MODELO DE ADMINISTRACIÓN DE PRUEBA DIGITAL (E-DISCOVERY). UN METODO PARA DESARROLLARLO EN PEQUEÑAS Y MEDIANAS EMPRESAS

Martín Francisco Elizalde

ARGENTINAIntrodución: Cualquiera sea el volumen de su producción, la mayor parte de las empresas negocian online con

sus clientes y proveedores. En Estados Unidos de Norte América, desde 2008 hay más mensajes

diarios en la web, que comunicaciones telefónicas. En ese país, el tráfico de comunicaciones en la

web florece entre el 100 y el 200% por año. Estas cifras, sin necesidad de extrapolarlas, indican que

esta cuestión no es abstracta ni lejana. Basta observar las costumbres locales para advertir hasta qué

punto son similares. La actividad no es solamente social, el 90% de los archivos comerciales son

creados, y conservados, electrónicamente-y sólo el 30% se imprime.1

Además, una cantidad cada vez mayor de empresas intervienen activamente en las redes sociales,

incursionando en un campo virtual literalmente infinito- y con infinitos documentos que pueden

servirles como prueba.2

Claramente, en caso de conflicto, la mayor parte de la prueba documental será digital (electronic

evidence). No está de más recurrir a dos definiciones en este punto: “por documento digital debe

entenderse toda expresión en lenguaje natural o convencional y cualquier expresión gráfica, sonora o

en imagen, recogidas en cualquier soporte material, incluso los soportes informáticos, con eficiencia

probatoria o cualquier otro tipo de relevancia jurídica.” 3 Algo más simple: “prueba digital es la data o

información que de cualquier modo es guardada electrónicamente en algún lugar.”4.

Abogado, Universidad de Buenos Aires, Argentina (1983). LL.M, Washington College of Law, American University (1991). Profesor Titular de Práctica Profesional & Tecnología Legal, en la Facultad de Ingeniería y Ciencias Exactas de la Universidad del Salvador (USAL). Editor de Law & Technology, legal web site de IJProfesional. Director y disertante de los seminarios sobre Information Technology & Corporate Fraud de The Institute Global, en Buenos Aires, durante Mayo y Junio y Agosto de 2011. Premio Anual de Seguros, año 2010, por el desarrollo de un modelo de administración de prueba digital. Premio Colegio de Abogados 2011, aspectos legales de la cloud computing. Numerosas publicaciones. 1 Según un estudio de la empresa Kroll Ontrck, “Identification, Preservationa and Colection”(Working paper)2 Sin ánimo de instalar el tema, que excede a este trabajo, ver “E-discovery meets Facebook: Social networking sites complicate litigation By Correy E. Stephenson 8 July 2010 Lawyers USA.3 Este definición la obtuve en la web, es de Juan Leiva, en una excelente monografía que lleva su firma. 4 Roberta Batley, de la firma Little & Gilman-Tepper (la definición se encuentra en la web en el marco de su trabajo “What, Where, How, and How to get it “in””, no muy académico, pero simple y didáctico)

1

Producir prueba con documentos digitales, es una necesidad.5 Esta actividad se llama e-discovery.

El término inglés, equivalente a la de “administración de prueba digital” del título, será utilizado el

término en inglés en este estudio.6

En los países en desarrollo económico, un rango de empresa acude a la implementación de

herramientas complejas, costosas y efectivas. Otro rango, más numeroso y de recursos más

limitados, no está en condiciones de hacerlo, originándose una desventaja comparativa. En rubros

como las exportadoras o importadoras de productos y servicios, la necesidad es acuciante, pues las

pone en desventaja respecto de firmas extranjeras que sí poseen la tecnología legal necesaria para el

desarrollo del e-discovery, y que la hacen valer en caso de arbitrajes internacionales.

El objeto de este estudio es el diseño de un método de e-discovery que puedan desarrollar las

empresas del segundo rango en países en desarrollo. Propongo emplear los recursos humanos

disponibles, sin afectar el desenvolvimiento de sus negocios, ni recurrir al licenciamiento de E-

discovery software.

Claramente, si la empresa comercializa productos muy vulnerables a la contingencia judicial, como

los son seguros o productos financieros –o incluso la comercialización de sus artículos mediante el e-

commerce- es probable que sus necesidades excedan los límites de esta propuesta.7 Sin embargo,

el método sigue siendo útil como primera aproximación a la resolución del problema: hacerse de

prueba digital para presentar en juicio.

Este trabajo apunta a que cada empresa mantenga el control de la implementación del método.8

Creo en las soluciones a medida, es decir, no invertir dinero en algo que le dio resultado a otra

empresa, pero que tiene una cartera de clientes distinta-esta acotación no es de menor importancia,

pues los productos tienen una litigiosidad variable.

Por último, si bien es parte del método, creo que existe una herramienta cuya importancia amerita

mencionarla dentro de la introducción misma de este trabajo: el uso adecuado de los recursos

humanos de la empresa para alcanzar el objetivo.

En este sentido, la elección de personal cuya actitud sea amigable respecto de la tecnología es

importante.

Identificar de las fuentes de e-discovery

5 Ver, a modo de “evangelización”, “A Process of Illumination: The Practical Guide to Electronic Discovery” por Mary Mack, Esq.

6 “Administración de prueba digital” e “e-discovery” significan, a los efectos de este estudio, la actividad de identificar, analizar, preservar, presentar y eliminar documentos digitales. 7 Sobre las herramientas de software aplicables, ver: “ An Overview of Electronic Discovery Processing”, por Rob Robinson, en la web. 8 En este aspecto, recomiendo la lectura del excelente trabajo: “Ten Tips Leading to Efficient and Effective e-discovery for the Small Law Firm”, por Ervin A. Gonzalez y Patrick S. Montoya”, en Technology e- American Bar Association Report

2

Para obtener un resultado aceptable, a la hora de procesar documentos digitales es necesario

identificar las fuentes desde donde fluyen a una empresa. De hecho no sólo “fluyen”, se almacenan

es algunas de ellas.

La primera impresión sobre el tema es que el e-discovery se practica sobre sistemas. Es correcta,

pero incompleta. 9Existen varias nóminas de fuentes-origen de incontables elementos de prueba, la

de Samuel H. Solomonen “The Art of War” ( © Copyright 2007)10, es muy completa:

a) Databases: Son el “cerebro” de cualquier organización, no importa su volumen de negocios ó

actividad. Tienen todo lo que hay que saber en cuanto a clientes, producción, precios, promociones,

transacciones. Incluyen los sistemas financieros y de contralor. Pueden estar relacionados con sitios

“dinámicos”, donde la información cambia constantemente. A pesar de su complejidad, los jueces

pueden ordenar pericias que involucren la totalidad de la database. De ahí la conveniencia de

recolectar la información de manera anticipada

b) Correos electrónicos: De todos los medios de prueba, quizás son  los más requeridos: la

cronología entera  de una transacción, por no mencionar el contenido, puede ser rastreado y probado.

Borrar mails incómodos no resuelve nada, los mails no se borran de la dirección donde fueron

recibidos.11 Aún cuando  lo sean, por error o inexperiencia de quien los recibe, es posible

recuperarlos. También integra la prueba los documentos adjuntos al mail, que pueden ser archivos

gráficos o de sonido ó imagen. Respecto a este punto, los servidores, en la medida que almacenen,

son fuente de prueba. Estas observaciones se aplican a los correo de texto12

c) Word Processing y Presentation Files: Son los que “escribimos” en la PC, ó en el smartohone.

Contienen datos sobre edición, copias, borradores, etc. que no se ven el documento material, pero

que es absolutamente identificables en una pericia. Por lo demás, generalmente los rastrean hacia su

único usuario, o grupo de destinatarios, lo que los hace extremadamente vulnerables. El hecho que

existan comandos que registran las modificaciones en un mismo documento hasta la versión final,

tiende a complicar el panorama: a veces información sensible es compartida involuntariamente entre

las partes. Spreadsheets: pueden provenir de un solo usuario o de una database. Lo que las  hace

9 En general, sobre este punto, ver: “Authenticating electronic evidence: text messages and e-mails”, posted on July 09, 2009, on Permalink, by S. Nelson.

10 De hecho, el listado fue traducido y ampliado por mí, para un artículo para Abogados.com “E-discovery, como identificar sus fuentes”. Ambos documentos están en la web.11 Para mayor amplitud, en un punto que siempre genera confusión, ver. “Authenticating electronic evidence: text messages and e-mails”, post del 9 de Julio de 2009, en Permalink, por S. Nelson.

12 “Text messages showing up more in case evidence”, por Kathryn Kennedy, publicado el sitio del The Daily Reflector, el 21 de Junio de 2010. El artículo es muy interesante en cuanto a la evolución y al tratamiento judicial de estos documentos digitales, en crecimiento explosivo.

3

diferentes del formato escrito es que pueden revelar formulas y procedimientos que jamás soñamos

con hacer públicas por escrito, ó señalar links que conducen a los datos primitivos que tomamos en

cuenta para su producción. En este acápite (me aparto brevemente de las enseñanzas de Solomon)

se me ocurre incluir a los Gráficos AD / CAM / CAE, especialmente el caso de empresas que recurren

al uso de software de diseño –arquitectura, donde el diseño “a mano” es casi inexistente. Son

considerados muy complejos y rara vez  son impresos (salvo la versión final), de modo que

deberemos contar en principio sólo con la versión digital para producir prueba. Manuales de Policy y

Procedure: El autor  recuerda que  antes estaban  relegados, pero ahora los usuarios y servidores

tienen acceso a ellos y pueden comparar hasta versiones anteriores. El punto es especialmente

ilustrativo para hacer valer todas las especificaciones que el manual de procedimiento contiene. Por

otra parte, su acceso es tan fácil que se puede prescindir de oficios y respecto a la certificación de

origen, si están en el sitio web oficial, es muy improbable negarla. Respecto de proyectos de

arquitectura, el punto puede aclarar las múltiples confusiones en que las partes  pueden  (y suelen)

caer durante el proceso de diseño del proyecto, hasta la versión final. Costos y licitaciones adjuntos

se pueden agregar al sistema, comprendiendo la prueba.

d) Software y Código Fuente: probablemente, es uno de los elementos más ríspidos de la relación

creador del software y usuario. De todos modos son medios de prueba y deberán  ser tenidos como

tales.

e) Contenidos de Internet e Intranet: se trata de los textos, gráficos y artes del código fuente que

son accesible a través del web site. En general, resulta fácil copiarlos, producirlos y analizarlos

f) Proveedores de servicio de acceso a Internet: son los proveedores de internet, pero también de 

servicios de e-mail, almacenamiento de mensajes, hosting del sitio web, chat y cualquier modalidad

de comunicación en tiempo real. Si bien los servidores pueden  producir copias, existe, sin embargo

una limitación importante: es tal la magnitud del volumen de la información que los servidores la

almacenan por un período muy corto de tiempo. De allí la conveniencia de copiarlos cuando

suponemos que nos van a servir como prueba-y no borrarlos, sobre todo si son mensajes de texto.

g) Servidores de Fax: En casos especiales, es probable que la máquina almacene gráficos o

documentos en el servidor, a la espera de poder imprimirlos. De ese modo queda grabada

información sobre quien envió el fax, la fecha y la hora.

h) Personal Digital Assistants (PDA): pueden crear documentos, almacenar databases, administrar

calendarios, etc. Es posible acceder a su información desde “afuera”

i) Teléfonos y  sistemas de seguridad: En juicio su data es usada para establecer cronologías y

dejar al descubierto los movimientos físicos de las personas sometidas a los sistemas de seguridad.

4

En  este sentido, no sólo las cámaras de seguridad sino los accesos magnetizados son una  un buen

ejemplo. La máquina expendedora de pases a  autopistas también en cuanto a celulares, pagers y

sus servidores: Se aplica todo lo que se refiere a teléfonos (Salomon los menciona por separado).

j) Voice y Video Mail: No solo los videos que se pueden adjuntar a una mail en la era de You tuve,

respecto del sonido, éste se digitaliza cuando un mensaje de voz, por ejemplo, es “traducido” a texto

por el servidor del celular. En cuanto los servidores, están en este párrafo –nuevamente- porque 

almacenan esta información.

Con esto termina la lista de Solomon. Es muy completa, ya lo adelanté. Pero creo que a medida que

uno la repasa, más hipótesis  de fuentes surgen - por ejemplo, cuando ayer asistí a la demo de un

sistema de gestión de atención de clientes por call center, me llamó la atención el rubro de solución

de reclamos, de hecho, es un semillero de elementos de prueba y un desafío para la preparación del

e-discovery.

También quedan afuera los servicios que las empresas, no importa su importancia económica,

contratan en la nube. Pero el cloud computing es un tema tan complejo, que amerita un tratamiento

especial, ajeno a este método.

Identificar a las fuentes no es una tarea superficial. Le da a cada empresa una noción real de donde

buscar documentos digitales y de la necesidad de tenerlas en cuenta, a la hora de preservarlos.

Identificar los documentos que serán pruebas: La siguiente tarea es determinar cuáles son los documentos que la empresa seleccionará para su

preservación. Al principio, habrá un gran volumen de documentos, de una relevancia menor. Al

terminar, el volumen será pequeño y la relevancia, importante.

Hay dos clases de documentos digitales a la hora de identificarlos: los que pueden servirle de prueba

y aquellos que la ley impide que sean eliminados. Para aclarar la situación, hay casos en que

guardar un documento es importante –cuando no decisivo- para que la empresa se defienda y gane

en un litigio. Y hay otros casos en que, por orden judicial, la empresa no podría disponer de la

documentación digital y debe preservarla hasta la entrega a la justicia.

Claro que cuando hay notificación, es más simple saber cómo actuar, en esta situación, el

procedimiento de identificación es relativamente claro: el “gatillo” es la notificación legal. Si la

empresa recibe una notificación fehaciente sobre un conflicto, no deben eliminarse documentos

relacionados con ese conflicto después de la fecha y hora de la recepción.

Y si no hay notificación?, se puede eliminar sin tomar precauciones? La respuesta que indica el mero

sentido común es la negativa. Es inconveniente que la empresa elimine documentación porque no

5

recibió una notificación fehaciente. Hay muchos casos en los que la identificación proviene de la mera

posibilidad de que surja un conflicto, aunque en el momento de confección del documento ésta no se

había producido.

Es conveniente una política que reconozca situaciones particulares. No tiene igual valor probatorio

un mail por el que pone en conocimiento de la empresa un conflicto real, aún no pasado a la esfera

judicial pero evidente, que el de felicitación general para las fiestas navideñas. Burdo como es este

ejemplo, las situaciones intermedias son las que deben ser tomadas en consideración por los

departamentos legal y comercial para identificar los documentos que algún día pueden ser útiles.

Recomendaría que una vez que se identifique un documento de acuerdo a este criterio, se determine

los hechos más relevantes, las fechas y las fuentes. Luego se verá como se preserva.

Un especialista, Mark Diamond,13 recomienda crear un proceso para documentar todos los elementos

relacionados con un conflicto. Lo más fácil es cargarlos, no bien los reciben, en una spread sheet, o

buscar un medio algo más sofisticado.

Una posibilidad es que todos los mensajes de texto o mails que deban sean conservados –son

numéricamente los más voluminosos- sean archivados automáticamente, sin intervención del

custodio, en un medio centralizado y accesible. Pero en ese caso, la solución debe comprender un

Índice por contenido, de lo contrario sería desordenado y confuso.

Otra posibilidad es encargar a cada custodio la recolección, según su propio criterio. Parece simple y

tiene la ventaja de identificar la documentación y al responsable del proceso. Es una ventaja

ilusoria14.

Los custodios, empleados de la empresa sin entrenamiento especial, no deberían ser los encargados

de identificar según su criterio personal la data que será preservada. Esta delegación inapropiada de

facultades lleva en muchos casos a perder información que es alterada por descuido o –más

probablemente- desconocimiento.

13 Mark Diamond es una fuente inagotable de conocimientos en e-discovery –además de sentido común. Ver: “Hiring In-

house Records Management or e-discovery Staff?”, post del 24 de Enero de 2011; “Real Record Retention Programs

Address Both Paper and Electronic”, post del 10 de Enero de 2011. Ambos, en InsideCounsel, web site y , especialmente:

“Nine small projects to become more litigation ready”, misma fuente.14 “Four keys for getting employees to charge their documents”, Mark Diamond;

6

Es mejor acordar reglas generales de identificación, sistematizadas y hacerlas obligatorias. Es

importante que sean publicitadas entre todos los miembros de la organización.

Como criterios que pueden ayudar a identificar, recomiendo partir de unas pocas bases que hay que

tener en cuenta para saber qué debemos identificar15-y conservar:

La naturaleza y especificidad del reclamo a la empresa;

La posición de quien hace el reclamo;

Si la amenaza de litigio es implícita, directa, o inferida;

Si el reclamante tiene una historia de investigaciones/reclamos/mediaciones/litigios;

El valor y el peso del reclamo comparado con la jurisprudencia, resoluciones administrativas ,

etc.;

La similitud del reclamo con otros y que resolución se dio a esos casos análogos;

La posibilidad de que si la data no es especialmente conservada, se perderá.

