Untitled - Universidad Externado de Colombia

Transcription

da n i e l
p e  a va l e n z u e l a
compilador
sociedad de la
informacin digital:
perspectivas y alcances
grupo de investigacin en comercio electrnico
departamento de derecho de los negocios
   
Prohibida la reproducción o cita impresa o electrónica total o parcial de esta obra, sin
autorización expresa y por escrito del Departamento de Publicaciones de la Universidad
Externado de Colombia. Las opiniones expresadas en esta obra son responsabilidad del
autor.
ISBN 978-958-710-256-7
© 7, daniel pea valenzuela (comp.)
© 7,    
Calle  n.º - Este, Bogotá
Teléfono ()  
[email protected]
www.uexternado.edu.co
Primera edición: septiembre de 7
Diseño de carátula: Departamento de Publicaciones
Composición: Proyectos Editoriales Curcio Penen
Impresión y encuadernación: Digiprint Editores EU.
Tiraje: de  a . ejemplares.
Impreso en Colombia
Printed in Colombia
daniel m. bryant
andrea burgos puyo
sol beatriz calle
wilmar castellanos
stephen j. davidson
carlos mario duque
rbinson guerrero clavijo
juan carlos samper
gabriel k. holloway
alberto jimnez rozo
miki kapsner
daniel pea valenzuela
milena quijano zapata
emilio su
guillermo tamayo
grupo de investigacin en comercio electrnico

presentacin
9
Efectos jurídicos y probatorios del mensaje de datos y la firma digital
Milena Quijano Zapata
15
Novedades en materia de contratación mercantil introducidas
por la ley de servicios de la sociedad de la información
Róbinson Guerrero
41
Administración de riesgos
Carlos Mario Duque
71
La firma digital en los registros y el notariado:
la seguridad jurídica preventiva
Emilio Suñé
87
Bricks and mortar to the internet. Practical legal considerations
Stephen J. Davidson
Miki Kapsner
121
E-Marketing
Juan Carlos Samper
147
E-Business: Enfoque de riesgos para un nuevo paradigma de negocios
Wilmar Castellanos
161
Software services and maintenance agreements
Stephen J. Davidson
Gabriel K. Holloway
181
B2B exchanges: lessons from the trading pit
Stephen J. Davidson
Daniel M. Bryant
197
Fraude en comercio electrónico y el consumidor
Guillermo Tamayo
217
Protección de datos de carácter personal en el comercio electrónico
Sol Beatriz Calle D’Aleman
231
Sociedad de la información digital: perspectivas y alcances
Protección de datos personales: aspectos internacionales
Grupo de Investigación en Comercio Electrónico
275
It’s the computer age – do you know where your evidence is?
Stephen J. Davidson
293
Responsabilidad de la Administración Pública en la era del gobierno digital
Daniel Peña Valenzuela
303
Régimen de iva para no establecidos en la Comunidad Económica Europea
Alberto Jiménez Rozo
319
Mecanismos alternativos de resolución de conflictos en internet
Andrea Burgos Puyo
343
los autores 361
p r e s e n ta c i  n
La sociedad de la información se caracteriza, entre otros aspectos, por contener adaptaciones al desarrollo tecnológico y nuevos servicios, como parte de
la convergencia entre las telecomunicaciones, la tecnología de la información
y los medios de comunicación: se observa un movimiento mundial dirigido a
aprovechar al máximo los servicios que la tecnología nos ofrece. Por servicios de
la sociedad de la información, el Parlamento Europeo y el Consejo de la Unión
Europea han entendido aquellos prestados a distancia, por vía electrónica y a
petición individual, incluido, en su definición, el elemento “remuneración”.
La sociedad de la información y los servicios que de ella se desprenden,
entre ellos el comercio electrónico, influyen de manera transversal en los ámbitos
sociales, culturales, económicos, y de esa manera repercuten en las situaciones o
relaciones jurídicas. Por lo anterior es de interés para los agentes del comercio,
locales e internacionales, conocer la influencia de la sociedad de la información
y la implementación de las nuevas tecnologías según los modelos comerciales,
las exigencias técnicas y sus consecuencias jurídicas.
El Grupo de Investigación en Comercio Electrónico de la Universidad
Externado de Colombia ha plasmado dentro de sus objetivos el estudio de las
situaciones surgidas a raíz del enorme desarrollo de la sociedad de la información
y sus servicios, para, de esta manera, ofrecer respuestas válidas aplicables a la
realidad práctica. En sus dos líneas de investigación, denominadas “Contratos
por medios electrónicos” y “Responsabilidad en la era digital”, el grupo ha sido
partícipe de iniciativas nacionales dirigidas a exponer a la sociedad colombiana
los enfoques y discusiones relacionados, tanto nacionales como internacionales.
Consciente del aporte de los mismos, el grupo ha impulsado igualmente la realización de esta compilación, en búsqueda de presentar los retos de la sociedad
de la información en las áreas técnica y comercial, y sus implicaciones jurídicas,
de manera paralela al esfuerzo de las Naciones Unidas y la Unión Internacional
de Telecomunicaciones, uit, en la organización de la Cumbre Mundial sobre
Sociedad de la Información.
La Organización de las Naciones Unidas ha fomentado la realización de
foros mundiales, mediante la convocatoria a reuniones, oficiosas u oficiales,
de presidentes, primeros ministros y otros representantes de alto nivel de las
organizaciones intergubernamentales y no gubernamentales de todo el mundo,
de la sociedad civil (academia, ciudadanos) y del sector privado (empresarios).
Con su participación y el apoyo de los diferentes grupos sociales en el debate de
las políticas que se pretenden aplicar, la onu ha situado problemas complejos y
persistentes en los primeros puestos de la lista mundial de prioridades, además

