La Ley y el Desorden 2.0 Unidad de Víctimas del Cibercrimen

Proyecto de Ley Federal para la Protección

de los Derechos de los Usuarios de Internet Senadores del PRD se ponen las pilas y proponen ley que asustará a la IP

1ª Parte

Por Joel A. Gómez Treviño

Desde principios de la presente década se han presentado ante el Congreso de la Unión

siete iniciativas de ley que buscan regular “la protección de datos personales”.

Desafortunadamente la industria mexicana del telemarketing e internet ha sido lo

suficientemente hábil para bloquear todos los intentos que han existido por regular esta

materia. Todavía recuerdo que por ahí entre el 2002 y 2003, cuando trabajaba para una

empresa manufacturera transnacional en Monterrey, me llegaron varios correos de alguna

asociación de telemarketing o similar, solicitándome que hiciera todo lo posible para

solicitar una reunión con los legisladores de Nuevo León, a efecto de solicitarles que no

aprobaran la propuesta de “Ley Federal de Protección de Datos Personales” en virtud de

“los graves daños que sufriría la industria mexicana” de aprobarse la misma. Varias de las

propuestas de ley en esta materia, han sido promovidas por el PRD.

Pues apenas el pasado 2 de abril (ayer para mí) se publicó en la Gaceta del Senado un

proyecto de decreto por el que se expide la “Ley Federal para la Protección de los

Derechos de los Usuarios de Internet”. Si bien el objetivo primordial de este proyecto de

ley no es regular los datos personales, si contempla en su Capítulo V “los datos personales

y la privacidad del usuario”. No sabemos a ciencia cierta si el PRD le cambió el título a la

ley o intentó meter el tema discretamente dentro de otra ley, a ver si ahora si tienen

suerte en que sea aprobada, aunque sea en menor medida, algún tipo de protección de

datos personales para los usuarios de Internet. ¡Ojala lo logren!

Lo cierto es que este proyecto de ley no busca regular en exclusiva los datos personales,

sino contempla un propósito mucho más amplio, “proteger los derechos de los usuarios de

servicios de Internet así como los de los usuarios de servicios prestados a través de

Internet y los consumidores de productos comercializados a través de portales o sitios en

Internet”. Algunos de los rubros que pretende regular este proyecto de ley son: la

garantía en la disponibilidad del acceso, la estabilidad de la conexión, la neutralidad en el

manejo de la Internet, la privacidad del usuario, la protección de sus datos e información,

la seguridad en las operaciones, financieras, bancarias y comerciales realizadas a través

de la red, los servicios gubernamentales prestados a través de la Internet, las restricciones

para menores, así como el uso y distribución en medios digitales de obras protegidas por

el derecho de autor.

La vigilancia y cumplimiento de esta ley estará a cargo de la Secretaría de Comunicaciones

y Transportes, quedando facultados para auxiliar a la misma la CONDUSEF, la PROFECO y

la Secretaría de la Función Pública.

En el artículo 3 se detallan una serie de definiciones, tendencia adoptada del derecho

anglosajón y de instrumentos de derecho internacional. Como es de esperarse, la mayoría

de las reformas a normas mexicanas en materia de comercio electrónico y firma

electrónica están dotadas de definiciones.

Algunas definiciones que llaman la atención en particular las siguientes definiciones:

Datos Personales - Toda información que permita identificar a un usuario en relación a un

servicio de Internet, un servicio prestado por Internet o una operación comercial o

financiera realizada por Internet y permita su identificación física o ubicación geográfica.

Esta definición es ampliada por el artículo 27: son considerados datos personales del

usuario su nombre, domicilio, fecha de nacimiento, nacionalidad, registro federal de

contribuyentes, clave única del registro de población, número de seguridad social,

teléfono, teléfono celular, correo electrónico, números de tarjetas de crédito o débito,

números de cuentas bancarias, nombres de usuario y contraseñas para acceso a servicios

o compra de productos y dirección IP desde la que se realice la conexión del usuario.

Contrasta con la definición de datos personales de la Ley de Protección de Datos

Personales para el Distrito Federal: La información numérica, alfabética, gráfica, acústica o

de cualquier otro tipo concerniente a una persona física, identificada o identificable. Tal y

como son, de manera enunciativa y no limitativa: el origen étnico o racial, características

físicas, morales o emocionales, la vida afectiva y familiar, el domicilio y teléfono particular,

correo electrónico no oficial, patrimonio, ideología y opiniones políticas, creencias,

convicciones religiosas y filosóficas, estado de salud, preferencia sexual, la huella digital, el

ADN y el número de seguridad social, y análogos.

