View
217
Download
0
Embed Size (px)
Citation preview
Comercio Electrónico Aspectos jurídicos
Fernando Galindo AyudaFilosofía del Derecho
Universidad de ZaragozaAPTICE
Zaragoza, 16-17 de noviembre 2000Seminario de la Dirección General de
Consumo. Gobierno de Aragón
Sumario
Dificultades técnicas y jurídicas para la implantación del Comercio Electrónico
Regulación:-- La firma electrónica y las
Infraestructuras de clave pública -- La Directiva sobre Comercio Electrónico -- Los sellos de calidad
Dificultades y soluciones
Escasa implantación de InternetPrácticas de Comercio Electrónico defectuosasDificultades técnicasDificultades jurídicasSoluciones técnicasSoluciones jurídicasLa implantación de la firma electrónica y las
infraestructuras de clave pública como punto de partida para la solución
Implantación de Internet
En USA acceden a Internet más de dos tercios de los ciudadanos (66,9%, encuesta UCLA, octubre 2000)
En España accede a Internet el 13,4% de la población (Encuesta General de Medios, AIMC, mayo 2000). Es el 50% de los usuarios de ordenador (Asoc. Usuarios de Internet)
En Aragón accede a Internet el 11,8% de la población, tras Cataluña (16,3%), La Rioja (15,6%) y Madrid (12,1%) (mayo 2000)
Prácticas de Comercio Electrónico (I)
Más de la mitad de los usuarios de Internet en USA han comprado por Internet (51,7%, octubre 2000, encuesta UCLA)
En el año 2004 el 8,6% del comercio en el mundo será hecho por Internet (Informe Forrester, octubre 2000)
Existen dificultades para comprar on line: más del 78% de quienes quieren comprar no finalizan la compra (Informe BIZRATE.COM): la descarga es lenta, el transporte es caro...
Prácticas de Comercio Electrónico (II)
Informe Andersen Consulting sobre productos comprados on line en seis paises europeos (octubre 2000):
39% de los pedidos tuvieron problemas: --33% de carácter técnico, a consecuencia de una
defectuosa elaboración de la página web --66% no fueron suministrados, en general por
problemas de reparto --España es el país con peores resultados: en ocasiones
no llegaron, en ocasiones llegaron tarde, en ocasiones no hay información sobre existencias de productos...
Prácticas de Comercio Electrónico (III)
Según la Asociación de Usuarios de Internet en 1999 los usuarios españoles tenían inquietudes con relación a las ofertas hechas por la red en lo referido a:
--precios (21%) --calidad y velocidad de accesos (20%) --preservación de la privacidad (19%) --seguridad en las transacciones (13%) --contenidos: calidad y carácter de los mismos
(9%)
Dificultades técnicas (I)
Internet como solución de excepción: interconexión de redes para la supervivencia del ejército de EEUU en caso de crisis nuclear (desde 1973)
Solución parcial: probada en ámbito académico y científico con el fin de comunicar (desde los 80: IANA, NSI y CSIC, entidades científicas y comerciales son las autoridades de la red)
Solución global en la que ya están implicados el comercio y la seguridad del Estado: transacciones (ICANN y Red Técnica Española de Televisión: 8.III.00, entidades independientes y gubernamentales)
Hoy: fase inicial del comercio y gobierno electrónicos
Dificultades técnicas (II)
Ordenadores personalesOrdenadores servidores: proveedores de
servicios de Internet (acceso, almacenamiento...)