de moldear la opinión pública y persuadir a líderes mundiales para que presten
apoyo político al seguimiento de las mismas. Las cumbres de las Naciones Unidas han versado sobre diferentes temas de atención mundial, con el objetivo
de realizar, sin restricción, un intercambio de opiniones.
Todo lo relacionado con la sociedad de la información ha sido considerado
de enorme impacto, dada la evolución digital y sus beneficios, entre otros, la
presentación del acceso a la información y el conocimiento como requisito
para conseguir los “Objetivos de Desarrollo del Milenio”, con la posibilidad
de mejorar la calidad de vida, solucionar conflictos y alcanzar la paz mundial,
y paralelo a ellos, el crecimiento de su mayor obstáculo: la brecha digital.
Reconociendo la exigencia de una discusión mundial, la Unión Internacional de Telecomunicaciones, al tenor de una propuesta del gobierno de Túnez,
resolvió en su Conferencia de Plenipotenciarios de 1998 (Minneapolis, usa)
proponer la celebración de una Cumbre Mundial sobre la Sociedad de la Información mediante su inscripción en el Programa de las Naciones Unidas. En
el año 2001, el Consejo de la uit decidió celebrar dicha cumbre en dos fases:
la primera, en Ginebra, del 10 al 12 de diciembre de 2003; y la segunda, en
Túnez, del 16 al 18 de noviembre de 2005. La Asamblea General de las Naciones
Unidas concordó en la necesidad de reunir un consenso a los niveles políticos
más altos, y asumir los compromisos globales requeridos para promover el
acceso de todos los países a las tecnologías de la información, conocimiento y
comunicación, en búsqueda de cosechar los beneficios de la revolución de las
Tecnologías de la información y comunicaciones, en adelante tic, a través del
desarrollo de una visión común y una comprensión de la sociedad de la información, y para ello, la adopción de una declaración y un plan de acción para
la implementación por parte de los gobiernos, instituciones internacionales y
todos los sectores de la sociedad civil.
La Asamblea General de las Naciones Unidas aprobó entonces la celebración de la Cumbre Mundial sobre la Sociedad de la Información (cmsi),
según los criterios adoptados por el Consejo de la uit, es decir, en dos fases.
Entre otras: Infancia (1990), Medio Ambiente y Desarrollo (1992), Derechos Humanos (1993), Población y Desarrollo (1994), Desarrollo Social (1995), la Mujer (1995), Financiación para el Desarrollo
(2002).
Resolución n.º 73.
Resolución 56/183 del 21 de diciembre de 2001. En dicha aprobación se invita a la uit a asumir la
función administrativa principal y el proceso preparatorio, en cooperación con otras organizaciones y
socios interesados, al más alto nivel. Recomienda que los preparativos de la Cumbre estén a cargo de
un comité preparatorio intergubernamental de composición abierta, encargado de definir el programa
de la Cumbre, concluir la redacción de los proyectos de Declaración de Principios y Plan de Acción, y
Presentación
En la primera, 175 países adoptaron la Declaración de Principios y un Plan de
Acción; en la segunda se evaluarán los adelantos conseguidos en la aplicación
del Plan de Acción y se elaborará una Agenda con los objetivos que se tienen
que alcanzar para el 2015. Para el desarrollo de la segunda fase se han creado
grupos de trabajo para hallar soluciones y alcanzar acuerdos en los campos de
gobierno de internet y mecanismos de financiación.
Participan en la Cumbre tres sectores: los gobiernos, el sector privado y la sociedad civil. El papel de los gobiernos es fundamental para difundir los beneficios
de la sociedad del conocimiento a todos los ciudadanos, a través del desarrollo
de políticas nacionales o mundiales y marcos de trabajo destinados a enfrentar
los desafíos de esta sociedad. El sector privado ofrece un modelo económico
viable para lograr los objetivos de desarrollo fijados en el programa mundial;
además contribuye a la creación de las condiciones materiales necesarias para el
acceso universal a la información y a los servicios de valor agregado de las tic.
Por su lado, la sociedad civil participa en la determinación de las consecuencias
sociales y culturales de las tendencias actuales; resalta la importancia que se
preste a estos últimos y los canales de comunicación que éstos tengan con los
gobiernos, tanto a nivel nacional como regional. Por último, el sistema de las
Naciones Unidas y sus organismos especializados participan activamente en
la organización y celebración de la Cumbre, como catalizadores de cambio, al
reunir a los otros participantes con el fin de alcanzar objetivos comunes.
El Grupo de Investigación en Comercio Electrónico de esta casa de estudios, mediante la convocatoria a profesionales con desempeño en las áreas
relacionadas, quienes habían colaborado de manera anterior con la investigación
y presentación de los temas en programas de educación continuada, expone
como resultado esta compilación. Así, la publicación ha sido organizada identificando las etapas que se desarrollan en la consecución de un negocio en la
sociedad de la información. El contenido abarca entonces las leyes de comercio
electrónico; los modelos de seguridad estandarizados; la seguridad jurídica preventiva inmersa en la firma digital, en los registros y el notariado; los contratos
de bienes y servicios que surgen a partir de la implementación de las tic, los
riesgos en los nuevos negocios, así como los retos en materia publicitaria, las
decidir las modalidades de participación de otros grupos interesados; invita a los gobiernos a participar activamente en el proceso preparatorio de la Cumbre, y enviar representantes del más alto nivel;
anima la participación y aportes de las dependencias de las Naciones Unidas y de otras organizaciones
intergubernamentales, incluidas instituciones internacionales y regionales, no gubernamentales, la
sociedad civil y del sector privado, en el proceso preparatorio intergubernamental de la Cumbre, y en
la propia Cumbre.


