Documente Academic
Documente Profesional
Documente Cultură
electrónico
[5.1] ¿Cómo estudiar este tema?
TEMA
Esquema
TEMA 5 – Esquema
Sociedad de la información y comercio electrónico
2
Com unicaciones com erciales Inform ación en Contratación Firm a
La LSSI
por v ía electrónica m ateria de cookies electrónica electrónica
Ideas clave
Para estudiar este tema lee las Ideas clave, además de los siguientes documentos:
También tendrás que leer las preguntas frecuentes sobre la LSSI que hay publicadas en
la Secretaría de estado de telecomunicaciones y para la sociedad de la información y que
están disponibles en el enlace siguiente:
http://www.lssi.gob.es/la-ley/Paginas/preguntas-frecuentes.aspx
Además, tendrás que leer la guía, legislación, resoluciones e informes sobre cookies de la
Agencia Española de Protección de Datos disponible en el siguiente enlace:
https://www.agpd.es/portalwebAGPD/canaldocumentacion/cookies/index-ides-
idphp.php
Por último, tendrás que leer en manual de servicios de las sociedades de la información
disponible en el siguiente enlace:
http://dominios.net/vinculos/lssi.html
Ámbito de aplicación
Supuestos Requisitos
Obligados Obligaciones
La duda que ello plantea es los efectos que pueda tener dicha medida sobre las
regulaciones nacionales…
Para profundizar más en este tema es recomendable la lectura del interesante artículo
de Pedro de Miguel disponible en:
http://pedrodemiguelasensio.blogspot.com.es/2014/04/la-conservacion-de-datos-
relativos-las.html
o Forma permanente, fácil, directa y gratuita sobre los diferentes medios de carácter
técnico que aumenten los niveles de la seguridad de la información y permitan,
entre otros, la protección frente a virus informáticos y programas espía.
o Las medidas de seguridad que apliquen en la provisión de los mencionados
servicios.
o Las herramientas existentes para el filtrado y restricción del acceso a determinados
contenidos y servicios en Internet no deseados.
o Las posibles responsabilidades en que puedan incurrir por el uso de Internet con
fines ilícitos, en particular, para la comisión de ilícitos penales o vulneración de la
legislación de propiedad intelectual e industrial.
Régimen de responsabilidad
o Interesante son también algunas de las consideraciones que contiene otra de las
sentencias «famosas» (la relativa al caso alasbarricadas.org vs. Ramoncín, STS,
Sala de lo Civil, Sección 1ª, núm. 72/2011, de 2 de febrero) al hacer responsable al
foro por una «falta de diligencia» muy común en la red:
Beneficios:
Sí Excepción No
Deber de información:
En cada comunicación de publicidad en la que se utilicen fuentes de acceso público
deberá informarse al afectado m ás lo establecido en el artículo 5 de la LOPD:
• Origen de los datos.
• Identidad del responsable del fichero así.
• Derecho que le asisten: acceso, rectificación, cancelación y oposición, derechos
A.R.C.O.
Sí ¡OJO! No
» Conductas sancionables:
» Cuantías:
o Muy graves. Las infracciones y sanciones muy graves prescribirán a los 3 años.
o Graves. Las infracciones y sanciones graves a los 2 años.
o Leves. Las infracciones leves prescribirán a los 6 meses. Y las sanciones leves
prescribirán al año.
o Cookies técnicas: son las que permiten al usuario la navegación a través de una
página web o aplicación y la utilización de las diferentes opciones o servicios que
en ella existan como, por ejemplo, realizar el proceso de compra de un pedido.
o Cookies de personalización: permiten al usuario acceder al servicio con algunas
características predefinidas en función de una serie de criterios en el terminal del
usuario como por ejemplo el idioma, el tipo de navegador… etc.
o Cookies de análisis: permiten al responsable, el seguimiento y análisis del
comportamiento de los usuarios de los sitios web a los que están vinculadas. Se
utiliza en la medición de la actividad de los sitios web, aplicación para la
elaboración de perfiles de navegación de los usuarios con el fin de introducir
mejoras en función del análisis del uso que hacen los usuarios del servicio.
o Cookies publicitarias: permiten la gestión de la forma más eficaz posible de los
espacios publicitarios que, en su caso, el editor haya incluido en una página web,
aplicación o plataforma desde la que presta el servicio solicitado en base a criterios
como el contenido editado o la frecuencia en la que se muestran los anuncios.
o Cookies de publicidad comportamental: permiten la gestión de los espacios
publicitarios que, en su caso, el editor haya incluido en una página web, aplicación
o plataforma desde la que presta el servicio solicitado. Almacenan información del
comportamiento de los usuarios obtenida a través de la observación continuada de
sus hábitos de navegación, lo que permite desarrollar un perfil específico para
mostrar publicidad en función del mismo.
