Introducción LegislaciIntroducción Legislación Informática · tomo: xix, junio de 2004 tesis: i.7o.t.79 l página: 1425. materia: laboral tesis aislada. clave digital. su utilizaciÓn

Seguridad Informática Dr. Roberto Gómez

Introducción a la Legislación Informática 1

Introducción LegislaciónIntroducción Legislación Informática

Roberto Gó[email protected]

Lámina 1 Dr. Roberto Gómez C.

http://homepage.cem.itesm.mx/rogomez

Empecemos por una definición

• ¿Qué es legislación informática?

– Legislación informática o derecho informático es el conjunto de leyes, normas, y principios aplicables a los hechos y actos derivados de la informática.




Aclaración

• Para algunos expertos en materia jurídica, no existe realmente una disciplina tal como el derecho i f á i fi li linformático, y prefieren analizar algunos campos en los que, aplicando la informática, los resultados se pueden relacionar con el derecho, identificando lo siguiente:– La protección jurídica de la información personal– La protección jurídica del software– El flujo de datos fronterizos


– El flujo de datos fronterizos– Los convenios o contratos informáticos– Los delitos informáticos– El valor probatorio de los documentos

electromagnéticos.

Leyes en México

• En México no existe legislación particular respecto a crímenes computacionales o pararespecto a crímenes computacionales o para el caso, crímenes de los llamados de “cuello blanco”

• Es indistinto si el crimen fue cometido por medio o en contra de un sistema de cómputo,


plo relevante es el daño causado

• Está penalizada la acción, no el instrumento



Características leyes mexicanas

• El sistema legal Anglo-Sajón es de casos El i l l R G á i ( l• El sistema legal Romano-Germánico (el nuestro) es de jurisprudencia

• En aquel, el acusador tiene que probar que se cometió un acto criminal

• En éste el acusado tiene que probar que no


• En éste, el acusado tiene que probar que no se cometió un acto criminal, demostrar que no actuó de mala fe

Responsabilidad de Oficiales Corporativos

“Si los ejecutivos entendieran realmente la responsabilidad que tienen respecto al riesgo potencial que corren los activos corporativos y sus reputaciones,


p y p ,probablemente apagarían todas sus redes y centros de cómputo”

Computerworld, Marzo 1990




• Intrusión a la seguridad de computadoras, causando dañodaño– Oficiales corporativos, directores son responsables

• Pérdidas catastróficas – Desastre en centros de cómputo– Vicepresidente o gerente de sistemas puede ser

responsable directo en lo personal


p p

• Accionistas molestos– Demanda penal y civil contra directores y ejecutivos por

mal manejo


• Fuentes de responsabilidad Vi l ió d l l– Violación de la ley

• Reportes de auditoría

– Falta del cuidado adecuado • Demandas por los accionistas

– Violación de la privacidad


• Demanda por empleados • Demanda por ex-empleados




• Casos de violación de la leyO ió d l i– Operación del negocio

• No contar con los controles adecuados

– Precios y facturación al gobierno• Declaraciones falsas (tiempos, costos)

– Piratería de Software


• Responsabilidad conjunta – empleador y empleado


• Casos de falta del cuidado adecuado– Bases de datos remotas con acceso dialup ases de datos e otas co acceso d a up– Falta de respaldos – Plan de recuperación en caso de desastre– Virus– Divulgación de información

• Problema de borrado y destrucción de archivos de PC– Información y software propietario


y p p• “¿Cómo asegura la empresa que su tecnología no es

robada por otras compañías?”• Resguardo de información oficial sensitiva




• Casos de violación de la privacidadR bl d t d t i t t– Responsables de proteger datos importantes para otros

– Acceso remoto a bases de datos • Fácilmente penetrables• Responsabilidad de causar daño a personas inocentes

i d l l i


– Monitoreo del correo electrónico• Usuario – servicio y privacidad• Propietario – control del sistema en el mejor interés

de la empresa


• Fallar en la implementación de precauciones recomendadas es una falta gerencialrecomendadas es una falta gerencial

