Tratado - static-laley.thomsonreuters.com · Tratado de Derecho Informático u Tomo I Internet y...

Tratado de Derecho Informático

u

Tomo I

Internet y nombres de dominio

Propiedad intelectual, programas de computación y bases de datos

Documento electrónico y firma digital

Comunicaciones electrónicas

u

Daniel Ricardo Altmark

Eduardo Molina Quiroga

Colaboradores académicos

Paula Mariana RómuloJuan Pablo AltmarkTatiana Anabel Fij

LA LEY

© Daniel Ricardo Altmark y Eduardo Molina Quiroga, 2012© de esta edición, La Ley S.A.E. e I., 2012Tucumán 1471 (C1050AAC) Buenos AiresQueda hecho el depósito que previene la ley 11.723

Impreso en la Argentina

Todos los derechos reservadosNinguna parte de esta obra puede ser reproducidao transmitida en cualquier forma o por cualquier medio electrónico o mecánico, incluyendo fotocopiado, grabacióno cualquier otro sistema de archivo y recuperaciónde información, sin el previo permiso por escrito del editor y el autor.

Printed in Argentina

All rights reservedNo part of this work may be reproduced or transmitted in any form or by any means,electronic or mechanical, including photocopying and recordingor by any information storage or retrieval system,without permission in writing from the publisher and the author.

Tirada: 500 ejemplares

I.S.B.N. 978-987-03-2322-8 (Tomo I)I.S.B.N. 978-987-03-2321-1 (Obra completa)

S.A.P. 41346045

S.E.T. 41346049

Argentina

Altmark, Daniel Ricardo

Tratado de derecho informático / Daniel Ricardo Altmark y Eduardo Molina Quiroga. - 1a ed. - Buenos Aires: La Ley, 2012.v. 1, 1040 p.; 24x17 cm.

ISBN 978-987-03-2322-8

1. Derecho Informático. I. Molina Quiroga, Eduardo. II. Título

CDD 343.099 9

Índice general

Introducción

1. Marco teórico de referencia. Relaciones existentes entre Informática y Derecho ..................................................................................................... 1

2. Informática jurídica................................................................................... 7

2.1. Antecedentes de la Informática jurídica .......................................... 8

2.2. Definiciones y clasificaciones de la Informática jurídica ............... 11

2.3. Clasificación ...................................................................................... 12

2.4. Informática jurídica documental ..................................................... 12

2.4.1. La aplicación técnico-jurídica ............................................... 12

2.4.1.1. Indexación .................................................................. 13

2.4.1.2. Texto completo........................................................... 13

2.4.1.3. Abstract ....................................................................... 13

2.5. Informática jurídica de gestión ......................................................... 14

2.5.1. Clasificación ............................................................................. 14

2.5.1.1. Informática jurídica registral .................................... 14

2.5.1.2. Informática jurídica operacional .............................. 15

2.6. Informática jurídica decisional ......................................................... 17

3. Derecho informático ................................................................................. 19

3.1. Contenido ........................................................................................... 20

3.2. Concepto ............................................................................................ 37

Capítulo I

Internet y nombres de dominio

1. Introducción .............................................................................................. 43

1.1. Internet. Aspectos técnicos ............................................................... 43

1.1.1. Red y redes ................................................................................ 43

1.1.1.1. Red de área local (LAN) ............................................ 43

1.1.1.2. Red de área abierta (WAN) ....................................... 43

1.1.1.3. Red de redes (Internetworks) .................................... 44

1.1.1.4. Internet ....................................................................... 44

Pág.

VIII Daniel Ricardo Altmark - Eduardo Molina Quiroga

Pág.

1.1.1.5. World Wide Web ......................................................... 451.1.1.6. Historia de Internet ................................................... 491.1.1.7. Estándares de la Web ................................................. 54

1.1.2. Cómo se trasmiten los datos en Internet ............................... 551.1.2.1. Protocolos de Internet ............................................... 551.1.2.2. Dirección IP (IP address) ........................................... 561.1.2.3. Localizador Uniforme de Recursos (URL) ............... 581.1.2.4. Dirección IP. Versiones .............................................. 591.1.2.5. Protocolo de Internet versión 6 (IPv6) ..................... 59

1.1.3. Conversión de números a palabras ........................................ 611.1.3.1. Nombre de Dominio de Internet .............................. 621.1.3.2. Sistema de Nombres de Dominio............................. 63

2. Asignación de números y nombres de dominio de Internet ................. 642.1. Historia de la administración de los nombres de dominio ............ 642.2. Clases de nombres de dominio ........................................................ 72

2.2.1. Nombres de Dominio de Nivel Superior (TLD)..................... 732.2.2. Nombres de dominio genéricos.............................................. 752.2.3. Dominios de segundo nivel .................................................... 782.2.4. Organismos vinculados al registro de Nombres de Dominio

de Internet ............................................................................... 792.2.4.1. IANA ........................................................................... 792.2.4.2. LatinoamerICANN .................................................... 792.2.4.3. LACLTD ...................................................................... 792.2.4.4. InterNIC ...................................................................... 79

2.2.5. Dominio de Europa ................................................................. 802.2.6. Nombres de dominio internacionalizados (IDNA) ............... 802.2.7. Nuevos dominios genéricos de alto nivel (gTLD) ................. 83

2.3. Registro de nombres de dominio en Argentina ............................... 883. Nombres de Dominio de Internet ............................................................ 96

3.1. Naturaleza jurídica de los nombres de dominio ............................. 963.1.1. La función de los signos distintivos ........................................ 1003.1.2. Posiciones sobre la naturaleza jurídica de los nombres de

dominio ................................................................................... 1033.1.3. Derecho al uso o goce del nombre de dominio ..................... 1113.1.4. Embargabilidad (o no) de los nombres de dominio ............. 113

3.1.4.1. El caso “Umbro” ......................................................... 1133.1.4.2. Caso “Gimbutas” ........................................................ 115

4. Conflictos que suscitan los nombres de dominio ................................... 1154.1. Caracterización de conductas típicas en el registro abusivo .......... 117

4.1.1. Ciberocupación (“cybersquatting”) ........................................ 1174.1.1.1. Definiciones de la OMPI ........................................... 1174.1.1.2. Conflictos con otros signos distintivos..................... 120

Tratado de Derecho Informático IX

Pág.

4.1.2. Parasitismo (“parasiting”) ....................................................... 1204.1.3. El Segundo informe de la OMPI sobre Nombres de Dominio 1214.1.4. La legislación norteamericana ................................................ 125

4.2. El sistema de resolución de conflictos ICANN-OMPI (UDRP) ...... 1274.2.1. El Reglamento .......................................................................... 1294.2.2. Proveedores de servicios de solución de controversias ........ 1294.2.3. El procedimiento según la UDRP ........................................... 1324.2.4. Políticas adicionales ................................................................ 135

4.2.4.1. Política de Resolución de Disputas sobre Elegibili-dad de Estatutos (CEDRP) .......................................... 135

4.2.4.2. Política de Reconsideración de Elegibilidad (ERP) 1354.2.4.3. Política de Resolución de Disputas sobre Requisi-

tos de Elegibilidad (ERDRP) ....................................... 1364.2.4.4. La Política de Requisitos de Elegibilidad del Estatu-

to .ASIA (.ASIA CERP) ................................................. 1364.2.4.5. Política de Resolución de Disputas sobre Requisi-

tos de Elegibilidad de .cat .......................................... 1374.2.4.6. La Política de Impugnación de Registros Defensi-

vos de Propiedad Intelectual (IPDRCP) .................... 1374.2.4.7. Política de Impugnación de Requisitos (QCP) ........ 1374.2.4.8. Política de Resolución de Disputas por Restriccio-

nes (RDRP) .................................................................. 1384.2.4.9. Política de Oposición de los Titulares de Marcas

en el Período Inicial de Solicitud de Registro de un Nombre de Dominio (STOP) ...................................... 138

4.2.4.10. Política de Impugnación Sunrise (o período de arranque) ..................................................................... 139

4.2.4.11. Política de Resolución de Disputas por Transfe-rencias (TDRP) ............................................................ 139

4.2.5. Reglas de solución de Disputas en otros países .................... 1394.3. Conflictos entre marcas y nombres de dominio de segundo nivel 147

4.3.1. Algunos casos resueltos por la OMPI .................................... 1494.3.2. Conflictos suscitados entre partes domiciliadas en un mis-

mo país. Principios aplicables ............................................... 1494.3.3. Prioridad de la marca “renombrada” .................................... 1554.3.4. Conflictos entre dos nombres de dominio ........................... 1574.3.5. Buena o mala fe ...................................................................... 1584.3.6. Conflicto entre signos distintivos notorios preexistentes y

nombres de dominio. Nombre de dominio en uso. Mala fe 1584.3.7. Conflicto entre signos distintivos notorios preexistentes y

nombres de dominio - Mala fe .............................................. 1584.3.8. Conflicto entre nombres de dominio y nombres de perso-

nas famosas ............................................................................. 1594.3.9. Nombre de dominio que no está en uso. Mala fe ................ 166

X Daniel Ricardo Altmark - Eduardo Molina Quiroga

Pág.

4.3.10. Otros casos de mala fe ........................................................... 1674.3.11. Conflicto entre marcas y designaciones comerciales no no-

torias ........................................................................................ 1674.4.12. Conflicto entre un nombre de dominio preexistente y mar-

cas o designaciones posteriores ............................................ 1674.4. Prácticas óptimas sobre prevención y solución de controversias

en materia de propiedad intelectual relacionadas con los ccTLD 1684.4.1. Acuerdo de registro de nombres de dominio ........................ 1694.4.2. Recopilación y disponibilidad de las informaciones que

permitan establecer contacto con el titular del registro ...... 1704.4.3. Las consecuencias derivadas de proporcionar datos de con-

tacto inexactos o no fiables .................................................... 1724.4.4. La repercusión de la protección del derecho de intimidad .. 172

5. Breve análisis de la normativa argentina ................................................. 1735.1. Procedimiento de resolución administrativa de disputas .............. 174

6. Jurisprudencia nacional ............................................................................ 1786.1. Primeros fallos judiciales argentinos ............................................... 179

6.1.1. Caso “Freddo” .......................................................................... 1806.1.2. Caso “Pugliese” ........................................................................ 1826.1.3. Caso “Camuzzi” ........................................................................ 1846.1.4. Caso “Xenical” .......................................................................... 1846.1.5. El principio de prioridad puede ceder ante la marca ........... 1856.1.6. Revocación registro nombre de dominio por similitud con

la marca ................................................................................... 1866.1.7. Es necesario acreditar un obrar de mala fe para la modifica-

ción o cancelación de la registración del nombre de domi-nio ............................................................................................ 187

6.1.8. Interés legítimo como factor de exclusión de la mala fe ....... 1876.1.9. Uso indebido de marca en una dirección de correo electró-

nico .......................................................................................... 1906.1.10. Efectos de la registración en Nic-Argentina para el titular de

una marca ............................................................................... 1906.1.11. Juez competente ...................................................................... 1936.1.12. Medidas cautelares ................................................................. 1946.1.13. Posibilidad de generar confusión en la marca por el Nom-

bre de dominio ....................................................................... 1956.1.14. No activación del nombre de dominio registrado ................ 1966.1.15. Valor de la “marca de hecho” ................................................. 1976.1.16. Buena fe en el registro de nombres de dominio ................... 1986.1.17. Aplicación de las Reglas de la Política Uniforme (UDRP) ... 1986.1.19. Es necesario acreditar un obrar de mala fe para la modifi-

cación o cancelación de la registración del nombre de do-minio ....................................................................................... 199

7. Casos resueltos por la OMPI ..................................................................... 200

Tratado de Derecho Informático XI

Pág.

7.1. Marca no registrada y falta de prueba sobre uso notorio ............... 200

7.2. Límites territoriales de la marca y nombres de dominio ................ 202

7.3. No acreditación de la ausencia de interés legítimo ........................ 207

7.4. La oferta de los nombres de dominio al titular de una marca es demostrativo de la mala fe en el registro ......................................... 207

8. Conclusiones ............................................................................................. 208

Bibliografía ....................................................................................................... 209

Capítulo II

Propiedad intelectual, programas de computación y bases de datos

1. Introducción .............................................................................................. 218

1.1. Propiedad Industrial .......................................................................... 221

1.1.1. Patentes ..................................................................................... 222

1.1.2. Modelos de utilidad ................................................................. 230

1.1.3. Diseño industrial ...................................................................... 232

1.1.4. La propiedad intelectual y los circuitos integrados .............. 233

1.1.5. Marcas ....................................................................................... 235

1.1.6. Nombres comerciales .............................................................. 240

1.1.7. Indicaciones geográficas ......................................................... 243

1.1.8. Protección contra competencia desleal ................................. 244

1.1.9. La Organización Mundial de la Propiedad Intelectual ......... 248

1.2. Derecho de autor ............................................................................... 251

1.2.1. Antecedentes ............................................................................ 252

1.2.2. Alcances del derecho de autor ................................................ 261

1.3. Derechos conexos .............................................................................. 262

1.4. Sociedades de gestión colectiva ....................................................... 264

2. Software o programa de computación ..................................................... 270

2.1. Breve historia del software ................................................................ 272

2.2. Código fuente ..................................................................................... 273

2.3. Algoritmo ............................................................................................ 274

2.4. Lenguaje de programación ............................................................... 276

2.5. Clasificación del software .................................................................. 280

2.5.1. Software de sistema ................................................................. 280

2.5.2. Software de programación ...................................................... 280

2.5.3. Software de aplicación ............................................................. 281

2.5.4. Proceso de creación del software ............................................ 282

2.6. Protección legal de los programas de computación ....................... 284

2.6.1. Acuerdo ADPIC/TRIPs ............................................................ 287

2.6.2. Tratado de la OMPI .................................................................. 292

XII Daniel Ricardo Altmark - Eduardo Molina Quiroga

Pág.