Los proveedores con los Internet Services Providers (ISPs): conceden direcciones (nombres) y direccionan (guían) los mensajes
Tipos de mensajes: textos, habla e imágenes
Dificultades técnicas (III)
Reglas establecidas por órganos técnicos:Protocolo IP (Internet Protocol): nombre y
dirección de cada ordenador (por ejemplo: 192.168.45.230) dado por cada ISP
Protocolo TCP (Transmission Control Protocol): reglas para la transmisión por trozos de archivos o ficheros a direcciones
Dificultades técnicas (IV)
Identificación de los usuarios de las comunicaciones telemáticas
No es fácil saber quién los envía, a quién se envían ni cuándo se envían
Integridad de los mensajes
Los mensajes pueden ser modificados por otra persona
Confidencialidad de los mensajes
Pueden ser vistos por otras personas
Confianza en las transacciones
Basada en la implantación de nuevas instituciones (empresas y entidades públicas): proveedores de servicios de fiabilidad
Dificultades técnicas: ejemplo
Mensaje electrónico anónimo (e-mail)Contenido aparentemente de interésEstudio de las propiedades del mensajeObservación de indicios sobre ISP e IPApertura insegura del mensajeRequisitos para los mensajes: mínimamente
seguridad sobre la identificación del remitente, también integridad
Lo mismo para las páginas web
Dificultades jurídicas
Seguridad jurídica La dignidad de la personaProtección de datos personales Secreto de las comunicaciones Libertad de mercado Defensa de los consumidores y usuarios Abuso sobre información privilegiada Acción policial
Seguridad jurídica
Seguridad jurídica ( Cons. art.9.3): no existe cuando hay "un escrito aparecido en un expediente municipal del que se ignora quién lo presenta, cuándo lo presenta, en nombre de quien lo presenta y para qué lo presenta..." (TS 3.ª S, 17 Jul. 1987.-Ponente: Sr. Martín Herrero), de la misma forma no existe cuando los mensajes electrónicos, que consisten en una simple testificación electrónica de su mera emisión y recepción, no son fiables
La dignidad de la persona
Dignidad de la persona y sus derechos inviolables que le son inherentes (Cons. art. 10): no se pueden respetar cuando no se conocen los datos reales del emisor o el receptor del mensaje
Protección de datos personales
Intimidad y privacidad (Cons. art. 18): "implican la existencia de un ámbito propio y reservado frente a la acción y conocimiento de los demás, necesario según las pautas de nuestra cultura para mantener una calidad mínima de vida humana"(TC 2.ª S, 231/1988 de 2 Dic.-Ponente: Sr. López Guerra)
Secreto de las comunicaciones
Constitución art. 18.3Este principio no se respeta cuando los
mensajes pueden ser vistos e incluso modificados por terceros
El principio también puede ser vulnerado cuando se establecen soluciones para paliar los defectos de Internet que radican la tutela del secreto en instituciones que no ofrecen suficientes garantías
Libertad de mercado
Libertad de empresa (Cons. art. 38): no se puede ejercitar cuando no hay seguridad en el tráfico mercantil y no se conoce, con certeza, a los compradores ni, por tanto, hay garantía con respecto a su capacidad de pago
Defensa de los consumidores y usuarios
Defensa de consumidores y usuarios (Cons. art. 51), no se puede realizar cuando no se conoce quienes son los consumidores o los vendedores
Acción policial
La acción policial en las funciones de "averiguación del delito y descubrimiento y aseguramiento del delincuente" (Cons. art. 126), no se puede poner en práctica en el caso de que no existan previsiones para la interceptación legal de las comunicaciones cifradas
Soluciones técnicas
Cifrado
Criptografía de clave pública
Cifrado de firma
Preserva la identificación y la integridad
Cifrado de confidencialidad
Garantiza el secreto del contenido
Proveedores de servicios fiables
Hacen pública la clave y los atributos de su titular y dan confianza a las transacciones electrónicas
Soluciones jurídicas
Derecho comparado: Directrices para una política criptográfica de la OCDE (1997) Ley de firma digital del Estado de Utah (1995). Regulación sobre firma
electrónica por el Congreso y el Senado USA (2000) Ley alemana destinada a regular las condiciones generales de los