• No contar con DRP / BCP es una negligencia• No usar herramientas de detección anti-virus

es una negligencia• No realizar investigación de antecedentes es


• No realizar investigación de antecedentes es una contratación negligente




• Fallar en el establecimiento de medidas de seguridad adecuadasseguridad adecuadas– Si se expone a la organización (individual y

personalmente)– La corporación también puede ser responsable

ante otros, contractualmente o bajo dictados de la ley


– La gerencia es responsable de la seguridad de los sistemas de información

• Contractualmente / por ley / por edicto de la corte• Fallar en proporcionar seguridad adecuada –

responsable de daños substanciales en lo personal


Eres responsable ppor lo que haces

Eres culpable


por lo que no haces



Instituciones Administración Pública Federal con atribuciones vinculadas con la informática

• Secretaría de Gobernación• Secretaría de Relaciones ExterioresSecretaría de Relaciones Exteriores• Secretaría de Hacienda y Crédito Público• Secretaría de Economía• Secretaría de Comunicaciones y Transportes• Secretaría de Contraloría y Desarrollo

Administrativo


Administrativo• Secretaría de Educación Pública• Comisión Federal de Telecomunicaciones• Consejo Nacional de Ciencia y Tecnología

Principales tipos de Leyes

• Subdivisión amplia de las leyes:L l i i l (f d b )– Leyes penales o criminales (fraude y abuso)

• Penalización incluye cárcel

– Leyes civiles (derechos de autor, patente, registro de marcas)

• Penalización se basa principalmente en restitución financiera compensatoria y penas convencionales


financiera, compensatoria y penas convencionales

– Leyes administrativas• Amonestaciones administrativas



Leyes relacionadas con informática

• Ley Federal del Derecho de Autor• Ley de la Propiedad Industrial• Ley Federal de Telecomunicaciones• Ley Federal de Telecomunicaciones• Ley de Información Estadística y Geográfica• Código Federal Civil• Código de Comercio• Código Penal Federal• Código Federal de Procedimientos Civiles• Ley Federal de Protección al Consumidor


y• NOM 151 SCFI 2002• Ley de Seguridad Nacional• Ley Federal de Transparencia y Acceso a la Información

Pública Gubernamental• Legislación relacionada con prestadores de servicios de

certificación

Tópicos regulados

• Marco legal en torno al comercio electrónico– Transacciones– Consentimiento por medios electrónicos– Datos personales– Protección en contra de prácticas de mercadotecnia no

autorizadas por el consumidor• Protección de programas de cómputo• Protección de bases de datos


• Firma electrónica avanzada• Intercepción de comunicaciones• Clasificación de información• Privacidad



DELITOS INFORMATICOS

CONTRATOS ELECTRONICOSFIRMA ELECTRONICA

Código PenalFederal

Código Penalpara el D.F:

Ley Federal delDerecho de Autor

Iniciativa de Ley Federalde Protección de datos

Ley de Protección dedatos personales delEstado de Colima


COMPUTO FORENSE

de Protección de datospersonales

Estado de Colima

Conductas previstas en el código




Condiciones previstas por el código

• Que la información esté contenida en sistemas o equipos de informáticaequipos de informática

• Que dichos sistemas o equipos estén protegidos por algún mecanismo de seguridad


Conductas y sanciones
















Evidencia

• “Certeza clara, manifiesta, de una cosa”• Aquellos elementos que nos proporcionan• Aquellos elementos que nos proporcionan

información, que nos permite soportar conclusiones, hallazgos y recomendaciones.

• La evidencia puede ser de varios tipos:– Directa

i i l


– Circunstancial– Concluyente– Pericial– ...

Evidencia

• Para que la evidencia sea admisible, debe ser:ser:– Suficiente - ¿existe suficiente evidencia para

convencer a una persona “razonable” de la validez de los hallazgos?

– Relevante - ¿tiene la evidencia una relación sensible y lógica con el hallazgo?


