Público FTAA.ecom/inf/124 14 de febrero de 2002 Original: español Marco legal peruano en comercio electrónico y algunas implicancias en la protección al consumidor HUGO GALLEGOS C. Gerente General Instituto Peruano de Comercio Electrónico

I. Aspectos generales de protección al consumidor

A. PROTECCION DEL CONSUMIDOR Posibles amenazas que enfrentan los consumidores: Fraude y engaño: el consumidor no tiene contacto directo con el productor y no puede verificar la calidad del producto ni la confiabilidad del productor. Términos contractuales: los contratos en línea deben contener información clara y precisa antes y después de la transacción.

Términos contractuales: Esa información debe incluir la identidad legal del vendedor y su ubicación física, el precio total de los bienes, disposiciones sobre la forma de pago, cualquier condición sobre la compra, incluyendo garantías, términos de reembolso, duración, validez de la oferta y mecanismos para quejas y compensaciones.

Privacidad: hay facilidad para captar y difundir información personal. Jurisdicción y solución de controversias: las distancias transfronterizas generan mayores dificultades respecto al comercio al interior del país. Problema importante para las transacciones de bajo monto.

B. PRIVACIDAD ¿Cuales son las posibles amenazas?: Creciente capacidad para recolectar y distribuir información personal. Cotejando datos de varias fuentes se puede tener un retrato del estilo de vida de una persona. El compartir bases de datos genera el riesgo de que un error de computadora se transmita a otros antes de poder corregirse.

C. RESOLUCION DE CONFLICTOS Constituir un instrumento de apoyo a la resolución de conflictos ocurridos en el uso de Internet. Apoyar el sistema de seguridad de las transacciones y comunicaciones electrónicas.

D. CONTRATACION ELECTRONICA. Reconocer la validez de los documentos electrónicos. Permitir la manifestación de voluntad por medios electrónicos. No debe discriminarse entre contratos en el medio físico o por medios electrónicos. Permitir la contratación entre ausentes. Es la base para los negocios electrónicos.

E. FIRMAS Y CERTIFICADOS DIGITALES. Crear un equivalente funcional a la firma manuscrita. Dar seguridad a las comunicaciones y transacciones electrónicas.

Debe garantizar los cuatro principios de la seguridad: autenticación, integridad, confidencialidad y no repudio. No da legalidad a los contenidos ni garantiza la capacidad del agente (analizar rol del notario público).

II. Marco normativo peruano en comercio electrónico y su relación con la protección al consumidor

A. LEY QUE PERMITE LA CONTRATACION ELECTRONICA (LEY No. 27291) Aspectos importantes: Permite la utilización de medios electrónicos para la comunicación de la manifestación de la voluntad y la utilización de la firma electrónica en los casos en que la ley exige la firma. En el artículo 141 adiciona como una forma de manifestación de voluntad el uso de medios electrónicos o análogos (antes solo: oral, escrito o por cualquier otro medio directo). Si la ley pide una manifestación expresa de la voluntad, ésta se puede hacer de forma electrónica.

Aspectos importantes: Se acepta la contratación entre ausentes. Para ello, si se contrata por medios electrónicos, se presumirá la recepción de la aceptación y cualquier otra declaración contractual dirigida a determinada persona, cuando el remitente reciba acuse de recibo. Facilitará y acelerará las negociaciones y contrataciones; y principalmente será la base para relaciones B2B.

Aspectos importantes: En términos de documentos electrónicos, es un avance a las microformas pues da valor jurídico a documentos en este formato. La Ley de Contratación Electrónica será un complemento y definirá una forma cómo acoger los documentos electrónicos (acuse de recibo, backup de información, entre otros aspectos). Esta debe aprobarse en el transcurso del año o inicios del próximo.

Aspectos importantes: En términos de los consumidores, esta norma les da seguridad jurídica para hacer transacciones en línea y donde la aceptación se hace haciendo click en el link de ACEPTAR. Dado que se da validez jurídica a la manifestación de voluntad por medios electrónicos, esto obliga a los consumidores a tener cuidado al avanzar o concluir transacciones en línea puesto que después no podrían desconocerla. Los consumidores pueden usar los registros electrónicos como medio de prueba en el caso de un proceso contencioso sin que el juez pueda objetar el uso de los mismos.

B. LEY DE DELITOS INFORMATICOS (LEY NO. 27309) Agrega artículos al Código Penal (Decreto Legislativo No. 635), incorporando un Capítulo sobre Delitos Informáticos. Artículo 207 A.-  El que indebidamente utilice o ingrese a una base de datos, sistema o red de computadoras o a cualquier parte de la misma, con el propósito  de  diseñar, ejecutar  o alterar un  esquema o artificio con el fin de defraudar, obtener dinero, bienes o información será reprimido con pena privativa de la libertad no mayor de dos años, o con prestación de servicios comunitario de cincuentidós a ciento cuatro jornadas. Esta ley permite penalizar a las acciones de los hackers, sniffers.