servicios de Información y Comunicación (1997) Regulación italiana sobre los criterios y modalidades para la formación,
el archivo y la transmisión de documentos con instrumentos informáticos y telemáticos (1998)
Regulación francesa sobre criptografía (1998 y 1999) Reino Unido.- Regulación sobre comunicaciones electrónicas,
criptografía especialmente: Regulation of Investigatory Powers Act 2000 Iniciativas de la Unión Europea (desde 1997): Directivas sobre firma y
Comercio Electrónico (enero y julio 2000)
Regulación jurídica (española)
Firma electrónica e infraestructuras de clave pública
Sobre InternetSobre Comercio Electrónico
Firma e infraestructuras de clave pública
Objetivo:-- Establecer mecanismos básicos
precisos para un uso seguro y confiable de las telecomunicaciones
Regulación
Real Decreto Ley 14/1999 de 17 de Septiembre sobre firma electrónica
Directiva 1999/93/CE por la que se establece un marco comunitario para la firma electrónica, aprobada por el Parlamento y el Consejo de la Unión Europea el 13 de diciembre de 1999
Ley 1/2000 de 7 de enero, de Enjuiciamiento Civil Orden de 21 de Febrero de 2000, Ministerio de Fomento. Se
aprueba el Reglamento de acreditación de prestadores de servicios de certificación y de certificación de determinados productos de firma electrónica
Real Decreto 1906/99, de 17de diciembre de 1999 por el que se regula la contratación telefónica o electrónica con condiciones generales
Principios básicos de la regulación
CifradoInfraestructura de clave públicaVocabulario jurídico (a partir de la
regulación española)
Cifrado (I)
Criptografía de clave pública (asimétrica) frente a Criptografía de clave secreta (simétrica)
La asimétrica se usa para cifrar los mensajes, la simétrica para cifrar los canales de comunicación: garantiza la confidencialidad del medio de comunicación (paso del protocolo DES al AES)
El cifrado asimétrico es el enmascaramiento mediante una clave (un conjunto de dígitos) de mensajes telemáticos
Cifrado (II)
La clave ha de ser lo suficientemente larga como para que un tercero no pueda descifrarla
La clave ha de contar con dos partes diferenciadas: la privada, conocida tan sólo por su titular, y la pública, conocida por todo interesado en el envío de mensajes al titular de la clave
Cifrado (III)
De la clave pública no se puede deducir, fácilmente, la privada (depende de la dimensión de ambas)
El uso del par de claves pública-privada autentifica al usuario
Cifrado de firma: preserva la identificación y la integridad
Cifrado de confidencialidad: garantiza el secreto del contenido
Infraestructura de clave pública
Certificados: clave pública y atributos Entidades de certificación: hacen
pública la clave y los atributos de su titular
Entidades de registroSistemas voluntarios de acreditación
Vocabulario (ley española de firma elecrónica)
Claves: privada y públicaFirmas: electrónica y avanzadaDispositivos de creación y comprobación
de firmaFirmanteInfraestructura de clave pública (sistema
de certificación de claves públicas)
Vocabulario 1
Claves: privada y públicadatos de creación de firma: los datos
únicos, tales como códigos o claves criptográficas privadas, que el firmante utiliza para crear la firma electrónica
datos de verificación de firma: los datos, tales como códigos o claves criptográficas públicas, que se utilizan para verificar la firma electrónica
Vocabulario 2
Firma electrónica
firma electrónica: los datos en forma electrónica anejos a otros datos electrónicos o asociados de manera lógica con ellos, utilizados como medio de autenticación
Vocabulario 3
Firma electrónica avanzada: requisitos
a) estar vinculada al firmante de manera únicab) permitir la identificación del firmantec) haber sido creada utilizando medios que el
firmante puede mantener bajo su exclusivo control y
d) estar vinculada a los datos a que se refiere de modo que cualquier cambio ulterior de los mismos sea detectable
Vocabulario 4
Dispositivos de creación y comprobación de firma
dispositivo de creación de firma: un programa informático configurado o un aparato informático configurado que sirve para aplicar los datos de creación de firma