– Competente - ¿es la evidencia consistente con los hechos? ¿es válida? ¿se genera en el curso normal del negocio?

– Y por supuesto, legalmente obtenida



En México

CORREO ELECTRÓNICO TRANSMITIDO POR INTERNET, OFRECIDO COMO PRUEBA EN EL JUICIO LABORAL. VALOR PROBATORIO. Novena Época Instancia: Tribunales Colegiados de Circuito. Fuente: Semanario Judicial de lap gFederación y su Gaceta. Tomo: XIX, Junio de 2004 Tesis: I.7o.T.79 L Página: 1425. Materia:Laboral Tesis aislada.

CLAVE DIGITAL. SU UTILIZACIÓN PRUEBA EL RECONOCIMIENTO DELMEDIO DIGITAL PARA CELEBRAR OPERACIONES Y UTILIZARSERVICIOS PROPORCIONADOS POR LAS INSTITUCIONES DE CRÉDITO.Novena Época Instancia: Tribunales Colegiados de Circuito Fuente: Semanario Judicial de laF d ió G T XVIII J li d 2003 T i I 3 C 429 C Pá i 1045 M i


Federación y su Gaceta Tomo: XVIII, Julio de 2003 Tesis: I.3o.C.429 C Página: 1045. Materia:Civil Tesis aislada.

INFORMACIÓN PROVENIENTE DE INTERNET. VALOR PROBATORIO.Novena Época Instancia: Tribunales Colegiados de Circuito Fuente: Semanario Judicial de laFederación y su Gaceta Tomo: XVI, Agosto de 2002 Tesis: V.3o.10 C Página: 1306 Materia:Civil Tesis aislada.

En México

FRAUDE. EL DELITO SE CONSUMA EN EL MOMENTO DEL TRASPASOINDEBIDO DE NUMERARIO DE UNA CUENTA A OTRA, A TRAVÉS DE LOSSISTEMAS Y TECNOLOGÍAS APLICABLES AL MANEJO NACIONAL EINTERNACIONAL DE VALORES Y DIVISAS, CON INDEPENDENCIA DELMATERIAL APROVECHAMIENTO DEL LUCRO OBTENIDO.Novena Época Instancia: Tribunales Colegiados de Circuito Fuente: Semanario Judicial de laFederación y su Gaceta Tomo: XIX, Junio de 2004 Tesis: II.2o.P.137 P Página: 1441 Materia:Penal Tesis aislada.

CONTRIBUCIONES. LA COPIA SIMPLE DEL COMPROBANTE DE PAGO POR MEDIOS ELECTRÓNICOS OBTENIDA MEDIANTE IMPRESORA, FAX O

Á


CUALQUIER OTRO MEDIO ANÁLOGO ES APTA PARA ACREDITAR EL ACTO DE APLICACIÓN DEL ARTÍCULO TERCERO TRANSITORIO DE LA LEY DEL IMPUESTO SOBRE LA RENTA VIGENTE EN EL AÑO DOS MIL TRES.Novena Época. Instancia: Tribunales Colegiados de Circuito Fuente: Semanario Judicial de laFederación y su Gaceta Tomo: XIX, Enero de 2004 Página: 1492 Tesis: I.1o.A.120 A Materia:AdministrativaTesis aislada



Ejemplo: ley comercio electrónico

¿Existe en México una ley sobre i l t ó i


comercio electrónico

¿Existe en México una ley sobre comercio electrónico?

• No es una ley de comercio electrónico en el sentido estritco de la palabra leysentido estritco de la palabra ley.

• No se trata de un documento único en el que estén incluidos todos los quehaceres jurídicos y normativos en la materia.

• Es una serie de modificaciones a diferentes


Es una serie de modificaciones a diferentes artículos de diferentes leyes relacionadas con el comercio.



¿Quién la promovió?