Una vez acordados los criterios, deben ser informados a todo el personal y periódicamente auditado

el grado de apego de cada integrante de la organización. El factor humano es decisivo en este

método, que no incluye un nivel avanzado de automatización.

Es recomendable que los files de aquellas personas que dejen de ser empleados de la empresa,

deben ser conservados. Pueden contener información relevante que se perderá.

Finalmente, no importa el criterio que se siga, es realmente conveniente tender a reducir el número

de documentos que integran el “holding”. Un volumen desproporcionado de información es un

elemento que incrementa los costos a la hora de preservarlos y presentarlos. 16

Dentro de la actividad de “identificación” de documentos digitales, va implícita la de su análisis.17 Si

bien la acotación pude ser superflua, lo cierto es que merece ser efectuada, para no confundir al

lector cuando mencione, más adelante cinco pilares del e-discovery: Identificar, Analizar, Preservar,

Presentar y Eliminar documentos digitales-y sienta que le falta uno…

Preservar los documentos del holding legal

15 Según “Seven Factors to Consider in Triggering a Litigation Hold”, por Michael Kozubek, posteado el 1 de Mayo de 2010.16 Los costos de almacenamiento, antes considerables, sin embargo ya no son una variable de referencia: tienden a bajar constantemente, a medida que la capacidad de los discos rígidos aumenta.17 Máxime cuando gran parte del trabajo propuesto por el método, es humano.

7

Para preservar adecuadamente la documentación identificada, hay que establecer un sistema

simple de envió de notas por la web, cuando cada custodio reciba la documentación-es fácil, basta

con una leyenda. De ese modo, el custodio va a conservar el documento-y eventualmente, reenviarlo

al spread sheet, o cualquier otro sistema de almacenaje que la empresa elija.

El contenido de la nota conviene que sea simple: identificar a las partes del conflicto, describir cuál

es el reclamo, cuáles serían las fuentes donde razonablemente se puede esperar que llegue

documentación que deba conservarse y cómo debe preservarse la documentación. Sobre este último

punto volveré más tarde.

El contenido de la nota debe reproducir, en lo posible los elementos esenciales que contenga la

notificación formal que la empresa hubiere recibido de la existencia de un reclamo ó la necesidad

legal de conservar (carta documento, puntos de pericia informática en una demanda, etc). Cuando

no hubo notificación, el contenido de la nota reflejará la política de identificación seguida por la

empresa en general.

Debe reiterarse este anuncio periódicamente, para que toda empresa tenga conciencia de la

importancia del tema. En este recordatorio es importante incluir un set de instrucciones: “no borre”,

“no altere”, “no es suficiente con imprimir”, etc. Hay formularios con tres o cinco instrucciones que

son fáciles de entender y más fáciles de seguir.

Por otra parte, conviene que la información relevante, aquella que la empresa identificó con ese

carácter, debe ser preservada en su formato electrónico original, para que toda la información

pueda ser inspeccionada a la hora de la pericia informática. Completa y sin alteraciones.

Este punto es especialmente importante respecto de e-mails, donde parte de la información no

siquiera se puede leer pero es muy importante para determinar el origen, los archivos adjuntos, las

copias ocultas, etc del documento. Ese lo que se llama la “metadata”, es decir, la información de la

información. Yo prefiero llamarle, algo heterodoxamente, el “ADN” del documento. Es por ese motivo

que imprimir no es, ni remotamente, suficiente para preservar: sólo aparece una parte del documento,

no siempre la más valiosa como prueba.

Así como es importante tener en cuenta conservar la documentación digital de una persona que ya

no será empleada, lo es cuidar que cuando descarte una PC, no se pierda la documentación digital

identificada y preservada.

La simplicidad de los recursos necesarios para implementar este método hace innecesario, en

principio, el uso de software especial. Con tiempo invertido en capacitación y entrenamiento, los

recursos humanos serán una herramienta fundamental. De ser considerado necesario, siempre hay

tiempo para incorporar tecnología específica que agilice y mejore el procedimiento.

8

Cuando se preserva documentación digital identificada, hay que tener en la cabeza un principio: se

preserva para el Juez.18 Cualquier torpeza en este momento, le va a costar a la empresa nada menos

que el valor de la prueba que intente conservar.

Eliminar los documentos digitales que no fueron identificados dentro del holding legal. Es tan eficiente tener los documentos necesarios, como eliminar los que no son relevantes: Solución

compleja: recurrir a un software adecuado que automatice la búsqueda de elementos relevantes y

descarte los otros. Solución económica: Limpiar todos los back up. Son para usar en el marco de la

continuidad del negocio, no para archivos “eternos” de prueba digital19. Sugiero hacer un índice,

extraer información relevante y enviarla a un archivo separado. Luego, retirar los tapes de

circulación o volver a usarlos.

Al desarrollar los criterios de identificación, hay que hacer lo mismo con los de eliminación,

simétricamente. Y hacerlo por escrito, de este modo el Juez sabrá que la posición es anterior al

requerimiento.

Según Mark Diamond sostiene que entre el 5% y el 35% de los mails son documentos con valor

probatorio-es decir, hasta el 95% de los mails no valen nada como prueba. 20

Muchos empleados tienden a salvar documentos sin valor. Esta tendencia sólo puede ser

contrarrestada con una clara política de eliminación, que de seguridad a los custodios. Entonces, los

files deben eliminarse de acuerdo a un esquema pre-establecido y regular. Prescripción, caducidad

etc, son elementos a tener en cuenta. Debe participar el abogado interno, es una pieza que conviene

tener jugando a favor del método y que aportará la visión de los plazos legales.21

En general, es conveniente una política de eliminación agresiva, para conservar sólo lo que

necesario. Si los archivos son gigantes, el tiempo y el esfuerzo que demandó desarrollar este

método no tendrá sentido.

Conclusión:

18 En este punto escribí un artículo para Abogados.com, sobre un “caso célebre” de Argentina: “El caso Jaime: Cadena de custodia, lo que hay que saber”, no es demasiado profundo, pero complementa.19 “Back up tapes should not be used for archiving data”, Mark Diamond, InsideCounsel web site

20 VER EN ESTE PUNTO: “FOUR ELEMENTS OF DEFENSIBLE DELETION STRATEGY” POST MARK DIAMOND DEL 15 DE NOVIEMBRED E 2010. INSIDECOUNSEL WEB SITE.

21 En este punto, ver: ““When deletion backfire”, Mark Diamond, InsideCounsel web site.

9

No es posible demorar una decisión sobre el manejo de la prueba digital en el mundo en desarrollo,

cada vez más globalizado.

En la medida que las áreas de sistemas y legales trabajen en conjunto, el plan que propongo

resultará eficiente. No reemplaza a los programas ni a las aplicaciones, cada vez más sofisticadas, de

identificación, análisis, preservación y presentación de documentos digitales, cuatro de las columnas

del e-discovery – son cinco: eliminación es igualmente importante.

El objetivo del método, en buena medida, también es crear la conciencia y el marco para la

implementación de un sistema más complejo de e-discovery. Mientras tanto, propone un sistema

relativamente simple y muy económico, para suplir una falta de la empresa que puede disminuir su

competitividad.

RESPONABILIDAD DE LOS BUSCADORES DE INTERNET

10

Santiago E. Eraso Lomaquiz ARGENTINA

Sumario: I. Introducción. II. Los buscadores de Internet. III. La situación en Argentina. IV. Jurisprudencia en el Derecho Comparado. IV. 1. Reino Unido. IV. 2. Italia. V. Libertad de expresión y derecho a la información. VI. Responsabilidad civil. VI. 1. Responsabilidad Objetiva. VI. 2. Responsabilidad Subjetiva. VI. 2. A. Diligencia anterior al reclamo. VI. 2. B. Diligencia posterior al reclamo. VII. Conclusión.

I. INTRODUCCIÓN.Internet se ha convertido en una herramienta que, entre tantos otros usos, hoy en día reviste una importancia más que considerable a la hora de buscar información. La necesidad de contar con esta información de manera rápida y segura trae a la luz la importancia de los “buscadores de Internet”.El presente trabajo se centrará, principalmente, en las cuestiones debatidas en el marco de la llamada "guerra de las modelos vs. buscadores de Internet". Se analizará la evolución jurisprudencial relevante llevada a cabo tanto dentro del ordenamiento jurídico argentino como en el derecho comparado que, junto con un análisis acerca del funcionamiento de los buscadores de Internet, permita realizar conclusiones fundadas respecto de las posturas asumidas en esta cuestión.

II. LOS BUSCADORES DE INTERNET.“To exist is to be indexed by a search engine”

(Introna&Nissenbaum)Antes de comenzar con el análisis de la cuestión que hace al objeto del presente trabajo, considero necesario abordar la tarea de explicar –brevemente- el funcionamiento de los “buscadores de Internet”. En primer lugar, comenzaré por explicar que la palabra “motor de búsqueda” es una traducción libre del término en inglés “search engine”. Dentro del concepto de motor de búsqueda se encuentran comprendidos tres elementos diferenciados: spiders22, base de datos, interface.Un motor de búsqueda en la web se encuentra diseñado para buscar información en la World Wide Web y servidores FTP. Los resultados de búsqueda se presentan, generalmente, en una lista de resultados. La información puede consistir en referencias a páginas web, imágenes, información y otros tipos de archivos. Algunos motores de búsqueda también consultan los datos disponibles en bases de datos o directorios abiertos. A diferencia de los directorios web, que son mantenidos por editores humanos, los motores de búsqueda funcionan mediante algoritmos –o bien pueden ser una mezcla del producto de elementos algorítmicos y humanos-.

Santiago E. Eraso Lomaquiz: Alumno de la Carrera de Abogacía de la Facultad de Derecho en la Universidad Austral. Pasante en Marval, O´Farrell & Mairal. Ganador del segundo premio en el “Concurso de presentación de trabajos de investigación nacional e internacional” sobre aspectos jurídicos del Cloud Computing, organizado por la Comisión de Derecho de la Alta Tecnología del Colegio de Abogados de la Ciudad Autónoma de Buenos Aires, en el marco del “Seminario Preparatorio del XV Congreso Iberoamericano de Derecho e Informática”.

22También se suele denominar a éste tipo de programas como web crawlers, robots, web wanderers, web walkers, etc.11

Un motor de búsqueda puede ser interno o externo. El primero puede darse en el caso del buscador que se encuentra dentro del sistema donde se busca. El segundo, es aquel buscador que realiza la búsqueda fuera de su propio sistema.Podemos clasificar a los buscadores en dos categorías distintas. Por un lado, tenemos a los índices temáticos 23 y, por el otro, los motores de búsqueda propiamente dichos. Ambos son bases de datos con una diferencia esencial, de vital importancia para el trabajo que nos convoca. Mientras que en el primero existe un proceso de asignación de “temas” o “categorías” para cada página web –se las clasifica-, en el segundo tipo no existe este tipo de procesos, sino que se incorporan automáticamente páginas web mediante "robots" de búsqueda en la red.Existen diferentes clases de buscadores, cada una de ellas con características marcadas de las cuales pueden derivar diversos tipos de situaciones jurídicamente relevantes. Entre los principales tipos de buscadores utilizados en la actualidad, podemos mencionar los siguientes: buscadores jerárquicos, directorios, metabuscadores, FFA y buscadores verticales. A continuación, me detendré brevemente para exponer las principales características de cada uno de ellos. Los buscadores jerárquicos recorren las páginas recopilando información sobre los contenidos de las mismas. Cuando se busca información por medio de los motores, ellos consultan su base de datos y presentan resultados ordenados por su relevancia. Los buscadores pueden almacenar, desde la página de entrada de un sitio web específico, a todas las páginas que residan en el servidor. Estos motores revisan los sitios de forma periódica para actualizar los contenidos de su base de datos 24. Para lograr sus fines, poseen una colección de programas simples y potentes con funciones diferentes. Se suelen dividir en tres partes. En primer lugar, están los programas que exploran la red –arañas (spiders, robots, webcrawlers, etc.)-; en segundo lugar, encontramos a los que se dedican a construir la base de datos; finalmente, debemos mencionar a los programas que utiliza el usuario para explotar la base de datos.Este software otorga la automaticidad en la selección y jerarquización de enlaces que caracterizan, precisamente, a los buscadores jerarquizados. Me referiré a las arañas web como un tipo de software que recorre, en forma automática y sistemática, el entramado de páginas web de Internet. No obstante el hecho de que el uso más conocido de este tipo de programa sea el de agente software en los motores de búsqueda 25 –en donde su función básica es proporcionar al indexador el contenido apropiado para ser indexado-, pueden ser utilizadas para fines diversos 26. Son varias las razones por las cuales se puede necesitar un spider o robot que recorra automáticamente el ciberespacio. Algunas de las más frecuentes pueden ser el análisis estadístico de la red, labores de mantenimiento, tareas de copiado –o mirroring-, etc 27. Una araña web puede realizar cualquiera de las tareas realizables por un webbot, con la diferencia de que, con una spider, el alcance abarcaría a gran parte de la red Internet.

23 Son sistemas de búsqueda por temas, o categorías, jerarquizados. Se trata de bases de datos de direcciones Web elaboradas de forma manual.24 Razón ésta por la cual es posible que, en ciertos casos, los resultados de la búsqueda estén desactualizados.25 Ejemplos de este tipo de arañas web son el Googlebot de Google, o el YahooSlurp de Yahoo!.26 Algunas veces, este tipo de fines pueden ser ilegales. Esto sucede, por ejemplo, con los spambots.27 Ver Figuerola, Alonso Berrocal, Zazo Rodríguez y Vázquez de Aldana; Diseño de spiders; Departamento de Informática y Automática; Universidad de Salamanca; 2006. Disponible en: http://gredos.usal.es/jspui/handle/10366/56144. Visitado en 30.08.11.

12

Comúnmente, éste tipo de programas disponen de un conjunto inicial de URLs a los cuales suele denominarse como semillas. El web crawler se ocupa de descargar las páginas web asociadas a las semillas, así como de buscar otros URLs contenidas dentro de éstas. A medida que la araña encuentra nuevos URLs, estos son añadidos a una lista de sitios a los que aquella debe visitar. Este proceso recibe el nombre de recolección de URLs.A medida que la araña web accede a una nueva URL, la página web asociada es descargada al ordenador local. Una vez ahí, estas son parseadas 28 y procesadas. Cuando la araña web parsea una página web, decide qué partes de esta son de utilidad. Una vez finalizado el parseo, la araña web procesa la información disponible. Esto consiste en aplicar algún tipo de algoritmo para conseguir el objetivo establecido. Además de la lista de resultados que se presenta luego de introducir las palabras claves, pueden encontrarse los llamados “enlaces patrocinados”. Estos enlaces se presentan de forma diferenciada, apartada de los resultados de la búsqueda, de forma predeterminada por la empresa prestadora de aquel servicio. Se trata de un tipo de servicio pago que ofrecen algunas empresas de servicios de buscadores de Internet, por medio del cual se puede acceder a un lugar distinguido dentro de los resultados de una búsqueda determinada. Cabe aclarar que esta forma de publicidad es indicada explícitamente, mostrando este tipo de enlaces de forma distinta del resto de los resultados. Los directorios son un tipo de sitio web que contiene un listado (directorio) organizado de enlaces a otros sitios web. Estos poseen una estructura de categorías y subcategorías. Por lo general, los directorios web permiten a los webmasters, o creadores de sitios web, informar acerca de su sitio para que este sea incluido. Luego, los editores autorizados revisan esas solicitudes antes de incluir sus enlaces para comprobar que se adecuan a los requisitos de aceptación determinados por el directorio web. No requieren una gran cantidad de recursos informáticos, aunque necesitan una cuota mayor de soporte humano y mantenimiento. Dada la automaticidad con la que operan, los motores de búsqueda –por lo general- contienen una mayor cantidad de información que los directorios. Sin embargo, estos últimos también han de construirse a partir de búsquedas –no automatizadas- o bien a partir de avisos dados por los creadores de las páginas 29. Los resultados obtenidos de la búsqueda por medio de un directorio estarán determinados por la información que se haya suministrado al momento del registro del sitio. A diferencia de los motores de búsqueda, la información es revisada por operadores humanos, que las clasifican según categorías, para facilitar su utilización por el usuario. Los resultados presentados por los directorios consistirán en una referencia a los contenidos y temática del sitio. Los metabuscadores permiten lanzar varias búsquedas en distintos motores seleccionados, respetando el formato original de los buscadores en cuestión. Su actividad consiste en realizar búsquedas en auténticos buscadores para luego analizar los resultados de cada página a los fines de presentar sus propios resultados en un orden definido por el sistema estructural del metabuscador. La cuarta clase de buscadores mencionada son los FFA, acrónimo del término inglés Free For All. La característica principal de esta clase esta dada por la temporalidad de los datos en ella contenidos. Esto es así toda vez que cualquiera puede inscribir su página durante un tiempo limitado dentro de estos pequeños directorios.