Las cookies pueden ser usadas para gestionar el flujo de usuarios de un sitio web
y mejorar su experiencia de navegación. Pero también son herramientas con las que se
pueden llevar a cabo acciones que pueden vulnerar la privacidad del usuario mediante la
instalación de programas espías, los cuales recopilan información de un ordenador cuya
finalidad es poder conseguir información sobre los hábitos de navegación del
usuario y utilizar los datos obtenidos sin su consentimiento con fines comerciales, o
para ceder la información obtenida a una entidad externa sin el consentimiento o
conocimiento del titular de los datos.
Debe ser suficientemente completa para permitir a los usuarios entender la finalidad
para las que se instalaron y conocer los usos que se les darán.
De incumplir dicha obligación, estaríamos ante la vulneración del artículo 22.2 de la Ley
34/2002, de 11 de julio, de servicios de la sociedad de la información y comercio
electrónico. Dicha vulneración se considera una infracción grave (art 38.3) con una
pena de multa económica de 30.001 hasta 150.000 euros.
» Oferente.
» Aceptante.
El art. 23 modula la validez y eficacia de los contratos celebrados por vía electrónica
estableciendo tres:
» Un contrato celebrado por vía electrónica es válido siempre que concurran los
siguientes requisitos. Nos remitimos a la teoría general contractual y a los
requisitos de validez contenidos en el Art. 1261 del Código Civil:
Para que un contrato celebrado por vía electrónica sea válido no es necesario el previo
acuerdo de las partes sobre la utilización de medios electrónicos. El contrato
celebrado por vía electrónica produce todos los efectos previstos en el ordenamiento
jurídico cuando concurran todos los requisitos necesarios para su validez.
» «Los contratos electrónicos se regirán por lo dispuesto en este título, por los Códigos
Civil y de Comercio y por las restantes normas civiles o mercantiles sobre contratos.
Remite a la regulación civil y mercantil como derecho supletorio, para aquello no
regulado por la propia LSSI.
El objeto es otorgar una mayor protección al consumidor y conseguir que el mismo confíe
en la contratación electrónica.
En este punto la LSSI en su art. 24 señala que «el soporte electrónico en que conste un
contrato celebrado por vía electrónica será admisible en juicio como prueba
documental». Siendo además de ello el resto de medios de prueba admitidos en el
Ordenamiento Jurídico. En cualquier caso, el medio de prueba por excelencia de este
tipo de contratos es la firma electrónica (la avanzada y la reconocida).
Será admisible como prueba documental regulado en el 384.3. LEC: «el tribunal valorará
los instrumentos a que se refiere el apartado primero de este artículo conforme a las
reglas de sana crítica aplicables a aquellos según su naturaleza». Se trata de una
documental con un valor tasado y que se somete como todas a la sana crítica del juzgador.
Como medio adicional y cualificado de prueba la LSSI establece la figura del tercero
de confianza (art 25 LSSI), permitiendo a las partes pactar que una persona (física o
jurídica) ajena al contrato:
» Archive las declaraciones de voluntad que hubieran tenido lugar por vía
telemática y que integran los contratos electrónicos en soporte informático. El archivo
será por el tiempo estipulado que, en ningún caso, será inferior a cinco años.
» Consigne la fecha y la hora en que dichas comunicaciones han tenido lugar.
El límite a su intervención son las funciones que desarrollan los notarios, corredores
de comercio, registradores u otros fedatarios públicos, a los que en ningún caso
podrán sustituir.
Para minimizar los riesgos que este tipo de contratación presenta para los
clientes/usuarios y maximizar la seguridad jurídica de la transacción, la LSSI establece
una obligación genérica de información al cliente/usuario.
Las obligaciones comunes que derivan de la presencia en Internet para las empresas con
presencia en la red, realicen o no contratación electrónica, se recogen en los art. 9 a 12
de la LSSI bajo la rúbrica de «Obligaciones y régimen de responsabilidad de los
prestadores de servicios de la sociedad de la información», y son las siguientes:
Además, las empresas que realicen contratación electrónica deberán respecto a los
usuarios:
Excepciones:
» Los contratos celebrados por vía de correo electrónico: las partes manifiestan su
consentimiento mediante el uso del lenguaje tradicional y la escritura, pero constando
su declaración de voluntad en vez de en soporte papel en soporte electrónico.