También se define “portal” y “sitio”, ambos definidos como “interfaz gráfica que tiene por

objeto establecer comunicación entre un usuario y un comerciante o prestador de servicios

a través de Internet” pero la única diferencia entre ambas es que la definición de portal

agrega: “y que da acceso a uno o más sitios en Internet.”

Algo que seguramente no verá con buenos ojos la industria es la obligación que se

establece para los Prestadores de Servicios de Internet: “establecer las medidas

necesarias para garantizar que los derechos establecidos en la presente Ley sean

respetados en todo momento”.

Por su parte el artículo 5 establece obligaciones adicionales a las establecidas en el artículo

76 bis de la Ley Federal de Protección al Consumidor para los prestadores de servicios de

conexión a Internet, los prestadores de servicios de hospedaje de sitios en Internet y los

comerciantes o empresas que vendan productos o servicios a través de portales o sitios en

Internet, entre ellas:

I.- Proporcionar un mecanismo expedito y sencillo para que, en los casos de servicios de

suscripción, el usuario pueda cancelar el servicio de forma electrónica e inmediata […];

II.- Proporcionar las características exactas de los servicios o productos que comercialicen

a través de sus sitios en Internet;

IV.- Establecer un mecanismo para la recepción y gestión electrónica de quejas, así como

tiempos máximos de respuesta y solución del problema que haya motivado la queja […].

A juicio de un servidor, la fracción II ya está contemplada en la fracción V del artículo 76

bis de la Ley Federal de Protección al Consumidor. Es interesante lo previsto en la fracción

IV de este artículo 5 en cuanto a la instauración de un sistema de gestión electrónica de

quejas, pues ha sido preocupación a nivel internacional la manera en cómo los

consumidores pueden sustanciar de manera eficiente sus quejas contra proveedores.

A decir de la Conferencia de las Naciones Unidas sobre Comercio y Desarrollo (UNCTAD),

el daño a la sociedad y al interés público radica en lo reiterado y frecuentes que se han

convertido las violaciones a los derechos de los consumidores individuales (en materia de

comercio electrónico). Es por esto que la UNCTAD promueve la implementación de

mecanismos de Resolución Alternativa de Controversias, como una opción conveniente

para manejar las reclamaciones de los consumidores en el ámbito electrónico.

El Capítulo II del proyecto de ley trata la neutralidad en la prestación de los servicios de

conexión a Internet y en los Servicios de Hospedaje de Sitios en Internet. Establece que la

naturaleza y funcionamiento de la Internet es y deberá permanecer libre, neutral y sin

controles centralizados. A los prestadores de servicios de internet se les imponen muy

diversas obligaciones, entre ellas: deberán garantizar que el envío y recepción de datos

por parte de los usuarios fluya de forma constante y sin una disminución del ancho de

banda contratado; deberán garantizar que las comunicaciones que se den desde sus

servidores, hacia estos y a través de sus redes de telecomunicaciones, se proporcionen sin

distinciones que concedan un acceso preferencial o discriminatorio a cualquier sitio o

portal en Internet; el bloqueo de un sitio o portal en Internet únicamente podrá efectuarse

mediante orden o resolución judicial debidamente fundada y motivada; no deberán llevar

a cabo acciones que impidan el uso o disminuyan el rendimiento de las aplicaciones

utilizadas por el usuario basadas en Internet; no podrán imponer limitación alguna al uso

de la conexión que proporcionen al usuario.

“Del Uso Libre de la Internet” es el tema que aborda el Capítulo III. Básicamente se

establecen lineamientos generales de la libertad de expresión y uso del internet por parte

de los usuarios, con la única limitante de respetar el derecho de terceros, la moral y las

buenas costumbres. Ninguna autoridad podrá coartar o impedir el derecho de los usuarios

de acceder a contenidos disponibles en internet, salvo que medie orden judicial.