28 Un analizador sintáctico (en inglés parser) es una de las partes de un compilador que transforma su entrada en un árbol de derivación. Fuente: http://es.wikipedia.org/wiki/Analizador_sint%C3%A1ctico. Visitado en 30.08.11.29 Los mejores directorios combinan ambos sistemas.

13

Finalmente, encontramos como quinta clase a los buscadores verticales. Estos buscadores se caracterizan por su especialización en una temática concreta, analizando la información con una profundidad mayor, a los fines de ofrecer al usuario resultados más actualizados junto con opciones de búsqueda más avanzadas.

III. LA SITUACIÓN EN ARGENTINA. En Julio de 2009 se dictó el primer precedente sobre responsabilidad civil de los buscadores 30. Aquel fallo, que resolvió de forma favorable a las pretensiones de la actora, fue revocado –con voto dividido- por la Sala D de la Cámara Nacional de Apelaciones en lo Civil. El juzgado Nacional en lo Civil número 75 de la Ciudad Autónoma de Buenos Aires sostuvo que “ los buscadores operados por las demandadas también son sitios de Internet, y sus autores y/o responsables deciden qué contenidos incluyen o no en los mismos. Está claro que aun cuando en la actividad desplegada por los buscadores no media intervención humana por tratarse de procesos automatizados, no puede desligarse al titular de las consecuencias que generen sus diseños. Su quehacer constituye un servicio que facilita la llegada a sitios que de otro modo serían de muy dificultoso acceso, y además, esa facilitación hace precisamente al núcleo de una de las actividades centrales que desarrollan. Así pues, nos hallamos en condiciones de afirmar que el buscador al contribuir al acceso a los sitios de Internet se encuentra en las mejores condiciones técnicas para prevenir la eventual generación del daño y de allí surge el perfil de los buscadores como responsables de su actividad facilitadora del acceso a sitios”. Este fallo, que resulta criticable por varias razones, desencadenó un gran revuelo a la hora de discutir acerca del rol que juegan los buscadores de Internet dentro de los casos de difamación y publicación de contenidos ilícitos. La sentencia de cámara, que parecía considerar responsables a los buscadores, termina por dar un giro inesperado, sin demasiadas explicaciones, al hacer lugar a los argumentos de los demandados 31. En segundo precedente, anterior a la sentencia de cámara del caso “Da Cunha”, se falló a favor de María Belén Rodríguez 32, quien promovió una causa en contra de los mismos buscadores de Internet que en el fallo anterior. En esta oportunidad, la Dra. Nora González de Rosselló sostuvo que no correspondía aplicar la responsabilidad objetiva por la cual se considera que el software y los servicios informáticos constituyen una "cosa riesgosa" en los términos del art. 1113, segundo párrafo del Código Civil.Un dato importante del presente caso está dado por la afirmación realizada por la magistrada al sostener que los buscadores tenían la capacidad técnica para filtrar los contenidos difamatorios, señalando que "como se advierte, la tecnología con que cuentan ambas demandadas basta en mi criterio para afirmar que ante la denuncia de la actora efectuada en forma fehaciente (v. fs. 1 y 105), los empresarios de motores de búsqueda se encontraban en condiciones técnicas de efectuar el

30 "D.C., V. c/ Yahoo de Argentina SRL y otro s/ daños y perjuicios", CNCiv Sala D, 10-8-2010 y sentencia de fecha 29 de julio de 2009 dictada en los autos caratulados "D.C.V. c/ Yahoo de Argentina SRL y otro s/ daños y perjuicios" por el Juzgado Nacional de Primera Instancia en lo Civil número 75.31 Quienes fueron advertidos de forma reiterada respecto de las injurias que se propalaban e, incluso, uno de ellos fue renuente a cumplir las medidas cautelares de bloqueo ordenadas.32 "Rodríguez, María Belén c/ Google Inc y otro s/ daños y perjuicios", Juzgado Nacional de Primera Instancia en lo Civil número 95, 4 de marzo de 2010. El expediente se encuentra actualmente en la Cámara Civil a la espera del dictado de una nueva sentencia.

14

control y selección de los contenidos para evitar de este modo que los resultados engañosos e injuriantes continúen apareciendo en sus listas; sin que se haya probado que ello afecte el sistema de un buscador y/o el acceso a contenidos de Internet por parte de los usuarios".El último eslabón de esta cadena de precedentes fue dictado el día 24 de junio de 2011.El Juzgado Nacional de Primera Instancia en lo Civil número 62 rechazó la demanda de daños y perjuicios interpuesta en contra Google Inc y Yahoo de Argentina SRL 33.El juez determinó que no era posible imputar a los buscadores responsabilidad objetiva por el solo hecho de que en la red existan contenidos ilegales y dañinos a derechos personalísimos que, habiendo sido publicados por terceros, son accesibles a los usuarios por medio de las herramientas de búsqueda provistas por estas empresas. Explicó que "sostener lo contrario implicaría imponer al buscador la obligación de monitorear millones de contenidos (incluyendo imágenes) que se suben a la red en forma constante, minuto a minuto. Ello conlleva una obligación que no se condice con la realidad y la rentabilidad del negocio y una censura previa que se agrega a la incidencia del costo empresario".La evolución jurisprudencial a la que acabo de hacer referencia nos llama a la reflexión respecto de ciertos puntos. En primer lugar, resulta llamativa la tendencia reiterada de demandar siempre a los mismos ISP (Google Inc. y Yahoo! de Argentina S.R.L.). No parece que esta sea la solución adecuada para los problemas de fondo planteados en las causas, toda vez que la afectación de la intimidad, el honor y la imagen de los demandantes no cesa con la condena de aquellos. Cabe señalar que no son los únicos buscadores existentes en la red. La sentencia que afecte a Yahoo! y a Google, no afectará necesariamente al resto de los buscadores disponibles. Más aún, dado que el alcance de las sentencias tendrá aplicación dentro de la República Argentina, es posible afirmar que –para un usuario con conocimientos mínimos de Internet- será fácil acceder a la información bloqueada mediante la búsqueda de aquella –desde Argentina- en un buscador de otro país 34.En segundo lugar, debo remarcar que, en estos casos, no suele accionarse también en contra de los sitios que publican el contenido nocivo o ilícito, como sí sucede en Reino Unido y Francia, por ejemplo.Finalmente, no obstante lo anterior, tampoco creo que pueda liberarse totalmente de responsabilidad a los buscadores de Internet. Existen circunstancias en las cuales es posible sostener que los buscadores cargan con la obligación de retirar las referencias al contenido nocivo. Estas situaciones serán analizadas con mayor detalle en el punto VI.

IV. JURISPRUDENCIA EN EL DERECHO COMPARADO. Luego de recorrer la evolución jurisprudencial de la problemática derivada del funcionamiento de los motores de búsqueda dentro de nuestro territorio, es menester, a los fines de obtener un panorama integrador respecto de la cuestión bajo análisis, dar una mirada a lo acontecido en los tribunales extranjeros 35. A continuación, se presentarán algunos de los casos más relevantes en atención al objeto del presente trabajo.

33 Sentencia de fecha 24 de junio de 2011 dictada en autos "K.A.P, c/ Yahoo de Argentina S.R.L. y otro s/ daños y perjuicios", Juzgado Nacional de Primera Instancia en lo Civil número 62.34 Como puede ser, por ejemplo, Google Nederlands –http://www.google.nl-.35 Ver también: GASSER, Urs; Regulating Search Engines: Taking Stock and Looking Ahead, Yale Journal of Law & Technology, Spring 2006.

15

IV. 1. Reino Unido.El 16 de Julio del año 2009, se dictó sentencia en un caso dentro el Reino Unido 36, resuelto por la England and Wales High Court (Queen´s Bench Division), en donde se falla a favor de Google Inc. sobre la base de que no es aquel quien publica los contenidos difamatorios que figuran en los resultados de las búsquedas realizadas por medio de su buscador. Este es el primer análisis judicial acerca de la responsabilidad de motores de búsqueda por difamación en el Reino Unido.La acción fue iniciada por la Metropolitan International Schools (MIS), con sede en Londres, quien lleva como actividad la de dictar cursos de aprendizaje a distancia. La escuela argumentaba que los comentarios publicados en el foro del sitio web Digital Trends eran difamatorios y susceptibles de generar responsabilidad respecto de Google toda vez que aquellos comentarios formaban parte de los “snipets” 37 expuestos en los resultados de las búsquedas realizadas por medio de este buscador. Asimismo, MIS requirió el dictado de una medida cautelar tendiente a evitar que se muestren los resultados de las búsquedas que sugirieran que la actora se encontraba involucrada en la realización de estafas y defraudaciones, sin la necesidad de proveer a Google los URLs del contenido ilícito en el futuro. El Juez Mr. JusticeEady entendió que Google no es más que un conducto para la información, no un editor en sí mismo al sostener que "[c]uando un fragmento se muestra en la pantalla del usuario en respuesta a su búsqueda, le apunta en la dirección de una entrada en algún lugar de la web que corresponde, en mayor o menor medida, a los términos de búsqueda que se han escrito.[…] Es de fundamental importancia tener en cuenta que el tercer acusado no juega ningún papel en la formulación de los términos de búsqueda. En consecuencia, no pudo evitar que el fragmento que aparece en respuesta a la petición del usuario, a menos que haya tomado algún paso positivo por adelantado. No habiendo participación alguna por parte del tercer acusado, por lo tanto, en el escenario que hasta ahora he planteado, no puede ser caracterizado como un editor en el common law. No se ha autorizado, ni provocado, el fragmento que figura en la pantalla del usuario en ningún sentido significativo. Se ha limitado, por la prestación de su servicio de búsqueda, al papel de un facilitador."En el caso de MIS, Google eliminó los vínculos a los comentarios difamatorios después de la notificación. El juez dio a entender que todavía existe una responsabilidad de eliminar el contenido en cabeza de los motores de búsqueda después de recibir una queja sobre material difamatorio. No se ha dicho cuán rápida debe ser la actuación por parte de los motores de búsqueda, así como tampoco se ha especificado cuán efectiva debe ser este sistema de eliminación (takedown) del contenido. El juez sostuvo que "[h]ay algunos pasos que el tercer acusado puede tomar y que han sido explorados según queda evidenciado en el contexto de lo que ha sido descrito como “política de eliminación”. Hay un grado de reconocimiento internacional acerca de que los operadores de motores de búsqueda deberían poner en marcha un sistema (que, obviamente, podría existir sobre una base voluntaria o ser impuesto sobre una base estatutaria) para tener en cuenta las quejas legítimas sobre materiales jurídicamente objetables. No es, de ninguna manera, fácil de llegar a una conclusión general que sea

36 Metropolitan International Schools Limited (T/A Skillstrain and/or Train2Game) v Design Technica Corporation (T/A DIGITAL TRENDS), Google UK Limited, Google Inc.; [2009] EWHC 1765 (QB).Ver también la jurisprudencia relacionada que se menciona en este fallo: España, Palomo v. Google; Francia, SARL PublisonSystem v. Google Francia; Países Bajos, Jensen v. Google. Texto disponible en: http://www.bailii.org/ew/cases/EWHC/QB/2009/1765.html.Visitado en 30.08.11.37 Fragmento del contenido del sitio al cual remite el enlace resultante de la búsqueda.

16

satisfactoria desde todos los puntos de vista. En particular, el material que puede ser objetable en el derecho interno de una jurisdicción, podría ser considerado como legítimo en las demás. En este caso, la evidencia muestra que Google ha tomado medidas para asegurarse de que ciertas URLs identificadas están bloqueadas, en el sentido de que cuando el rastreo de la web es llevado a cabo, el contenido de tales URLs no se mostrará en respuesta a las búsquedas de Google llevadas a cabo en Google.co.uk. Esto ha ocurrido en relación con la "estafa" material en muchas ocasiones. Sin embargo, se me ha informado que el tercer acusado debe tener URLs específicos e identificados, y no está en condiciones de poner en marcha un bloqueo más eficaz en las palabras específicas de las cuales se han presentado quejas sin que, al mismo tiempo, sean bloqueadas una gran cantidad de otros materiales que puedan contener algunas de las palabras individuales que componen el fragmento ofensivo. Es muy posible que el procedimiento de “notice and takedown” del tercer acusado no haya funcionado tan rápido como el Sr. Browne y su cliente lo hubiesen deseado, pero de ello no se puede concluir que, entre el período de notificación y eliminación, el tercer demandado adquiera la calidad de editor del material. Si bien se están realizando esfuerzos para lograr la eliminación de una URL en particular, no es posible hacer responsable al tercer acusado sobre la base de la autorización, aprobación o aquiescencia."IV. 2. Italia.

El 24 de marzo de 2011 la Corte de Milán, encontró responsable a Google por difamación debido a que sus “sugerencias de autocompletado” asociaron el nombre del demandante con ciertas palabras difamatorias. El tribunal confirmó la medida cautelar provisional antes del 25 de enero de 2011 38. Si bien este precedente se basa en hechos que no son estrictamente los mismos en los que se basa la jurisprudencia Argentina bajo análisis, creo pertinente realizar una breve reseña del mismo en atención a los argumentos en él esgrimidos. El tribunal consideró que las exenciones de responsabilidad para los prestadores de servicios de Internet, según lo dispuesto por el Decreto de E-commerce 39, no eran aplicables al caso en cuestión. Se declaró responsable al demandado sobre la base de que las sugerencias proporcionadas por la función “Google Suggest” no consistían, simplemente, en el almacenamiento de la información proporcionada por terceros 40.Un empresario en el sector de servicios financieros, que utilizan la Internet para promover su negocio, fundó su demanda en los agravios ocasionados por el hecho de que, al escribir su nombre en la barra de búsqueda de Google, el software de autocompletado vinculó su nombre a las palabras “truffa” y “truffatore” 41. El demandante alegó que los resultados de búsqueda sugeridos eran difamatorios. Luego de llamar la atención de Google sobre la situación descripta, y no encontrar medida alguna al respecto por parte de éste, el demandante solicitó al Tribunal de Milán que dicte sentencia ordenando la eliminación de la asociación del nombre del actor a los términos ofensivos. El

38 Texto disponible en: http://www.personaedanno.it/CMS/Data/articoli/files/020710_resource1_orig.pdf. Para encontrar una reseña en inglés, visitar: http://www.medialaws.eu/defamatory-suggestions-what-liability-for-search-engines/. Fuente de la reseña otorgada en este trabajo. Visitado en 30.08.11.39 Decreto-ley 70/2003, disponible en http://www.parlamento.it/parlam/leggi/deleghe/03070dl.htm.Visitado en 30.08.11.40 La función Google Suggest consiste en un software que sugiere los términos que son potencialmente conectados a los términos de búsqueda de un usuario. Su propósito es identificar los resultados de búsqueda que puedan ser apropiados o relevantes.41 Que significan fraude y estafador, respectivamente.

17

tribunal determinó que la queja estaba bien fundada y dictó una medida cautelar ordenando a Google que retire la asociación a términos difamatorios.Google, por su parte, contestó demanda argumentando que las sugerencias de autocompletado consisten en los términos introducidos por sus usuarios, los cuales son recogidos por el software y sugeridos en orden de popularidad por medio de un algoritmo. Asimismo, sostuvo que debería ser considerado como un proveedor de hosting, ya que se limita a establecer una plataforma neutral para los usuarios. El perjuicio, en este caso, se produce por la influencia de los contenidos ilícitos de terceros, los cuales no son producidos por el propio Google. Sobre esta base, Google afirmó la exención de responsabilidad que hace a su condición de proveedor de hosting en virtud del Decreto de comercio electrónico.El Tribunal confirmó la medida cautelar y encontró a Google responsable por difamación. Aclaró que Google Suggest es una pieza de software automático que funciona sobre la base de las búsquedas más frecuentes formuladas por los usuarios. El demandante, que no impugnó este punto de vista, se limitó a objetar la conducta de Google respecto de no haber tomado medidas tendientes a la eliminación de las asociaciones difamatorias luego de habérsele comunicado la existencia de aquellas. El tribunal llegó a sostener que incluso si Google fuera a ser considerado como un proveedor de hosting en el sentido del Decreto de comercio electrónico, el decreto no tendría aplicación al caso toda vez que sólo se aplica al almacenamiento de la información proporcionada por terceros . La asociación difamatoria era, exclusivamente, el resultado del accionar del software creado por Google. En concreto, el tribunal opinó que el software, aunque basada en un sistema automático de algoritmos, es neutral solamente en apariencia, puesto que esa función deja de ser neutral en el momento en que se generan resultados inapropiados de búsqueda. La posición de la Corte en este caso difiere del enfoque adoptado en el caso “Yahoo!” 42, donde el Noveno Circuito de la Corte de Roma consideró a Yahoo! de Italia como un proveedor de almacenamiento en caché. No se trataría de un almacenador de contenido, sino más bien una entidad que organiza y ofrece acceso a material publicado en Internet.