2.6.3. Conflictos sobre la extensión de la protección de derecho de autor al software................................................................. 293

2.6.4. Protección del software. Ideas y expresión ............................ 3012.6.5. Derecho comparado ................................................................ 306

2.6.5.1. Costa Rica ................................................................... 3062.6.5.2. El Salvador .................................................................. 3072.6.5.3. Guatemala .................................................................. 3072.6.5.4. Honduras .................................................................... 3082.6.5.5. Nicaragua ................................................................... 3092.6.5.6. Panamá ....................................................................... 3102.6.5.7. República Dominicana ............................................. 3102.6.5.8. Uruguay ...................................................................... 3102.6.5.9. Brasil ........................................................................... 3112.6.5.10. Bolivia ....................................................................... 3132.6.5.11. Chile .......................................................................... 3152.6.5.12. Perú ........................................................................... 3162.6.5.13. Colombia .................................................................. 3162.6.5.14. Ecuador .................................................................... 3172.6.5.15. Venezuela ................................................................. 3182.6.5.16. Paraguay ................................................................... 3202.6.5.17. México ...................................................................... 3212.6.5.18. Comunidad Andina ................................................. 3242.6.5.19. Europa ...................................................................... 3262.6.5.20. Unión Europea ......................................................... 3262.6.5.21. España ...................................................................... 330

2.6.6. Situación en la República Argentina ...................................... 3362.6.6.1. Decreto 165/94 ........................................................... 3392.6.6.2. Ley 24.425 ................................................................... 3402.6.6.3. Antecedentes de la modificación de la ley 11.723 ... 3432.6.6.4. Ley 25.036 ................................................................... 3452.6.6.5. Licencia de software .................................................. 348

2.7. Tipos de plagio ................................................................................... 3552.7.1. “Piratería” ................................................................................. 3552.7.2. Plagio......................................................................................... 3642.7.3. Emulación de “look and feel” .................................................. 366

3. Bases de datos ........................................................................................... 3683.1. Protección jurídica de las bases de datos ........................................ 369

3.1.1. El requisito de la originalidad ................................................. 3713.1.2. Las obras colectivas y el derecho de autor ............................. 3773.1.3. Compilaciones, colecciones y bancos de datos ..................... 3813.1.4. Selección o disposición como criterio de creatividad .......... 3843.1.5. El banco de datos como obra terminada ............................... 386

Tratado de Derecho Informático XIII

Pág.

3.1.6. Originalidad en los bancos de datos ...................................... 3863.1.7. Fundamentos de las tesis doctrinarias ................................... 3873.1.8. Crítica a la tesis que considera a los bancos de datos como

obras protegibles .................................................................... 3893.1.9. Las antologías y los bancos de datos ...................................... 3903.1.10. El caso Le Monde vs. Microfor .............................................. 3923.1.11. Originalidad en las antologías y en los bancos de datos ..... 3933.1.12. Legislación de Estados Unidos ............................................. 393

3.2. La protección de los datos que integran un banco de datos .......... 3953.3. Bancos de datos que compran datos en bruto ................................ 4003.4. Los derechos sobre los documentos de uso .................................... 402

3.4.1. Tesauros .................................................................................... 4033.4.2. El caso de la indexación o indización ..................................... 4063.4.3. El caso de los abstracts ............................................................. 4063.4.4. El caso de los resúmenes ......................................................... 408

3.5. El caso de los corpus abiertos al gran público ................................. 4093.6. El tratamiento de datos como objeto de derecho ........................... 4103.7. El alcance de los derechos sobre el tratamiento de datos .............. 4123.8. Derechos sobre el banco y piratería ................................................. 414

3.8.1. La jurisprudencia norteamericana sobre protección de las bases de datos ......................................................................... 415

3.8.2. Jurisprudencia española ........................................................ 4283.8.3. Tribunal de Justicia de la Comunidad Andina ..................... 4293.8.4. Jurisprudencia nacional ......................................................... 437

3.9. Derechos conferidos al autor de la base de datos ........................... 4403.10. Derechos sobre el banco y derechos de los clientes ...................... 442

3.10.1. El caso particular de los corredores de valores .................... 4444. El software libre.......................................................................................... 446

4.1. Los orígenes ....................................................................................... 4464.2. El caso “Microsoft” ............................................................................ 4484.3. GNU y Linux ....................................................................................... 4514.4. Código abierto (Open Source) ........................................................... 4564.5. Software libre...................................................................................... 4584.6. El Copileft ........................................................................................... 4604.7. Licencias F/OSS ................................................................................. 461

4.7.1. La Free Software Definition (FSD) ........................................... 4614.7.2. La Open Source Definition (OSD) ........................................... 4624.7.3. Similitudes y diferencias en las definiciones ......................... 4634.7.4. Diversos tipos de licencias de software libre.......................... 464

4.7.4.1. La Licencia Pública General de GNU (GPL) ............ 4654.7.4.2. GNU LGPL (Lesser General Public Licence) ........... 4704.7.4.3. Licencia tipo BSD ...................................................... 471

XIV Daniel Ricardo Altmark - Eduardo Molina Quiroga

Pág.

4.8. Panorama actual ................................................................................ 4715. Internet y los derechos de propiedad intelectual ................................... 473

5.1. El impacto de las nuevas tecnologías en el derecho de autor ........ 4735.2. Técnicas utilizadas en Internet ......................................................... 4795.3. Responsabilidad de los ISP o intermediarios .................................. 482

5.3.1. Posiciones enfrentadas ............................................................ 4825.3.2. Regulaciones en el derecho comparado ................................ 484

5.4. Casos jurisprudenciales .................................................................... 4905.4.1. El caso “Napster”...................................................................... 4925.4.2. El caso “Grokster” (Estados Unidos) ...................................... 4935.4.3. El caso “KaZaA” (Australia) ..................................................... 4985.4.4. El caso “The Pirate Bay” (Suecia) ............................................ 4995.4.5. El caso “Viacom vs. You Tube” (Estados Unidos) .................. 4995.4.6. El caso “Infektor” (España) ..................................................... 5005.4.7. El caso “Baidu” (China) ........................................................... 5015.4.8. El caso “Italia Online” (Italia) ................................................. 5015.4.9. Los casos “newzbin” (Gran Bretaña) ...................................... 501

5.4.10. Atipicidad del intercambio de archivos en Italia .................. 5025.4.11. El caso “Vélez” (Colombia) .................................................... 503

5.5. Jurisprudencia nacional .................................................................... 5045.5.1. El caso “Taringa” ...................................................................... 5045.5.2. El caso Cuevana ....................................................................... 506

5.6. A manera de conclusión .................................................................... 507Bibliografía ....................................................................................................... 509

Capítulo III

Documento electrónico y firma digital

1. Concepto y objeto...................................................................................... 5191.1. El impacto tecnológico ...................................................................... 5191.2. Antecedentes. Estado actual de la cuestión ..................................... 521

2. La forma y la prueba de los actos jurídicos ............................................. 5222.1. Forma .................................................................................................. 5232.2. Prueba ................................................................................................. 525

3. Documento ................................................................................................ 5263.1. Soporte documental .......................................................................... 5263.2. Modos de registración documental .................................................. 5273.3. Requisitos de un documento ............................................................ 528

3.3.1. Inalterabilidad .......................................................................... 5283.3.2. Autenticidad ............................................................................. 5283.3.3. Durabilidad .............................................................................. 528

3.4. Acepción jurídica del documento .................................................... 529

Tratado de Derecho Informático XV

Pág.

3.5. La regulación del Código Civil respecto de los instrumentos pú-blicos y privados ................................................................................ 530

3.6. Firma ................................................................................................... 531

3.6.1. La firma ológrafa ...................................................................... 531

3.7. Modernas técnicas de seguridad ..................................................... 532

3.7.1. Sistemas de criptografía .......................................................... 533

3.7.1.1. Sistemas de criptografía simétrica ........................... 537

3.7.1.2. Sistemas de criptografía asimétrica ......................... 537

3.7.2. Biometría .................................................................................. 538

3.7.2.1. La autenticación biométrica ..................................... 539

3.7.2.2. Tipos de Biometría .................................................... 539

3.7.2.2.1. Biometría Estática ................................................... 540

3.7.2. 2. Biometría Dinámica ................................................. 540

3.7.2.3. Criterios para utilizar la biometría como método de autenticación .......................................................... 540

3.7.2.4. Propiedades de los datos biométricos ..................... 540

3.7.2.5. Elementos de un sistema biométrico ....................... 541

3.7.2.6. Fases del procedimiento biométrico ........................ 541

3.7.2.7. Las huellas digitales ................................................... 542

3.7.2.8. Geografía de la mano ................................................ 542

3.7.2.9. Retina del ojo ............................................................. 543

3.7.2.10. El iris del ojo .............................................................. 543

3.7.2.11. La cara ........................................................................ 543

3.7.2.12. La voz ......................................................................... 544

3.7.2.13. Balance ...................................................................... 544

4. El documento electrónico (o digital) ....................................................... 545

4.1. Introducción ....................................................................................... 545

4.2. Documento digital en sentido estricto y en sentido amplio ........ 546

4.3. Algunas precisiones técnicas ............................................................ 547

4.3.1. Electrónico y digital ................................................................. 548

4.3.2. Digitalización ........................................................................... 548

4.4. El documento electrónico como instrumento privado .................. 550

4.5. Valor probatorio del documento electrónico como instrumento privado ................................................................................................ 551

4.6. El documento electrónico como instrumento público................... 553

4.7. Autenticidad, inalterabilidad y seguridad del documento electró-nico ..................................................................................................... 554

5. Criterios de apreciación de la prueba ...................................................... 556

5.1. Convenciones sobre la carga de la prueba ...................................... 557

5.2. Informática y medios de prueba ....................................................... 559

6. Firma digital o electrónica avanzada ...................................................... 564

6.1. Distintas acepciones ......................................................................... 564

XVI Daniel Ricardo Altmark - Eduardo Molina Quiroga

Pág.

6.2. Infraestructura de Clave Pública (PKI) ............................................ 5657. Antecedentes nacionales .......................................................................... 566

7.1. Anteproyecto de 1987 ........................................................................ 5667.2. Artículo 30 de la ley 24.624 y Disposición Administrativa 43/96 ... 5677.3. Decisión Administrativa JGM 43/96 ................................................. 572

7.3.1. Ámbito de Aplicación .............................................................. 5727.3.2. Requisitos en general ............................................................... 5757.3.3. Requisitos en cuanto a los documentos ................................. 5757.3.4. Requisitos en cuanto al soporte .............................................. 5767.3.5. Procedimiento respaldatorio .................................................. 5777.3.6. Procedimiento de verificación ................................................ 5797.3.7. Registro ..................................................................................... 5807.3.8. De la anulación ........................................................................ 5807.3.9. Documentos de terceros ......................................................... 5817.3.10. Destrucción ............................................................................ 5827.3.11. Conservación y seguridad ..................................................... 5827.3.12. Copias de la documentación digitalizada ............................ 583

8. Ley sobre Documento Electrónico y Firma Digital 25.506 ..................... 5838.1. Firma electrónica ............................................................................... 5868.2. Documento digital ............................................................................. 5888.3. Firma digital ....................................................................................... 589

8.3.1. Requisitos de validez ............................................................... 5918.3.2. Remitente ................................................................................. 592

8.4. Extensión del concepto de firma ...................................................... 5938.5. Certificados digitales ......................................................................... 5948.6. Presunción de autoría ....................................................................... 5988.7. Presunción de integridad .................................................................. 5998.8. Eficacia probatoria. Garantía de no repudio ................................... 6008.9. Originales ........................................................................................... 600

8.10. Conservación de documentos ......................................................... 6018.11. Exclusiones ........................................................................................ 601

8.11.1. Acto jurídico familiar ............................................................. 6028.11.2. Algunas consideraciones sobre la exclusión de los actos

jurídicos familiares ................................................................. 6028.12. Conservación de documentos ........................................................ 6068.13. Original ............................................................................................. 6078.14. Certificador licenciado .................................................................... 6088.15. Titulares de certificados digitales ................................................... 6158.16. Infraestructura de firma digital ....................................................... 6168.17. Autoridad de Aplicación ................................................................. 6188.18. Sistema de Auditoría ....................................................................... 6208.19. Comisión Asesora ............................................................................ 621

Tratado de Derecho Informático XVII

Pág.

8.20. Responsabilidad .............................................................................. 6228.21. Sanciones ......................................................................................... 6258.22. Utilización por el Estado Nacional. ............................................... 6268.23. Código Penal .................................................................................... 6288.24. Glosario ............................................................................................ 628

9. Decreto 2628/2002 .................................................................................... 6299.1. Diversos sistemas de firmas electrónica y digitales ........................ 6319.2. Certificados emitidos por certificadores no licenciados ........... 6329.3. Generación, comunicación y archivo de documentos digitales .... 6339.4. Establecimiento de estándares tecnológicos................................... 6339.5. Comisión Asesora para la Infraestructura de Firma Digital .......... 635

9.5.1. Consulta pública ...................................................................... 6359.6. Ente Administrador de Firma Digital .............................................. 6369.7. Oficina Nacional de Tecnologías de la Información (ONTI) .......... 637

9.7.1. Responsabilidad primaria ....................................................... 6379.7.2. Acciones .................................................................................... 6389.7.3. Auditorías ................................................................................. 6429.7.4. Revocación de certificados ...................................................... 6439.7.5. Obtención de la licencia .......................................................... 6449.7.6. Plan de Cese de actividades y el Plan de Contingencia. ....... 6489.7.7. Autoridades de registro ........................................................... 650

9.8. Administración Pública Nacional ..................................................... 6519.9. Glosario .............................................................................................. 65310.1. Descripción general de la norma ................................................... 65510.2. Infraestructura de Firma Digital de la República Argentina

(IFDRA – hoy IFDN) .......................................................................... 65910.3. Estándares tecnológicos .................................................................. 66210.4. Certificadores licenciados ............................................................... 66210.5. Registro de certificadores licenciados ............................................ 66410.6. Certificados de personas jurídicas ................................................. 66510.7. Auditorías ......................................................................................... 66510.8. Aranceles y garantías ....................................................................... 66610.9. Seguros ............................................................................................. 666

10.10. Normas de procedimiento ............................................................. 66710.11. Renovación ...................................................................................... 66810.12. Cese de actividades ......................................................................... 66810.13. Defensa del usuario ........................................................................ 66910.14. Sanciones ......................................................................................... 67010.15. Licenciamiento de certificadores .................................................. 671

10.15.1. Deber de información ......................................................... 67310.15.2. Contratos con los usuarios .................................................. 67410.15.3. Política de privacidad .......................................................... 674

XVIII Daniel Ricardo Altmark - Eduardo Molina Quiroga

Pág.

