existe una definición explicita de firma electrónica, la Ley 527 establece que
cuando cualquier norma exija la presencia de una firma o establezca ciertas
consecuencias en ausencia de la misma en relación con un mensaje de datos, se
entenderá satisfecho dicho requerimiento si se ha utilizado un método confiable y
apropiado que permita identificar a iniciador del mensaje de datos y verificar que este
último cuenta con su aprobación. Esta descripción permite englobar lo que en términos
académicos se define como firma electrónica.
Tras la aprobación del Decreto 2364 del 22 de noviembre del 2012 mediante el cual se
reglamenta la firma electrónica en Colombia, las organizaciones públicas y privadas de
todos los tamaños y sectores pueden firmar documentos en línea con la misma validez
legal de una firma manuscrita.
» Venezuela: Ley sobre Mensajes de Datos y Firmas Electrónicas (Decreto 1024, del 10
de febrero de 2001) (Gaceta Oficial, 28 de febrero de 2001).
» México: Comercio Electrónico (Gaceta Parlamentaria, año III, número 500, miércoles
26 de abril de 2000).
» Argentina: Ley 25.506 Firma Digital del 14 de noviembre del 2001, Decreto
2628/2002 y Decreto 724/06.
» Brasil: Medida provisoria 2.200-2.
» Uruguay: Ley Nº 17.243.
Desde marzo del 2006 se emite en España un nuevo Documento Nacional de Identidad
(DNI) con un chip integrado lo que le confiere la calificación de electrónico (DNIe).
El chip de la tarjeta contiene dos certificados digitales que son los que en definitiva hacen
posible realizar tales operaciones:
Un aspecto importante de los certificados como los que contiene el DNIe es la validez de
los mismos. Esto es, que no hayan caducado ni estén revocados, por ejemplo, porque se
haya notificado una pérdida o robo del documento. En cada operación de autenticación
telemática es necesario comprobar previamente si el certificado que se pretende utilizar
está caducado o revocado. Para ello se emplean las listas de revocación de certificados
(CRL) y el protocolo OCSP.
También será necesario que estén instaladas las librerías criptográficas de la tarjeta,
genéricamente conocidas como middleware (PKCS#11 o CSP para Microsoft).
A partir de Windows 7 solo se requiere la instalación de un módulo, conocido como
cardmodule o minidriver, que está publicado en Windows Update y se instala
automáticamente a través de Internet al detectar la tarjeta insertada en el lector.
» ETSI TS 102 042: requerimientos para PSCs que emiten certificados de clave
pública.
» ETSI TS 101 456: requerimientos para PSCs que emiten certificados reconocidos.
» ETSI TS 101 862 / RFC 3739: perfil de certificado reconocido (qualified).
» CWA 14167-1 y CWA 14167-2: requerimientos de seguridad para los sistemas de
que gestionan certificados para firma electrónica. Para el hardware y software
empleados para generación par claves AC raíz y subordinadas.
» CWA 14169: dispositivos seguros de creación de firma (secure signature-creation
devices) EAL 4+
» RFC 3280: claves públicas de la AC raíz, subordinadas, perfil de certificados de
identidad y listas de revocación de certificados (CRLs).
» RFC 2560: servicio de validación (OCSP).
Cada 3 años se realiza una auditoría externa de cumplimiento de la ETSI 101 456 con
criterios CWA 14172-2.
Estas normas han sido redenominadas o reemplazadas por otras tras la entrada en vigor
del reglamento eIDAS.
Acrónimos
Lo + recomendado
No dejes de leer…
A continuación, puedes leer las preguntas frecuentes sobre la LSSI que hay publicadas
en la Secretaría de estado de telecomunicaciones y para la sociedad de la información.
+ Información
A fondo
Confianza online
Enlaces relacionados
ONTSI
Estudio sobre comercio electrónico B2C con los datos del año 2014 realizado por el
observatorio nacional de las telecomunicaciones y de la sociedad de la información.
INCIBE
Bibliografía
Soledispa, C. J., Zuña, E., & Soledispa, O. (2016). El uso de software de autenticidad de
firma electrónica en portafolios: Portafolio Digital. Ecuador: Editorial EAE.
Actividades
Se pide:
Test
7. El tercero de confianza es una figura que según la LSSI permite a las partes pactar que
una persona (física o jurídica) ajena al contrato:
A. Archive las declaraciones de voluntad que hubieran tenido lugar por vía
telemática y que integran los contratos electrónicos en soporte informático. El
archivo será por el tiempo estipulado que, en ningún caso, será inferior a cinco
años.
B. Archive las declaraciones de voluntad que hubieran tenido lugar por vía
telemática y que integran los contratos electrónicos en soporte informático. El
archivo será por el tiempo estipulado que, en ningún caso, será inferior a 10 años.
C. Archive las declaraciones de voluntad que hubieran tenido lugar por vía
telemática y que integran los contratos electrónicos en soporte informático. El
archivo será por el tiempo estipulado que, en ningún caso, será inferior a 10 años.
D. Archive las declaraciones de voluntad que hubieran tenido lugar por vía
telemática y que integran los contratos electrónicos en soporte informático. El
archivo en ningún caso será superior a 10 años.
8. ¿Cuál de los siguientes no es un beneficio de los códigos de conducta para las entidades
que se adhieren a ellos?
A. Generan confianza en los usuarios.
B. Pueden aumentar sus ventas.
C. Puede permitirles posicionarse frente a su competencia.
D. Les permiten estar exentos de probar los contratos electrónicos.