V. LIBERTAD DE EXPRESIÓN Y DERECHO A LA INFORMACIÓN.En atención a lo dispuesto por el texto de la ley 26.032 (Adla, LXV-C, 2704) “ la búsqueda, recepción y difusión de información e ideas de toda índole, a través del servicio de Internet, se considera comprendido dentro de la garantía constitucional que ampara la libertad de expresión”.Bidart Campos define a la libertad de expresión como “el derecho a hacer público, a transmitir, a difundir y a exteriorizar un conjunto de ideas, opiniones, críticas, creencias, etc., a través de cualquier medio” 43. Esta libertad, además de comprender el derecho de transmitir y difundir ideas e información, comprende también el derecho a recibirlas. En este sentido la Corte Interamericana de Derechos Humanos 44 ha expresado que “cuando la libertad de expresión de una persona es restringida ilegalmente, no es sólo el derecho de esa persona el que se está violando, sino también el derecho de los demás de ‘recibir’ información e ideas”

42 Disponible en: http://www.leggioggi.it/wp-content/uploads/2011/03/Ordinanza_About-Elly.pdf.Visitado en 30.08.11.43 BIDART CAMPOS, Germán; Tratado elemental de Derecho Constitucional argentino; T. I, p. 269.44 Corte Interamericana de Derechos Humanos, Opinión consultiva OC-5/85 del 13 de noviembre de 1985, Serie A, número 5, párrafo 30.

18

Resulta llamativo el hecho de que, mediante la persecución de fines buenos –como lo son la protección de la intimidad, honor e imagen de las personas-, se logre llegar a un resultado nocivo –como lo es el recorte del alcance de la libertad de expresión y del derecho al acceso a la información-. La protección de la libertad de expresión implica la aplicación de un régimen de responsabilidades ulteriores. María Angélica Gelli 45 ha dicho que “la emisión de ideas y opiniones a través de Internet es libre porque, al igual que si se las pronunciara por cualquier otro medio de comunicación, no corresponde al Estado decidir acerca de cuáles de aquellas ideas o criterios son aceptables”. Siguiendo esta línea, menos aún podría exigírsele a un particular –como lo son los intermediarios que prestan el servicio de búsquedas en Internet- la realización este tipo de tareas que vulneran derechos fundamentales de raigambre constitucional. Los intermediarios de selección podrían estar en una posición adecuada para restringir los flujos de información, pero la introducción de incentivos que puedan recortar las expresiones legítimas deben ser evaluados a la luz de la libertad de expresión e información. Los motores de búsqueda, así como también otros intermediarios de selección, sirven a la libertad de expresión y de información mediante sus esfuerzos para lograr una comprensión abarcadora de la información disponible en la red. Cada proveedor de información -que así lo permita 46-, dentro del dominio específico de un motor de búsqueda especializado, está incluido en su base de datos y se torna accesible a sus usuarios. La mayor promesa de un motor de búsqueda sería convertirse en un índice global de toda la información disponible. Un motor de búsqueda que no tiene una referencia a una pieza de información es imperfecto, incluso aunque esa información sea inútil 47.Cabe señalar, finalmente, que, así como lo ha sostenido Santiago Gini 48, “no parece justo que el mismo Estado que exige a los ISP´s (Prestadores de Servicios de Internet) en la Resolución 1235/1998, incluir en las facturas la inscripción: ‘El estado Nacional no controla ni regula la información disponible en INTERNET...’, sea el mismo Estado que después obligue a entidades privadas a hacer un control sobre contenidos de terceros a los que se puede acceder de múltiples formas.”

VI. RESPONSABILIDAD CIVIL.Dentro de nuestra doctrina y jurisprudencia, podemos encontrar dos posturas principales que, con los más variados argumentos, debaten respecto del tipo de responsabilidad atribuible a los buscadores de Internet. Por un lado, están quienes consideran que la responsabilidad debe fundarse en los artículos 512 y 1109 del Código Civil Argentino, señalando así la aplicación del factor subjetivo de atribución de responsabilidad. Por el contrario, se sostiene también que la responsabilidad de los buscadores es objetiva en atención a lo dispuesto por la segunda parte del artículo 1113 del mencionado Código.A continuación, me detendré para evaluar la posibilidad de aplicar estas posturas al caso de los motores de búsqueda. 45 GELLI, María Angélica; Constitución de la Nación Argentina. Comentada y concordada; La Ley, 3° ed., Buenos Aires, 2008, p. 124.46 Cabe señalar que existen diversas formas de evitar ser indexado por un motor de búsqueda. Entre ellas, podemos mencionar a los Estándares de Exclusión de Robots (o Standards for Robots Exclusion –SRE-).47 VAN HOBOKEN, Joris; Legal space for innovative ordering: on the need to update selection intermediary liability in the EU; International Journal of Communications, Law & Policy; Issue 13; Winter 2009.48 GINI, Santiago Luis; Internet, buscadores de sitios web y libertad de expresión, LL, Sup. Act. 23/10/2008, 1.

19

VI. 1. Responsabilidad Objetiva. La responsabilidad objetiva, encuentra sustento en el Art. 1113 del Código Civil, segunda parte, el cual dispone que "en los supuestos de daños causados con las cosas, el dueño o guardián, para eximirse de responsabilidad, deberá demostrar que de su parte no hubo culpa; pero si el daño hubiere sido causado por el riesgo o vicio de la cosa, solo se eximirá total o parcialmente de responsabilidad acreditando la culpa de la víctima o de un tercero por quien no debe responder".De forma reiterada se ha sostenido la aplicación del factor objetivo de atribución de responsabilidad a los casos derivados del uso de herramientas informáticas, Internet, etc. No considero que esto sea atinado, toda vez que este proceder desnaturalizaría tanto el fundamento como el fin de la norma.Al tratar este mismo tema, Lisandro Frene 49 ha dicho que resultaría ilógico “tildar de 'riesgosa' a Internet para sostener la aplicación de un factor de atribución objetivo a cualquier actividad realizada vía Internet. El hecho de que Internet posibilite que sean llevadas a cabo acciones lesivas, no es argumento válido para calificarla como una cosa riesgosa. Distinto es considerar riesgosa a cierta actividad desarrollada a través de Internet, por sus características propias o la forma en que es prestada; esto último depende de un análisis particular para cada caso concreto”.En este sentido, es importante resaltar que, como sostiene Alterini, “la aplicabilidad del artículo 1113 requiere, en cualquier hipótesis, que la cosa tenga una intervención activa en la producción del daño. La caracterización de este concepto ha dado lugar a arduas discusiones doctrinarias en Francia; pero es de entender que la intervención de la cosa es activa cuando tiene acción nociva, o sea, cuando ella causa el daño; en tanto –por lo contrario- su intervención es pasiva cuando no causa el daño, el cual no nace de la cosa de que se trata” 50. Puede argumentarse que, en atención a la enormidad de la red y la inmensa cantidad de información en ella contenida, el daño provocado por la publicación de información falseada o dañosa en un sitio web perdido en el océano de Internet no se efectiviza de forma auténtica en tanto no sea registrado por un buscador. No creo que esta sea la interpretación adecuada, pero tampoco podría negar la lógica de sus postulados. Es cierto que el accionar normal de los buscadores de Internet tiene un efecto multiplicador en el daño producido por el ilícito de un particular a través de un sitio web. De no aparecer en los resultados de las búsquedas, probablemente, el daño sería mínimo. Sin embargo, no consideramos que este argumento sea suficiente para calificar a los buscadores de Internet como cosas riesgosas, o incluir dentro de esta categoría a la actividad que estos desarrollan. Como sostiene Lisandro Frene 51, “[c]onsiderar a los mismos responsables del contenido dañoso de terceros por el solo hecho de su actividad significaría poner en su cabeza una responsabilidad infinitamente gravosa. Todo perjuicio que sufra un individuo por algún contenido presente en Internet derivaría en la responsabilidad del buscador. Se responsabilizaría al buscador por la estructura de Internet, por su funcionamiento mismo, extendiendo su responsabilidad a límites impensados. La obligación genérica de no dañar a otro (naeminem laedere), se volvería de cumplimiento imposible para el buscador”.No hay que olvidar que, al flexibilizar –o, mejor dicho, desnaturalizar- la aplicación de este factor de atribución de responsabilidad, no sólo se estaría tornando extremadamente gravosa la actividad de

49 FRENE, Lisandro; Responsabilidad de los “buscadores” de Internet; LA LEY 2009-F, 1219.50 ALTERINI – AMEAL – LÓPEZ CABANA; Derecho de las Obligaciones Civiles y Comerciales. Ed. Abeledo-Perrot, Buenos Aires, 2006. P. 719.51 FRENE, Lisandro; Ob. cit.

20

los buscadores de Internet, sino que también se estaría afectando de la misma forma a los proveedores de acceso a Internet, los creadores de programas de software para usar Internet, etc. La aplicación de esta especie de teoría de la conditio sine qua non resulta, a todas luces, desatinada y peligrosa en varios niveles. Esto no quiere decir, nuevamente, que no haya verdad dentro de las premisas esgrimidas por quienes sostienen la responsabilidad objetiva de los buscadores. El efecto multiplicador se presenta por el hecho de que exista un tercero, ajeno a quien realiza la conducta ofensiva y a la víctima, que encuentre de forma mecanizada todos los resultados –dentro de los cuales se encuentra el material ofensivo- asociados a las palabras claves ingresadas por el usuario. Este efecto multiplicador –o amplificador- del daño no debería ser utilizado como fundamento para atribuir responsabilidad a aquel tercero intermediario, sino que, por el contrario, debería ser tenido en cuenta a los efectos de cuantificar el monto de la indemnización por parte de quien incorporó el contenido ilícito a la red. VI. 2. Responsabilidad Subjetiva.

Se desprende del análisis de la jurisprudencia y doctrina, tanto en el ámbito local como en el derecho comparado, que existe un momento crucial a la hora de atribuir responsabilidad a los buscadores de Internet. Es, precisamente, en el momento en el que se produce el reclamo donde se da el punto de quiebre entre una situación jurídica y otra. El art. 512 del Código Civil dispone que “la culpa del deudor en el cumplimiento de la obligación consiste en la omisión de aquellas diligencias que exigiere la naturaleza de la obligación, y que correspondiesen a las circunstancias de las personas, del tiempo y del lugar”. A su vez, el art. 1109 reza: “Todo el que ejecuta un hecho, que por su culpa o negligencia ocasiona un daño a otro, está obligado a la reparación del perjuicio. Esta obligación es regida por las mismas disposiciones relativas a los delitos del derecho civil”.Considero que, en atención a la necesidad de la existencia de culpa por parte de los buscadores de Internet para justificar la atribución de responsabilidad subjetiva, será necesario analizar el deber de diligencia que estos poseen tanto antes como después de que sea efectuado el reclamo.VI. 2. A. Diligencia anterior al reclamo.

En palabras de Vaninetti 52 “[a]l margen de la conveniencia o no de los mencionados bloqueos y de quién decide qué es nocivo y qué no lo es para un grupo de personas, la restricción es lisa y llanamente imposible. Esto no obedece a una limitación de carácter técnico, sino a la definición conceptual inicialmente citada, ya que cualquier prohibición se contrapone a los postulados básicos de Internet. En otras palabras, o se cambia lo que hoy entendemos como Internet, o no se restringe el acceso”. Creo que, hasta el momento en que el buscador toma conocimiento del reclamo efectuado por un particular presuntamente damnificado, no es posible atribuir responsabilidad alguna a estos por el hecho de que los contenidos nocivos aparezcan referenciados en los resultados de las búsquedas efectuadas por los usuarios. Una interpretación a contrario sensu llevaría a otorgar a los buscadores una facultad que es privativa de los jueces, como lo es la de juzgar acerca de la licitud o ilicitud de los contenidos incorporados a la red y actuar en consecuencia. A la vez, se le estaría imponiendo a los buscadores el deber de investigar la licitud e ilicitud de todos los contenidos que se suben de forma constante a la red. Más aún, imagínese el lector la peligrosidad de otorgarle a aquellos que poseen la

52 VANINETTI, Hugo Alfredo; Aspectos Jurídicos de Internet, Librería Editora Platense, La Plata, 2010, p. 66.21

puerta de acceso a la información dispersa en la red la posibilidad de bloquear contenidos sin siquiera requerir un reclamo previo.

VII. 2. B. Diligencia posterior al reclamo. ¿Podrían los buscadores ocuparse, sin más, de los reclamos que realizan los particulares sin intervención de un juez competente? Creo que no. No puede ponerse en cabeza de los buscadores las funciones que corresponden solamente a los jueces. Aplicar esta solución traería, con toda seguridad, más problemas que soluciones. Basta con imaginarse la cantidad enorme de abusos que podrían generarse si se permitiera que los buscadores bloqueen enlaces a sitios determinados con el único requisito de que estos sean denunciados por un particular sobre la base de la supuesta afectación de sus derechos. De interpretarse que los buscadores deberían tomar medidas ante el reclamo por parte de los particulares implicaría situar a estos en una calle sin salida. Por un lado, los particulares demandarán judicialmente la omisión de los buscadores frente a su reclamo y, por el otro, los titulares de los sitios web se dirigirían a los juzgados para acreditar la licitud de los contenidos publicados en ellos con la finalidad de conseguir la reparación del daño provocado por los buscadores. La diferencia entre el primer caso y el segundo radica en que, en el segundo, los buscadores producirían el daño de forma activa. Coincido con Lisandro Frene en que “lamentablemente la cuestión no es tan sencilla. En primer lugar, si en el reclamo no se individualizan los sitios cuestionados el buscador debería decidir cuáles sitios son 'eróticos' y cuáles no, con la subjetividad y las dificultades técnicas que eso implica. En segundo término, algunos de los sitios eróticos en cuestión pueden haber válidamente adquirido derechos para exhibir imágenes de la reclamante. ¿Cómo podrían saber los buscadores cuáles son estos sitios? Téngase presente que en muchas de las causas actualmente en trámite quienes reclaman indemnización a los buscadores son vedettes y/o modelos que trabajan para revistas y/o espectáculos de contenido erótico”.Lo expuesto hasta ahora de ninguna manera apunta a una exención total de responsabilidad para los buscadores de Internet. La situación cambia cuando las empresas que son prestatarias de un servicio de intermediación en la red toman conocimiento efectivo de que la información existente es ilícita. Este conocimiento efectivo se da cuando media una resolución judicial que indique la ilicitud de estos contenidos. La falta de acción por parte de los buscadores ante el reclamo fundado en una resolución judicial derivará, conjuntamente con los titulares de las páginas generadoras del evento dañoso, en la responsabilidad de reparar los daños producidos por su omisión 53.En línea con esta idea se encuentra el Dr. Horacio Fernández Delpech 54, quien afirma que “la responsabilidad solo aparecería luego de que una orden judicial haya dispuesto la retirada o bloqueo del video y esta medida no fuera acatada. Mientras ello no ocurra, el sitio o el buscador, pueden presumir la conformidad de los intérpretes […] y, consecuentemente no existiría responsabilidad por el daño moral”.

VIII. CONCLUSIÓN.

53 Conf. VANINETTI, Hugo Alfredo; ob. cit., p. 231.54 FERNÁNDEZ DELPECH, Horacio; Los videos íntimos y la privacidad en Internet, elDial.com - DC166C.

22

A modo de reflexión final, considero que no parece apropiado atribuir a los buscadores de Internet el mismo tipo de responsabilidad que se le podría imponer al titular de un edificio en ruinas, por ejemplo. Este tipo de responsabilidad civil, atribuida mediante un factor objetivo fundado en la peligrosidad de las cosas, no encuentra base razonable sobre la cual erguirse toda vez que el daño no es ocasionado por la cosa –sin perjuicio de que sea amplificado-, sino quien incorpora el contenido nocivo a la red. Es el hecho de incorporar el contenido dañoso a la red, con todas las implicancias que esto conlleva de acuerdo al funcionamiento de la misma, el que genera el daño. El accionar de los buscadores es de vital importancia para el funcionamiento de la red Internet. Imponer a estos una obligación anterior al conocimiento efectivo, marcado por la orden emanada por autoridad competente, tendiente a bloquear los enlaces al contenido nocivo, importaría la violación de los derechos a la libertad de expresión y acceso a la información.A diferencia de lo sostenido en oportunidades anteriores 55, al hablar sobre la conveniencia de legislar ciertos temas relacionados con el “Derecho de Internet”, creo que este es un caso en que, tal como se lo ha encarado en legislaciones extranjeras, habrá que recurrir a la fuerza y estabilidad que proporcionan las leyes para acceder a soluciones justas y uniformes.

El DERECHO INFORMÁTICO FRENTE A LOS ASPECTOS RELEVANTES PARA LA FORMACIÓN DE LOS FEDATARIOS INFORMATICOS y SU INCIDENCIA EN LA SOCIEDAD Y LA EMPRESA

55 Conf. ERASO LOMAQUIZ, Santiago E.; Responsabilidad objetiva en el Cloud Computing. Cloud Computing y Empresa: ¿Nube o Tormenta?, 13/7/11, elDial.com - DC1652. Ver también CABANELLAS y PALAZZI, quienes, al referirse a la falta de legislación específica respecto del Derecho de Internet, sostienen que “tampoco es conveniente tenerla. La evolución de las materias que forman el Derecho de Internet es tan constante y veloz que sería imposible contar con un conjunto de normas actualizadas. Parece más atinada la aplicación de los principios y reglas generales del Derecho y sólo en contadas situaciones recurrir a nuevas normas”. Guillermo CABANELLAS DE LAS CUEVAS (Dir.), Ángel MONTES DE OCA (Coord.), Derecho de Internet. Ed. Heliasta, 2004, 1° ed., p. 11.