Artículo 207 B.- El que indebidamente, interfiera, reciba, utilice, altere, dañe o destruya un soporte o programa de computadora o los datos contenidos en la misma, en la base, sistema o red será reprimido con pena privativa de la libertad no mayor de dos años. Esta ley permite penalizar a las acciones de los crackers y autores de virus.

Esta norma tiene un mayor impacto en la protección de los sistemas de información de las organizaciones privadas y públicas. Desde el punto de vista del consumidor doméstico, esta norma podría protegerlo de intrusiones indebidas a la información de su computador cuando éste se encuentre en línea y cuando el infractor se encuentre en la jurisdicción nacional. Puede ser usada contra los autores de virus cuando estos sean destructivos y el autor se encuentra en la jurisdicción nacional. Puede ser usada para evitar intrusiones no autorizadas por parte de agentes gubernamentales en procesos de investigación.

C. LEY DE FIRMAS Y CERTIFICADOS DIGITALES (LEY No. 27269) Componentes: Entidades de Certificación: Persona jurídica que presta servicios de emisión, cancelación u otros servicios inherentes a la certificación digital. Asimismo, puede asumir las funciones de una Entidad de Registro o Verificación. Entidades de Registro o Verificación: Persona natural o jurídica que se encarga del levantamiento de datos, así como de la comprobación de los mismos respecto a un solicitante de certificado digital y cuyos servicios son empleados por las Entidades de Certificación.

Componentes: Autoridad Administrativa Competente: Organismo público responsable de registrar a las Entidades de Certificación y de Registro o Verificación, de reconocer los estándares tecnológicos aplicables en la Infraestructura Oficial de Firma Electrónica y de supervisar dicha Infraestructura, así como de las otras funciones señaladas en el presente Reglamento.

Reglamento de Firmas Digitales – Consideraciones inciales El servicio de certificación digital a nivel mundial opera en un marco de libre competencia y se brinda en base a estándares internacionales y por medio de políticas de certificación definidas por cada Entidad Certificadora, las mismas que están reflejadas en sus respectivas declaraciones de Prácticas de Certificación. En función de los negocios electrónicos, las firmas digitales son importantes para las relaciones empresa-consumidor, pero son fundamentales para las transacciones empresa-empresa al ser el medio para desarrollar contratos electrónicos y al crear un medio para la manifestación de la voluntad.

La firma digital, en su concepción tecnológica, da seguridad técnica a los mensajes de datos pero ello debe estar aparejado por un marco de seguridad jurídica que lo da el reconocimiento de la validez jurídica de la firma digital en el marco de la normatividad peruana. Esa seguridad jurídica debe basarse en crear las condiciones para que la firma digital sea un equivalente funcional a la firma manuscrita y sea reconocida como medio de prueba. Debe compatibilizarse con las funciones de fe pública en ciertos actos definidos por la normatividad vigente o cuando los agentes así lo demanden.

Dado el carácter tecnológico del servicio, la regulación no debería crear una intromisión en los procesos seguidos por las entidades de certificación para la prestación del mismo. Lo anterior podría dañar la prestación del servicio, crear sobrecostos a los usuarios o generar barreras de entrada o de salida. La existencia de una entidad reguladora busca garantizar la continuidad en la prestación del servicio (velando el cumplimiento de la Declaración de Prácticas de Certificación de cada Entidad Certificadora) y la no afectación de los usuarios y de terceros de buena fe en comunicaciones basadas en mensajes de datos (sean o no contratos).

OBJETIVOS DEL REGLAMENTO Definir la Infraestructura Oficial de Firma Electrónica. Generar el marco para el uso y aplicación de las firmas digitales en el país, dando validez y eficacia jurídica a los mensajes de datos firmados digitalmente. Permitir el uso de otro tipo de firmas electrónicas, así como de la provisión del servicio de certificación por parte de entidades nacionales y foráneas.

De la validez y efectos jurídicos de la firma electrónica Para efectos de la manifestación de voluntad, las firmas electrónicas añadidas o asociadas lógicamente a un mensaje de datos tienen la misma validez y eficacia jurídica que las firmas manuscritas, siempre que vinculen e identifiquen al firmante, y garanticen la autenticación e integridad de los documentos electrónicos. Las firmas electrónicas constituyen prueba válida en procesos judiciales y administrativos siempre que demuestren dicha equivalencia de funciones (artículo 5).