dispositivo seguro de creación de firma: un dispositivo de creación de firma que cumple los requisitos enumerados en el anexo III
dispositivo de verificación de firma: un programa informático configurado o un aparato informático configurado, que sirve para aplicar los datos de verificación de firma
Vocabulario 5
Anexo III:1. Los dispositivos seguros de creación de firma garantizarán ... que:
• a) los datos utilizados para la generación de firma sólo pueden producirse una vez en la práctica y se garantiza razonablemente su secreto
• b) existe la seguridad razonable de que los datos utilizados para la generación de firma no pueden ser hallados por deducción y la firma está protegida contra la falsificación mediante la tecnología existente en la actualidad
• c) los datos utilizados para la generación de firma pueden ser protegidos de forma fiable por el firmante legítimo contra su utilización por otros
Vocabulario 6
Anexo III:
2. Los dispositivos seguros de creación de firma no alterarán los datos que deben firmarse ni impedirán que dichos datos se muestren al firmante antes del proceso de firma
Vocabulario 7
Firmante
firmante: la persona que está en posesión de un dispositivo de creación de firma y que actúa en su propio nombre o en el de la entidad o persona física o jurídica a la que representa
Vocabulario 8
Infraestructura de clave pública (sistema de certificación de claves públicas)
certificado: la certificación electrónica que vincula unos datos de verificación de firma a una persona y confirma la identidad de ésta
certificado reconocido: el certificado que cumple los requisitos establecidos en el anexo I y es suministrado por un proveedor de servicios de certificación que cumple los requisitos establecidos en el anexo II
Vocabulario 9
proveedor de servicios de certificación: la entidad o persona física o jurídica que expide certificados o presta otros servicios en relación con la firma electrónica
producto de firma electrónica: el programa informático o el material informático, o sus componentes específicos, que se destinan a ser utilizados por el proveedor de servicios de certificación para la prestación de servicios de firma electrónica o que se destinan a ser utilizados para la creación o la verificación de firmas electrónicas
Vocabulario 10
acreditación voluntaria: todo permiso que establezca derechos y obligaciones específicas para la prestación de servicios de certificación, que se concedería, a petición del proveedor de servicios de certificación interesado, por el organismo público o privado encargado del establecimiento y supervisión del cumplimiento de dichos derechos y obligaciones, cuando el proveedor de servicios de certificación no esté habilitado para ejercer los derechos derivados del permiso hasta que haya recaído la decisión positiva de dicho organismo
La regulación de Internet
Objetivos:-- Facilitar la expansión generalizada
de Internet, y-- Regular el procedimiento de
concesión de nombres y dominios
Expansión de Internet
Reducción de tarifas de conexión a Internet (art. 4, 1 del Real Decreto Ley 7/2000 de 23 de junio, sobre medidas urgentes en el sector de las telecomunicaciones)
Propiedad intelectual (Ley 5/1998 de 6 de marzo) Protección de datos (Ley Orgánica 15/1999 de 13
de diciembre) Código Penal (1995) Normas sobre el uso de las telecomunicaciones
por la organización del Estado
Uso de las telecomunicaciones por la organización estatal
Ley de las Administraciones Públicas (1992)
Ley Orgánica del Poder Judicial (1994)
Ley de Acompañamiento a los Presupuestos de 1998: Real Fábrica de la Moneda como proveedor de servicios de certificación
Nombres y dominios
Orden del Ministerio de Fomento de 21 de marzo de 2000 por la que se regula el sistema de asignación de nombres de dominio de Internet bajo el código de país correspondiente a España (.es)
La regulación sobre Comercio Electrónico
Objetivo:--Iniciar la ordenación jurídica de los
servicios de la sociedad de la información
Normativa y prácticas
La Directiva europea y el Anteproyecto de ley española de servicios de la sociedad de la información y de Comercio Electrónico (29 de septiembre de 2000)