23

José Francisco Espinoza Céspedes 56

SUMARIO1.1. ASPECTOS GENERALES. 1.2. Ministerio de Justicia y la Función de Supervisión de los Cursos

de Formación. 1.3. Cursos obligatorios para la Formación de Fedatarios Informáticos. 2.1. Retos para

el Fedatario Juramentado en el Siglo XXI. 2.2. El Fedatario Juramentado en la nube computacional o

nube electrónica. A MODO DE CONCLUSIÓN

1.1. ASPECTOS GENERALES.-El Derecho Informático57 como generador de contenidos y sobre todos respuestas legales al

fenómeno informático en nuestra sociedad, plantea el desarrollo de Cursos de Formación de dadores

de fe58 pública, estos curso son denominados como “Cursos de Formación de Fedatarios

Juramentados con Especialización en Informática”, los referidos profesionales también son

denominados Fedatarios Informáticos59. La formación de los referidos profesionales representa un

56 Abogado por la Universidad de Lima. Egresado de la maestría en Derecho Empresarial de la Universidad de Lima. Estudios de Post-grado en Comercio Electrónico en la Gestión de los Negocios Internacionales (UNMSM). Estudios de Postgrado en “Experto Universitario en Entornos Virtuales de Aprendizaje” (OEA – Universidad Tecnológica del Perú). Estudios de Administración Electrónica (Colombia). Estudios de Especialización en Negocios Electrónicos (ESAN). Estudios de Anticorrupción. Autor del libro: Contratación Electrónica Medidas de Seguridad y Derecho Informático. Especialista en Derecho Informático e Informática Jurídica. Coordinador Académico del Curso de Formación de Fedatarios Juramentados con Especialización en Informática. Presidente de la Asociación Iberoamericana para el Desarrollo Regional –ASIDER. Gerente Legal y Director en Cybersec Consult S.A. Docente en la Universidad Ricardo Palma; Docente en la Universidad Wiener; Docente en la Universidad UTP. Docente en la Universidad de Lima (1998-2006); Docente en la Universidad Nacional Mayor de San Marcos (2006-2008). Docente en la Escuela Naval de Perú (2006-2007). Profesor Principal del Diplomado en Gobierno Electrónico en la Universidad de Ciencias Informáticas –UCI –Cuba. Profesor Honorario de la Universidad Nacional Faustino Sánchez Carrión. Docente en la Asociación Iberoamericana para el Desarrollo Regional – ASIDER. Expositor en la Universidad FADISMA de Brasil sobre temas de acceso a la información pública. Expositor en la Universidad de Nuevo León en México en el Marco del Congreso Iberoamericano de Derecho e Informática en relación a la Contratación Pública Electrónica. Expositor en temas jurídico informáticos internacionales en Argentina, Brasil, Bolivia, Colombia, Chile, Cuba, Ecuador, México.? Sobre el particular es fundamental resaltar que el Derecho Informático, como nueva rama del Derecho, surge con el desarrollo de las computadoras a mediados de los años 50 del siglo XXI, y se encarga de plantear las mejores y más pertinentes soluciones jurídicas (requeridas por el ciudadano y la sociedad en su conjunto). Espinoza Céspedes José francisco. Aspectos jurídicos fundamentales de la firma digital. En: Revista Decir. Revista de la Facultad de Derecho, Ciencia Política y Relaciones Internacionales de la Universidad Tecnológica del Perú –UTP. Año 1. Número 1. 2010. P. 107

57 Sobre el particular es fundamental resaltar que el Derecho Informático, como nueva rama del Derecho, surge con el desarrollo de las computadoras a mediados de los años 50 del siglo XXI, y se encarga de plantear las mejores y más pertinentes soluciones jurídicas (requeridas por el ciudadano y la sociedad en su conjunto). Espinoza Céspedes José francisco. Aspectos jurídicos fundamentales de la firma digital. En: Revista Decir. Revista de la Facultad de Derecho, Ciencia Política y Relaciones Internacionales de la Universidad Tecnológica del Perú –UTP. Año 1. Número 1. 2010. P. 107 58 Es importante resaltar que diferente valor tienen las aseveraciones que los interesados expresan ante el dador de fe: ellas valen hasta la simple prueba en contrario por cualquiera legitimado en hacerlas. En: Alvarado Velloso, Adolfo. LA PRUEBA JUDICIAL. Reflexiones críticas sobre la confirmación procesal. Bogotá. D.C. Editorial Universidad del Rosario. 2010. p.104.59 En la actualidad en el mundo empresarial peruano se tiende a utilizar la denominación de Fedatario Informático al dador de fe pública en medios electrónicos.

24

conjunto de nuevos retos legales para los Abogados, por cuanto su trabajo estará en íntima relación

con la problemática generada por los sistemas60, las bases de datos61 y el mundo digital en general;

en tal sentido, el Ilustre Colegio de Abogados de Lima y la Asociación Iberoamericana para el

Desarrollo Regional-ASIDER, vienen haciendo esfuerzos por plantear en el Perú un Curso acorde con

el marco regulatorio para la Formación de los Fedatarios Juramentado con Especialización en

Informática, en vista que su actividad, al ser realizada por medios electrónicos plantea nuevas

exigencias profesionales en ámbito de la Sociedad de la Información, el Derecho Informático, la

Informática jurídica y las Tecnologías de la Información y las comunicaciones –TICs, en general.

Es importante recordar que la labor del Fedatario Informático tiene relevancia gravitante en el marco

de la solución de problemas jurídicos en un contexto donde la Tecnología cambia permanentemente y

se requiere de profesionales preparados y capacitados en el ámbito del Derecho Informático como

rama del Derecho pionera en la búsqueda de respuestas acordes con la realidad que vivimos en el

siglo XXI.

Por otro lado, las diversas herramientas generadas por la Informática jurídica, permite al Fedatario

Juramentado desempeñarse eficientemente con las facilidades implementadas por la informática

jurídica documental, la Informática jurídica de gestión y la informática Jurídica decisional; con lo cual

la sistematización y la técnica legislativa forman los pilares necesarios que se deben recorrer para

lograr que las diversas aplicaciones diseñadas para el mundo jurídico realmente estén al servicio del

Derecho.

En ese orden de ideas, hoy más que nunca los datos de las entidades públicas y privadas y la

sociedad en general requieren de sistemas de seguridad e integridad de datos62 que garanticen su

60 Es de resaltar que en “(…) muchas ocasiones, los perjuicios judiciales y administrativos ocasionados por no proteger adecuadamente los datos almacenados en los sistemas informáticos son sensiblemente superiores a los meramente empresariales y se sufren en durante periodos de tiempo más dilatados” En: Serrahima, Joaquin. La Amenaza Digital. Barcelona. Profit Editorial. 2010. Página 37.61 Uno de los conceptos de base de base de datos aceptado por la comunidad técnica internacional es del de:”(…) com un conjunt de fitxers entre els quals hi ha lligams o interrelación”; en castellano podría traducirse como “El conjunto de archivos o ficheros a partir de los cuales se generan vínculos e interrelaciones (traducción propia)”. Camps Paré, Rafael y otros. Bases de Datos. OUC. Primera edición en llengua Catalana. Barcelona. Eureca media, SL., p.45. 62 Debemos recordar que: “Proteger la integridad de una BD (Base de Datos) es asegurar que la información almacenada es correcta, es decir, refleja fielmente la realidad. Evitar las violaciones de las reglas de integridad es crucial en los sistemas de BD multiusuario, en los que muchos usuarios acceden a la misma información: el que uno de ellos modifique un dato o introduzca información errónea, afecta al resto de usuarios del sistema.No existe integridad de datos cuando:

a) Existe inconsistencia.25

inalterabilidad e integridad, para lo cual se vienen implementando una serie de aplicaciones que

utilizan firmas y certificados digitales.

Es así, que el Fedatario Informático al utilizar la Firma Digital63 en los procesos de digitalización

genera las pruebas necesarias que permitan demostrar su participación en determinada línea de

producción de documentos electrónicos con valor legal, tanto en el ámbito público como privado; para

tal efecto se utilizan medios técnicos idóneos, certificados por INDECOPI64, a fin de otorgar certeza y

fiabilidad respecto de la participación del Fedatario Informático en los procesos generación de

documentos electrónicos con pleno valor legal; con lo cual se aprecia que el proceso de otorgamiento

de fe pública tiene íntima relación con la certificación digital, por cuanto permiten una adecuada

preparación de los documento electrónico para su posterior transmisión por vía telemática.

1.2. Ministerio de Justicia y la Función de Supervisión de los Cursos de Formación.Conforme al marco legal vigente corresponde al Poder Ejecutivo a través del Ministerio de Justicia la

Supervisión de los Curso de Formación de Fedatarios Juramentados65 tendientes a otorgamiento del

Diploma de Idoneidad Técnica, a los Fedatarios Juramentados, verificando el cumplimiento de los

requisitos legales exigidos por Ley.

Situación similar procede para los procesos de ratificación cada cinco años, a que están obligados los

Fedatarios Informáticos, para tal efecto deben capacitarse constantemente en los temas

fundamentales del Derecho y las TICs66.

1.3. Cursos obligatorios para la Formación de Fedatarios Informáticos

b) Existe información imposible. Por ejemplo una base de datos donde se almacenan datos referentes a una clase de un instituto donde existe la fecha de nacimiento de un alumno no almacenado. También existe la falta de integridad cuando se almacena información falsa que no se ajusta a la realidad (una película con 523 actores protagonistas, cuando en realidad son 5).

Esta situaciones se evitan si los datos cumplen las restricciones de integridad.” En: Cobo Yera, Ángel. Diseño y Programación de Bases de Datos. Madrid. Visión Libros. 2008. p.81

63 En el Perú la firma digital presenta un marco legal propio generado por la Ley 27269 –Ley de Firmas y Certificados Digitales, norma que consta de 16 artículos y 03 Disposiciones Complementarias, Transitorias y Finales. Conforme al Artículo N° 3 se entiende por firma digital a: “(…) aquella firma electrónica que utiliza una técnica de criptografía asimétrica, basada en el uso de un par de claves único; asociadas una clave privada y una clave pública relacionadas matemáticamente entre sí, de tal forma que las personas que conocen la clave pública no puedan derivar de ella la clave privada.” Debiendo entenderse conforme al Artículo N° 1 de la referida Ley que su objeto es: “regular la utilización de la firma electrónica otorgándole la misma validez y eficacia jurídica que el uso de una firma manuscrita u otra análoga que conlleve manifestación de voluntad.Entiéndase por firma electrónica a cualquier símbolo basado en medios electrónicos utilizado o adoptado por una parte con la intención precisa de vincularse o autenticar un documento cumpliendo todas o algunas de las funciones características de una firma manuscrita.” 64 Instituto Nacional de Defensa de la Competencia y la Protección de la Propiedad Intelectual.65 Para tal efecto puede analizarse el Decreto Supremo Nº 001-2000-JUS, mediante el cual se aprobó el Reglamento sobre la aplicación de normas que regulan el uso de tecnologías avanzadas en materia de archivo de documentos e información a entidades públicas y privadas. La referida norma permite un marco de referencia importante para el desarrollo de la formación de los Fedatarios Informáticos en el Perú.

26

Es importante resaltar que para la Formación de Fedatarios Juramentados deben dictarse como

mínimo los siguientes Cursos:

- Derecho Informático.

- Informática Jurídica aplicada a los Fedatarios.

- Ética Informática.

- Comercio Electrónico.

- Firma Digital.

- Normas Técnicas Peruanas sobre Micrograbación.

- Archivística Digital.

- Inglés Informático Jurídico.

- Fe Pública Informática.

- Seminario de investigación aplicada con sustentación de trabajo final.

Cursos con los cuales se busca garantizar la formación de los futuros Fedatarios Juramentados, a fin

que puedan estar aptos y capacitados para ejercer funciones a partir del 2012.

2.1. Retos para el Fedatario Juramentado en el Siglo XXIUno de los principales retos del Fedatario Juramentado en el siglo XXI, es colocar a la microforma, como institución jurídica creada por el Derecho peruano para el otorgamiento del valor probatorio a

los documentos electrónicos67, en su real valor, tanto por su interés jurídico como por su interés

económico y social. Por cuanto representa un adecuado mecanismo para el resguardar el acervo

documental de la sociedad en su conjunto.

Entre otros retos del Fedatario Informático encontramos los siguientes:

66 Se dice que las TICs “(…) potencian hasta límites impensables hace cien años nuestras capacidades (…) las mismas que van desde el proceso de poder comunicarnos a grandes distancias, realizar y desarrollar grandes cálculos en pocos segundos, firmar digitalmente etc. Para mayores detalles ver: Bonet Pérez, Jordi. Los Derechos Humanos en el Siglo XXI continuidad y cambios. Barcelona. Huygens Editorial. p.396. 67 Por otro lado, debemos tener en cuenta que “(…) negar todo valor a un medio o fuente de prueba concreto sólo parece justificarse en razón de su inutilidad, impertinencia o ilicitud, aspectos que, en principio, se refieren no a la fuente o medio probatorio en abstracto, sino a la proposición de prueba concreta realizada en el proceso.” Peguera Poch; Miquel. Derecho y Nuevas Tecnologías. 2005. Barcelona. Editorial Eureca Media, SL. p. 91.

27

1. Crear valor en la producción de microformas68, evitar competir por precio, por el contrario se

requiere generar valor agregado a las mismas, de tal forma que como consecuencia de su

utilidad y aplicación práctica, el mercado genere respuestas importantes, que permitan

estabilizar dichos precios a un nivel que permita al Fedatario Informático tener los ingresos

necesarios para capacitación y defensa frente a posibles contingencias legales no previstas.

El otorgamiento de valor a la microforma pasa por dar a conocer a la comunidad sobre su

importancia y características de documento electrónico69 con pleno valor legal aplicable a las

diversas actividades y quehaceres diarios del ser humano, entre las que destacan:

Inalterabilidad.

Autenticidad

Durabilidad.

Disponibilidad.

Seguridad

Almacenabilidad.

Transferibilidad.

Utilización como medio de prueba.

2. Realizar consultorías paralelas a la dación de fe en medios electrónicos, a fin de no depender

únicamente de la fedatación, con lo cual las posibilidades de éxito son mayores, siendo más

competitivos, al no depender de una sola actividad.

3. Fortalecer la labor del Fedatario Juramentado, colocándolo en su real dimensión, al reconocer

que es un profesional que participa en procesos digitalización con valor legal, que utiliza la

firma digital70 y que además podrá participar como perito en cuanto a la validez o no de los

documentos electrónicos con valor legal (microformas).

68 Conforme al Decreto Legislativo N° 681 modificado por la Ley 26612, una microforma es una “Imagen reducida y condensada, o compactada, o digitalizada de un documento, que se encuentra grabado en un medio físico técnicamente idóneo, que le sirve de soporte material portador, mediante un proceso fotoquímico, informático, electrónico, electromagnético, o que emplee alguna tecnología de efectos equivalentes, de modo que tal imagen se conserve y pueda ser vista y leída con la ayuda de equipos visores o métodos análogos; y pueda ser reproducida en copias impresas, esencialmente iguales al documento original.” En otras palabras la microforma es un documento electrónico con pleno valor legal que ha sido generado en una plataforma de digitalización, donde los equipos (hardware) y los intangibles (software) han sido plenamente acreditados por INDECOPI a través de empresas supervisoras, por ejemplo, la SGS. 69 En estos tiempos “(…) se hace ineludible replantear nuevamente la definición de documento electrónico, pues existe una tendencia legislativa cada vez más proclive a asegurar que en la práctica se cumpla el principio de equivalencia funcional (…). Mira Ros, Corazón. El Expediente Judicial Electrónico. Madrid. Editorial DYKINSON. 2010. p. 26. 70 Debemos resaltar que la firma digital además de identificar a las partes intervinientes en operaciones electrónicas, permite otorgar un adecuado nivel de seguridad al informar sobre posibles vulneraciones sobre el mensaje transmitido a distancia.

.28

4. Generar conocimiento de vanguardia para mejorar los procesos de producción de

microformas, a fin de lograr adecuados productos con altos estándares de calidad para la

sociedad y la empresa en su conjunto.

2.2. El Fedatario Juramentado en la nube computacional o nube electrónica.Cada día se van mejorando los componentes electrónicos, el hardware y el software confluyendo en

diversas soluciones integrales al servicio de la colectividad. Constantemente interactuamos más

rápido, gracias al uso de internet y las TICs, tanto a nivel de audio, video, interfaces amigables y

manifestaciones de voluntad. Con lo cual el campo de aplicación de los documentos electrónicos con

valor legal crece exponencialmente, permitiendo que el Fedatario juramentado también pueda ampliar

sus horizontes profesionales y de servicios.