10.15.4. Políticas de certificación y Manual de Procedimiento ...... 67410.15.5. Plan de seguridad................................................................. 67510.15.6. Comunicación con las autoridades de registro ................. 67510.15.7. Registro de eventos .............................................................. 67510.15.8. Plan de cese de actividades ................................................. 67610.15.9. Plan de contingencias .......................................................... 676

10.15.10. Plataforma tecnológica y estándares determinados para los dispositivos ........................................................................ 677

10.15.11. Políticas de certificación ..................................................... 67710.15.12. Identificación y autenticación ............................................ 68410.15.13. Ciclo de vida del certificado ............................................... 68610.15.14. Controles de seguridad ....................................................... 68810.15.15. Perfiles de certificados ........................................................ 68910.15.16. Perfil mínimo de certificados y listas de certificados re-

vocados .................................................................................... 68910.15.17. Resumen política de certificación y manual de proce-

dimiento .................................................................................. 69110.15.18. Contenidos mínimos de acuerdos con suscriptores ........ 69310.15.19. Términos y condiciones con terceros usuarios................. 69310.15.20. Contenidos mínimos de la política de privacidad ............ 694

11. La situación en el Derecho comparado .................................................. 69511.1. Comisión de Naciones Unidas para el Derecho Mercantil Inter-

nacional (UNCITRAL) ....................................................................... 69511.2. Ley modelo de la CNUDMI sobre firmas electrónicas ................. 69611.3. Directiva 1999/93/CE de la Unión Europea ................................... 705

11.3.1. Requisitos de los certificados reconocidos .......................... 72111.3.2. Requisitos de los proveedores de servicios de certificación

que expiden certificados reconocidos .................................. 72111.3.3. Requisitos de los dispositivos seguros de creación de firma

electrónica ............................................................................... 72311.3.4. Recomendaciones para la verificación segura de firma ..... 724

11.4. Normativa Comunitaria en el MERCOSUR ................................... 72411.4.1. Resolución 34/06 GMC MERCOSUR .................................... 72411.4.2. Estándares generales de interoperabilidad ......................... 72611.4.3. Criterios de seguridad física y lógica de los prestadores de

servicios de certificación ....................................................... 72711.4.4. Criterios de auditoría y control de los prestadores de servi-

cios de certificación ............................................................... 72711.4.5. Criterios para la emisión de certificados reconocidos ....... 72811.4.6. Recomendación para la verificación segura de firma elec-

trónica avanzada .................................................................... 72811.5. Resolución 37/06 FMC Mercosur ................................................... 72911.6. Normas nacionales .......................................................................... 736

Tratado de Derecho Informático XIX

Pág.

11.6.1. Europa ..................................................................................... 736

11.6.2. Estados Unidos ....................................................................... 738

11.6.3. América Latina ....................................................................... 739

11.6.4. Oceanía ................................................................................... 746

12. Reseña jurisprudencial ............................................................................. 746

12.1. Ejecución hipotecaria y excepción de pago con comprobante de un cajero automático ........................................................................ 746

12.2. Un “movimiento” en una base de datos de gestión judicial y la caducidad de instancia .................................................................... 748

12.3. Posibilidad de presentar escrito mediante comunicación elec-trónica ................................................................................................ 751

12.4. Una impresión no es un documento electrónico ........................... 751

12.5. No es válido un correo electrónico sin “firma digital” ................... 752

12.6. Validez extracto cuenta bancaria en sede laboral .......................... 753

12.7. Recaudos en una pericia informática ............................................. 753

12.8. Obtención de evidencia digital como diligencia preliminar ......... 754

12.9. Admisibilidad del ofrecimiento de documentos electrónicos como prueba ..................................................................................... 754

12.10. Posibilidad de reconocimiento jurídico de las registraciones con-tables electrónicas ............................................................................ 755

12.11. Valoración de los medios digitales de almacenamiento de datos y diligencias necesarias para acceder a ellos .................................. 756

12.12. Requisitos que debe reunir el correo electrónico para ser admiti-do como prueba ................................................................................ 756

13. Conclusiones ............................................................................................. 757

Bibliografía ....................................................................................................... 758

Capítulo IV

Comunicaciones electrónicas

1. Introducción .............................................................................................. 768

2. Comunicaciones electrónicas .................................................................. 772

2.1. Comunicaciones por computadoras ................................................ 772

2.2. Correo electrónico (e-mail) ............................................................... 775

2.2.1. Historia del correo electrónico ............................................... 776

2.2.2. Cómo funciona el correo electrónico ..................................... 778

2.2.3. Estructura de los mensajes de correo electrónico ................. 785

3. Eficacia probatoria de los correos y comunicaciones electrónicas ....... 788

3.1. Jurisprudencia argentina .................................................................. 792

3.2. Ley Modelo CNUDMI ........................................................................ 803

3.3. Valor probatorio de las comunicaciones electrónicas según el de-recho argentino .................................................................................. 811

3.3.1. Telegramas ................................................................................ 812

XX Daniel Ricardo Altmark - Eduardo Molina Quiroga

Pág.

3.3.2. Cartas documento .................................................................... 8133.3.3. Aplicación de estos criterios al correo electrónico ................ 8133.3.4. Los mensajes de correo electrónicos no firmados en las re-

laciones interempresarias ...................................................... 8153.3.5. Aspectos técnicos a tener en cuenta ....................................... 8293.3.6. Aspectos importantes para una prueba pericial ................... 8343.3.7. Legislación española ............................................................... 847

3.4. Notificaciones electrónicas en Argentina ........................................ 8493.4.1. Documentos electrónicos ....................................................... 8503.4.2. Firmas electrónicas y firmas digitales .................................... 8533.4.3. Distintas acepciones de firma electrónica ............................. 856 3.4.4. Repercusión en el ámbito provincial ..................................... 8583.4.5. Consulta por Internet de expedientes judiciales ................... 8613.4.6. Antecedentes normativos ....................................................... 8653.4.7. Reglamentación de la ley 26.685 ............................................. 8703.4.8. Domicilios electrónicos constituidos ..................................... 8723.4.9. Experiencias latinoamericanas ............................................... 876

3.4.10. Reglamentación del domicilio electrónico por la Corte Su-prema....................................................................................... 879

4. Confidencialidad de las comunicaciones electrónicas .......................... 8904.1. La Directiva europea sobre protección de la intimidad en las co-

municaciones electrónicas ............................................................... 8934.2. Protección constitucional de la correspondencia en América La-

tina ...................................................................................................... 9104.3. La intercepción de las comunicaciones en la legislación argentina. .. 9154.4. Intervención en las comunicaciones por orden judicial ................ 9184.5. El caso “Halabi”.................................................................................. 9224.6. Intercepción de comunicaciones electrónicas de personas meno-

res por parte de sus padres ................................................................ 9245. Uso del correo electrónico y de las comunicaciones electrónicas en

general, cuando han sido provistas por el empleador, en el ámbito la-boral ........................................................................................................... 9285.1. Derecho comparado .......................................................................... 929

5.1.1. Comunidad Europea ............................................................... 9305.1.2. España ....................................................................................... 9305.1.3. Portugal ..................................................................................... 9375.1.4. Francia ...................................................................................... 9385.1.5. Gran Bretaña ............................................................................ 9405.1.6. Alemania ................................................................................... 9405.1.7. Italia .......................................................................................... 9415.1.8. Bélgica ....................................................................................... 9415.1.9. Holanda .................................................................................... 941

5.1.10. Estados Unidos de Norte América ......................................... 941

Tratado de Derecho Informático XXI

Pág.

5.2. América Latina ................................................................................... 9435.2.1. Brasil ......................................................................................... 9435.2.3. Chile .......................................................................................... 944

5.3. Situación en la Argentina .................................................................. 9455.4. Respuestas de la justicia laboral ....................................................... 947

5.4.1. Rechazo del despido ................................................................ 9495.4.2. Justificación del despido ......................................................... 9605.4.3. Nuestra posición ...................................................................... 9645.4.4. Situación en la Administración Pública Nacional ................. 966

6. Aspectos jurídicos de comunicaciones electrónicas no deseadas .......... 9706.1. Qué es una comunicación electrónica no solicitada ..................... 9706.2. Problemas que genera ....................................................................... 9726.3. Ilegalidad de los correos no deseados ............................................. 9746.4. El problema de la jurisdicción .......................................................... 9776.5. La situación de las cookies ................................................................. 9806.6. Marketing directo, intimidad y protección de datos personales .... 9816.7. Situación de los proveedores de servicios de Internet .................... 9866.8. Comunicaciones sindicales .............................................................. 9956.9. Ley de Perú ......................................................................................... 998

Bibliografía ....................................................................................................... 1002


u

Tomo II

Contratos informáticos. La etapa precontractual

Comercio electrónico y contratos telemáticos

Protección de datos personales

u





LA LEY


Tratado de derecho informático / Daniel Ricardo Altmark y Eduardo Molina Quiroga. - 1a ed. - Buenos Aires : La Ley, 2012.v. 2, 960 p.; 24x17 cm.

ISBN 978-987-03-2323-5 (Tomo II)

1. Derecho Informático. I. Molina Quiroga, Eduardo. II. Título.

CDD 343.099 9







I.S.B.N. 978-987-03-2323-5 (Tomo II)I.S.B.N. 978-987-03-2321-1 (Obra completa)

S.A.P. 41346046

S.E.T. 41346049

Argentina

Índice general

Pág.

Capítulo V

Contratos informáticos. La etapa precontractual

1. Introducción .............................................................................................. 21.1. Análisis del contenido de la Teoría General del contrato informá-

tico ....................................................................................................... 51.1.1. El Concepto de Sistema. Piedra angular de la Teoría Gene-

ral del Contrato Informático .................................................. 51.1.2. Soporte físico .......................................................................... 61.1.3. Soporte lógico (software) ....................................................... 7

1.2. Moderno concepto de entrega en contratación informática ......... 101.3. Test de aceptación ............................................................................. 111.4. Modularidad ...................................................................................... 13

1.4.1. Datos e Información ............................................................... 141.4.2. Usuarios .................................................................................. 141.4.3. El iter del consentimiento en los contratos informáticos .... 15

1.5. La buena fe en la etapa precontractual ............................................ 161.6. El deber de información .................................................................... 171.7. El deber de asesoramiento y consejo ............................................... 191.8. Deber del usuario de informar sus necesidades ............................. 24

1.8.1. Vicios del consentimiento ..................................................... 251.8.2. El error ..................................................................................... 251.8.3. Dolo ......................................................................................... 271.8.4. El juego equilibrado de las obligaciones de las partes ........ 291.8.5. Interpretación de cláusulas contractuales ........................... 331.8.6. La no conclusión del contrato ............................................... 351.8.7. Ruptura de las negociaciones ................................................ 351.8.8. Retiro de la oferta ................................................................... 371.8.9. Violación de acuerdos preliminares ..................................... 381.8.10. Las sanciones por incumplimiento de las obligaciones

asumidas en el período precontractual ................................ 391.8.11. Documentación en la etapa precontractual ......................... 40

1.8.11.1. Cartas de intención.................................................. 41


Pág.

1.8.11.2. Actas de discusión ................................................... 421.8.11.3. Acuerdos marco ....................................................... 421.8.11.4. Acuerdos intermedios ............................................. 421.8.11.5. Oferta y aceptación .................................................. 43

1.8.12. Documentos específicos ........................................................ 431.8.13. Cláusulas de exclusión o no incorporación de la documen-

tación precontractual ............................................................. 442. Contratos informáticos. Clasificación ..................................................... 45

2.1. Contratos cuyo objeto es el hardware .............................................. 462.2. Contrato de locación de hardware .................................................. 522.3. Leasing en la contratación informática ............................................ 522.4. Contratos cuyo objeto lo constituye el software .............................. 56

2.4.1. Contrato de licencia de uso de software en paquetes .......... 572.4.2. Contrato de Licencia de uso de software estandarizado con

adaptaciones ........................................................................... 592.4.3. Contrato de Licencia de uso de software .............................. 612.4.4. Contrato de desarrollo de software a medida ........................ 62

3. Contrato de mantenimiento ..................................................................... 653.1. Introducción ....................................................................................... 653.2. Definición y caracteres ...................................................................... 663.3. Clasificaciones ................................................................................... 683.4. Obligaciones a cargo de las partes.................................................... 70

3.4.1. Rescisión y resolución ............................................................ 733.4.2. Responsabilidad ..................................................................... 74

3.5. Relaciones contractuales emergentes de la operatoria de los ban-cos de datos ........................................................................................ 75

3.6. Banco de Datos .................................................................................. 763.6.1. Concepto ................................................................................. 763.6.2. La noción del productor ........................................................ 773.6.3. Otras funciones en la operatoria de los bancos de datos. ... 78

3.7. Relaciones contractuales del productor-distribuidor con los usua-rios....................................................................................................... 813.7.1. Principales estipulaciones contractuales ............................. 813.7.2. Obligaciones relativas a la confidencialidad ........................ 833.7.3. Cláusulas relativas a la responsabilidad ............................... 83

3.8. Relación contractual entre el productor-distribuidor y el service de computación ................................................................................. 833.8.1. El acceso al banco de datos ................................................... 843.8.2. El proceso de captura de datos .............................................. 85

3.9. Relaciones contractuales entre el productor y el service distribui-dor ....................................................................................................... 863.9.1. Modalidades y cláusulas específicas concernientes a la co-

mercialización. La distribución ............................................. 86


Pág.