• GILCE:– Grupo Interinstitucional para promover la Legislación

sobre el Comercio Electrónico

• Sector Privado: Annm, Amece, Amiti, Cecoban, ABM

• Sector Público: Secofi, BdeM, SRE• Asesor Jurídico del Comité Mexicano de


Comercio Electrónico• Se basaron en el formato de la CNUDMI• Principal logro:

– fueron capaces de traducir lo técnico a lo legal

Iniciativas Presentadas

• Abril 1999 – PAN– Texto Ley Modelo de UNCITRAL.

• Diciembre 1999 – PAN– Texto Grupo GILCE


• Marzo 2000 – PRI – Ejecutivo.– Texto simplificado y aumentado con Registro Público y

Protección al Consumidor.



Proceso Legislativo

• Período de Sesiones Marzo-Abril, 2000.– Cámara de Diputados: 26 abril 2000.

390 votos a favor3 abstenciones0 en contra


– Cámara de Senadores: 29 abril 2000.

Unanimidad de 88 votos.

¿De qué se trata?

• Se refiere al reconocimiento del uso de medios electronicos para la realización demedios electronicos para la realización de actos de comercio, con todas las características que le son propias:– expresión de la voluntad de las partes– ejecución y regulación de actos mercantiles


– válidez de los datos transmitidos y de los medios utilizados para tal efecto



Objetivos

• Eliminar los obstáculos existentes para el i l t ó i j t d l á ticomercio electrónico, ajustando la práctica

comercial con la ley en dicha materia.• Incluir los avances y características específicas

relacionadas con el comercio electrónico, como es la posibilidad de acceder a los productos en fotos vía Internet sin necesidad de tener el producto


vía Internet sin necesidad de tener el producto físicamente para evaluarlo

• La actualización se debe dar bajo un marco de neutralidad del medio

Aspectos básicos de la legislación

• La atribución de la persona – indudablemente cada quien es quien dice ser

• La integridad – no alterabilidad del acuerdo de voluntades

• Los contratos con soporte informático tienen la misma validez jurídica que aquellos soportados en


papel • El consumidor siempre recibirá información clara,

veraz y suficiente para realizar su compra



¿Qué es voluntad en legislación?

• Se considera voluntad al consentimiento de las partes de celebrar un acuerdolas partes de celebrar un acuerdo


Principales puntos tocados/creados

• Código civil federalCódi di i• Código procedimiento

• Código comercio• Ley federal del consumidor




¿Qué es un mensaje de datos?

• Según lo estipula el Código Civil, es la información que se genera envía recibeinformación que se genera, envía, recibe, archiva o comunica empleando medios electrónicos, ópticos o a través del uso de cualquier otra tecnología.


Código Civil Federal

• Art. 1803: consentimiento expreso.– se agregó el concepto de mensaje de datos y se le– se agregó el concepto de mensaje de datos y se le

confiere validez como "consentimiento expreso". – cuando se manifiesta por medios electrónicos, ópticos o

cualquiera otra tecnología Neutralidad Tecnológica.• Art. 1811: contratos entre presentes.

– se confiere validez y fuerza obligatoria a la propuesta y


aceptación de la misma hechas mediante un mensaje de datos.



Código civil federal

• Art. 1834 con el que se acepta el mensaje de datos como "forma escrita de un contrato"datos como "forma escrita de un contrato" siempre que sea posible atribuirlos a la persona que contrae la obligación y la información relativa sea accesible para su ulterior consulta.


Ejemplo Código Civil Federal

• Artículo 1803– ... la voluntad se manifiesta verbalmente, por escrito, por... la voluntad se manifiesta verbalmente, por escrito, por

medios electrónicos, ópticos o por cualquier otra tecnología, o por signos inequívocos.

• Artículo 1805, – Cuando la oferta se haga a una persona presente, sin

fijación de plazo para aceptarla, el autor de la oferta queda desligado si la aceptación no se hace inmediatamente La


desligado si la aceptación no se hace inmediatamente. La misma regla se aplicará a la oferta hecha por teléfono o a través de cualquier otro medio electrónico, óptico o de cualquier otra tecnología que permita la expresión de la oferta y la aceptación de ésta en forma inmediata".