Hoy se habla mucho sobre el desarrollo de los centros virtuales de operaciones, como aquellos

espacios relacionales, donde podemos realizar una serie de actividades, en ese contexto,

encontramos el desarrollo del concepto de computación en la nube electrónica71, con lo que se

presenta hoy en día un nuevo campo de análisis para el desarrollo de las operaciones electrónicas,

donde debemos preguntarnos ¿cómo puede ayudar esta tecnología a las labores del Fedatario

Informático?.

Sobre el particular teniendo en cuenta que la computación en la nube nos permite almacenar grandes

cantidades de información, el fedatario juramentado podría almacenar en la nube la información antes

de incorporarla al soporte material idóneo, es decir, antes de su quemado en los discos WORM (Write

One Read Many).

El Fedatario Juramentado trabaja e interactúa con Hardware y Software, de ahí es importante tener

en cuenta los contratos que permiten su transferencia, mientras que el hardware se transfiere por

contrato de compraventa, para el caso del software esta se realiza mediante el otorgamiento de

licencias de uso.

Recordemos que en la legislación peruana el software es protegido a nivel de la Propiedad

Intelectual, cuyo marco jurídico se encuentra en la Ley de Derechos de Autor, aprobado por Decreto

71 En tal sentido, la “(…) tecnologías avanza, y junto a la tecnología nuestra concepción de la informática debe evolucionar.Actualmente, las empresas que desean garantizar la seguridad la seguridad de sus datos y no cuentan con servidores externos propios, comienzan a usar la llamada cloud computing, en español, computación en la nube de cómputo, o una red de servicios accesibles a través de internet. Uno de esos servicios es el almacenamiento de información.” Aguilera Purificación. Seguridad Informática. Madrid. Editex. 2011. p.192.

29

Legislativo Nº 822, para dicha norma el software o programa de ordenador es “Programa de

ordenador (software): Expresión de un conjunto de instrucciones mediante palabras, códigos, planes

o en cualquier otra forma que, al ser incorporadas en un dispositivo de lectura automatizada, es

capaz de hacer que un computador ejecute una tarea u obtenga un resultado. La protección del

programa de ordenador comprende también la documentación técnica y los manuales de uso.”72

Es una realidad que el uso de las Tecnologías de la Información y las Comunicaciones -TICs, nos

abren un nuevo campo de desarrollo para nuestros sentidos, por cuanto podemos estar en un partido

de básquet o en un campeonato de Karate y estar recibiendo en tiempo real correos electrónicos por

el celular, haciendo compras por internet, actualizando nuestro facebook, o Twitter, esto debido a que

las interfaces cada vez se hacen más intuitivas, al extremo que los niños de ahora son nativos

electrónicos, situación que les permite ser más prácticos y eficientes al utilizar las TICs.

El uso adecuado de los documentos electrónicos en bien de la sociedad pueden trastocarse y

convertirse en la comisión de delitos informáticos73, con lo cual la generación de pruebas en medios

electrónicos se convierte en una necesidad fundamental para la defensa de los derechos de las

personas, surgiendo la microforma digital74 como un medio de prueba idóneo para el registro y

72 De acuerdo a lo previsto en el numeral 34 del Artículo Primero de la citada norma.73 Para tal efecto, revisar la Ley 27309, Ley que incorpora la tipificación de los Delitos Informáticos al sistema jurídico peruano, modificándose el Título V del Libro Segundo del Código Penal, el mismo que fuera promulgado por Decreto Legislativo Nº 635. La referida norma plantea lo siguiente: “Artículo 207-A.- El que utiliza o ingresa indebidamente a una base de datos, sistema o red de computadoras o cualquier parte de la misma, para diseñar, ejecutar o alterar un esquema u otro similar, o para interferir, interceptar, acceder o copiar información en tránsito o contenida en una base de datos, será reprimido con pena privativa de libertad no mayor de dos años o con prestación de servicios comunitarios de cincuentidós a ciento cuatro jornadas.     Si el agente actuó con el fin de obtener un beneficio económico, será reprimido con pena privativa de libertad no mayor de tres años o con prestación de servicios comunitarios no menor de ciento cuatro jornadas.     Artículo 207-B.- El que utiliza, ingresa o interfiere indebidamente una base de datos, sistema, red o programa de computadoras o cualquier parte de la misma con el fin de alterarlos, dañarlos o destruirlos, será reprimido con pena privativa de libertad no menor de tres ni mayor de cinco años y con setenta a noventa días multa.     Artículo 207-C.- En los casos de los Artículos 207-A y 207-B, la pena será privativa de libertad no menor de cinco ni mayor de siete años, cuando:     1. El agente accede a una base de datos, sistema o red de computadora, haciendo uso de información privilegiada, obtenida en función a su cargo.     2. El agente pone en peligro la seguridad nacional.CAPÍTULO XIDISPOSICIÓN COMÚN     Artículo 208.- No son reprimibles, sin perjuicio de la reparación civil, los hurtos, apropiaciones, defraudaciones o daños que se causen:     1. Los cónyuges, concubinos, ascendientes, descendientes y afines en línea recta.      2. El consorte viudo, respecto de los bienes de su difunto cónyuge, mientras no hayan pasado a poder de tercero.      3. Los hermanos y cuñados, si viviesen juntos”74 Al respecto podemos apreciar que en enero del 2011 se realizó una capacitación sobre proceso de certificación de Microformas digitales; en tal sentido, en informa en la Web de la Asociación Iberoamericana para el Desarrollo Regional – ASIDER que el “Dr. José Francisco Espinoza Céspedes, especialistas en Derecho Informático con más de 15 años en la materia, viene dictando al Registro Nacional de Identificación y Estado Civil -RENIEC, del 24 de enero al 31 de enero del 2011, un ciclo de capacitación sobre procesos de Certificaciòn de Microformas Digitales.

30

almacenamiento con valor legal de las actividades por medios electrónicos, situación que permitirá

procesos judiciales con mayor celeridad y más justos.

Hoy vemos la existencia de una real convergencia del ser humano con las PC y las redes, el software

se hace cada vez más elaborado, al extremo que en el caso de los virus estos tienen la capacidad de

mutar para hacer más daño, en tal sentido, debemos estar preparados para abordar con éxito los

problemas que van surgiendo en mundo tecnológico.

A MODO DE CONCLUSIÓN

1. El siglo XXI exige con mayor celeridad profesionales capacitados y capaces de producir

documentos con pleno valor legal, en tal sentido, el Fedatario Juramentado con Especialización

en Informática (Fedatario Informático) es el profesional llamado a cumplir dichas funciones, por

encontrarse preparado para asumir los nuevos retos que le plantea el nuevo milenio en el marco

de la conversión y generación de documentos electrónicos seguros y capaces de identificar al

firmante de los mismos.

2. Conforme transcurren los días y los años, crece el interés por desarrollar espacios seguros para

el almacenamiento de datos e información, la microforma digital se presenta como una solución

adecuada para tales requerimientos, sobre todo a partir del momento en que la más grande

almacenera peruana de documentos en soporte papel sufrió un grave incendió y se perdieron

miles de documentos tanto de entidades públicas como privadas.

3. La fedatación juramentada crea nuevos retos para los Abogados quienes deben estudiar diversos

temas técnicos y jurídicos para alcanzar una adecuada preparación que les permita asumir los

nuevos retos del siglo XXI.

4. Las instituciones públicas como privadas, así como la sociedad en su conjunto encuentran en la

microforma el medio técnico idóneo para el almacenamiento y transmisión de grandes volúmenes

de información con pleno valor legal.

La capacitación está dirigida al personal de la línea de Producción de Microformas del RENIEC, quienes con mucho entusiasmo vienen asistiendo en turnos de mañana, tarde, noche y amanecida a las clases impartidas por el Dr. Espinoza Céspedes.Felicitamos a los integrantes de todas las áreas de la plataforma de generación de Microformas Digitales por su empeño, esfuerzo y dedicación demostrado durante todo el proceso de capacitación. Quienes a pesar de sus recargadas labores viene cumpliendo a cabalidad con los contenidos de las clases.(…). En: www.asider.pe. Revisada el 06-08-11.

31

5. Existe interés por parte de organismos internacionales por fomentar el desarrollo de la

microforma para su aplicación en los órganos jurisdiccionales peruanos.

Por tanto y como se indica en el Titulo I “Disposiciones Generales” del Reglamento de la Ley de Firmas y Certificados Digitales, Capítulo I “De la Validez y Eficacia Jurídica de la Firma Digital” se trata exclusivamente de la firma digital; a la cual se le atribuye, en aplicación del principio de equivalencia funcional del Derecho Informático, la misma validez y eficacia jurídica que la firma manuscrita en la medida que haya sido generada dentro de la Infraestructura Oficial de la Firma Electrónica. Lo atribuido, no excluye el cumplimiento de las formalidades específicas requeridas para los actos jurídicos y el otorgamiento de la Fe Pública, según lo indica el artículo 3 del Reglamento de la Ley de Firmas y Certificados Digitales.75

Por otro lado, el artículo 4to. del mismo Reglamento, establece que los documentos electrónicos firmados digitalmente y dentro del marco de la Infraestructura Oficial de la Firma Electrónica, deberán ser admitidos como prueba en los procesos judiciales y/o en los procedimientos administrativos; toda vez que se haya dado cumplimiento a lo dispuesto en las normas sobre la materia, como así también, hayan intervenido las Entidades de Certificación y Entidades de Registro o Verificación acreditadas, a menos que la misma Entidad goce de ambas calidades. Lo acotado, garantizará el no repudio de los documentos electrónicos originales firmados digitalmente.76

Por lo expuesto la ley garantiza el uso de la firma digital en la labor del Fedatario Informático, como depositario de la Fe Pública.Cabe acotar que en el continuo desarrollo tecnológico-jurídico y a bien de dar fiel cumplimiento a las normas expuestas, últimamente se ha emitido el D.S. 070-2011-PCM (27AGO2011) que en el marco del Gobierno Electrónico, modifica el Decreto Supremo Nro. 052-2008-PCM “Reglamento de la Ley de Firmas y Certificados Digitales”, para reconocer en los actuales certificados digitales emitidos por el Registro Nacional de Identificación y Estado Civil – RENIEC todas las presunciones legales establecidas en el artículo 877, es decir el control exclusivo de la clave privada asociada, la

75 D.S. 052-2008-PCM Reglamento de la Ley de Firmas y Certificados Digitales - Artículo 3.- De la validez y eficacia de la firma digital.- “La firma digital generada dentro de la Infraestructura Oficial de Firma Electrónica tiene la misma validez y eficacia jurídica que el uso de una firma manuscrita. En tal sentido, cuando la ley exija la firma de una persona, ese requisito se entenderá cumplido en relación con un documento electrónico si se utiliza una firma digital generada en el marco de la Infraestructura Oficial de la Firma Electrónica.Lo establecido en el presente artículo y las demás disposiciones del presente Reglamento no excluyen el cumplimiento de las formalidades específicas requeridas para los actos jurídicos y el otorgamiento de fe pública.”

76 D.S. 052-2008-PCM “Artículo 4.- De los documentos firmados digitalmente como medio de pruebaLos documentos electrónicos firmados digitalmente dentro del marco de la Infraestructura Oficial de Firma Electrónica deberán ser admitidos como prueba en los procesos judiciales y/o procedimientos administrativos, siempre y cuando la firma digital haya sido realizada utilizando un certificado emitido por una Entidad de Certificación acreditada en cooperación con una Entidad de Registro o Verificación acreditada, salvo que se tratara de la misma entidad con ambas calidades y con la correspondiente acreditación para brindar ambos servicios, asimismo deberá haberse aplicado un software de firmas digitales acreditado ante la Autoridad Administrativa Competente. Esto incluye la posibilidad de que a voluntad de las partes pueda haberse utilizado un servicio de intermediación digital.La firma digital generada en el marco de la Infraestructura Oficial de Firma Electrónica garantiza el no repudio del documento electrónico original. (…)

77 D.S. 052-2008-PCM “Artículo 8.- De las presunciones- Tratándose de documentos electrónicos firmados digitalmente a partir de certificados digitales generados dentro de la Infraestructura Oficial de Firma Electrónica, se aplican las siguientes presunciones:

32

autenticidad y no alteración del documento electrónico firmado digitalmente; para los fines de los documentos firmados digitalmente como medios de prueba citado en el artículo 4to.78 del Reglamento y de las garantías para el acceso a los ciudadanos a los servicios públicos electrónicos seguros citadas en el Artículo 43avo79 del mismo Reglamento, por tal motivo, se le amplia a RENIEC en su calidad de Entidad de Certificación Nacional para el Estado Peruano, el plazo, para iniciar los procedimientos de acreditación respectivos ante la Autoridad Administrativa Competente, esto es, el Instituto Nacional de Defensa de la Competencia y de la Protección de la Propiedad Intelectual – INDECOPI. De la misma forma y con el objeto de garantizar el desarrollo de las transacciones electrónicas seguras de Gobierno y Comercio Electrónico, se prorroga el plazo de exoneración del

a) Que el suscriptor del certificado digital tiene el control exclusivo de la clave privada asociada.b) Que el documento electrónico fue firmado empleando la clave privada del suscriptor del certificado digital.c) Que el documento electrónico no ha sido alterado con posterioridad al momento de la firma.Como consecuencia de los literales previos, el suscriptor no podrá repudiar o desconocer un documento electrónico que ha sido firmado digitalmente usando su clave privada, siempre que no medie ninguno de los vicios de la voluntad previstos en el Título VIII del Libro II del Código Civil”

78 D.S. 052-2008-PCM “Artículo 4.- De los documentos firmados digitalmente como medio de prueba (citado arriba)

79 D.S. 052-2008-PCM “Artículo 43.- De las garantías para el acceso de los ciudadanos a los servicios públicos electrónicos seguros- Las diferentes entidades y dependencias de la Administración Pública deberán garantizar el acceso a los ciudadanos para la realización de transacciones de gobierno electrónico, debiendo para tales efectos:a) Adecuar sus trámites y procedimientos aplicados en sus comunicaciones tanto con los ciudadanos como con las distintas entidades de la Administración Pública, a fin de llevarlos a cabo por medios electrónicos; debiendo asegurar en todo momento la disponibilidad de acceso, la integridad, la autenticidad, el no repudio y la confidencialidad de las transacciones realizadas por estos medios, empleando para tales fines los certificados y firmas digitales emitidos dentro de la Infraestructura Oficial de Firma Electrónica de acuerdo al artículo 4 del presente Reglamento, así como canales seguros.

b) Proveer a su personal competente de certificados digitales y sistemas basados en firma digital reconocidos por la Infraestructura Oficial de Firma Electrónica de acuerdo al artículo 4 del presente Reglamento. Asimismo, cada Administración Pública deberá brindar a sus empleados la capacitación en la utilización de las firmas y certificados digitales, y demás medios electrónicos requeridos en las actividades propias de dicha entidad. Además, deberán ser capacitados en los temas de seguridad y privacidad respecto de los documentos de carácter personal que les competen según la función o cargo que ocupen.c) Poner a disposición de los interesados, por vía electrónica, la información actualizada acerca de los trámites y procedimientos a su cargo, con especial indicación de aquellos que resulten factibles de ser iniciados por vía electrónica.d) Informar a los ciudadanos de las condiciones tecnológicas necesarias para el acceso a servicios públicos electrónicos seguros y, de ser el caso, el modo de obtención de los implementos o dispositivos requeridos para tal efecto.e) El equipo informático constituido por los servidores empleados por las instituciones para la prestación y realización de transacciones de gobierno electrónico, deberá brindar las garantías necesarias para una comunicación segura, debiendo obtener los correspondientes certificados de dispositivo seguro emitidos por una Entidad de Certificación debidamente acreditada ante la Autoridad Administrativa Competente.f) Las entidades de la Administración Pública deberán admitir la recepción de documentos firmados digitalmente de acuerdo al artículo 4 del presente Reglamento, siempre que hayan sido emitidos por Entidades de Certificación y Entidades de Registro o Verificación que se encuentren acreditadas y operen dentro de la Infraestructura Oficial de Firma Electrónica.g) Contar con personal capacitado para brindar información a los usuarios sobre el manejo y uso de la tecnología requerida (implementos y dispositivos) para la realización de transacciones de gobierno electrónico. Esta información podrá ser proporcionada por el mencionado personal y deberá necesariamente estar incorporada en el mismo medio o instrumento requerido para la realización del trámite o solicitud correspondiente.h) Contar con una red de puntos de acceso a nivel nacional a través de centros de acceso ciudadano que por medio de canales seguros permitan la interacción con otras dependencias de la Administración Pública. Estos centros de acceso ciudadano deberán estar dotados de personal capacitado para brindar la información y facilidades necesarias para que el ciudadano pueda realizar transacciones seguras de gobierno electrónico, debiendo igualmente contar con un servicio integral de atención de reclamos y solicitudes de información respecto al empleo de los mecanismos necesarios para la interacción con el Estado a través de medios electrónicos.i) Implementar los procedimientos necesarios para que en los casos de ciudadanos que no cuenten con el conocimiento y la tecnología necesaria para poder realizar transacciones electrónicas, su identificación y autenticación a efectos de poder acceder a los mismos podrá ser realizada por un notario que cuente con Diploma de Idoneidad Técnica inscrito en su

33

cumplimiento de la contratación de seguros y la obtención del Web Trust80, fomentando de esta forma, el registro de Prestadores de Servicios de Certificación Digital ante el INDECOPI, para la operación de la Infraestructura Oficial de la Firma Electrónica. Y entre otras modificaciones, establece además, las normas aplicables al procedimiento registral en virtud del Decreto Legislativo Nro. 681 y sus ampliatorias, manteniendo la coherencia en la legislación vigente, con el desarrollo económico del país y las nuevas tecnologías de la información.En resumen, entonces, la función del Fedatario Informático es reconocida por el Estado Peruano desde el año 1991, como hemos indicado, otorgándole a su función el poder de dar veracidad, imparcialidad y autenticidad a los documentos que se crean o copian a formas digitales, mediante el otorgamiento de la Fe Pública, en los actos o negocios jurídicos que se deriven de ellas y ampliando el mercado de opciones en esta nueva era digital con la garantía del total conocimiento de la aplicación de las nuevas tecnologías de la información, y la seguridad administrativa-jurídica-informática que va en crecimiento de mejora continua en nuestro país.