3.9.2. Los otros aspectos de la comercialización ........................... 86

3.10. Relaciones contractuales entre el productor que no asume la fun-ción de service y el distribuidor ........................................................ 87

3.11. Consideraciones finales..................................................................... 88

4. Contrato de Outsourcing de Sistemas de Información ........................... 88

4.1. Introducción ....................................................................................... 88

4.2. Caracteres ........................................................................................... 94

4.3. Ventajas e inconvenientes ................................................................. 94

4.4. Detección de la problemática jurídica ............................................. 97

4.5. Outsourcing y etapa precontractual ................................................ 99

4.6. Localización y medios materiales .................................................... 103

4.6.1. Medios materiales .................................................................. 106

4.7. Banco de Datos .................................................................................. 113

4.8. Recursos Humanos – Confidencialidad y seguridad ...................... 121

4.8.1. Recursos Humanos ................................................................ 121

4.8.2. Confidencialidad y seguridad ............................................... 124

4.9. Determinación y evaluación de niveles de servicio. Comité de conducción y control ......................................................................... 133

4.9.1. Determinación y evaluación de niveles de servicio ............ 133

4.9.2. Objetivos y beneficios ............................................................ 135

4.9.3. Criterios de evaluación y unidades de medida .................... 138

4.10. Conclusión de la relación contractual ............................................ 142

5. Contrato de Hosting ................................................................................... 151

6. Contrato de diseño de sitio web ............................................................... 155

7. Contrato de Escrow o depósito del código fuente ................................... 160


Bibliografía ....................................................................................................... 180

Capítulo VI

Comercio electrónico y contratos telemáticos

1. Introducción .............................................................................................. 187

2. Concepto y objeto de la defensa de los derechos del consumidor en el entorno electrónico .................................................................................. 189

3. La relación de consumo en el comercio electrónico .............................. 190

4. Ámbito de aplicación de las normas protectorias .................................. 191

5. La publicidad engañosa ............................................................................ 191

6. El clik-wraping ........................................................................................... 191

7. Sistemas comerciales expertos ................................................................. 193

8. Cláusulas abusivas .................................................................................... 195

9. Algunos conceptos técnicos ..................................................................... 198


Pág.

9.1. Red de Computadoras ....................................................................... 198

9.1.1. La Red. Concepto y caracteres ............................................... 199

9.1.2. Conmutación de circuitos y paquetes .................................. 199

9.1.3. Topología ................................................................................. 200

9.1.4. Clasificación de las Redes ...................................................... 201

9.1.4.1. Local Area Network .................................................... 201

9.1.4.2. Wide Area Network .................................................... 204

9.1.4.3. Ruteador y puente ..................................................... 205

9.2. EDI: Intercambio Electrónico de Datos ........................................... 206

9.2.1. Mecanismo de una transacción EDI ..................................... 208

10. Estado del arte y soluciones jurídicas adecuadas ................................... 210

10.1. Clasificación ..................................................................................... 214

11. Contratación sin registro y entre máquinas ............................................ 215

12. Principios rectores ..................................................................................... 216

13. Regulaciones normativas. La Ley Modelo de la CNUDMI/UNCITRAL 221

13.1. Ley Modelo de UNCITRAL .............................................................. 221

13.1.1. Acuse de recibo ...................................................................... 229

13.1.2. Determinación del momento de remisión y recepción ...... 231

13.1.3. Comercio electrónico en materias específicas .................... 232

13.1.3.1. Transporte de mercancías ...................................... 232

13.2. Guía para la incorporación al Derecho Interno ............................ 235

13.3. Regulación del Comercio Electrónico en la Unión Europea ....... 238

13.3.1. Recomendación ..................................................................... 240

13.3.2. Validez y formación del contrato .......................................... 242

13.3.3. Admisibilidad como prueba ................................................. 242

13.3.4. Procesamiento y acuse de recibo .......................................... 243

13.3.5. Seguridad de los mensajes EDI ............................................. 244

13.3.6. Confidencialidad y protección de datos personales ........... 244

13.3.7. Registro y almacenamiento ................................................... 245

13.3.8. Requisitos ............................................................................... 245

13.3.9. Responsabilidad ..................................................................... 246

13.3.10. Resolución de litigios ............................................................ 246

13.4. Directiva 2000/31/CE ..................................................................... 247

13.4.1. Objetivo y ámbito de aplicación ........................................... 249

13.4.2. Definiciones ........................................................................... 251

13.4.3. Mercado interior .................................................................... 253

13.4.4. Principios ................................................................................ 254

13.4.5. Comunicaciones comerciales ............................................... 255

13.4.6. Contratos por vía electrónica ................................................ 256

13.4.7. Información exigida ............................................................... 257

13.4.8. Realización de un pedido ...................................................... 258


Pág.

13.4.9. Responsabilidad de los prestadores de servicios interme-diarios ...................................................................................... 258

13.4.10. Memoria Tampon ................................................................. 25913.4.11. Alojamiento de datos ............................................................ 26013.4.12. Aplicación .............................................................................. 26013.4.13. Solución de controversias, recursos judiciales, coopera-

ción ...................................................................................... 26113.4.13.1. Recursos judiciales ................................................ 261

13.5. Regulación comunitaria en el Mercosur ........................................ 26213.5.1. Subgrupo de Trabajo Nro. 13 sobre Comercio Electrónico .. 26313.5.2. Normativa sancionada .......................................................... 26413.5.3. Resolución 21/04.................................................................... 26413.5.4. Resolución Mercosur 37/08 .................................................. 268

13.5.4.1. Ámbito de aplicación .............................................. 26913.5.4.2. Principios ................................................................. 27013.5.4.3. Definiciones ............................................................. 27113.5.4.4. Efectos legales de los documentos electrónicos y

de las firmas electrónicas ........................................ 27213.5.4.5. Firma electrónica avanzada. Reconocimiento

mutuo ....................................................................... 27313.5.4.6. Certificados digitales reconocidos ......................... 27413.5.4.7. Prestación de servicios de certificación ................. 27513.5.4.8. Responsabilidades ................................................... 27513.5.4.9. Protección de datos personales .............................. 277

13.5.5. Resolución Mercosur 34/06 .................................................. 27713.5.5.1. Definiciones ............................................................. 27813.5.5.2. Organismo de control .............................................. 27813.5.5.3. Estándares generales de interoperabilidad ........... 27913.5.5.4. Seguridad ................................................................. 27913.5.5.5. Auditoría y control de Prestadores de Servicios de

Certificación ............................................................. 28013.5.5.6. Criterios para la emisión de certificados reconoci-

dos ............................................................................. 28013.5.5.7. Verificación segura .................................................. 281

14. Regulación en los países del Mercosur .................................................... 28214.1. Brasil ................................................................................................. 282

14.1.1. Ley de Comercio Electrónico ................................................ 28214.1.2. Anteproyecto de Ley de Comercio Electrónico ................... 28214.1.3. Comité Ejecutivo de Comercio Electrónico ......................... 28314.1.4. Validez legal de la contratación a través de Internet ........... 28314.1.5. Defensa del Consumidor (ley 8078) ..................................... 28414.1.6. Documento electrónico y firma digital ................................ 28514.1.7. Nombres de dominio ............................................................. 285


Pág.

14.1.8. Impuestos, inversión extranjera y aduanas ......................... 28614.2. Paraguay ........................................................................................... 286

14.2.1. Comercio Electrónico ........................................................... 28614.2.2. Validez legal de la contratación a través de Internet ........... 28714.2.3. Código Aeronáutico ............................................................... 28714.2.4. Convención de las Naciones Unidas sobre la Utilización de

las Comunicaciones Electrónicas en los Contratos Interna-cionales ................................................................................... 287

14.2.5. Defensa del Consumidor y Usuario (ley 1334/98) .............. 28814.2.6. Firma electrónica y digital y documento digital .................. 28814.2.7. Contrataciones públicas ........................................................ 28914.2.8. Código Aduanero ................................................................... 28914.2.9. Nombres de dominio ............................................................. 289

14.2.10. Código Penal.......................................................................... 28914.3. Uruguay ............................................................................................ 290

14.3.1. Comercio electrónico ............................................................ 29014.3.2. Validez legal de la contratación a través de Internet ........... 29014.3.3. Ley de Defensa del Consumidor y Usuario (ley 17.250) ..... 29014.3.4. Documento y firma electrónica ............................................ 29114.3.5. Código Penal .......................................................................... 29214.3.6. Tributario y Aduanero ........................................................... 292

14.4. El comercio electrónico en el Derecho argentino ......................... 29314.4.1. Anteproyecto de Ley de Comercio Electrónico ................... 293

14.4.1.1. Ámbito de aplicación .............................................. 29614.4.1.2. Marco interpretativo ................................................ 29614.4.1.3. Validez jurídica y probatoria ................................... 29714.4.1.4. Comunicaciones digitales ....................................... 29714.4.1.5. Contratos digitales ................................................... 29814.4.1.6. Responsabilidad ...................................................... 29914.4.1.7. Protección al consumidor ....................................... 30014.4.1.8. Régimen de certificaciones ..................................... 30114.4.1.9. Resolución de conflictos ......................................... 302

14.4.2. Comercio electrónico en el Anteproyecto de Código Civil ..... 30414.4.2.1. Celebración del contrato ......................................... 30514.4.2.2. Forma y prueba ........................................................ 306

14.4.3. Ley de Firma Digital 25.506 ................................................... 30914.4.4. Protección de Datos Personales – Ley 25.326 ...................... 31614.4.5. Derecho a la intimidad o vida privada ................................. 31614.4.6. Jurisprudencia de la Corte Suprema .................................... 318

15. Datos personales ....................................................................................... 31915.1. Impacto de las nuevas tecnologías ................................................. 32015.2. Autodeterminación informativa ..................................................... 321


Pág.

15.3. Principios rectores ........................................................................... 32615.4. La normativa argentina ................................................................... 328

15.4.1. Reforma constitucional de 1994 ........................................... 32815.4.2. Ley 25.326 ............................................................................... 329

16. Defensa del Consumidor. Ley 24.240 ....................................................... 33617. Algunas experiencias regulatorias ........................................................... 341

17.1. Costa Rica ......................................................................................... 34217.1.1. Transacciones electrónicas y firmas electrónicas ............... 342

17.1.1.1. Ámbito mercantil y financiero ................................ 34317.1.1.2. Ámbito gubernamental ........................................... 344

17.2. El Salvador ........................................................................................ 34517.2.1. Transacciones electrónicas y firmas electrónicas ............... 345

17.2.1.1. Ámbito mercantil y financiero ................................ 34617.3. Guatemala ........................................................................................ 349

17.3.1. Transacciones electrónicas y firmas electrónicas ............... 34917.3.1.1. Ámbito mercantil y financiero ................................ 34917.3.1.2. Ámbito gubernamental ........................................... 351

17.4. Honduras ......................................................................................... 35217.4.1. Transacciones electrónicas y firmas electrónicas ............... 352


17.5. Nicaragua ......................................................................................... 35617.5.1. Transacciones electrónicas y firmas electrónicas ............... 356


17.6. Panamá ............................................................................................. 35817.6.1. Transacciones electrónicas y firmas electrónicas ............... 359

18. Contratos telemáticos ............................................................................... 36118.1. Diferentes topologías contractuales ............................................... 36918.2. Formas de conclusión del contrato telemático ............................. 37818.3. Formación del contrato telemático ................................................ 385

18.3.1. La cuestión de la capacidad .................................................. 38618.3.2. Objeto...................................................................................... 38818.3.3. Consentimiento y vicios del consentimiento ...................... 38918.3.4. Contrato entre presentes o contrato entre ausentes. .......... 39418.3.5. El momento de perfeccionamiento del contrato ................ 39818.3.6. Lugar de celebración ............................................................. 40118.3.7. Forma y prueba ...................................................................... 40218.3.8. La cuestión de la ley aplicable .............................................. 40618.3.9. Límites al principio de la autonomía de la voluntad .......... 410

18.3.10. Determinación de la ley aplicable ....................................... 41518.3.11. Jurisdicción. Juez competente en los contratos telemáticos 420


Pág.

18.3.12. Disposiciones de derecho positivo argentino .................... 427

18.3.13. Determinación no convencional de la jurisdicción ......... 428

19. Resolución electrónica de disputas ......................................................... 438

20. La problemática de las disputas en el comercio electrónico ................. 442

21. Generación de confianza en el comercio electrónico ............................ 443

22. Plataformas y proveedores de servicios de ODR .................................... 444

23. Autorregulación ......................................................................................... 445

24. Comisión de Naciones Unidas para el Derecho Mercantil Internacio-nal (CNUDMI/UNCITRAL). Grupo de Trabajo sobre ODR .................. 446

24.1. Aspectos relevantes del debate del Primer encuentro de Grupo de Trabajo ........................................................................................... 448

25. Ejemplos de iniciativas en América latina ............................................... 457

25.1. El Instituto Latinoamericano de Comercio (ILCE) ...................... 457

25.2. El caso “Profeco/Concilianet” ........................................................ 457


Bibliografía ....................................................................................................... 470

Capítulo VII

Protección de datos personales

1. Protección de los datos personales: del derecho a la intimidad a la au-todeterminación informativa .................................................................. 483

1.1. El derecho a la intimidad o vida privada ......................................... 485

1.1.1. Antecedentes .......................................................................... 485

1.1.2. Concepto ................................................................................. 492

1.1.3. Reconocimiento normativo ................................................... 499

1.2. Protección de datos personales ........................................................ 503

1.2.1. Concepto de datos personales .............................................. 503

1.2.2. Impacto de las nuevas tecnologías ....................................... 506

1.2.3. Autodeterminación informativa ........................................... 508

1.2.4. La sentencia alemana del censo ............................................ 510

1.2.5. Derecho de tercera generación ............................................. 515

2. Derecho comparado. Documentos internacionales .............................. 516

2.1. Primeros antecedentes ...................................................................... 516

2.2. Declaraciones ONU y otros Organismos Internacionales ............... 517

2.2.1. Recomendaciones de la Asamblea General de la ONU ...... 517

2.3. Directrices y Directivas Europeas ..................................................... 521

2.3.1. Directrices del Comité de Ministros ..................................... 521

2.3.2. Otras iniciativas relacionadas ................................................ 524

2.3.3. Directrices para la Protección de la Privacidad y el Flujo Internacional de Datos Personales de la OCDE ................... 525

2.3.4. El Convenio 108 de Estrasburgo ............................................ 527


Pág.