implicaciones para el consumidor, la protección de datos, el reconocimiento
a la evidencia digital, las implicaciones tributarias y la autorregulación como
mecanismo para dar seguridad y confianza a los usuarios en un entorno no
regulado como lo es internet.
La publicación inicia con la presentación de un análisis jurídico a cargo de
Milena Quijano Zapata acerca de la ley colombiana de comercio electrónico,
en cuanto a su contenido, efectos y desarrollo normativo y jurisprudencial. Este
análisis viene acompañado en seguida por la redacción de Róbinson Guerrero;
que presenta las novedades en materia de contratación mercantil introducidas
por la ley española sobre servicios de la sociedad de la información, en búsqueda
de seguridad jurídica en el medio y, por tanto, de su confiabilidad.
En seguida se aborda el tema de la revisión previa de riesgos, que se verá
proyectada en el establecimiento de políticas de administración de los mismos.
El ingeniero Carlos Mario Duque nos acompaña en el tema relacionado con
la administración de riesgos de proyectos y procesos de negocios, con la presentación de un lenguaje común a partir de estándares internacionales.
En la órbita contractual, los aspectos legales prácticos que se deben establecer, mediante la identificación de las consideraciones básicas que una empresa
debe tomar en cuenta antes de introducir su negocio al ciberespacio, son presentados por los profesores estadounidenses Steve Davidson y Miki Kapsner. La
consecuente influencia del comercio electrónico en el área de mercadeo, seguida
de la presentación de las herramientas del marketing en línea, cuyo objetivo es
potencializar un web site por medio del diálogo directo con los clientes actuales
o potenciales, es el tema para el cual invitamos a Juan Carlos Samper.
Los negocios electrónicos enfrentan el reto de hacer confiable el medio
de seguridad. Las amenazas a la organización, la identificación de riesgos de
negocio y la búsqueda de los controles consecuentes; el escenario de operación
que responda a las calidades de la organización, además de la reputación, lo cual
implica resolver problemas de seguridad y viabilidad del negocio son algunos
de los riesgos en cuya evaluación nos acompaña Wilmar Castellanos.
La compra de bienes y servicios informáticos o desarrollo de proyectos
de tecnologías de información presenta puntos neurálgicos. Los profesores
estadounidenses Steve Davidson y Gabriel Holloway reconocen la importancia de la negociación y el esclarecimiento subsecuente de las necesidades
de las partes que buscan satisfacer mediante el contrato; incluso el tipo mismo
de contrato que se maneja en estos negocios, contenedor de los derechos y
obligaciones de las partes, es de delicado manejo y atención. Un texto modelo
puede no ser del todo acertado para el establecimiento de las condiciones de un
contrato con semejante objeto; por ello los profesores consideraron de mayor
Presentación
utilidad señalar en el artículo algunos principios que deben ser tomados en
cuenta en el momento de celebrar un contrato de este tipo.
En el siguiente texto, el profesor Stephen Davidson, conjuntamente con
Daniel M. Bryant, dedica su artículo al intercambio de bienes y servicios
entre empresas –actividad identificada en inglés por la sigla B2B, “business to
business”. Allí abordan la estructura de las entidades B2B, los acuerdos que