» Aquellos en los que la aceptación se manifiesta siguiendo los pasos de
contratación que encontramos en una página web en la que se van completando
formularios de pedido del producto o del servicio que se quiere contratar y aceptando,
mediante la acción de «clickear» o un icono, o en el que se incluyen expresiones como
«aceptar», «ok», «siguiente», «finalizar» o pulsar la tecla «enter».
Así como todas las combinaciones de los anteriores: contratos entre empresario y
consumidor, entre empresario y administración pública y contrato entre administración
pública y consumidor.
Asimismo, la ley procede a dar cumplimiento a lo establecido por la Sentencia del TJUE
de 14 de junio de 2012 (EDL 2012/109012), en relación con la interpretación del art. 6.1
de la Directiva 93/13/CE del Consejo, de 5 de abril de 1993, sobre las cláusulas abusivas
en los contratos celebrados con los consumidores (EDL 1993/15910) y que comporta la
modificación de la redacción del art. 83 Real Decreto-Legislativo 1/2007, de 16 de
noviembre (EDL 2007/205571) sobre la facultad que se atribuye al juez nacional de
modificar el contenido de las cláusulas abusivas que figuran en los contratos para
integrar la parte afectada por la nulidad.
En una operación de firma electrónica el remitente emplea su clave privada para firmar
y quien desee verificar que la firma es auténtica necesitará la clave pública del remitente
o firmante.
Verificación de la firma
El tercero de confianza que vincula los datos de verificación de firma a una persona o
entidad se conoce como prestador de servicios de electrónicos de confianza
(PSEC) que comprueba la identidad del solicitante del certificado mediante algún
documento presentado y firma electrónicamente el par de claves junto con los datos del
solicitante conformando el certificado.
En España, el PSEC que mayor número de certificados había emitido hasta la aparición
del DNI electrónico del que se hablará más adelante es CERES de la Fábrica Nacional de
Moneda y Timbre (FNMT - RCM). El uso más habitual del certificado era para presentar
la declaración de la Renta por Internet, aunque son muchas sus posibilidades de cara a
la administración electrónica e incluso en la banca electrónica, siendo ya varios los
bancos que los aceptan para la validación de transacciones.
La Directiva europea de firma electrónica establece un marco claro comunitario sobre las
condiciones aplicables a la firma electrónica para aumentar la confianza en las nuevas
tecnologías y la aceptación general de las mismas.
La Directiva define la firma electrónica avanzada como la firma que cumple los
requisitos siguientes:
El tipo de firma que será admisible como prueba en procedimientos judiciales: la firma
cualificada que es una firma avanzada basada en un certificado cualificado y creada
por un dispositivo cualificado de creación de firma.
Se considera necesaria la creación de la ley para mitigar la desconfianza por parte de los
intervinientes en las transacciones telemáticas y, en general, en las comunicaciones lo
que constituye un freno para el desarrollo de la sociedad de la información, la
administración electrónica y el comercio electrónicos. Para el desarrollo de la sociedad
de la información es imprescindible la generación de confianza de la ciudadanía en las
comunicaciones telemáticas.
Por otra parte, la ley contiene las garantías que deben ser cumplidas por los dispositivos
de creación de firma para que puedan ser considerados como dispositivos seguros y
conformar así una firma electrónica reconocida.
La ley obliga a los PSECs a efectuar una tutela y gestión permanente de los certificados
electrónicos que expiden. Los detalles de esta gestión deben recogerse en la llamada
declaración de prácticas de certificación, donde se especifican las condiciones
aplicables a la solicitud, expedición, uso, suspensión y extinción de la vigencia de los
certificados electrónicos. Los PSC están obligados a mantener accesible un servicio de
consulta sobre el estado de vigencia de los certificados en el que debe indicarse de manera
actualizada si estos están vigentes o si su vigencia ha sido suspendida o extinguida.
La Ley 527 define y reglamenta el acceso y uso de los mensajes de datos, del comercio
electrónico y de las firmas digitales fue aprobada el 18 de agosto de 1999. Esta norma
presenta una definición para firma digital «como un valor numérico que se adhiere a un
mensaje de datos y que, utilizando un procedimiento matemático conocido vinculado a
la clave del iniciador y al texto del mensaje permite determinar que este valor se ha
obtenido exclusivamente con la clave del iniciador y que el mensaje inicial no ha sido
modificado después de efectuada la transformación».