Se presume, salvo prueba en contrario, que toda firma electrónica añadida o asociada lógicamente a un mensaje de datos y generada bajo la Infraestructura Oficial de Firma Electrónica, cumple las funciones de vincular e identificar al firmante, a la vez que garantiza la autenticación e integridad de los documentos electrónicos (artículo 6). Luego cumple funciones respecto a la persona (garantizando su identificación y su vinculación para que luego no pueda repudiar) y respecto al documento electrónico.

Las disposiciones del presente Reglamento no excluyen el cumplimiento de las formalidades adicionales requeridas por otras normas legales para la creación de actos jurídicos; y en tal sentido, no afectan las funciones que corresponden a las personas facultadas a dar fe pública de firmas en documentos, y a intervenir en su elevación a documentos públicos (artículo 8). Luego, se reconoce la labor y la acción de los notarios públicos y de los fedatarios en aquellas actividades que el actual marco legal les define como ámbito de acción.

Conceptos claves ¿Cómo diferenciar a las firmas electrónicas que se acogen a la ley y a su respectivo reglamento de las que están fuera de dicho marco legal? Infraestructura Oficial de Firma Electrónica: Sistema confiable regulado y supervisado por la Autoridad Administrativa Competente, y que está constituido por programas, equipos, estándares, políticas, procedimientos u otros recursos que permiten la generación de firmas electrónicas que vinculan e identifican al firmante y que garantizan la autenticación e integridad de los documentos electrónicos.

Infraestructura Oficial de Firma Digital Infraestructura Oficial de Firma Digital.- Infraestructura Oficial de Firma Electrónica basada en la tecnología de firma digital y en el que participan Entidades de Certificación y de Registro o Verificación registradas ante la Autoridad Administrativa Competente, quien las regula y supervisa.

Infraestructura Oficial de Firma Electrónica Otras firmas electróni-cas Infraestructura Oficinal de Firma Digital Firma digital Firma electróni-ca X Firma electróni-ca Y Firma electróni-ca Z

ESTRUCTURA DE LA INFRAESTRUCTURA OFICIAL DE FIRMA DIGITAL Regulador: Autoridad Administrativa Competente Regulados: Entidades Certificadoras Entidades de Registro o Verificacíón Otros: Titulares de certificados digitales (personas naturales y jurídicas)

Autoridad Administrativa Estructura de Relaciones Autoridad Administrativa Competente Entidades Certificadoras Entidades de Registro O Verificación Titulares de Certificados Digitales

Autoridad Administrativa Competente 1 2 Entidades Certificadoras Las Entidades Certificadoras se registran ante la AAC. Le provee facilidades para la auditoría. 2. La AAC registra a las EC y supervisa el cumplimiento de su Declaración de Prácticas de Certificación.

Autoridad Administrativa Competente 4 3 Entidades de Registro O Verificación 3. Las ERV se registran ante la AAC y provee facilidades para su supervisión. 4. La AAC registra y supervisa a las ERV.

5 Entidades Certificadoras Entidades de Registro O Verificación 6 Previa relación contractual de outsourcing entre una(s) Entidad Certificadora con una(s) ERV. 5. La EC delega la función de análisis de la información de los solicitantes a la ERV. 6. La ERV verifica y valida la información de un solicitante y luego señala la emisión de un certificado digital a la EC.

Entidades Certificadoras Entidades de Registro O Verificación 7 8 Titulares de Certificados Digitales 7. El solicitante va a una EC o una ERV a solicitar la emisión de un certificado digital. Brinda información fidedigna. 8. La EC directamente o por medio de una ERV verifica y valida la información del solicitante. Se le emite el certificado digital.

¿Cómo generar un marco de titularidad que considere los aspectos de representación y poderes propios de las personas jurídicas? Objetivos de la diferenciación entre titular del certificado y de la firma digital: Generar un marco para las personas naturales. Generar un marco para la personas jurídicas que considere la propiedad de los certificados digitales por parte de las mismas y, de otro lado, les dé la administración de los mismos para poder responder a los cambios que puedan haber en los poderes de sus representantes legales para no quedar a merced de éstos.

Titular de certificado digital Titular de certificado digital.- Persona a quien se le atribuye de manera exclusiva un certificado digital. Titular de firma digital.- Persona natural a quien se le vincula de manera exclusiva con un mensaje de datos firmado digitalmente utilizando su clave privada. Por excepción, en el caso de firmas digitales generadas a través de agentes automatizados, se considera titular de la firma digital a la persona natural o jurídica titular del certificado digital a partir del cual se generan dichas firmas digitales.

La American Bar Association (ABA) usa una distinción similar: ABA Propuesta peruana Suscriptor = Titular del certificado digital Signatario = Titular de la firma digital

Del Titular de la Firma Digital Dentro de la Infraestructura Oficial de Firma Digital, la responsabilidad sobre los efectos jurídicos que se generen al utilizar una firma digital corresponden al titular del certificado digital.