C. F. de Procedimientos Civiles

• Se reconoce como prueba el mensaje de d tdatos.

• La prueba se valorará:– Fiabilidad de la forma en que haya sido

generada– Si puede ser atribuible


Si puede ser atribuible– Si puede ser accesible a ulterior consulta.– Uso de “Original”– Debe ser íntegra y poder ser consultada.


• El 210-A, con el que se reconocen efectos jurídicos validez y fuerza obligatoria a losjurídicos, validez y fuerza obligatoria a los mensajes de datos; proporcionando además un carácter probatorio siempre y cuando se acredite que el mensaje de datos se ha conservado integro a partir del momento en


que se generó por primera vez y en su forma definitiva y sea accesible para su ulterior consulta.




• El 210-B que determina el mecanismo que se seguirá para valorar si un mensaje de datosseguirá para valorar si un mensaje de datos puede emplearse como prueba en un juicio.

• El 217 que indica que el valor de los mensajes de datos como pruebas se atenderá según lo dispuesto en los artículos 210-A y


g p y210-B del mismo Código.

Ejemplo C. F. de Procs. Civiles

• Se adiciona artículo 210-A para quedar de la i i tsiguiente manera:– Se reconoce como prueba la información generada o

comunicada que conste en medios electrónicos, ópticos o en cualquier otra tecnología. Para valorar la fuerza probatoria de la información se estimará primordialemente la fiabilidad del método en que haya

d d d b d h d d


sido generada, comunicada, recibida o archvidad y en su caso. si es posible atribuir a las personas obligadas el contenido de la información relativa y ser accesible para su ulterior consulta...



Capítulo de Comercio Electrónico...

• “Sistema de Información”:l i di t ló i j– cualquier medio tecnológico para operar mensajes

de datos. • Recepción de la información

– Si el destinatario designó sistema de información:• desde que ingreso a él (i.e. “firmo” en un sitio


web)– Si no lo hizo y se recibe en un sistema del

destinatario:• cuando el destinatario obtenga dicha información


• Figura del Acuse de Recibo.– Si se requiere:

• Por disposición legal, o• Por convenio.

– El mensaje se entenderá enviado hasta que se recibe el Acuse de Recibo.


– Se presume recibido un mensaje cuando el emisor recibe el Acuse de Recibo.




• Presunción de lugar de expedición:Presunción de lugar de expedición:– Pactos de las partes– Domicilio del emisor

• Presunción de lugar de recepción:– Pactos de las partes


– Domicilio del Receptor

Código de Comercio

• El 47 que obliga a los comerciantes a hi d "d t "conservar archivo de "documentos" que

reciban o emitan con relación a su negocio, admitiendo el mensaje de datos como "documento"

• El 642 que marca el momento en que


El 642 que marca el momento en que comienza a tener vigencia un contrato mercantil celebrado a través de un mensaje de datos.



Código de Comercio

• El 647 en que se acepta el mensaje de datos como mecanismo de acuerdo de voluntadescomo mecanismo de acuerdo de voluntades.


Ley de Protección al Consumidor.

• Propósito de la Ley :p y– Proteger al consumidor en las transacciones

hechas a través de Mensaje de Datos.– Adecuada utilización de datos presentados.

• Función de la Profeco:


– Promover Códigos de ética.



Ley de Protección al Consumidor...

• Información dada por el consumidor:p– Uso confidencial.– No difundir sin autorización expresa de

consumidor.• Obliga a disponer y comunicar de medios que

b i d id d fid i lid d


brinden seguridad y confidencialidad.


• Obligación del proveedor de develar:S d i ili fí i t léf– Su domicilio físico y teléfono.

– Medios para presentar reclamaciones o pedir aclaraciones.

• Evitar prácticas engañosas y cumplir obligaciones de información de la LPC.


g• Que se conozcan términos, condiciones,

costos adicionales, cargos, etc.




• Respetar la decisión de adquisición (Cantidad y Calidad) y de no recibir avisos comerciales.