Si bien no existe una definición explicita de firma electrónica, la Ley 527 establece que
cuando cualquier norma exija la presencia de una firma o establezca ciertas
consecuencias en ausencia de la misma en relación con un mensaje de datos, se
entenderá satisfecho dicho requerimiento si se ha utilizado un método confiable y
apropiado que permita identificar a iniciador del mensaje de datos y verificar que este
último cuenta con su aprobación. Esta descripción permite englobar lo que en términos
académicos se define como firma electrónica.
Tras la aprobación del Decreto 2364 del 22 de noviembre del 2012 mediante el cual se
reglamenta la firma electrónica en Colombia, las organizaciones públicas y privadas de
todos los tamaños y sectores pueden firmar documentos en línea con la misma validez
legal de una firma manuscrita.
Desde marzo del 2006 se emite en España un nuevo Documento Nacional de Identidad
(DNI) con un chip integrado lo que le confiere la calificación de electrónico (DNIe).
DNI electrónico
El chip de la tarjeta contiene dos certificados digitales que son los que en definitiva hacen
posible realizar tales operaciones:
Un aspecto importante de los certificados como los que contiene el DNIe es la validez de
los mismos. Esto es, que no hayan caducado ni estén revocados, por ejemplo, porque se
haya notificado una pérdida o robo del documento. En cada operación de autenticación
telemática es necesario comprobar previamente si el certificado que se pretende utilizar
está caducado o revocado. Para ello se emplean las listas de revocación de certificados
(CRL) y el protocolo OCSP.
También será necesario que estén instaladas las librerías criptográficas de la tarjeta,
genéricamente conocidas como middleware (PKCS#11 o CSP para Microsoft).
» ETSI TS 102 042: requerimientos para PSCs que emiten certificados de clave
pública.
» ETSI TS 101 456: requerimientos para PSCs que emiten certificados reconocidos.
» ETSI TS 101 862 / RFC 3739: perfil de certificado reconocido (qualified).
» CWA 14167-1 y CWA 14167-2: requerimientos de seguridad para los sistemas de
que gestionan certificados para firma electrónica. Para el hardware y software
empleados para generación par claves AC raíz y subordinadas.
» CWA 14169: dispositivos seguros de creación de firma (secure signature-creation
devices) EAL 4+
» RFC 3280: claves públicas de la AC raíz, subordinadas, perfil de certificados de
identidad y listas de revocación de certificados (CRLs).
» RFC 2560: servicio de validación (OCSP).
Cada 3 años se realiza una auditoría externa de cumplimiento de la ETSI 101 456 con
criterios CWA 14172-2.
Acrónimos
Lo + recomendado
No dejes de leer…
+ Información
A fondo
Confianza online
Enlaces relacionados
ONTSI
Estudio sobre comercio electrónico B2C con los datos del año 2014 realizado por el
observatorio nacional de las telecomunicaciones y de la sociedad de la información.
INCIBE
Bibliografía
Actividades
Se pide:
Test
7. El tercero de confianza es una figura que según la LSSI permite a las partes pactar que
una persona (física o jurídica) ajena al contrato:
A. Archive las declaraciones de voluntad que hubieran tenido lugar por vía
telemática y que integran los contratos electrónicos en soporte informático. El
archivo será por el tiempo estipulado que, en ningún caso, será inferior a cinco
años.
B. Archive las declaraciones de voluntad que hubieran tenido lugar por vía
telemática y que integran los contratos electrónicos en soporte informático. El
archivo será por el tiempo estipulado que, en ningún caso, será inferior a 10 años.
C. Archive las declaraciones de voluntad que hubieran tenido lugar por vía
telemática y que integran los contratos electrónicos en soporte informático. El
archivo será por el tiempo estipulado que, en ningún caso, será inferior a 10 años.
D. Archive las declaraciones de voluntad que hubieran tenido lugar por vía
telemática y que integran los contratos electrónicos en soporte informático. El
archivo en ningún caso será superior a 10 años.
8. ¿Cuál de los siguientes no es un beneficio de los códigos de conducta para las entidades
que se adhieren a ellos?
A. Generan confianza en los usuarios.
B. Pueden aumentar sus ventas.
C. Puede permitirles posicionarse frente a su competencia.
D. Les permiten estar exentos de probar los contratos electrónicos.
10. ¿Quiénes no están regulados entre los que pueden acceder a los datos de tráfico según
la Ley 25/2007?
A. Los miembros de las Fuerzas y Cuerpos de Seguridad.
B. Los funcionarios de la Dirección Adjunta de Vigilancia Aduanera.
C. El personal del CNI.
D. La fiscalía.