El Capítulo VI pretende regular las transacciones comerciales y financieras realizadas a

través de Internet y de los servicios públicos prestados por sitios Gubernamentales. El

artículo 16 mezcla obligaciones que ya están contempladas en el artículo 76 bis en sus

fracciones I y II, pues establece que “los comerciantes o empresas que vendan u ofrezcan

sus productos o servicios a través de Internet deberán de garantizar que la operación de

compra-venta o contratación del servicio se lleve a cabo de forma segura y confidencial

respecto de cualquier tercero ajeno a la operación. Para lo anterior, estarán obligados a

contar con tecnología y mecanismos suficientes que permitan el envío y recepción de

datos encriptados que impidan su revelación en caso de interceptación o desvío”.

Es poco afortunado el uso de los términos “encriptados”, así como “certificados de

seguridad” en el artículo 20, pues pudiere interpretarse que se está faltando al principio de

neutralidad tecnológica que establece la Ley Modelo de Comercio Electrónico de la

Comisión de las Naciones Unidas para el Derecho Mercantil Internacional, en el que están

basadas las reformas del 29 de Mayo del año 2000 al Código de Comercio en materia de

comercio electrónico.

Al igual que lo hace la Directiva sobre Comercio Electrónico de la Unión Europea en su

artículo 11, diversos artículos del Capítulo IV establecen la obligación de enviar vía correo

electrónico al usuario notificaciones, confirmaciones o acuses de recibo con información

relacionada a la transacción celebrada.

Resulta curioso que el artículo 19 habla de la obligación de las empresas y comerciantes

de entregar “el comprobante correspondiente a cada obligación… que cumpla con los

requisitos establecidos por las disposiciones fiscales vigentes”, pues las referidas leyes

fiscales hablan claramente de “comprobante fiscal digital” y “facturación electrónica”.

La continuación de la presente síntesis y análisis, así como conclusión de la opinión sobre

este proyecto de ley tendrán que terminar en una segunda parte de este artículo, pues

como es obvio toda publicación tiene sus límites de espacio. No se pierdan en el siguiente

número de b:Secure la segunda y última parte de este artículo!

Joel Gómez (abogado@joelgomez.com) es Licenciado en Derecho egresado del ITESM, con Maestría en Derecho

Comercial Internacional de la Universidad de Arizona. Abogado especialista en Derecho Informático y Propiedad

Intelectual desde 1996.

La Ley y el Desorden 2.0 Unidad de Víctimas del Cibercrimen

Proyecto de Ley Federal para la Protección

de los Derechos de los Usuarios de Internet Senadores del PRD se ponen las pilas y proponen ley que asustará a la IP

2ª y última parte

Por Joel A. Gómez Treviño

En la revista pasada se publicó la primera parte de este artículo, en donde se buscó

sintetizar los principales puntos de este proyecto de ley, y hacer unos breves comentarios

sobre el mismo. En el presente artículo finalizaremos con esta síntesis, para finalizar con

un análisis y crítica constructiva sobre el proyecto.

Me toca iniciar esta segunda parte con algo que seguro será de mucho interés para la

industria bancaria y financiera. Los artículos 20 y 22 establecen obligaciones para las

instituciones financieras que presten servicios a través de internet, particularmente la de

“garantizar que toda transacción relacionada con su actividad se realice de forma segura”.

Para tal efecto se estipula que “las instituciones financieras deberán de contar con

certificados de seguridad válidos y vigentes, así como proveer la tecnología más avanzada

disponible para el efectivo envío y recepción de datos encriptados que impidan su

revelación en caso de interceptación o desvío”. De inmediato surgen las dudas para los

expertos… ¿qué es “la tecnología más avanzada”? ¿Quién determinará lo que es “la

tecnología más avanzada”? Hoy se habla de “certificados de seguridad” en los

navegadores, mañana… ¡quién sabe!

El artículo 22 obliga a las instituciones financieras a establecer mecanismos de seguridad

que permitan la protección contra fraude para las operaciones concretadas a través de

Internet. También, establece que la institución financiera, en caso de que le sea reportado

un fraude electrónico por un usuario, “deberá descontar del saldo exigible al usuario,

hasta en tanto no se concluya la investigación correspondiente, el monto de la transacción

que haya sido notificada como fraudulenta”. Aunque el objetivo es en esencia bueno, a

ningún banco le agradará que le impongan estas obligaciones que se traducirán en

inversión y la modificación actual de sus mecanismos de investigación.

Diversos artículos, como el 21 y el 25, estipulan obligaciones de confirmación de

transacciones vía correo electrónico, lo cual es una acertada adaptación de lo dispuesto en

la Directiva sobre Comercio Electrónico de la Unión Europea.