ASPECTOS LEGALES DE LA GESTIÓN DE INCIDENTES COMO ESTRATEGIA DE SEGURIDAD CIBERNÉTICA DEL ALBA.

correspondiente Colegio profesional. En este caso, el ciudadano deberá identificarse ante el depositario de la fe pública y prestar su consentimiento expreso, dejando constancia de ello para los casos de discrepancia o litigio.j) Aplicar los criterios de usabilidad establecidos por la Autoridad Administrativa Competente.”

80 Herramienta de navegación segura en Internet http://www.accv.es/webtrust/

34

Hildamar C. Fernandez P

Gabriel Moline S.

VENEZUELA

Introducción.

El mundo cambia constantemente y las Tecnologías de Información y Comunicación (TIC's), ejercen un rol fundamental en esos cambios, particularmente por su implicación en todos los ámbitos de la vida, por lo cual deben adaptarse entre otros la ciencia jurídica, para dar respuesta a las situaciones legales que puedan derivarse de estas nuevas formas de relacionarse. En este sentido, visto el crecimiento de las conexiones políticas, sociales y económicas, aumentan las iniciativas de Naciones que basan sus relaciones en la cooperación e intercambio de información, utilizando como plataforma para el desarrollo las TIC's; en este contexto surge la necesidad de disponer de estrategias, así como de mecanismos tecnológicos y legales idóneos que permitan mitigar, gestionar y sancionar la aparición de amenazas y daños que se puedan presentar con el empleo de estas.

Por ello, entre otros los países miembros de la Alianza Bolivariana para los Pueblos de América (ALBA), vale decir, Venezuela; Cuba; Bolivia; Ecuador; Nicaragua; Mancomunidad de Dominica; Honduras; San Vicente y Granada; conscientes de la importancia de unir esfuerzos para resguaradarse ante los inminetes ataques a los que están expuestos de forma cibernética por la creciente tendencia mundial de nuevas formas de atentar contra la soberanía de los países, abordan estos avances como parte de su estrategias de seguridad para ofrecer un marco técnico-jurídico robusto, que permita reaccionar con mayor eficacia ante estos nuevos retos tecnológicos y suman esfuerzos para articular y dotar a la comunidad que conforman de mecanismos adecuados para prevenir y actuar con efectividad ante los nuevos riesgos generados por el desarrollo de las nuevas tecnologías, ya que la seguridad de los sistemas y redes de información de una Nación son el componente fundamental de su seguridad .

A tal efecto, en el presente se expondrán de forma general los aspectos legales a ser considerados en la gestión de Incidentes en Tecnologías de Información y Comunicación como estrategia de Seguridad Cibernética para los países miembros de la Alianza Bolivariana para los pueblos de nuestra América (ALBA); en tal sentido, efectuaremos un enfoque desde la intrínseca relación existente entre los ámbitos jurídico-tecnológico, ligados a la constitución y funcionamiento del CERT/CSIRT para el ALBA (ALBACERT); como estrategía que permita gestionar y coordinar los incidentes que se puedan producir en el seno de las relaciones con cualquierasde sus miembros.

Antecedentes Generales.

El término CERT proviene de las siglas en inglés Computer Emergency Response Team y viene a definir a un equipo de personas dedicado a la implantación y gestión de medidas tecnológicas con el

Consultora Jurídica de la Superintendencia de Servicios de Certificación Electrónica-SUSCERTE Director del Sistema Nacional de Gestión de Incidentes Telemáticos -VenCERT.

35

objetivo de mitigar el riesgo de ataques contra los sistemas de la comunidad a la que se proporciona el servicio. También es conocido por las siglas CSIRT (Computer Security and Incidente Response Team) y ofrece servicios de respuesta ante incidentes y de gestión de seguridad. El primer CERT, se creó en 1988 en la Universidad Carnegie Mellon, en Estados Unidos (propietaria de esta marca registrada) y desde entonces, han ido creándose este tipo de equipos en todo el mundo y en distintos ámbitos de la sociedad (Administración, Universidad, investigación, empresa, etc).

Asimismo, han ido surgiendo distintos foros y organizaciones que coordina compartiendo información sobre vulnerabilidades y ataques a nivel global y divulgando medidas tecnológicas que mitiguen el riesgo de ataques a sistemas y usuarios conectados a Internet que dan servicio a sus respectivas comunidades. Entre estas organizaciones, destacan el FIRST (Forum of Incident Response and Security Teams), que cuenta con más de 180 miembros de todo el mundo; a nivel europeo, el Trusted Introducer de TERENA (Asociación Transeuropea de Investigación y Educación de Redes) y el EGC Group (European Government CERT/CSIRT) que reúne a los principales CERT/CSIRT gubernamentales en Europa. CCN-CERT/CSIRT. (Agosto,2011) Diponible en:

https://www.ccn-CERT/CSIRT.cni.es/index.php?option=com_content&view=article&id=24:ique-esun-CERT/CSIRT&catid=7&Itemid=34&lang=es

El desarrollo de Internet, fué iniciado a finales de los años 70 y en le región se ha afianzado en los últimos 15 años, obteniendo un matiz interesante, cuyo uso ha sido impulsado entre otros, por los Gobiernos Latinoamericanos; en aras de optimizar sus gestiones en todos los ámbitos, convirtiendose igualmente en una tendencia entre los prestadores de servicios públicos y privados, a saber: Banca Electrónica, Servicios de Televisión por Suscripción, Pago de Impuestos, Voto Electrónico, por señalar algunos. Todos en su conjunto, contribuyen a los avances de las sociedades y al efectivo desarrollo del Gobierno Electrónico, que coadyuva a brindar transparencia, celeridad y eficiencia a su gestión con los ciudadanos y ciudadanas.

Sin embargo, la masificación en el empleo de TIC's, ha generado que día tras día un sinnúmero de nuevos usuarios accedan a la autopista de la información, pero desprovistos de una adecuada capacitación para ello, ya que en su mayoría no disponen de las herramientas necesarias para hacer un uso seguro de las técnologías; por lo cual es pertinente dotar a nuestras comunidaes de un apropiado programa de educación para el buen uso del recurso, ya que aprovechando estos factores de inexperiencia o desconocimiento, surge una creciente plataforma de ciberataques e incidentes telemáticos, con una inminente tendencia al crecimiento de riesgos y amenazas para los nuevos y persistentes usuarios de los servicios de tecnologías de información.

En esta plataforma emergente de ciberataques y cibercrimen, se observa una diversificación de nuevos tipos delictivos, entre los cuales podemos mencionar: ataques dirigidos, sabotaje, espionaje industrial suplantación de identidad, fraude electrónico, extorsión, cyberbuling, pornografía infantil, ciberterrorismo, solo por nombrar algunos y cada día es mas frecuente enfrentarnos con casos de desfiguración de portales de Gobierno y Servicios (Defacement); virus, troyanos, gusanos (Malware en general); ingeniería social y fraudes en linea (conocidos como Phishing y Pharming); así como

36

crecientes, maliciosas y no menos peligrosas Redes Robot (Botnets). En este sentido, es imperante exponer las necesidades de concienciar al usuario final y potenciar la articulación y cooperación, tanto de forma interna como externa, entre los actores nacionales encargados de gestionar estas amenazas del ciberespacio. Es en este punto, reviste una vital importancia fijar estrategías nacionales e internacionales, que permitan establecer controles preventivos y reactivos de seguridad, para dotar de mínimos niveles de protección, no sólo a la información que pertenece a nuestros usuarios y que es gestionada a través de Internet, sino de igual forma resguardar la soberanía y paz de nuestros Estados.

A tal efecto, cada vez son más los CERT/CSIRT, que se conforman en el mundo, los cuales buscan cooperar y unir esfuerzos para mitigar las amenazas en el ciberespacio. En Latinoamerica, se continua un proceso de crecimiento, pero estamos seguros que con el apoyo de las comunidades nacionales, el aporte de organismos gubernamentales, el sector público, privado, y las organizaciones Internacionales, podremos desarrollar las capacidades en aras de dar respuesta a las necesidades crecientes de seguridad de información que surgen con más ahinco en nuestro territorio,cuyas claves de éxito están constituidas por: compromiso, continuidad, cooperación y concienciación.

En Venezuela, como en otros países de latinoamérica, existe una organización Gubernamental CERT/CSIRT, denominada VenCERT, – Sistema Nacional de Gestión de Incidentes Telemáticos (https://www.venCERT/CSIRT.gob.ve), encargada de coordinar y articular los esfuerzos en el ámbito Nacional e Internacional orientados a la atención de Incidentes Telemáticos y Gestión de Seguridad Informática, en las infraestructuras críticas de la República Bolivariana de Venezuela y los entes de la Administración Pública, ante los resultados obtenidos y las experiencias compartidas con otros CERT/CSIRT de la región, surge el interés y el compromiso en la creación de los Centros de Seguridad para la Alianza Bolivariana para los Pueblos de América Latina (ALBACERT); con el fin de trabajar conjuntamente para el desarrollo y la segura aplicación de las Tecnologías de información y Comunicación en aras de lograr la soberanía e independencia tecnológica de nuestros pueblos, con miras a alcanzar las metas políticas y sociales de los países; así como resguardar ese nuevo bien jurídico tutelado representado por la información.

Estrategia Regional para la Gestión de Incidentes Telematicos ALBACERT.

“En el marco del desarrollo sostenible de la Alianza Bolivariana para los Pueblos de Nuestra America se constituye como una línea estratégica el intercambio de información sobre legislación, regulaciones y disposiciones vigentes en los países relacionadas con el comercio como: aduaneras, administrativas, reglamentos técnicos, medidas sanitarias y fitosanitarias, procedimientos de evaluación de la conformidad, y disciplinas comerciales.” ALBA-TCP (Agosto, 2011) disponible en:

http://www.alba-tcp.org/contenido/plan-de-acci%C3%B3n-para-el-desarrollo-del-comercio-en-la-zona-econ%C3%B3mica-de-desarrollo-comparti .

Por ello la importancia de poder disponer de mecanismos coordinados de seguridad y defensa informática que mitigen los riesgos inherentes al uso de tecnologías de información, entre ellos, los

37

Centros de Respuesta ante Incidentes Telemáticos, que como ha sido expuesto up supra, su misión en términos de lo que ofrece a los gobiernos, la sociedad de la información de los países del ALBA y sus ciudadanos, se articula a partir de:

“Proveer una plataforma para la coordinación de actividades e intercambio de información y prestar apoyo según requerimiento a todos los equipos nacionales de seguridad y respuesta a incidentes en los países del ALBA, respecto a eventos e incidentes en redes y sistemas de información de organismos públicos, comunidades organizadas y entidades gestoras de infraestructuras críticas.” (Agosto 2011) Disponible en:

http://www.albacert.net/mision

De forma general, el ALBACERT se concibe como un equipo especializado en ofrecer capacidades de coordinación, asesoría y formación en gestión de incidentes a la sociedad de la información en los países del ALBA y sus objetivos estratégicos se orientan hacía:

Seguridad:

Brindar soporte de segundo nivel para la investigación y análisis de incidentes, vulnerabilidades y artefactos.

Analizar información de seguridad facilitada por los equipos de seguridad miembros del ALBA. Difundir información de seguridad a la comunidad, tendencias, estrategias de respuesta,

recomendaciones para la protección de sistemas de información. Calidad/Gestión. Ayudar a los estados miembros del ALBA al desarrollo de sus equipos de seguridad de la

información y Equipos de Respuesta a Incidentes de Sistemas de Información. Colaborar en la mejora continua de los equipos de seguridad de la información y

CERT/CSIRT, de los estados miembros del ALBA. Formar a los equipos de seguridad y CERT/CSIRT, Nacionales de los países del ALBA para

asegurar un nivel de conocimientos entre su personal. Facilitar servicios de traducción de documentos técnicos y contacto con terceras partes que

pudieran hablar en otros idiomas desconocidos para los CERT/CSIRT, de los estados miembros del ALBA.

Desarrollar y documentar un conjunto de procesos a seguir para el desarrollo de tareas comunes en todos los CERT/CSIRT, del ALBA.

Coordinación:

Desarrollar la infraestructura para la coordinación e intercambio de información para los CERT/CSIRT, del ALBA.

Establecerse como punto de contacto de confianza de los países del ALBA. Realizar las funciones de intercambio de información y coordinación con actores

internacionales.iones para la protección de sistemas de información.38

Servicios:

ALBACERT como equipo de respuesta a incidentes y centro coordinador de incidentes de los estados miembros del ALBA, funje como coordinador de los esfuerzos que realicen los distintos países en materia de respuesta a incidentes y es el facilitador para la creación de dichos equipos en países que aún no dispongan de los mismos; en este sentido, ALBACERT, ofrece servicios de seguridad en redes telemáticas y soporte en la gestión de incidentes en redes nacionales y organizaciones privadas que operan infraestructuras críticas nacionales. Definidas estas estructuras por la OEA (Organización de Estados Americanos) como : se entiende por Infraestructura Crítica las instalaciones, sistemas y redes, así como servicios y equipos físicos y de tecnología de la información cuya inhabilitación o destrucción tendría un impacto negativo sobre la población, la salud pública, la seguridad económica, el medio ambiente, la gobernabilidad democrática o el eficaz funcionamiento del Estado. En tal sentido, los servicios se ofrecen a través de los equipos de respuesta a incidentes nacionales en los países miembros del ALBA y a través de los centros nacionales de seguridad para aquellos países que no disponen de equipos CERT/CSIRT, establecidos.

Algunos de los servicios que se ofrecen son altamente especializados y requieren una estrecha colaboración entre el ALBACERT y la Comunidad, por lo cual, previo a su prestación se establecen y adoptan acuerdos bilaterales con los miembros de la Comunidad que vayan a utilizarlos, como se expondrán en el aparte correspondiente a los aspectos legales, en los que se contemplan en base a los parámetros estratégicos del ALBA-TCP, los siguientes:

Resolución de consultas incidentes, vulnerabilidades o artefactos.

Los miembros de la comunidad pueden mediante el ALBACERT, apoyar o gestionar los incidentes, vulnerabilidades, artefactos.

Soporte a la investigación de segundo nivel, ALBACERT, facilita a los miembros de la comunidad información para que ellos mismos puedan dar respuesta a los incidentes que comuniquen.

Coordinación con terceras partes.

Una de las funciones principales de un centro de respuesta coordinador es la de servir de tercero de confianza ante incidentes de seguridad que afecten o involucren a CERT/CSIRT, que no pertenezcan a la comunidad atendida.

De igual forma prestas servicios Reactivos, entendidos como aquellos servicios que el Centro presta a la Comunidad solo a requerimiento de los mismos. Estos servicios suelen suponer una actividad a posteriori de la ocurrencia de un evento de seguridad.

39

Servicios Pro-activos, que permiten a la comunidad compartir el conocimiento obtenido en las distintas actividades que realiza el centro en aspectos como tendencias y patrones de ataque, nuevas técnicas, servicios especialmente sensibles, vulnerabilidades relevantes, etc. No obstante, como se ha expuesto anteriormente ese intercambio de conocimientos y experiencia requiere el revestimiento legal, en virtud de los aspectos que forman parte de la relación, máxime cuando el desarrollo del CERT/CSIRT, constituye una estrategia de seguridad cibernética regional, por lo cual de seguidas expondremos aspectos generales relacionados con el mismo.

Aspectos legales a considerar en la Gestion de Incidentes en el marco del ALBACERT.