La infraestructura de confianza y garantía: los sellos de calidad
Directiva sobre Comercio Electrónico (julio 2000)
El mercado interior: el libre establecimiento en la UE de servicios de la sociedad de la información
Establecimiento de prestadores de servicios: requisitos Comunicaciones comerciales: características Contratos por vía electrónica Responsabilidad de los intermediarios: proveedores de
acceso a las comunicaciones Códigos de conducta Acuerdos extrajudiciales para la solución de litigios Recursos judiciales
Cooperación entre los Estados miembros
Anteproyecto español: objetivo
Anteproyecto de ley de servicios de la sociedad de la información y de Comercio Electrónico (29.9.2000), Ministerio de Ciencia y Tecnología:
--concreta la Directiva--regula determinados aspectos jurídicos
de los servicios de la sociedad de la información y, en particular, del Comercio Electrónico (art. 1)
Normativa prevista: materias
Régimen de establecimiento de los prestadores de servicios*
Comunicaciones comerciales Contratación por vía electrónica* Responsabilidad de los prestadores de servicios,
incluidos los intermediarios Códigos de conducta: promoción por asociaciones Resolución judicial y extrajudicial de los
conflictos* Infracciones y sanciones
Prestador de servicios*
La persona física o jurídica que suministra un servicio de la sociedad de la información como la contratación de bienes o servicios en línea, la organización de mercados virtuales, la realización de comunicaciones comerciales, el suministro de información en línea, el ofrecimiento de instrumentos de búsqueda, acceso y recopilación de datos, el alojamiento de información, aplicaciones o servicios, la distribución de contenidos bajo demanda o la transmisión de información a través de una red de comunicación
Régimen jurídico del prestador*
Libre competenciaRegistro de prestadores en el Ministerio de
Ciencia y TecnologíaObligación de supervisar el contenido de
los datos e informaciones objeto de servicioObligación de informar sobre sus datos
identificativosRégimen de responsabilidad ajustado a las
características del servicio prestado
Contratos por vía electrónica*
Plena validezSe aplican la regulación sobre contratos y,
particularmente, la relativa a firma electrónicaRequisitos de información a satisfacer por el
prestador de servicios*Procedimiento para realizar una petición*Lugar de celebración de contrato: se presume
que lo es el del establecimiento del prestador
Requisitos de información
--Trámites a seguir para realizar el contrato
--Archivo del contrato y acceso al mismo
--Medios para corregir errores--Lengua o lenguas de formalización--Códigos de conducta a los que se
acoge el prestador de servicios
Procedimiento de la petición
--El prestador debe acusar recibo de la petición por vía electrónica
--Presunción de recibo de la petición y del acuse de recibo desde que se produce la recepción del mensaje por una cuenta de correo determinada
--Efectos de la contratación desde que los contratantes hayan utilizado un medio electrónico para emitir su declaración de voluntad
Solución extrajudicial y judicial de conflictos*
--Cabe acudir al arbitraje (ley de arbitraje, ley de defensa de consumidores y usuarios, ley de condiciones generales de contratación...)
--Cabe establecer una cláusula en los contratos electrónicos que permita emplear medios telemáticos en el arbitraje
--Cabe acudir a los tribunales ordinarios
Sellos de calidad
Objetivo:--Prácticas e instituciones que
facilitan la puesta en acción de la regulación sobre Internet y el Comercio Electrónico
Ejemplos
AGACE
Ejemplos
IMRG Hallmark BBB Online TRUSTe WebTrust TTP.NL (Trusted Third Parties) Online Privacy Alliance WAB-Web Assurance Bureau Clicksure FEDMA Project Eurotrust Global Trust Enterprise
AGACE
Servicio de certificación y arbitraje (Agencia de Garantía del Comercio Electrónico)
Acreditar que las empresas cumplen una serie de normas sobre la honestidad y corrección de su gestión preestablecidas en un Código de Conducta
Satisfacer los requisitos exigidos por la Entidad Nacional de Acreditación (ENAC) guía 62 ISO/EN45012