Persona Natural Persona Jurídica Titular del certificado digital El mismo La misma Titular de la firma digital El mismo; aún en casos de usar agentes automatizados. Los representantes debidamente acreditados quienes, además, generan las claves privadas de los certificados digitales (salvo en el caso de agentes automatizados). .

Del Certificado Digital Aspecto Persona Natural Persona Jurídica Solicitante del certificado digital Estrictamente personal. Por medio de representantes legales debidamente acreditados. Requisitos para ser titular de un certificado digital Tener plena capacidad de ejercicio de sus derechos civiles. Estar debidamente inscrita en Registros Públicos.

En el caso de personas jurídicas, debe estar claramente especificado, en cada caso, quien será el representante que generará y usará la clave privada (el titular de la firma digital); así como las atribuciones y los poderes de representación correspondientes.

De la Autoridad Administrativa Competente Hay que conjugar la regulación de los servicios de certificación digital con la realidad tecnológica, no poniendo requisitos de regulación que puedan interferir o perturbar los mismos servicios de certificación. La regulación debe estar en capacidad de regular el mercado sin generar barreras de entrada a la competencia extranjera.

La Autoridad Administrativa Competente tiene las siguientes funciones: Registrar Entidades de Certificación. Registrar Entidades de Registro o Verificación. Supervisar a las Entidades de Certificación y de Registro o Verificación registradas, estableciendo de ser el caso las sanciones correspondientes. Cancelar los registros otorgados a las Entidades de Certificación y de Registro o Verificación conforme a lo dispuesto en el presente Reglamento. Publicar permanente e ininterrumpidamente la relación de Entidades registradas. Aprobar el empleo de estándares técnicos internacionales dentro de la Infraestructura Oficial de Firma Electrónica y determinar la compatibilidad de otros estándares técnicos con los estándares internacionales.

La Autoridad Administrativa Competente tiene las siguientes funciones: Establecer los requisitos mínimos para la prestación de los servicios de certificación y de registro o verificación que informen las políticas y procedimientos de las entidades registradas. Definir los criterios para evaluar la suficiencia del respaldo financiero con el que deben contar las entidades registradas. Aprobar la utilización de otras tecnologías de firmas electrónicas distintas a las firmas digitales, previa verificación del cumplimiento de los requisitos establecidos en el artículo 2º de la Ley y regular su utilización al interior de una Infraestructura Oficial de Firma Electrónica. Suscribir Acuerdos de Reconocimiento Mutuo con autoridades administrativas extranjeras que cumplan funciones similares, a efectos de reconocer certificados digitales emitidos por entidades de certificación extranjeras.

La Autoridad Administrativa Competente definirá el procedimiento y los plazos en que se dará el proceso de registro. La Autoridad debe garantizar un procedimiento que permita la subsanación de las observaciones que se den duramente el proceso de registro. El registro será por un período de 10 años renovables. Durante ese período realizará inspecciones anuales. Podrá aceptar las evaluaciones hechas en el extranjero siempre que las calificaciones estén bajo condiciones equivalentes a las realizadas en el país. Los costos del registro serán asumidos por las entidades solicitantes del registro.

LEY Y REGLAMENTO DE FIRMAS Y CERTIFICADOS DIGITALES Y SU RELACION CON EL CONSUMIDOR Bajo el principio de autenticación, el consumidor que usa una firma digital puede ser identificado de una manera más clara en sus transacciones en la Internet. Y, al transar con empresas que las usan igualmente, éste puede sentirse más seguro en el marco de sus transacciones. Bajo los principios de integridad y no repudio, ambas partes no pueden desconocer lo actuado en el transcurso de una transacción que ha usado firmas digitales por una o ambas partes.

Se debe considerar que el uso de la firma digital se convierte en una forma explícita de la manifestación de voluntad por medios electrónicos al ser el equivalente funcional a la firma manuscrita. Por lo anterior, la firma digital puede ser usada como medio de prueba inmediata en procesos contenciosos siempre y cuando ésta esté comprendida en el marco de la Infraestructura Oficial de Firma Digital. En caso de caso de no estarlo, el juez no puede rechazarla aunque puede pedir pruebas complementarias.

Así, al garantizar la identidad de las partes Así, al garantizar la identidad de las partes. Las manifestaciones de voluntad y el intercambio de información ocurrido entre éstas, el consumidor puede usar lo actuado en un proceso de defensa del consumidor dentro del marco de la ley respectiva. El marco normativo protege al consumidor en su relación con las entidades participantes dentro de la Infraestructura Oficial de Firma Digital al definir las obligaciones de las mismas, pero, a su vez, le genera una serie de obligaciones que éste debe cumplir a su vez.

Muchas gracias. Hugo Gallegos Gerente General IPCE hgallegos@ipce.org.pe