2.3.5. Acuerdo de Schengen ............................................................ 5292.3.6. La Directiva 95/46/CE ........................................................... 530

2.3.6.1 Principios consagrados por la Directiva 95/46/CE .. 5342.3.6.2. Derechos .................................................................... 5382.3.6.3. Limitaciones impuestas por los Estados .................. 540

2.3.7. Reglamento CE Nº 45/2001 ................................................... 5442.3.8. Otros actos normativos europeos ......................................... 5462.3.9. Directivas sectoriales ............................................................. 549

2.4. Síntesis ................................................................................................ 5522.5. Nuevas propuestas de modificación de la Directiva Europea ........ 552

3. Derecho comparado. Constituciones y leyes europeas ......................... 5633.1. Constituciones europeas ................................................................... 564

3.1.1. Portugal ................................................................................... 5643.1.2. España ..................................................................................... 5653.1.3. Países Bajos ............................................................................. 5663.1.4. Croacia .................................................................................... 5673.1.5. Albania .................................................................................... 5673.1.6. Bulgaria ................................................................................... 5683.1.7. Eslovenia ................................................................................ 5683.1.8. Eslovaquia ............................................................................... 5693.1.9. Rusia ........................................................................................ 571

3.1.10. Bielorrusia (Belarús) ............................................................... 5713.1.11. Bosnia-Herzegovina ............................................................... 5713.1.12. Hungría .................................................................................... 5723.1.13. Polonia ..................................................................................... 5723.1.14. Finlandia .................................................................................. 5733.1.15. Estonia ..................................................................................... 574

3.2. Leyes nacionales ................................................................................ 5743.2.1. Suecia ...................................................................................... 5743.2.2. Alemania ................................................................................. 5763.2.3. Francia ..................................................................................... 5763.2.4. Austria ..................................................................................... 5783.2.5. Dinamarca ............................................................................... 5793.2.6. Noruega ................................................................................... 5793.2.7. Luxemburgo ............................................................................ 5793.2.8. Finlandia ................................................................................. 5803.2.9. Islandia ................................................................................... 580

3.2.10. Gran Bretaña ........................................................................... 5803.2.11. Portugal .................................................................................... 5813.2.12. Hungría .................................................................................... 5823.2.13. Bélgica ...................................................................................... 5833.2.14. España ...................................................................................... 583


Pág.

3.2.15. Italia .......................................................................................... 585

3.2.16. Otras legislaciones .................................................................. 586

3.3. Síntesis ............................................................................................... 587

4. Derecho comparado. Legislación de Estados Unidos ............................ 588

4.1. Leyes federales .................................................................................. 588

4.1.1. La ley sobre Informes de crédito ........................................... 589

4.1.2. Ley de protección de la vida privada .................................... 591

4.1.3. Freedom of Information Act ................................................... 593

4.1.4. Consumer Credit Reporting Reform Act ................................ 594

4.1.5. La Fair Credit Billing Act (FCBA) ........................................... 595

4.1.6. Equal Credit Opportunity Act (ECOA) ................................. 595

4.1.7. Family Education Rights Act (FERPA) ................................... 596

4.1.8. Electronic Fund Transfer Act (EFTA) ..................................... 597

4.1.9. Privacy Protection Act 1980 .................................................... 597

4.1.10. Counterfeit Access Device and Computer Fraud and Abuse Act (CFAA) ............................................................................... 598

4.1.11. Cable Communications Policy Act (CCPA) ........................... 598

4.1.12. Electronic Communication Privacy Act (ECPA) ................... 599

4.1.13. Computer Security Act (CSA) ................................................. 599

4.1.14. Telephone Consumer Protection Act (TCPA) ......................... 600

4.1.15. Cable Television Consumer Protection and Competition Act (CTCPCA)................................................................................ 600

4.1.16. Driver’s Privacy Protection Act (DPPA) ................................. 600

4.2. Legislación estatal .............................................................................. 601

4.3. Acuerdo de “Puerto Seguro” ............................................................. 602

4.4. Situación actual .................................................................................. 605

5. Derecho comparado. Constituciones y Leyes de América Latina y otros países ................................................................................................ 6075.1. Constituciones ................................................................................... 607

5.1.1. Brasil ........................................................................................ 607

5.1.2. Colombia ................................................................................. 608

5.1.3. Perú .......................................................................................... 6085.1.4. Paraguay .................................................................................. 609

5.1.5. Ecuador ................................................................................... 609

5.1.6. Venezuela ................................................................................ 610

5.1.7. Guatemala ............................................................................... 610

5.1.8. Nicaragua ............................................................................... 6115.1.9. Bolivia ...................................................................................... 612

5.1.10. Honduras ................................................................................. 612

5.1.11. México ...................................................................................... 613

5.1.12. Panamá .................................................................................... 6145.1.13. República Dominicana ........................................................... 615


Pág.

5.2. Leyes nacionales ................................................................................ 616

5.2.1. Brasil ........................................................................................ 616

5.2.2. Chile......................................................................................... 622

5.2.3. Ecuador ................................................................................... 624

5.2.4. Paraguay .................................................................................. 626

5.2.5. Perú .......................................................................................... 626

5.2.6. Venezuela ................................................................................ 629

5.2.7. México ..................................................................................... 631

5.2.8. Uruguay ................................................................................... 637

5.2.9. Colombia ................................................................................. 643

5.2.10. El Salvador .............................................................................. 646

5.2.11. Panamá .................................................................................... 648

5.2.12. Costa Rica ................................................................................ 649

5.2.13. Nicaragua ................................................................................ 656

5.3. Otros países ........................................................................................ 656

5.3.1. Canadá ..................................................................................... 656

5.4. Organización de Estados Americanos (OEA) .................................. 657

5.5. Legislación de otros países fuera del continente americano ......... 658

5.5.1. Australia .................................................................................. 658

5.5.2. Cooperación Económica de Asia-Pacífico (APEC) .............. 659

5.6. Síntesis ................................................................................................ 661

6. Principios rectores del tratamiento de los datos personales ................. 664

6.1. Licitud ................................................................................................. 664

6.2. Calidad ................................................................................................ 665

6.3. Consentimiento ................................................................................. 666

6.4. Conocimiento o información ........................................................... 668

6.5. Derecho de acceso ............................................................................. 668

6.6. Derechos de actualización, rectificación y supresión ..................... 669

6.7. Elaboración de perfiles. ..................................................................... 671

7. Legislación argentina ............................................................................... 672

7.1. Reforma constitucional de 1994 ....................................................... 672

7.2. El hábeas data en la Constitución Nacional ................................... 673

7.3. Jurisprudencia anterior a la ley 25.326 (LPDPA) ............................. 678

7.4. Ley Nacional de Protección de Datos Personales .......................... 684

7.4.1. Glosario ................................................................................... 687

7.4.2. Legitimación activa ................................................................ 688

7.4.3. Legitimación pasiva ............................................................... 689

7.4.3.1. Bancos de datos públicos ......................................... 690

7.4.3.2. Bancos de datos privados destinados a proveer in-formes .......................................................................... 693

7.4.3.3. Secreto de las fuentes de información periodística .. 697


Pág.

7.5. Incorporación de los principios internacionales de protección de datos .................................................................................................... 6997.5.1. Principio de licitud................................................................... 6997.5.2. Calidad ...................................................................................... 7007.5.3. Consentimiento ....................................................................... 7027.5.4. Conocimiento o información .................................................. 705

7.6. Datos sensibles ................................................................................... 7067.6.1. Datos de filiación política ........................................................ 7097.6.2. Datos de salud .......................................................................... 714

7.7. Derecho de acceso ............................................................................ 7327.8. Derechos de actualización, rectificación y supresión ..................... 7367.9. Conservación. Derecho al olvido ..................................................... 738

7.10. Elaboración de perfiles ..................................................................... 7387.11. A modo de conclusión ...................................................................... 740

8. Derecho provincial argentino................................................................... 7408.1. Constituciones provinciales .............................................................. 740

8.1.1. San Juan .................................................................................... 7418.1.2. Salta ........................................................................................... 7418.1.3. La Rioja ..................................................................................... 7418.1.4. Jujuy .......................................................................................... 7428.1.5. San Luis ..................................................................................... 7438.1.6. Córdoba .................................................................................... 7438.1.7. Río Negro .................................................................................. 7448.1.8. Tierra del Fuego, Antártida e Islas del Atlántico Sur. ............. 7448.1.9. Provincia de Buenos Aires. ...................................................... 744

8.1.10. Chubut ..................................................................................... 7458.1.11. Chaco ....................................................................................... 7458.1.12. Ciudad Autónoma de Buenos Aires....................................... 7468.1.13. Santiago del Estero .................................................................. 7468.1.14. Formosa ................................................................................... 7468.1.15. Tucumán .................................................................................. 7478.1.16. Neuquén .................................................................................. 7478.1.17. Entre Ríos ................................................................................. 7488.1.18. Reenvíos a la Constitución Nacional ..................................... 7488.1.19. Constituciones que no contemplan ni reenvían .................. 749

8.2. Leyes provinciales .............................................................................. 7508.2.1. Santiago del Estero ................................................................... 7508.2.2. Chaco ....................................................................................... 7518.2.3. Chubut ..................................................................................... 7518.2.4. Río Negro ................................................................................. 7518.2.5. Neuquén .................................................................................. 7518.2.6. Tucumán ................................................................................... 751


Pág.

8.2.7. Misiones .................................................................................... 752

8.2.8. Mendoza ................................................................................... 752

8.2.9. San Juan .................................................................................... 756

8.2.10. Ciudad Autónoma de Buenos Aires....................................... 756

8.2.11. Entre Ríos ................................................................................. 763

8.2.12. Córdoba ................................................................................... 763

8.2.13. Buenos Aires ............................................................................ 765

8.2.14. San Luis .................................................................................... 767

8.2.15. Santa Fe .................................................................................... 769

8.2.16. Corrientes ................................................................................ 775

8.2.17. Jujuy .......................................................................................... 777

8.3. Normas de la Dirección Nacional de Protección de Datos Perso-nales .................................................................................................... 777

8.3.1. Sistema Único de Boleto Electrónico (SUBE) ........................ 779

9. Datos biométricos ..................................................................................... 784

9.1. Huellas dactilares ............................................................................... 784

9.2. Reconocimiento del iris .................................................................... 789

9.3. Reconocimiento facial ....................................................................... 793

9.4. Reconocimiento de voz ..................................................................... 795

9.5. Reconocimiento palmar .................................................................... 798

9.6. Datos biométricos en la Unión Europea .......................................... 803

9.6.1. Documento del Grupo art. 29 Directiva Protección de Datos ........................................................................................... 804

9.6.2. Reglamento sobre normas para las medidas de seguridad y datos biométricos en los pasaportes y documentos de viaje .. 817

9.7. Datos biométricos en Argentina ....................................................... 820

9.7.1. Sistema registral de AFIP ....................................................... 820

9.7.2. Estándares para datos biométricos ....................................... 822

9.7.3. SIBIOS ..................................................................................... 828

9.7.4. Registro Nacional de Información de Personas Desapare-cidas ......................................................................................... 830

9.7.5. Otros casos. ............................................................................. 831

9.8. Sistemas de identificación y documentos de identidad ................. 831

10. Los informes de solvencia patrimonial y de incumplimiento de obli-gaciones ..................................................................................................... 840

10.1. Generalidades .................................................................................. 840

10.2. Regulación de los servicios de información crediticia ................. 841

10.2.1. Clases de informes crediticios .............................................. 842

10.2.2. Informes sobre cumplimiento de obligaciones ................... 842

10.2.3. Informes de solvencia ............................................................ 843

10.2.4. Crítica a la ley argentina ........................................................ 843

10.3. Informes crediticios en el derecho comparado ............................. 846


Pág.

10.4. Requisitos para que se informe sobre un incumplimiento ............. 85310.5. Límite para la conservación de los informes. ................................ 85410.6. Agencias que brindan informes crediticios ................................... 86410.7. Fuentes de los informes crediticios ............................................... 867

10.7.1. Información financiera .......................................................... 86910.7.2. Información sobre juicios ..................................................... 86910.7.3. Información proporcionada por el acreedor ....................... 872

10.8. Consentimiento e información....................................................... 87510.9. Síntesis .............................................................................................. 876

11. Responsabilidad por informes crediticios erróneos ............................... 87711.1. Bien jurídico protegido .................................................................... 87711.2. Conductas antijurídicas .................................................................. 88011.3. Naturaleza de la responsabilidad ................................................... 884

11.3.1. Responsabilidad agravada por profesionalidad .................. 88511.4. Responsabilidad empresas informes crediticios........................... 88711.5. Costas ................................................................................................ 89011.6. Daño resarcible ................................................................................ 891

11.6.1. Daño moral ............................................................................. 89111.6.2. Daño material ......................................................................... 89511.6.3. Daño al crédito e imagen comercial ..................................... 897

11.7. Usuarios y fuente de los datos ........................................................ 90011.8. La nueva Ley de Defensa del Consumidor y los bancos de infor-

mes crediticios ................................................................................... 90211.8.1. Extensión del concepto de relación de consumo ................ 90211.8.2. Nuevo paradigma de respeto a los consumidores .............. 90311.8.3. Legitimados pasivos .............................................................. 90411.8.4. Daño directo ........................................................................... 90411.8.5. Daño punitivo ........................................................................ 90511.8.6. Cadena de responsables ........................................................ 906

11.9. Síntesis .............................................................................................. 906Bibliografía ....................................................................................................... 907

n


u

Tomo III

Internet y responsabilidad de los proveedores de servicios

Delitos Informáticos

Aspectos Jurídicos de la Seguridad Informática

u





LA LEY


Tratado de derecho informático / Daniel Ricardo Altmark y Eduardo Molina Quiroga. - 1a ed. - Buenos Aires: La Ley, 2012.v. 3, 848 p.; 24x17 cm.

ISBN 978-987-03-2324-2

1. Derecho Informático. I. Molina Quiroga, Eduardo. II. Título

CDD 343.099 9







I.S.B.N. 978-987-03-2324-2 (Tomo III)I.S.B.N. 978-987-03-2321-1 (Obra completa)

S.A.P. 41346047

S.E.T. 41346049

Argentina

Índice general

Capítulo VIII

Internet y responsabilidad de los proveedores de servicios

1. Internet, libertad de expresión y viabilidad de su regulación ................ 11.1. Libertad de expresión ........................................................................ 81.2. ¿Es posible establecer regulaciones y controles en Internet? ........ 141.3. Tecnologías de control en Internet ................................................... 16

1.3.1. Técnicas de filtrado ................................................................ 171.3.2. Tecnologías de identificación ................................................ 191.3.3. Tecnologías de investigación ................................................. 201.3.4. Tecnologías de autenticación ................................................ 20

1.4. Legislaciones que permiten restringir la libertad de expresión en Internet ............................................................................................... 21

1.5. Preocupación de los organismos internacionales .......................... 381.6. Fallo del Tribunal de Justicia de la Unión Europea ......................... 421.7. Libertad de expresión e Internet en la jurisprudencia argentina .. 461.8. Ley 26.032 ........................................................................................... 511.9. Asociación de Internet con la libertad de expresión en el Derecho

Comparado ......................................................................................... 562. Actores en Internet .................................................................................... 58

2.1. Proveedores de acceso ...................................................................... 622.2. Proveedores de alojamiento ............................................................. 632.3. Proveedores de contenidos ............................................................... 642.4. Buscadores ......................................................................................... 642.5. Usuarios .............................................................................................. 67

3. Informática y riesgo ................................................................................... 673.1. Qué es la informática ......................................................................... 673.2. La informática como actividad riesgosa .......................................... 70

4. Daños por contenidos publicados en la web .......................................... 764.1. Posición que considera al ISP un intermediario ............................. 774.2. Posición que considera al ISP como un organizador o equivalente

al editor de prensa ............................................................................. 79

Pág.