Aumentar la aceptación y confianza del consumidor hacia el Comercio Electrónico
Permitir a las Pymes competir aunque no dispongan de una marca reconocida
Funciones
Sello de calidad*Código de prácticas*Arbitraje y mediación extrajudicialPropuesta de estándards Asesoramiento sobre Comercio
ElectrónicoEstablecimiento de una página web y
un directorio (www.agace.org)
El sello de calidad*
El sello como certificado de calidad Aporta conocimientos actualizados y
buenas prácticas sobre Comercio Electrónico
Garantiza la reparación de transacciones imperfectas
Otorga fiabilidad a las comunicaciones comerciales
Se puede consultar automáticamente
Código de prácticas*
Recoge principios básicos para la práctica del Comercio Electrónico como:
--Requisitos a satisfacer por el vendedor --Aportación de suficiente información al consumidor --Realización de transacciones correctas --Aseguramiento de la privacidad --Seguridad de las transmisiones telemáticas --Reseña de responsabilidades --Definición de calidad --Procedimientos de auditoría y revisión de los
procedimientos
Funcionamiento
Solicitud por un posible clienteRespuesta de AGACE junto a propuesta
de planes de auditoríaAuditoríaInforme del comité de auditorías Informe del comité de certificaciónCertificación y sello por dos años Plan para futuras auditorías
Organización de AGACE
Entidad dependiente de APTICE, sección sello de calidad
Miembros: --Comité ejecutivo --Gerente --Comité de auditorías --Comité de certificación --Miembros --Servicios administrativos
La red de confianza AGACE
Los miembros de APTICELos representantes de AGACE en
diferentes paises (Europa y América, inicialmente)
Los miembros del programa EULISP
APTICE (I)
Asociación para la Promoción de las Tecnologías de la Información y el Comercio Electrónico (http://www.aptice.org)
Industrias (telecommunicaciones, logística, medios de comunicación...), Asociaciones, Instituciones, Gobiernos y personas físicas
Desde el 10 de Abril del 2000100 miembros a finales de 2000 (previsión)
APTICE (II)
ANÁLISIS Y APLICACIONES S.A. ASOCIACIÓN DE EMPRESARIOS DE LA INFORMÁTICA DE ARAGÓN. ATOS ODS, S.A A.T. EXPORT, S.A. BANCO CENTRAL HISPANO BULL ESPAÑA CAI CEPYME ARAGON DREAMS FACTORY EATUR, S.L. EFOR, S.L. EXPOQALIDAD, S.A. FORMACIÓN Y ASESORES EN SELECCIÓN Y EMPLEO, S.L. FUNDACIÓN RETEVISIÓN
APTICE (III)
FUNDACIÓN SAN VALERO GOING INVESTMENT, S.A. HERALDO DE ARAGÓN IA SOFT IBERCAJA INFORMATION SERVICES VISION S.L. INSTITUTO ARAGONÉS DE FOMENTO MEMORY SET, S.A. METROPOL PRENSA DIARIA ARAGONESA, S.A PRICEWATERHOUSECOOPERS PROFESSIONAL TRAINING PSINET TELEFÓNICA
APTICE (IV)
Objetivos de la Asociación Investigar el impacto de las nuevas tecnologías de la
información y la Telemática
Difundir ese conocimiento por medio de asesoramiento, formación, publicaciones y conferencias
Generar nuevos conocimientos sobre las tecnologías de la información: instituto de estandarización en el futuro
Estudiar las necesidades de las empresas con relación a los sistemas de información y las telecomunicaciones
APTICE y AGACE
EULISP
Estudios aplicados para generar expertos profesionales capaces de vincular el Derecho y las tecnologías de la información y la Comunicación. Impartido por 21 Universidades europeas
Docencia impartida desde las empresas y la investigación: Diploma de carácter privado
Diploma promovido por APTICE como parte de su docencia
Docencia de APTICE de carácter más amplio, realizada con otras instituciones
Promovido desde el curso 1999-2000 por la Comisión Europea: programa Erasmus/Sócrates modalidad CDA
EULISP
Conclusion
Existen referencias suficientes, desde un punto de vista jurídico, para promover el Comercio Electrónico en España desde Aragón. En concreto para aportar soluciones y estándares para su potenciación.
Comercio Electrónico entendido en el sentido más amplio de la expresión: compraventa usando la telemática de productos de y entre las empresas, las empresas y los ciudadanos y los ciudadanos entre si
Hay teorías, prácticas, proyectos y legislación prevista para el futuro: hacen falta su difusión y, especialmente, la expansión del uso de Internet entre los ciudadanos