El Capítulo V contempla toda una serie de obligaciones en materia de protección de datos

personales. Como lo comentamos en el número anterior, las definiciones de “datos

personales” de este proyecto de ley no coinciden con la Ley de Protección de Datos

Personales para el Distrito Federal. Además, es curioso (y lamentable) que incluyan dentro

de esta definición a “la dirección IP desde la que se realice la conexión del usuario”.

Una dirección IP jamás debe ser considerada como “dato personal”, por varias razones: 1)

no es un dato que identifique a una persona, sino en el mejor de los casos, a un equipo

de computo; 2) las directivas europeas más importantes que regulan la protección de

datos personales (95/46/CE y 2002/58/CE), no contemplan a la dirección IP como “dato

personal”; 3) las direcciones IP, tratándose de consumidores o usuarios que se conectan a

internet desde casa, universidades, “hot spots” o sitios públicos, son siempre dinámicas

(vs. fijas), por lo que resultaría un absurdo considerarlas como “dato personal” si cambian

cada vez que un usuario se conecta a la red.

Las direcciones IP probablemente caen dentro de la definición de “dato de localización” o

“dato de tráfico”, como lo establecen los considerandos y el artículo 2, incisos b) y c), de

la Directiva 2002/58/CE sobre la Privacidad y las Comunicaciones Electrónicas de la Unión

Europea. Las referencias continuas a legislación europea en este artículo, se deben a que

es la más avanzada y “antigua” en materia de protección de datos personales.

El segundo párrafo del artículo 27 establece que “los datos personales de un usuario

podrán ser revelados únicamente a la autoridad judicial que así lo solicite mediante orden

o resolución judicial debidamente fundada y motivada en donde se especifiquen los datos

que han de ser revelados y el motivo para su revelación. De toda solicitud de revelación

de datos personales deberá correrse traslado al usuario cuyos datos estén siendo

solicitados por la autoridad judicial”. Esto trae un impacto grave y negativo al

procedimiento de disputas de nombres de dominio en México (LDRP), pues es común que

los abogados que llevan esta clase de casos soliciten a NIC México los datos de contacto

(todos ellos caen bajo la definición de “datos personales” bajo este proyecto de ley) del

titular de un determinado nombre de dominio, para notificarle el inicio de un

procedimiento LDRP o enviarle una carta de “cese y desistimiento”.

El artículo 29 del proyecto a grandes rasgos prohíbe el spam físico y electrónico (envío de

propaganda comercial no solicitada). Aunque con una muy desafortunada redacción, el

inciso VI del artículo 76 bis de la Ley Federal de Protección al Consumidor, ya contempla

la misma prohibición: “El proveedor respetará la decisión del consumidor en cuanto a la

cantidad y calidad de los productos que desea recibir, así como la de no recibir avisos

comerciales”. Es lamentable el uso del término “aviso comercial”, pues está regulado por

otro ordenamiento (Art. 100 de la Ley de la Propiedad Industrial), que nada tiene que ver

con protección al consumidor. En lugar de duplicar prohibiciones y sanciones, busquemos

reformar la desatinada redacción de la Ley Federal de Protección al Consumidor.

El artículo 31 prohíbe la instalación de “cookies” sin el consentimiento expreso del usuario.

Aunque es razonable y tal vez hasta deseable que exista este tipo de regulación, no es

práctico implantar este tipo de requerimientos, pues hoy en día la gran mayoría de los

sitios web, nacionales y extranjeros, trabajan a base de “cookies”. Además, todos los

navegadores más populares en el mercado, tienen la opción para que el usuario controle

las “cookies” como mejor le convenga.

El artículo 33 establece que “las comunicaciones o archivos de cualquier tipo que se

transmitan a través de Internet tendrán el carácter de confidenciales. En consecuencia,

queda prohibida toda acción que tenga por objeto observar, interceptar, desviar,

supervisar, restringir o alterar la libre transmisión de las comunicaciones o archivos a

través de Internet”.

¿Y dónde dejamos el derecho de los patrones de monitorear las comunicaciones

electrónicas de sus empleados en horario laboral y haciendo uso de las herramientas

informáticas de la empresa? Es bien conocido por todos que la web 2.0, las redes sociales

y los programas de mensajería instantánea son uno de los principales factores que afectan

seriamente la productividad de los trabajadores en las empresas. México todavía no ha

explorado la regulación informática desde el punto de vista laboral. La tendencia

jurisprudencial anglosajona, que inexorablemente suele permearse en México, es que los

empleados no pueden tener expectativas razonables de privacidad cuando están usando

computadoras, recursos informáticos y herramientas de trabajo proporcionadas por la

empresa en tiempo laboral.