Pág.

4.3. Derecho comparado .......................................................................... 824.3.1. Proveedores de acceso ........................................................... 824.3.2. Proveedores de alojamiento .................................................. 834.3.3. Responsabilidad de los buscadores ...................................... 85

5. Jurisprudencia ........................................................................................... 865.1. El caso Jujuy digital o Jujuy.com ....................................................... 865.2. El caso “Entel” Chile .......................................................................... 90

6. Responsabilidad de los buscadores ......................................................... 916.1. Competencia ...................................................................................... 94

6.1.1. Competencia civil ................................................................... 956.1.2. Competencia federal .............................................................. 996.1.3. Competencia comercial ......................................................... 1036.1.4. Competencia territorial ......................................................... 104

6.2. Medidas cautelares ............................................................................ 1066.2.1. Procedencia ............................................................................ 1076.2.2. Improcedencia ........................................................................ 1166.2.3. Contracautela ......................................................................... 1216.2.4. Cumplimiento de las medidas cautelares ............................ 1226.2.5. Individualización de los sitios donde se alojan los conteni-

dos............................................................................................ 1246.2.6. Extensión de la medida cautelar a otros sujetos .................. 1286.2.7. Redes sociales ......................................................................... 130

6.3. El caso “Bandana” .............................................................................. 1376.4. Criterios de atribución ...................................................................... 141

7. Las redes sociales y la Web 2.0 ................................................................. 1567.1. Web 2.0................................................................................................ 159

7.1.1. Blogs ........................................................................................ 1617.1.2. Facebook ................................................................................. 1797.1.3. Twitter ..................................................................................... 1907.1.4. YouTube .................................................................................. 1937.1.5. Sónico ...................................................................................... 1977.1.6. Redes profesionales: LinkedIn .............................................. 1977.1.7. Otras redes sociales ................................................................ 198

8. Síntesis........................................................................................................ 199Bibliografía ....................................................................................................... 203

Capítulo IX

Delitos Informáticos

1. Introducción .............................................................................................. 2161.1. Etapas legislativas en la regulación de la delincuencia informática 219

2. Conductas antijurídicas y tecnología ...................................................... 222


Pág.

2.1. Los sistemas informáticos como objeto del delito .......................... 2252.2. Los sistemas tecnológicos como instrumento del delito ................ 226

3. Concepto del delito informático .............................................................. 2273.1. Alcances .............................................................................................. 2273.2. Intereses o bienes perjudicados ....................................................... 2283.3. Ubicación de las conductas antijurídicas ........................................ 228

4. El delito informático y la dogmática penal .............................................. 2314.1. Definición ........................................................................................... 2324.2. Clasificaciones del delito informático .............................................. 236

4.2.1. Algunas clasificaciones doctrinarias ..................................... 2364.2.2. La clasificación de Ulrich Sieber ........................................... 2384.2.3. Nuestra opinión ...................................................................... 239

4.2.3.1. Delitos contra el patrimonio ..................................... 2394.2.3.2. Delitos contra la intimidad ....................................... 2404.2.3.3. Delitos contra la seguridad pública y las comunica-

ciones ........................................................................... 2414.2.3.4. Falsificaciones informáticas ..................................... 2424.2.3.5. Contenidos ilegales en Internet ................................ 242

5. Las respuestas del Derecho ...................................................................... 2436. Derecho comparado ................................................................................. 246

6.1. Trabajos de la Organización de las Naciones Unidas (ONU) ......... 2466.1.1. Comisión de Prevención del Delito y Justicia Penal (UNDOC) 2476.1.2. La Internet y su potencialidad criminal ................................ 2616.1.3. El delito informático ............................................................... 264

6.1.3.1. Fraudes cometidos mediante manipulación de com-putadoras. Manipulación de los datos de entrada ..... 2676.1.3.1.1. La manipulación de programas ................. 2676.1.3.1.2. Manipulación de los datos de salida .......... 2676.1.3.1.3. Fraude efectuado por manipulación infor-

mática ............................................................ 2676.1.3.1.4. Falsificaciones Informáticas ....................... 268

6.1.3.2. Daños o modificaciones de programas o datos computarizados. Sabotaje informático ..................... 2686.1.3.2.1. Virus ............................................................. 2686.1.3.2.2. Gusanos ........................................................ 2686.1.3.2.3. Bomba lógica o cronológica ....................... 2696.1.3.2.4. Acceso no autorizado a Sistemas o Servi-

cios ................................................................. 2696.1.3.2.5. Piratas informáticos o hackers .................... 2696.1.3.2.6. Reproducción no autorizada de progra-

mas informáticos de protección legal ......... 2696.1.3.3. Otras preocupaciones derivadas del uso de las TICs 270

6.1.3.3.1. Actividades terroristas ................................ 270


Pág.

6.1.3.3.2. Pornografía infantil ..................................... 2716.1.3.3.3. Robo de identidad ....................................... 2716.1.3.3.4. Evasión fiscal ............................................... 2726.1.3.3.5. Tráfico de drogas ......................................... 272

6.1.4. Tratamiento del delito ............................................................ 2746.1.5. Cooperación Internacional .................................................... 276

6.2. El delito informático en la Unión Europea ...................................... 2806.2.1. Programas de Investigación y Desarrollo (TSI) .................... 2816.2.2. Mejoramiento de las estadísticas .......................................... 2836.2.3. Seguridad de los datos ........................................................... 2846.2.4. El delito informático ............................................................... 2856.2.5. Convenio de Budapest ........................................................... 288

6.2.5.1. El convenio ................................................................. 2886.2.5.2. Informe explicativo .................................................... 291

I. Introducción ............................................................. 291II. Trabajo preparatorio .............................................. 293III. El Convenio ............................................................ 297

6.2.5.3. Comentario sobre los artículos del Convenio ......... 2986.3. La reforma del Código Penal francés ............................................... 406

7. Delitos Informáticos en el Derecho argentino ........................................ 4157.1. Antecedentes previos a la ley 26.388 ................................................ 4157.2. Las primeras normas ......................................................................... 415

7.2.1. Confidencialidad y secreto comercial .................................. 4157.2.2. Ley penal tributaria ................................................................ 4177.2.3. Ley de Inteligencia Nacional ................................................. 4187.2.4. Propiedad Intelectual ............................................................. 4187.2.5. Comunicaciones móviles ....................................................... 4207.2.6. Ley 25.326 de Protección de datos personales ..................... 420

7.2.6.1. Tipos penales de la ley 25.326 ................................... 4207.2.6.2. Bien jurídico protegido ............................................. 4217.2.6.3. Acción ......................................................................... 4227.2.6.4. Omisión impropia ..................................................... 4237.2.6.5. Tipo subjetivo ............................................................. 4257.2.6.6. Agravantes .................................................................. 4267.2.6.7. Sujeto pasivo .............................................................. 4277.2.6.8. Tentativa ..................................................................... 4287.2.6.9. Participación .............................................................. 4297.2.6.10. Acción penal ............................................................ 429

7.3. Documento electrónico en el ámbito penal .................................... 429 7.4. Ley 26.388 de reforma del Código Penal ......................................... 432

7.4.1. Concepto de documento y firma ........................................... 4327.4.2. Pornografía infantil ................................................................ 437


Pág.

7.4.3. Violación de secretos y de la privacidad ............................... 4427.4.4. Protección de confidencialidad las comunicaciones elec-

trónicas .................................................................................... 4427.4.5. Acceso no autorizado a un sistema o dato informático ...... 4467.4.6. Publicidad indebida de comunicaciones electrónicas ........ 4487.4.7. Revelación de secretos ........................................................... 4497.4.8. Acceso ilegítimo a banco de datos personales ..................... 4497.4.9. Inserción ilegítima de datos personales ............................... 4537.4.10. Defraudación mediante manipulación informática ........... 4547.4.11. Daño en datos y sistemas informáticos ................................ 4597.4.12. Interrupción o entorpecimiento de comunicaciones elec-

trónicas .................................................................................... 4627.4.13. Alteración de medios de prueba ........................................... 4647.4.14. Conclusiones .......................................................................... 464

7.5. Adecuación de la ley procesal penal a la investigación de la delin-cuencia informática ........................................................................... 466

Bibliografía ....................................................................................................... 478

Capítulo X

Aspectos Jurídicos de la Seguridad Informática

1. Introducción .............................................................................................. 4982. Norma ISO 17.799 (hoy 27.002). Código de Práctica para la Adminis-

tración de la Seguridad de la Información ............................................ 5002.1. Introducción ....................................................................................... 5002.2. Por qué es necesaria la seguridad de la información ..................... 5012.3. Cómo establecer los requerimientos de seguridad ........................ 5022.4. Evaluación de los riesgos en materia de seguridad ........................ 5022.5. Selección de controles ....................................................................... 5032.6. Punto de partida para la seguridad de la información ................... 5042.7. Factores críticos del éxito .................................................................. 5052.8. Desarrollo de lineamientos propios ................................................. 5062.9. Alcance ............................................................................................... 5062.10. Términos y definiciones .................................................................. 506

2.10.1. Seguridad de la información ................................................. 5062.10.2. Evaluación de riesgos ............................................................. 5072.10.3. Administración de riesgos ..................................................... 507

2.11. Política de seguridad ....................................................................... 5072.11.1. Documentación de la política de seguridad de la informa-

ción .......................................................................................... 5072.11.2. Revisión y evaluación ............................................................ 508

2.12. Organización de la seguridad ......................................................... 509


Pág.

2.12.1. Infraestructura de seguridad de la información .................. 5092.12.2. Foro gerencial sobre seguridad de la información .............. 5092.12.3. Coordinación de la seguridad de la información ................ 5102.12.4. Asignación de responsabilidades en materia de seguridad

de la información ................................................................... 5102.12.5. Proceso de autorización para instalaciones de procesa-

miento de información .......................................................... 5112.12.6. Asesoramiento especializado en materia de seguridad de

la información......................................................................... 5122.12.7. Revisión independiente de la seguridad de la información 513

2.13. Acceso de terceros ........................................................................... 5132.13.1. Tipos de acceso ...................................................................... 5132.13.2. Razones para el acceso .......................................................... 5142.13.3. Contratistas in situ ................................................................. 5142.13.4. Requerimientos de seguridad en contratos con terceros ... 5152.13.5. Tercerización .......................................................................... 5172.13.6. Requerimientos de seguridad en contratos de tercerización 517

2.14. Clasificación y control de activos ................................................... 5182.14.1. Inventario de activos .............................................................. 5182.14.2. Pautas de clasificación de la información ............................ 5192.14.3. Rotulado y manejo de la información .................................. 520

2.15. Seguridad del personal .................................................................... 5202.15.1. Inclusión de la seguridad en las responsabilidades de los

puestos de trabajo .................................................................. 5202.15.2. Selección y política de personal ............................................ 5212.15.3. Acuerdos de confidencialidad .............................................. 5222.15.4. Términos y condiciones de empleo ...................................... 5222.15.5. Formación y capacitación en materia de seguridad de la

información ............................................................................ 5232.15.6. Comunicación de incidentes relativos a la seguridad ........ 5232.15.7. Comunicación de debilidades en materia de seguridad .... 5232.15.8. Comunicación de anomalías del software ........................... 5242.15.9. Proceso disciplinario ............................................................. 524

2.16. Seguridad física y ambiental ........................................................... 5242.16.1. Controles de acceso físico ..................................................... 5252.16.2. Protección de oficinas, recintos e instalaciones .................. 5262.16.3. Desarrollo de tareas en áreas protegidas ............................. 5272.16.4. Aislamiento de las áreas de entrega y carga ......................... 5282.16.5. Seguridad del equipamiento ................................................. 5292.16.6. Ubicación y protección del equipamiento ........................... 5292.16.7. Suministros de energía .......................................................... 5302.16.8. Mantenimiento de equipos ................................................... 5312.16.9. Seguridad del equipamiento fuera del ámbito de la organi-

zación ...................................................................................... 532


Pág.

2.16.10. Baja segura o reutilización de equipamiento .................... 5332.16.11. Políticas de escritorios y pantallas limpias ........................ 5332.16.12. Retiro de bienes .................................................................... 534

2.17. Gestión de comunicaciones y operaciones ...................................... 5342.17.1. Procedimientos y responsabilidades operativas .................. 5342.17.2. Documentación de los procedimientos operativos ............ 5352.17.3. Control de cambios en las operaciones ............................... 5362.17.4. Procedimientos de manejo de incidentes ............................ 5362.17.5. Separación de funciones ....................................................... 5382.17.6. Separación entre instalaciones de desarrollo e instalacio-

nes operativas ......................................................................... 5382.17.7. Administración de instalaciones externas ........................... 5402.17.8. Planificación de la capacidad ............................................... 5402.17.9. Aprobación del sistema ......................................................... 5412.17.10. Controles contra software malicioso .................................. 5422.17.11. Mantenimiento .................................................................... 5432.17.12. Resguardo de la información .............................................. 5432.17.13. Registro de actividades del personal operativo ................. 5442.17.14. Registro de fallas .................................................................. 5452.17.15. Controles de redes ............................................................... 5452.17.16. Administración de medios informáticos removibles ........ 5462.17.17. Eliminación de medios informáticos ................................. 5462.17.18. Procedimientos de manejo de la información .................. 5472.17.19. Seguridad de la documentación del sistema ..................... 5482.17.20. Acuerdos de intercambio de información y software........ 5492.17.21. Seguridad de los medios en tránsito .................................. 549

2.18. Seguridad del comercio electrónico............................................... 5502.19. Seguridad del correo electrónico ................................................... 552

2.19.1. Riesgos de seguridad ............................................................. 5522.19.2. Política de correo electrónico ............................................... 5522.19.3. Seguridad de los sistemas electrónicos de oficina .............. 5532.19.4. Sistemas de acceso público ................................................... 5542.19.5. Otras formas de intercambio de información ..................... 555

2.20. Control de accesos ........................................................................... 5562.20.1. Política de control de accesos. Requerimientos políticos y

de negocios ............................................................................. 5562.20.2. Reglas de control de accesos ................................................. 5572.20.3. Registración de usuarios ....................................................... 5572.20.4. Administración de privilegios ............................................... 5582.20.5. Administración de contraseñas de usuario ......................... 5592.20.6. Revisión de derechos de acceso de usuario ......................... 5602.20.7. Uso de contraseñas ................................................................ 560


Pág.