• No usar estrategias que:– No den información clara

N bl ió l bl


– No ataquen a población vulnerable.• Se incluyen estas nuevas normas en las

sanciones.

Artículos Ley Federal del Consumidor

• El 1° que garantiza la protección al consumidor en las transacciones efectuadas aconsumidor en las transacciones efectuadas a través del uso de medios electrónicos así como la adecuada utilización de los datos que este aporta.




Artículos LFC

• El 24 que hace referencia a formular, difundir y utilizar códigos de ética entre losy utilizar códigos de ética entre los proveedores de servicios. – a este artículo se le agregó un capítulo completo

(VIII bis) para abordar los derechos de los consumidores en las transacciones electrónicas.

El 76 bi E ifi l l


• El 76 bis.- Especifica la manera en la que se deberá conducir la relación entre consumidor y proveedor indicando los derechos y obligaciones de cada una de las partes.

Artículos LFC

• El 128.- estipula el monto de las sanciones por incumplimiento a lo expresado en estapor incumplimiento a lo expresado en esta Ley




Garantías como consumidor

• La información que se proporcione al proveedor no podrá ser compartida conproveedor no podrá ser compartida con alguien ajeno a la transacción al menos que se autorice lo contrario.

• La acreditación de la empresa, pues todo proveedor debe proporcionar, antes de


p p pcelebrar la transacción, su domicilio físico, números telefónicos y demás medios que permitan acudir al proveedor en caso de una reclamación o aclaración.


• Disminuir las prácticas engañosas pues la información que se presente en cuanto a las características y capacidades del producto deben ser fidedignas

• Aademás, antes de la transacción comercial se deben dar a conocer los términos


se deben dar a conocer los términos, condiciones, costos, cargos adicionales y formas de pago de los bienes y servicios ofrecidos por el proveedor.




• La decisión en cuanto a la cantidad y calidad de los productos que se desea recibir, así como la de recibir avisos comerciales es del cliente, y por tanto, todo proveedor requiere del consentimiento del cleinte para hacerle llegar algo.


p g g

Obligaciones del proveedor

• Mantener una actitud ética, clara y veráz con el consumidorconsumidor.

• La información que recibida por parte del consumidor tiene un carácter confidencial.

• Respetar la decisión del consumidor en cuanto a la cantidad y calidad de los productos que desea recibir


recibir• Abstenerce de utilizar estrategias de venta o

publicitarias que no proporcionen al consumidor información clara y suficiente sobre los servicios ofrecidos



Situación Internacional

• Abuso fraudulento en el procesamiento de información (Austria, Japón)

• Daño de equipo de cómputo y uso ilegal de equipo de cómputo (Japón)

• Lucrar utilizando inadecuadamente bases de datos (Japón, Nueva Zelanda)

• Sabotear negocios ajenos (Japón)• Piratería y adquisición ilegal de programas (Francia,

Al i J ó E i G B ñ El S l d )


Alemania, Japón, Escocia, Gran Bretaña, El Salvador).• Fraude o robo de información confidencial y programas

(Francia, Gran Bretaña, Austria, Suiza, Japón, Estados Unidos).

Situación internacional

• Alteración de programas (Japón, Gran Bretaña).• Regulación de delitos informáticos (Chile LEY -g (

19223, y como proyecto en El Salvador).• Proyecto de legislación para proteger la intimidad,

dignidad y autodeterminación de los ciudadanos frente a los retos que ofrece el procesamiento automatizado de datos personales (Costa Rica).

• Regulación de delitos informáticos (Chile LEY -l l d )


19223, y como proyecto en El Salvador).• Proyecto de legislación para proteger la intimidad,

dignidad y autodeterminación de los ciudadanos frente a los retos que ofrece el procesamiento automatizado de datos personales (Costa Rica).

Documents

Introducción LegislaciIntroducción Legislación Informática · tomo: xix, junio de 2004 tesis: i.7o.t.79 l página: 1425. materia: laboral tesis aislada. clave digital. su utilizaciÓn