Del mal empleo de las Tecnologías de Información y Comunicación, pueden surgir nuevas conductas delictivas que atentan contra diversos bienes jurídicos tutelados y que menoscaban no solo la seguridad de las comunicaciones, sino también la intimidad, el patrimonio y la seguridad nacional entre otras. Es por ello, que se genera la necesidad de abordar temas como seguridad y manejo de la información, protección de datos, actualización de instrumentos normativos orientados a evitar la extracción de información, modificación o revelación de las mismas, sin la autorización de su titular, todo ello tendente a una amplia protección de los denominados por la doctrina como Derecho a la Intimidad; entendidos éstos para autores como el Chileno JIJENA LEIVA como: “El derecho a la intimidad o a la vida privada que comprendería a todos aquellos hechos, actos o situaciones que el hombre realiza reservada, tranquila y libremente, en cuanto nadie tenga la facultad concedida por ley para impedir o fiscalizar su realización, y cuyo conocimiento por otros o cuya divulgación acarree un daño”. Jimena Leiva, Renato la Protección Penal de la Intimidad, Edit. Juríca de Chile, Santiago, 1992, p. 42

Los atentados a través del empleo de las TIC's, pueden constituir agresiones a la intimidad, si resultan afectados los datos personales o se tiene acceso sin autorización a los mismos, comenta el autor antes citado. Es por esta razón que los aspectos antes señalados se encuentran estrechamente vículados cuando de gestión de incidentes se trata y previo a efectuar la revisión de los aspectos legales relacionados con la gestión como estrategia de seguridad cibernética, es pertinente iniciar, referenciando la información, dada su estrecha vinculación con el tema que nos ocupa, ya que es inminente que el poder en el futuro no dependerá de la posesión de territorios, medios de producción o recursos económicos, sino del control de la información y sobre el particular el jurista noruego Jon Bing, afirma que la regla en la que se funda la sociedad de la información es: “conocimiento es poder”. Es así, como Claude Debrulle, relator de la Conferencia Internacional de Madrid, acerca de los problemas legislativos de la Protección de Datos, cuestiona si la informática es un instrumento neutro y llega a la conclusión negativa al argumentar que “la informática es una técnica en la que se cristalizan elementos sociales de una época determinada que están unidos a un desarrollo técnico determinado, a determinada cultura y a determinada política. La informática revela, entonces, un doble juego: una conjunción de conocimiento y de poder”.

Como se ha expuesto up supra y partiendo del hecho cierto que la información es poder, aún cuando el objetivo primordial es la gestión de incidentes de seguridad en las redes o en los sistemas de

40

información de las entidades gestoras de infraestructuras críticas, estos incidentes implican riesgos que llevan aparejados normalmente la vulneración de información y derechos de mayor o menor alcance, por lo cual el desarrollo de cualquier estrategia de seguridad no debe efectuarse al margen de la legalidad y exige el cumplimiento de criterios básicos de seguridad, así como el respeto a los derechos, la coordinación y cooperación en el intercambio y protección de la información en un contexto territorial y transnacional, máxime ante la creación de una comunidad constituidas por diversos países con distintas legislaciones, en la cual se debe respetar la soberanía de cada uno de los mismos sin sacrificar el fin que los une. Durante todo el proceso del manejo de incidentes desde la etapa la detección del incidente, hasta su identificación y cierre, se deben ejecutar los procedimientos para llegar a la solución de una forma viable, legal y eficiente, de conformidad con lo establecido en los manuales de procedimientos, mejores prácticas y estándares internacionales; en estricto apego a la legislación territorial, así como, de la normativa internacional.

Cabe resaltar, que de la gestión de un incidente puede determinarse la presunta comisión de un hecho punible y ello podría conllevar al inicio de una investigación penal; por lo cual, es importante identificar a los países involucrados en el hecho a objeto de poder determinarla las normativas aplicables, hacer uso de los tratados internacionales suscritos entre ellos que faciliten desarrollar la gestión del incidente y en caso de requerir el inicio de una investigación, poder estimar los aspectos territoriales que puedan influir en la determinación del lugar de comisión de los actos preparatorios, consumación, entre otros y requerir en uso de los canales regulares para la colección de las evidencias que puedan requerirse, su preservación en estricto apego al marco legal aplicable y el correcto manejo de las mismas.

En este orden de ideas, podemos identificar como punto de partida en la gestión de un incidente la importancia de la seguridad y el manejo de la información, a tal efecto en el presente desarrollaremos los aspectos más relevantes a observar sobre el particular, los cuales establecen los parámetros mínimos de actuación en el cual se deben sustentar las actuaciones los miembros del ALBACERT; ya que integra los requerimientos de seguridad que deben cumplir quienes lo gestionan; las políticas, manuales de procedimientos, códigos de conductas relacionados con el recurso humano, manejo de incidentes, información; así como lo atinente a legislación nacional e internacional aplicable, en aras de disponer de mecanismos que permitan la adecuada protección de la información, en conjunción con la necesidad de imponer limitaciones al uso de esa información de carácter confidencial la cual pueden tener acceso en el manejo de un incidente y que pueda afectar o poner en peligro a uno o varios países, así como a los intereses de la colectividad .

De igual forma se referenciarán los conocimientos básicos de los cuales debe disponer el profesional del derecho que apoya el tratamiento de incidentes de seguridad y a los miembros del equipo de respuesta; así como de aquellos que se encuentran estrechamente relacionados con quienes sean y constituyan la propia Comunidad del ALBACERT, ya que la Ley y normas aplicables vendrán determinadas por ésta, ya sea en el sector público y/o privado al que pertenezcan sus miembros.

En tal sentido, se considerarán los aspectos que permitan configurar las relaciones con integrantes del equipo, los miembros de su propia Comunidad y aquellas que se deriven con otros CERT/CSIRT,

41

en el entendido que la gestión de incidentes, puede dar lugar a situaciones jurídicas especiales que traspasan el derecho nacional por lo cual es pertinente la fijación, conocimiento y difusión de normas que determinen su funcionamiento bajo condiciones de protección e intercambio de información de forma adecuada que generen confianza y seguridad, lo que se traducirá en una clara garantía del trabajo eficaz que realiza el ALBACERT.

Perfil y funciones del abogado del ALBACERT.

Todo CERT/CSIRT y en especial el ALBACERT, requiere de los servicios de un profesional del Derecho; con el cual deben mantener constante vinculación y comunicación; atrás quedaron esas concepciones que la técnología y el derecho llevan vías distintas. La experiencia nos ha demostrado la importancia y la necesidad de un trabajo mancomunado del área legal y técnica, por lo cual se hace necesario disponer de profesionales del Derecho que manejen aspecto técnicos-legales; que salgan de los esquemas tradicionales y permitir adaptar el derecho a las necesidades tecnológicas; es por ello que nos permitimos afirmar que es conveniente que desarrolle conocimientos en las siguientes areas :

Seguridad Informática. Derecho Laboral. Derecho Internacional. Derecho Penal. Propiedad Intelectual, Propiedad Industrial, Protección de Datos y Derecho de las

Telecomunicaciones. Ética. Técnicas de investigación y herramientas forenses. Cadena de Custodia. Tratamiento y Resguardo de evidencias. Prácticas comúnmente aceptadas para el reporte y manejo de incidentes. Clasificación de la información. Estándares Internacionales. Aspectos Gerenciales.

Dentro de la estructura organizativa se encuentran establecidas las funciones base que debe desarrollar el profesional del derecho, en virtud de los procedimientos asociados a la gestión de Incidentes como estrategias de seguridad cibernética; en tal sentido es responsabilidad del mismo, entre otras las siguientes :

Modelar los documentos relacionados con los aspectos laborales para los integrantes del ALBACERT, estimando que se generán relaciones laborales no tradicionales, donde deben cumplir jornadas de trabajos extraordinarias, aplicando modalidades de teletrabajo por lo cual es imperante la definición en cuanto a:

Contrataciones.42

Beneficios. Acuerdos de Confidencialidad. Políticas y Procedimientos.

Establecer los aspectos jurídicos de las relaciones con los miembros de la comunidad nacionales e internacionales.

Aspectos legales para la integración a la Comunidad del ALBACERT ( Modelos de Convenios de Adhesión).

Manejo de Información ( Acuerdos de Confidencialidad). Aspectos legales asociados al manejo de incidentes:

Cumplimiento de políticas, procedimientos, códigos de conductas. Tratamiento de la Información. Cadena de Custodia.

Relacion con los miembros internos del ALBACERT.

Como se ha expuesto en las secciones precedentes, es importante que en el ALBACERT, todas las personas vinculadas conozcan y acepten las políticas y procedimientos relacionados con este. Así como también los acuerdos de confidencialidad, el manejo y clasificación de la información, entre otros; por lo cual es imprescindible establecer una correcta estructura entre los miembros y a tal efecto definir los términos y condiciones que regirán la prestación de sus servicios profesionales conforme a su conocimiento y experiencia; en el entendido que se desarrollará bajo ciertas condiciones especiales, caracterizadas por jornadas de trabajo en ocasiones distintas a las convencionales y con un ambiente de trabajo diferente; en el cual se torna indispensable la disponibilidad 24 horas, los 7 días de la semana y es ahí cuando juega un papel importante efectuar una negociación previa con respecto a los beneficios, horarios, guardias, entre otros, incluso sin descartar la factibilidad, bajo los debidos controles y medidas de seguridad de aplicar la modalidad del teletrabajo con los encargados de gestionar el ALBACERT.

En este orden de ideas, en paralelo con los contratos de trabajo, todos los miembros deben firmar acuerdos de confidencialidad, que regirán el tratamiento y uso restringido de la información, producto de la ejecución de las funciones asignadas a su cargo; los cuales entre otros deben abarcar los siguientes aspectos:

Indicación expresa de las obligaciones de las partes. Clasificación de la información. Titularidad de la información e invenciones. Prohibición de divulgación del acuerdo y la información. Tiempo de vigencia del acuerdo. Responsabilidades derivadas del incumplimiento de acuerdos. Pautas para la resolución de conflictos. Propiedad de las gestiones del profesional y en especial, que tengan una inducción sobre

las consecuencias penales y administrativas que pueden derivar de sus actuaciones.43

De igual forma, deben estar previamente informados y dejar constancia por escrito del conocimiento y manejo de manuales de procedimientos, políticas de seguridad uso de las herramientas de trabajo, códigos, así como del posible monitoreo que efectué de las herramientas de trabajo asignadas, tales como: cuentas de correo, videovigilancia, entre otros; ello en aras de prevenir futuras reclamaciones por violación a la privacidad de las comunicaciones de los miembros internos del ALBACERT.

Relación con los miembros externos del ALBACERT.

El ALBACERT, al tener como objetivo fundamental, la gestión de incidentes de seguridad en las redes o en los sistemas de información de los entes y órganos de los respectivos gobiernos. Así como de las entidades gestoras de infraestructuras críticas, requiere de un marco legal en el cual adecuaé su funcionamiento e interrelaciones con los miembros de su propia comunidad y aquellas que se deriven con otros terceros (otros CERT/CSIRT, privados o de otros países), en el entendido que se pueden presentar gestión de incidentes la cual puede dar lugar a situaciones jurídicas especiales que traspasan las fronteras territoriales y en consecuencia, requiere la fijación de normas que determinen su funcionamiento en condiciones de protección adecuada, generación de confianza y seguridad para todos los involucrados.

Es recomendable que se determine bajo que figura se prestaran los servicios y de que forma se regularan estas relaciones, a tal efecto el acuerdo de adhesión es la figura jurídica empleada para establecer los términos y condiciones que regirán el proceso de incorporación al ALBA CERT; el cual tiene como fin, la prestación de los servicios de respuesta ante incidentes telemáticos y vulnerabilidades, bajo las condiciones y obligaciones previstas, el cual establece entre otros:

Objeto. Términos y condiciones que regirán el proceso de incorporación y la prestación de los

servicios de respuesta ante incidentes telemáticos y vulnerabilidades. Definiciones de téminos empleados. Obligaciones de las partes. Responsable de seguridad y punto de contacto. Tratamiento a la información intercambiada entre sí o puesta a disposición bien sea que se

trate de información propia o de terceros. Titularidad de la información/ licencia y derechos relacionados. Confidencialidad. Responsabilidades derivadas del incumplimiento sobre confidencialidad. Revelación autorizada de información. Información no sujeta a confidencialidad. Procedimientos de control de la información. Procedimiento para devolución y destrucción de la información confidencial. Vigencia. Solución de conflictos.

44

Un incidente reportado puede constituir la comisión de un hecho punible, si bien no es competencia del ALBACERT, la investigación del mismo, en la respuesta incidente no se debe viciar o eliminar las evidencias, de ahí la importancia en el correcto empleo de las herramientas de informática forense que les permitirá gestionarlo, sin sacrificar la inalterabilidad, integridad de la posible evidencia, para lo cual deben efectuarse los respaldos respectivos entre otros y se hace pertinente evaluar, los siguientes aspectos:

La legitimidad de la institución o persona que reporta el incidente o solicita la colaboración. La existencia de Políticas y Manuales de Seguridad en la institución que solicita el servicio. La existencia de Acuerdos de Confidencialidad. Clasificación y manejo de la Información. Ordenamiento jurídico aplicable, en el entendido que el equipo de respuesta y sus miembros

deben adecuar sus actuaciones al estricto cumplimiento de la ley de sus respectivos países, así como de los otros países involucrados cuando sus actividades tengan un componente internacional, evitando cometer violaciones a la privacidad, a la integridad y disponibilidad y soberanía entre otros.

De igual forma es oportuno que los mismos esten en capacidad de evaluar la posible violación o inminente amenaza de violación de una política de seguridad de la información, política de uso aceptable o mejores prácticas de seguridad o de algún acuerdo o tratado internacional suscrito; en consecuencia deben igualmente verificar entre otros lo siguiente:

Si el incidente fue reportado y comunicado a las partes afectadas o amenazadas. Si fueron notificados los propietarios de la información. El equipo de respuesta debe recopilar toda la información que considere relevante, determinar

el origen y destino, analizará la magnitud del compromiso de los sistemas involucrados y proceder a registrar y resguardar la evidencia, finalmente documentar el incidente y generar las recomendaciones.

Finalmente, podemos afirmar que para el correcto funcionamiento del ALBACERT, apegado a derecho, es pertinente como se ha expuesto el diseño de instrumentos adecuados a su naturaleza y el empleo de modelos que han de servir para la redacción de las cláusulas definitivas que serán incorporadas, tanto en sus portales WEB, como en aquellos documentos que deben emplearse en sus relaciones externas y/o internas; a tal efecto, deberán ser adaptados en su redacción a la normativa legal vigente de cada país

Conclusiones.La aparición del fenómeno informático, no sólo ha generado avances, ya que mediante una distorsión en su empleo; han surgido nuevas formas delictivas y ataques, por lo cual, entre otros el ámbito legal, se ha visto en la imperiosa necesidad de reformular reglas específicas tendientes a la protección de las personas y de la seguridad de los países frente a los cibertataques; con lo cual, la protección a la información, se perfila como uno de los grandes retos que deben asumir los estados; ya que esta

45

puede ser tutelable por diversas vías normativas, judiciales y administrativas trascendiendo las fronteras territoriales.

En tal sentido, los mecanismos de protección contra las agresiones realizadas mediante el empleo de Tecnologías de Información y Comunicación, no deberían encontrar obstaculos infranqueables con los dispositivos legales ya existentes; sin embargo, vista la particularidad de las acciones con las cuales se ocasionan los daños y las características mismas del hecho, que generalmente trascienden las fronteras de los países, si consideramos pertinente fortalecer las iniciativas estrátegicas y legales que han surgido a los fines de dar respuesta a este flagelo, entre ellas la constitución del ALBACERT.

De igual forma, se requiere la constante capacitación de los encaragdos de gestionar la seguridad de los Estados, a objeto que puedan dar la atención debida y resguardo a las infraestructuras críticas de la Naciones, dotándolos de mecanismos técnicos-legales que les permitan continuar articulando esfuerzos para proteger y garantizar la defensa y seguridad de la Nación, así como la suprema vigilancia de los intereses generales de la Comunidad, en miras a la conservación de la Paz y la recta aplicación de la Ley.

Ante los escenarios planteados, la confidencialidad y el intercambio de información son aspectos cruciales y muy sensibles, por lo que no se deben menoscabar cuantas medidas sean necesarias para proteger la información. Resulta oportuno que el intercambio de información deberá efectuarse en condiciones de protección, confianza y seguridad; lo cual significarán una clara garantía del trabajo eficaz que realicen los miembros de la Comunidad del ALBACERT.

En el momento que vivimos, no podríamos establecer de ningún modo, unos límites precisos a las perspectivas de desarrollo que nos ofrecen las tecnologías actuales. No se conoce a ciencia cierta, a dónde nos llevará el crecimiento agigantado de la tecnología. Por ello, la atención urge la fijación y desarrollo coordinado para la atención y protección de las infraestructuras criticas de la Naciones; de lo cual, se hace imprescindible la mitigación de los incidentes de seguridad informática como una estrategia nacional que acompañe los procedimientos técnicos-legales con una perspectiva global; que permitan el desarrollo sostenible de las infraestructuras de comunicación e información a nivel mundial.

46