2.20.8. Equipos desatendidos en áreas de usuarios ........................ 5612.20.9. Política de utilización de los servicios de red ...................... 5622.20.10. Camino forzado .................................................................... 5632.20.11. Autenticación de usuarios para conexiones externas ....... 5642.20.12. Autenticación de nodos ....................................................... 5652.20.13. Protección de los puertos .................................................... 5652.20.14. Subdivisión de redes ............................................................ 5652.20.15. Control de conexión a la red ............................................... 5662.20.16. Control de ruteo de red........................................................ 5672.20.17. Seguridad de los servicios de red ........................................ 5672.20.18. Control de acceso al sistema operativo ............................. 5672.20.19. Identificación automática de terminales ........................... 5682.20.20. Procedimientos de conexión de terminales ...................... 5682.20.21. Identificación y autenticación de los usuarios .................. 5692.20.22. Sistema de administración de contraseñas ....................... 5702.20.23. Uso de utilitarios de sistema ............................................... 5712.20.24. Alarmas silenciosas para la protección de los usuarios .... 5712.20.25. Desconexión de terminales por tiempo muerto ............... 5722.20.26. Limitación del horario de conexión ................................... 5722.20.27. Restricción del acceso a la información ............................. 5722.20.28. Aislamiento de sistemas sensibles...................................... 5732.20.29. Monitoreo del acceso y uso de los sistemas ...................... 5732.20.30. Registro de eventos .............................................................. 5742.20.31. Procedimientos y áreas de riesgo ....................................... 5742.20.32. Factores de riesgo ................................................................. 5752.20.33. Registro y revisión de eventos ............................................. 5752.20.34. Sincronización de relojes .................................................... 5762.20.35. Computación móvil ............................................................. 5772.20.36. Trabajo remoto ..................................................................... 578

2.21. Desarrollo y mantenimiento de sistemas ...................................... 5792.21.1. Análisis y especificaciones de los requerimientos de segu-

ridad ........................................................................................ 5792.21.2. Validación de datos de entrada ............................................. 580

2.22. Controles de procesamiento interno ............................................. 5802.22.1. Áreas de riesgo ....................................................................... 5802.22.2. Controles y verificaciones ..................................................... 5812.22.3. Autenticación de mensajes ................................................... 5822.22.4. Validación de los datos de salida .......................................... 582

2.23. Controles criptográficos .................................................................. 5832.23.1. Política de utilización de controles criptográficos .............. 5832.23.2. Cifrado .................................................................................... 5842.23.3. Firma digital ........................................................................... 584


Pág.

2.23.4. Servicios de no repudio ......................................................... 5852.23.5. Protección de claves criptográficas ...................................... 5852.23.6. Normas, procedimientos y métodos .................................... 586

2.24. Seguridad de los archivos del sistema ............................................ 5882.24.1. Control del software operativo .............................................. 5882.24.2. Protección de los datos de prueba del sistema .................... 5892.24.3. Control de acceso a las bibliotecas de programa fuente ..... 5892.24.4. Seguridad de los procesos de desarrollo y soporte ............. 5902.24.5. Procedimientos de control de cambios ................................ 5902.24.6. Revisión técnica de los cambios en el sistema operativo ... 5922.24.7. Restricción del cambio en los paquetes de software ........... 5922.24.8. Canales ocultos y código troyano ......................................... 5932.24.9. Desarrollo externo de software ............................................. 593

2.25. Continuidad de los negocios .......................................................... 5942.25.1. Aspectos de la administración de la continuidad de los ne-

gocios ....................................................................................... 5942.25.2. Proceso de administración de la continuidad de los nego-

cios ........................................................................................... 5942.25.3. Continuidad del negocio y análisis del impacto ................. 5952.25.4. Elaboración e implementación de planes de continuidad

de los negocios ........................................................................ 5952.25.5. Marco para la planificación de la continuidad de los nego-

cios ........................................................................................... 5962.25.6. Prueba, mantenimiento y reevaluación de los planes de

continuidad de los negocios .................................................. 5982.25.7. Mantenimiento y reevaluación del plan .............................. 5982.25.8. Cumplimiento de requisitos legales ..................................... 5992.25.9. Identificación de la legislación aplicable ............................. 6002.25.10. Derechos de propiedad intelectual (DPI) .......................... 6002.25.11. Copyright del software ......................................................... 6002.25.12. Protección de los registros de la organización .................. 6012.25.13. Protección de datos y privacidad de la información per-

sonal ...................................................................................... 6022.25.14. Prevención del uso inadecuado de los recursos de proce-

samiento de información .................................................... 6032.25.15. Regulación de controles para el uso de criptografía ......... 6042.25.16. Reglas para la recolección de evidencia ............................. 6042.25.17. Validez de la evidencia ........................................................ 6052.25.18. Calidad y totalidad de la evidencia ..................................... 6052.25.19. Revisiones de la política de seguridad y la compatibilidad

técnica ................................................................................... 6062.25.20. Cumplimiento de la política de seguridad ......................... 6062.25.21. Verificación de la compatibilidad técnica .......................... 606


Pág.

2.25.22. Controles de auditoría de sistemas .................................... 6072.26. Comentarios finales ......................................................................... 608

3. Normativa regulatoria de la seguridad de los sistemas de información en Argentina .............................................................................................. 6093.1. Decisión Administrativa 669/2004 ................................................... 6093.2. Modelo de Política de Seguridad de la Información para Organis-

mos de la Administración Pública Nacional ....................................... 6123.2.1. Alcance ..................................................................................... 6133.2.2. Términos y Definiciones .......................................................... 613

3.2.2.1. Seguridad de la Información .................................... 6143.2.2.2. Evaluación de Riesgos ............................................... 6153.2.2.3. Administración de Riesgos ....................................... 6153.2.2.4. Comité de Seguridad de la Información .................. 6153.2.2.5. Responsable de Seguridad Informática ................... 6153.2.2.6. Incidente de Seguridad ............................................. 615

3.2.3. Política de Seguridad de la Información ................................ 6163.2.3.1. Generalidades ............................................................ 6163.2.3.2. Objetivo ...................................................................... 6163.2.3.3. Alcance ....................................................................... 6163.2.3.4. Responsabilidad ........................................................ 617

3.2.4. Política ...................................................................................... 6193.2.4.1. Aspectos Generales ................................................... 6193.2.4.2. Sanciones Previstas por Incumplimiento ................ 620

3.2.5. Organización de la Seguridad ................................................. 6203.2.5.1. Generalidades ............................................................ 6203.2.5.2. Objetivo ...................................................................... 6213.2.5.3. Alcance ....................................................................... 6213.2.5.4. Responsabilidad ........................................................ 621

3.2.6. Infraestructura de la Seguridad de la Información ............... 6223.2.6.1. Comité de Seguridad de la Información .................. 6223.2.6.2. Asignación de Responsabilidades en Materia de

Seguridad de la Información ..................................... 6243.2.6.3. Proceso de Autorización para Instalaciones de Pro-

cesamiento de Información ...................................... 6243.2.6.4. Asesoramiento Especializado en Materia de Segu-

ridad de la Información ............................................. 6253.2.6.5. Cooperación entre Organismos ............................... 6253.2.6.6. Revisión Independiente de la Seguridad de la In-

formación ................................................................... 6263.2.7. Seguridad Frente al Acceso por Parte de Terceros ................ 626

3.2.7.1. Identificación de Riesgos del Acceso de Terceras Partes ........................................................................... 626

3.2.7.2. Requerimientos de Seguridad en Contratos o Acuerdos con Terceros .............................................. 627


Pág.

3.2.8. Tercerización ............................................................................ 6293.2.8.1. Requerimientos de Seguridad en Contratos de Ter-

cerización ................................................................... 6293.2.9. Clasificación y Control de Activos .......................................... 629

3.2.9.1. Generalidades ............................................................ 6293.2.9.2. Objetivo ...................................................................... 6313.2.9.3. Alcance ....................................................................... 6313.2.9.4. Responsabilidad ........................................................ 6313.2.9.5. Inventario de activos ................................................. 631

3.2.10. Clasificación de la información ............................................ 6313.2.10.1. Integridad ................................................................. 6323.2.10.2. Rotulado de la Información .................................... 634

3.2.11. Seguridad del Personal .......................................................... 6343.2.11.1. Generalidades .......................................................... 6343.2.11.2. Objetivo .................................................................... 6353.2.11.3. Alcance ..................................................................... 6353.2.11.4. Responsabilidad ...................................................... 635

3.2.12. Seguridad en la Definición de Puestos de Trabajo y la Asig-nación de Recursos ................................................................ 6363.2.12.1. Incorporación de la Seguridad en los Puestos de

Trabajo ........................................................................ 6363.2.12.2. Control y Política del Personal ................................ 6363.2.12.3. Compromiso de Confidencialidad ......................... 6373.2.12.4. Términos y Condiciones de Empleo ...................... 637

3.2.13. Capacitación del Usuario ...................................................... 6373.2.13.1. Formación y Capacitación en Materia de Seguri-

dad de la Información ................................................. 6373.2.14. Respuesta a Incidentes y Anomalías en Materia de Seguri-

dad ........................................................................................... 6383.2.14.1. Comunicación de Incidentes Relativos a la Segu-

ridad ............................................................................ 6383.2.14.2. Comunicación de Debilidades en Materia de Se-

guridad ........................................................................ 6393.2.14.3. Comunicación de Anomalías del Software ............ 6393.2.14.4. Aprendiendo de los Incidentes ............................... 6403.2.14.5. Procesos Disciplinarios ........................................... 640

3.2.15. Seguridad Física y Ambiental ................................................ 6403.2.15.1. Generalidades .......................................................... 6403.2.15.2. Objetivo .................................................................... 6413.2.15.3. Alcance ..................................................................... 6413.2.15.4. Responsabilidad ...................................................... 6423.2.15.5. Perímetro de Seguridad Física ................................ 6423.2.15.6. Controles de Acceso Físico ..................................... 644


Pág.

3.2.15.7. Protección de Oficinas, Recintos e Instalaciones .. 6443.2.15.8. Desarrollo de Tareas en Áreas Protegidas.............. 6463.2.15.9. Aislamiento de las Áreas de Recepción y Distribu-

ción .............................................................................. 6473.2.15.10. Ubicación y Protección del Equipamiento y Co-

pias de Seguridad ....................................................... 6473.2.15.11. Suministros de Energía ......................................... 6483.2.15.12. Seguridad del Cableado ........................................ 6493.2.15.13. Mantenimiento de Equipos .................................. 6503.2.15.14. Seguridad de los Equipos Fuera de las Instala-

ciones .......................................................................... 6503.2.15.15. Desafectación o Reutilización Segura de los

Equipos ....................................................................... 6513.2.15.16. Políticas de Escritorios y Pantallas Limpias ......... 6513.2.15.17. Retiro de los Bienes ............................................... 652

3.2.16. Gestión de Comunicaciones y Operaciones ........................ 6523.2.16.1. Generalidades .......................................................... 6523.2.16.2. Objetivo .................................................................... 6533.2.16.3. Alcance ..................................................................... 6533.2.16.4. Responsabilidad ...................................................... 653

3.2.17. Procedimientos y Responsabilidades Operativas ............... 6553.2.17.1. Documentación de los Procedimientos Operativos 6553.2.17.2. Control de Cambios en las Operaciones ................ 6563.2.17.3. Procedimientos de Manejo de Incidentes ............. 6573.2.17.4. Separación de Funciones ........................................ 6593.2.17.5. Separación entre Instalaciones de Desarrollo

e Instalaciones Operativas .......................................... 6593.2.17.6. Gestión de Instalaciones Externas ......................... 660

3.2.18. Planificación y Aprobación de Sistemas .............................. 6613.2.18.1. Planificación de la Capacidad ................................ 6613.2.18.2. Aprobación del Sistema .......................................... 661

3.2.19. Protección contra Software Malicioso .................................. 6623.2.19.1. Controles contra Software Malicioso ..................... 662

3.2.20. Mantenimiento ...................................................................... 6633.2.20.1. Resguardo de la Información.................................. 6633.2.20.2. Registro de Actividades del Personal Operativo.... 6643.2.20.3. Registro de Fallas ..................................................... 665

3.2.21. Administración de la Red ...................................................... 6653.2.21.1. Controles de Redes .................................................. 665

3.2.22. Administración y Seguridad de los Medios de Almacena-miento ..................................................................................... 6663.2.22.1. Administración de Medios Informáticos Removi-

bles ............................................................................... 666


Pág.

3.2.22.2. Eliminación de Medios de Información ................ 666

3.2.22.3. Procedimientos de Manejo de la Información ...... 667

3.2.22.4. Seguridad de la Documentación del Sistema ....... 668

3.2.23. Intercambios de Información y Software ............................. 668

3.2.23.1. Acuerdos de Intercambio de Información y Soft-ware .............................................................................. 668

3.2.23.2. Seguridad de los Medios en Tránsito ..................... 669

3.2.23.3. Seguridad del Gobierno Electrónico ...................... 669

3.2.24. Seguridad del Correo Electrónico......................................... 671

3.2.24.1. Riesgos de Seguridad............................................... 671

3.2.24.2. Política de Correo Electrónico ................................ 671

3.2.25. Seguridad de los Sistemas Electrónicos de Oficina ............. 672

3.2.26. Sistemas de Acceso Público .................................................. 673

3.2.27. Otras Formas de Intercambio de Información .................... 674

3.2.28. Control de Accesos ................................................................. 675

3.2.28.1. Generalidades .......................................................... 675

3.2.28.2. Objetivo .................................................................... 676

3.2.28.3. Alcance ..................................................................... 676

3.2.28.4. Responsabilidad ...................................................... 676

3.2.29. Requerimientos para el Control de Acceso .......................... 679

3.2.29.1. Política de Control de Accesos ................................ 679

3.2.29.2. Reglas de Control de Acceso ................................... 680

3.2.30. Administración de Accesos de Usuarios .............................. 680

3.2.30.1. Registración de Usuarios......................................... 680

3.2.30.2. Administración de Privilegios................................. 682

3.2.30.3. Administración de Contraseñas de Usuario .......... 6823.2.30.4. Administración de Contraseñas Críticas ............... 6843.2.30.5. Revisión de Derechos de Acceso de Usuarios ....... 684

3.2.31. Responsabilidades del Usuario ............................................. 685

3.2.31.1. Uso de Contraseñas ................................................. 6853.2.31.2. Equipos Desatendidos en Áreas de Usuarios ........ 686

3.2.32. Control de Acceso a la Red .................................................... 687

3.2.32.1. Política de Utilización de los Servicios de Red ...... 687

3.2.32.2. Camino Forzado ...................................................... 6873.2.32.3. Autenticación de Usuarios para Conexiones Ex-

ternas ............................................................................ 6883.2.32.4. Autenticación de Nodos .......................................... 689

3.2.32.5. Protección de los Puertos (Ports) de Diagnóstico Remoto ......................................................................... 690

3.2.32.6. Subdivisión de Redes .............................................. 690

3.2.32.7. Acceso a Internet ..................................................... 6913.2.32.8. Control de Conexión a la Red ................................. 691


Pág.