El artículo 37, ya en el capítulo VI denominado “de la libre utilización de programas,

aplicaciones o herramientas para la transmisión de voz sobre IP y de redes de pares”,

regula someramente el tema de redes peer-to-peer: “Ningún prestador de servicios de

conexión a Internet, entidad gubernamental o institución pública o privada podrá impedir

o restringir el uso de programas que tengan por objeto crear redes de pares. Queda

prohibida toda acción que tenga por objeto disminuir el rendimiento de los programas

para crear redes de pares o la disminución en el ancho de banda que afecte la

transferencia de archivos a través de las redes de pares”.

Creo que la mayoría de los que conocemos poco o mucho de informática, sabemos que

desafortunadamente el uso primordial que se les ha dado a las redes “peer-to-peer” ha

sido para delinquir, o para que no se lea tan feo, “para violar derechos de autor”. Tan solo

entre 2003 y 2005, la Recording Association of America promovió 14,000 demandas en

contra de usuarios de redes P2P. Es un tema álgido, pues por un lado esta el interés de

los usuarios de internet en “compartir” cualquier archivo que tengan en sus computadoras,

y por otro lado, el obvio interés de la industria por proteger a capa y espada los derechos

de autor de artistas que representan, que se traducen en jugosas regalías que dejan de

ganar por estos actos de piratería. ¿Por qué regular tan a la ligera un tema que amerita

profundo debate y análisis?

El Capítulo VII (De los derechos de autor sobre obras publicadas a través de Internet) no

lo voy a comentar, por que al igual que muchos artículos de este proyecto, el contenido

del mismo debería de estar contemplado como propuesta de reforma a la Ley Federal del

Derecho de Autor.

El Capítulo VIII plasma una visión interesante los procedimientos para la defensa de los

derechos de los usuarios de Internet. Establece cuáles son las autoridades competentes

para conocer y sancionar las violaciones a los derechos otorgados por el proyecto de Ley.

El Capítulo IX establece el catálogo de infracciones a la ley propuesta.

El artículo 53 del Capítulo X (Delitos) convierte en delincuentes a quienes: I. Observen,

supervisen, intercepten, desvíen, restrinjan o alteren el envío y recepción de datos a

través de Internet sin la autorización expresa del usuario; II. Comercialicen, traspasen,

cedan, intercambien, donen o transfieran el dominio de la información relativa a los datos

personales a que se refiere la presente Ley sin la autorización expresa del usuario al que

pertenezcan dichos datos; y III. Reincidan en alguna de las conductas establecidas en las

fracciones VI, VII, VIII, IX, XVI, XVII, XVII o XIX del artículo cincuenta y uno (catálogo de

infracciones) de la presente Ley.

En otras palabras, de aprobarse el proyecto de ley: 1) tu patrón que revisas los correos

electrónicos y la mensajería instantánea de tus empleados, serás un delincuente; 2) tu

empresa de internet que comercializas, intercambias o traspasas bases de datos con datos

personales de tus clientes sin su consentimiento, serás un delincuente; y 3) si reincides en

cualquiera de las 20 infracciones, serás un delincuente!

Para concluir solo me resta decir que, a pesar de todo, este proyecto de ley es “bien

intencionado”. Los usuarios de internet somos los más desprotegidos, pues gran parte de

las reformas legislativas en México a la fecha en materia de comercio electrónico, han sido

encaminadas a darle certeza jurídica a quienes hacen negocios electrónicos

(reconocimiento y validez legal de contratos electrónicos, mensajes de datos, y firma

electrónica). Sin embargo, creo que este proyecto tiene muchas áreas de oportunidad.

Mucho de lo que pretende regular es materia de otras leyes federales, y no se justifica

regularlo “aparte” solo para que los derechos de los usuarios de internet se encuentren en

un solo “compendio normativo”. Confiamos en que propuestas como esta, sigan llegando

al Congreso, para eventualmente, contar con una protección justa para los usuarios de

internet.

Joel Gómez (abogado@joelgomez.com) es Licenciado en Derecho egresado del ITESM, con Maestría en Derecho

Comercial Internacional de la Universidad de Arizona. Abogado especialista en Derecho Informático y Propiedad

Intelectual desde 1996.