3.2.32.9. Control de Ruteo de Red ......................................... 6913.2.32.10. Seguridad de los Servicios de Red ........................ 692

3.2.33. Control de Acceso al Sistema Operativo .............................. 6923.2.33.1. Identificación Automática de Terminales ............. 6923.2.33.2. Procedimientos de Conexión de Terminales ........ 6923.2.33.3. Identificación y Autenticación de los Usuarios ..... 6933.2.33.4. Sistema de Administración de Contraseñas .......... 6943.2.33.5. Uso de Utilitarios de Sistema .................................. 6953.2.33.6. Alarmas Silenciosas para la Protección de los

Usuarios ....................................................................... 6963.2.33.7. Desconexión de Terminales por Tiempo Muerto . 6963.2.33.8. Limitación del Horario de Conexión ..................... 697

3.2.34. Control de Acceso a las Aplicaciones ................................... 6973.2.34.1. Restricción del Acceso a la Información ................ 6973.2.34.2. Aislamiento de los Sistemas Sensibles ................... 698

3.2.35. Monitoreo del Acceso y Uso de los Sistemas ....................... 6993.2.35.1. Registro de Eventos.................................................. 6993.2.35.2. Monitoreo del Uso de los Sistemas ........................ 700

3.2.35.2.1. Procedimientos y Áreas de Riesgo ......... 7003.2.35.2.2. Factores de Riesgo ................................. 7013.2.35.2.3. Registro y Revisión de Eventos ................. 701

3.2.35.3. Sincronización de Relojes ....................................... 7023.2.36. Computación Móvil y Trabajo Remoto ................................ 702

3.2.36.1. Computación Móvil ................................................. 702

3.2.36.2. Trabajo Remoto ....................................................... 7043.2.37. Desarrollo y Mantenimiento de Sistemas............................. 705

3.2.37.1. Generalidades .......................................................... 7053.2.37.2. Objetivo .................................................................... 7063.2.37.3. Alcance ..................................................................... 7063.2.37.4. Responsabilidad ...................................................... 706

3.2.38. Requerimientos de Seguridad de los Sistemas .................... 7083.2.38.1. Análisis y Especificaciones de los Requerimientos

de Seguridad ................................................................. 7083.2.38.2. Seguridad en los Sistemas de Aplicación............... 708

3.2.38.2.1. Validación de Datos de Entrada ............... 7093.2.38.2.2. Controles de Procesamiento Interno ....... 7093.2.38.2.3. Autenticación de Mensajes....................... 7103.2.38.2.4. Validación de Datos de Salidas ................ 710

3.2.38.3. Controles Criptográficos ......................................... 7113.2.38.3.1. Política de Utilización de Controles

Criptográficos ............................................ 7113.2.38.3.2. Cifrado ........................................................ 7123.2.38.3.3. Firma Digital .............................................. 712

Tratado de Derecho Informático XXI

Pág.

3.2.38.3.4. Servicios de No Repudio ........................... 713

3.2.38.3.5. Administración de Claves ......................... 713

3.2.38.3.5.1. Protección de Claves Cripto-gráficas ..................................... 713

3.2.38.3.5.2. Normas, Procedimientos y Mé-todos ......................................... 714

3.2.38.4. Seguridad de los Archivos del Sistema .................. 715

3.2.38.4.1. Control del Software Operativo ................ 715

3.2.38.4.2. Protección de los Datos de Prueba del Sistema ......................................................... 716

3.2.38.4.3. Control de Cambios a Datos Operativos . 716

3.2.38.4.4. Control de Acceso a las Bibliotecas de Programas Fuentes ...................................... 717

3.2.38.5. Seguridad de los Procesos de Desarrollo y Soporte 719

3.2.38.5.1. Procedimiento de Control de Cambios ... 719

3.2.38.5.2. Revisión Técnica de los Cambios en el Sistema Operativo ...................................... 720

3.2.38.5.3. Restricción del Cambio de Paquetes de Software ...................................................... 720

3.2.38.5.4. Canales Ocultos y Código Malicioso ........ 721

3.2.38.5.5. Desarrollo Externo de Software ................ 7213.2.39. Anexo ...................................................................................... 7223.2.40. Administración de la Continuidad de las Actividades del

Organismo ............................................................................... 7233.2.40.1. Generalidades .......................................................... 7233.2.40.2. Objetivo .................................................................... 7243.2.40.3. Alcance ..................................................................... 7243.2.40.4. Responsabilidad ...................................................... 725

3.2.41. Proceso de la Administración de la Continuidad del Orga-nismo ....................................................................................... 726

3.2.41.1. Continuidad de las Actividades y Análisis de los Impactos ................................................................... 727

3.2.41.2. Elaboración e Implementación de los Planes de Continuidad de las Actividades del Organismo .... 728

3.2.41.3. Marco para la Planificación de la Continuidad de las Actividades del Organismo................................ 729

3.2.41.4. Ensayo, Mantenimiento y Reevaluación de los Planes de Continuidad del Organismo .................. 730

3.2.42. Cumplimiento ........................................................................ 732

3.2.42.1. Generalidades .......................................................... 732

3.2.42.2. Objetivos................................................................... 733

3.2.42.3. Alcance ..................................................................... 733

3.2.42.4. Responsabilidad ...................................................... 733

XXII Daniel Ricardo Altmark - Eduardo Molina Quiroga

Pág.

3.2.43. Cumplimiento de Requisitos Legales ................................... 7343.2.43.1. Identificación de la Legislación Aplicable .............. 7343.2.43.2. Derechos de Propiedad Intelectual ......................... 735

3.2.43.2.1. Derecho de Propiedad Intelectual del Software ....................................................... 735

3.2.43.3. Protección de los Registros del Organismo ............ 7363.2.43.4. Protección de Datos y Privacidad de la Informa-

ción Personal .............................................................. 7393.2.43.5. Prevención del Uso Inadecuado de los Recursos

de Procesamiento de Información ........................... 7403.2.43.6. Regulación de Controles para el Uso de Criptografía 7413.2.43.7. Recolección de Evidencia ........................................ 742

3.2.44. Revisiones de la Política de Seguridad y la Compatibilidad Técnica .................................................................................... 7433.2.44.1. Cumplimiento de la Política de Seguridad ............ 7433.2.44.2. Verificación de la Compatibilidad Técnica ............ 743

3.2.45. Consideraciones de Auditorías de Sistemas ........................ 7443.2.45.1. Controles de Auditoría de Sistemas ....................... 7443.2.45.2. Protección de los Elementos Utilizados por la Au-

ditoría de Sistemas ...................................................... 7453.2.46. Sanciones Previstas por Incumplimiento ............................ 745

4. Protección de datos personales ................................................................ 7464.1. Disposición 11/06 DNPDP ............................................................... 747

4.1.1. Medidas de Seguridad Nivel Básico ...................................... 7494.1.2. Medidas de seguridad de nivel medio .................................. 7534.1.3. Medidas de seguridad de nivel crítico .................................. 754

4.2. Disposición 9/2008 DNPDP. ............................................................. 7555. Entidades Financieras .............................................................................. 758

5.1. Comunicación A-4609 BCRA ............................................................ 7585.1.1. Eficacia .................................................................................... 7605.1.2. Eficiencia ................................................................................. 7605.1.3. Confidencialidad .................................................................... 7605.1.4. Integridad ................................................................................ 7605.1.5. Disponibilidad ........................................................................ 7615.1.6. Cumplimiento ......................................................................... 7615.1.7. Confiabilidad .......................................................................... 7615.1.8. Comité de Tecnología Informática. Integración y funciones 7615.1.9. Políticas y procedimientos ..................................................... 7635.1.10. Análisis de Riesgos ................................................................. 7635.1.11. Dependencia del área de Tecnología Informática y Siste-

mas........................................................................................... 7645.1.12. Gestión de Tecnología Informática y Sistemas .................... 764

5.1.12.1. Planificación ............................................................ 764

Tratado de Derecho Informático XXIII

Pág.

5.1.12.2. Control de gestión ................................................... 7645.1.12.3. Segregación de funciones ....................................... 7655.1.12.4. Glosario de funciones .............................................. 765

5.1.13. Gestión de la seguridad ......................................................... 7675.1.13.1. Dependencia del área responsable ........................ 7675.1.13.2. Estrategia de seguridad de acceso a los activos de

información ............................................................... 7675.1.13.3. Planeamiento de los recursos ................................. 7685.1.13.4. Política de protección .............................................. 768

5.1.14. Clasificación de los activos de información - Niveles de ac-ceso a los datos ....................................................................... 7705.1.14.1. Estándares de acceso, de identificación y autenti-

cación, y reglas de seguridad ................................... 7715.1.14.2. Programas de utilidad con capacidades de ma-

nejo de datos - Usuarios privilegiados y de contin-gencia ......................................................................... 773

5.1.14.3. Registros de seguridad y pistas de auditoría ......... 7735.1.14.4. Alertas de seguridad y software de análisis............ 7745.1.14.5. Software malicioso ................................................... 774

5.1.15. Responsabilidades del área ................................................... 7755.1.15.1. Control y monitoreo ................................................ 776

5.1.16. Implementación de los controles de seguridad física apli-cados a los activos de información ....................................... 7765.1.16.1. Construcción y localización de las instalaciones .. 7775.1.16.2. Acceso físico a las instalaciones del centro de pro-

cesamiento de datos ................................................. 7775.1.16.3. Mecanismos de protección ambiental ................... 778

5.1.17. Destrucción de residuos y de medios de almacenamiento de información ....................................................................... 778

5.1.18. Responsabilidades sobre la planificación de la continui-dad del procesamiento de datos ........................................... 779

5.1.19. Análisis de impacto ................................................................ 7795.1.20. Instalaciones alternativas de procesamiento de datos ....... 7805.1.21. Plan de continuidad del procesamiento de datos ............... 780

5.1.21.1. Mantenimiento y actualización del plan de conti-nuidad de procesamiento de datos ........................ 781

5.1.21.2. Pruebas de continuidad del procesamiento de datos .......................................................................... 782

5.1.21.3. Responsabilidad del área ........................................ 7835.1.22. Inventario tecnológico ........................................................... 7835.1.23. Políticas y procedimientos para la operación de los siste-

mas informáticos y manejadores de datos ........................... 7845.1.24. Procedimientos de resguardos de información, sistemas

productivos y sistemas de base ............................................. 784

XXIV Daniel Ricardo Altmark - Eduardo Molina Quiroga

Pág.

5.1.25. Mantenimiento preventivo de los recursos tecnológicos ... 7855.1.26. Administración de las bases de datos .................................. 7865.1.27. Gestión de cambios al software de base ............................... 7875.1.28. Control de cambios a los sistemas productivos ................... 7875.1.29. Mecanismos de distribución de información ...................... 7885.1.30. Manejo de incidentes ............................................................ 7885.1.31. Medición y planeamiento de la capacidad .......................... 7895.1.32. Soporte a usuarios ................................................................. 7895.1.33. Controles generales ............................................................... 7905.1.34. Operatoria y control de las transacciones cursadas por ca-

jeros automáticos (ATM’s) ..................................................... 7915.1.35. Operatoria y control de las transacciones cursadas por me-

dio de puntos de venta (POS) utilizando débito directo en cuentas con tarjetas de débito ............................................... 794

5.1.36. Operatoria y control de las transacciones cursadas por me-dio de Internet (e-banking) .................................................... 795

5.1.37. Operatoria y control de las transacciones cursadas por me-dio de dispositivos móviles, que utilicen comunicaciones de telefonía celular o de redes inalámbricas de área amplia 797

5.1.38. Operatoria y control de las transacciones cursadas por me-dio de atención telefónica (Phone Banking) ........................ 798

5.1.39. Operatoria y control de las transacciones cursadas por me-dio de otros mecanismos no contemplados en la presente normativa ................................................................................ 799

5.1.40. Actividades factibles de delegación ...................................... 7995.1.41. Responsabilidades propias de la entidad ............................ 7995.1.42. Formalización de la delegación ............................................ 8005.1.43. Responsabilidades del tercero .............................................. 8015.1.44. Implementación del procesamiento de datos en un tercero 8015.1.45. Control de las actividades delegadas ................................... 8015.1.46. Planificación de continuidad de la operatoria delegada .... 8025.1.47. Cumplimiento de requisitos normativos ............................. 8025.1.48. Integridad y validez de la información ................................. 8025.1.49. Administración y registro de las operaciones ...................... 8045.1.50. Sistemas de información que generan el régimen informa-

tivo a remitir y/o a disposición del Banco Central de la Re-pública Argentina ................................................................... 804

5.1.51. Documentación de los sistemas de información ................ 8045.1.52. Estándares para el proceso de ingeniería del software ....... 8055.1.53. Documentación técnica y manuales de usuarios ............... 805

5.2. Comunicación del BCRA A-3244 ...................................................... 8055.2.1. Integridad y validez de la información procesada ................ 808

Tratado - static-laley.thomsonreuters.com · Tratado de Derecho Informático u Tomo I Internet y...

Documents

Transcript of Tratado - static-laley.thomsonreuters.com · Tratado de Derecho Informático u Tomo I Internet y...