se formulan en estas relaciones, y proyectan el futuro de dichas interaciones y
sus implicaciones.
En seguida Sol Beatriz Calle presenta la relación entre el comercio
electrónico y la transferencia de datos personales, la protección dada en el extranjero y la posición colombiana, que incluye las últimas iniciativas legislativas
nacionales al respecto.
La presentación de esquemas de engaño que utilizan como medio el internet
abre la posibilidad de afectar, con el alcance que la red tiene, tanto a los consumidores como a los inversionistas. Guillermo Tamayo participa precisamente
con la exposición de actividades ilegítimas que se realizan haciendo uso de las
vulnerabilidades de los sistemas informáticos o que comprometen la confianza
del consumidor.
De manera vinculada con las relaciones contractuales, o en general con los
conflictos que surgen en relaciones o situaciones jurídicas y en los cuales intervienen medios tecnológicos, toman especial relevancia los medios de prueba
digital o electrónica y su utilización directa o indiciaria en litigios judiciales,
arbitrales o administrativos, nacionales e internacionales. El profesor Stephen
Davidson interviene presentando las cuestiones prácticas relativas a su preservación, recolección, copia, destrucción e inspección.
La sociedad del conocimiento ha tenido también enorme incidencia en el
sector público, sobre todo en el logro de una mayor eficiencia y transformación
de los servicios ofrecidos al ciudadano, en desarrollo de la función pública. Uno
de los pilares del Estado de derecho es la responsabilidad del Estado y de los funcionarios; por esa razón, con el uso de medios electrónicos en el cumplimiento
de las funciones del Estado, deben someterse a revisión los nuevos escenarios de
responsabilidad. Así, el profesor Daniel Peña Valenzuela sigue, dentro de esta
compilación, con la presentación del cambio de paradigma de la responsabilidad
del Estado debido al riesgo inherente al uso de sistemas de información por
parte de las entidades estatales, los retos del porvenir en esta materia por el uso
de sistemas de gestión e información, y las consecuencias que dicho cambio
genera en beneficio de la contratación estatal internacional.
A su vez, Andrea Burgos presenta los mecanismos alternativos de resolución de conflictos, que en la era digital aparecen con el atractivo adicional


de la rapidez, facilidad y disminución de costes, y, en concreto, su aplicación
en la relación de consumo como medio de confianza, por medio de mecanismos autorregulatorios –y con ellos la aparición de terceros que otorgan dicha
seguridad–.
Por último, Alberto Jiménez Rozo aborda el tema tributario por medio de
la revisión del impuesto del iva en concordancia con la reglamentación de la
Unión Europea y sus implicaciones en el comercio internacional, en concreto
frente a una divergencia de posiciones sobre el tema alrededor del mundo.
Conscientes de la importancia de presentar estudios y conclusiones de las
disciplinas afectadas, en buena hora el Grupo de Investigación de Comercio
Electrónico del Externado ha programado la publicación de ésta, una obra multidisciplinaria, que aborda los ámbitos técnicos, comerciales y jurídicos acerca
de los retos a los que se enfrenta la sociedad de la información. Expresamos
especial reconocimiento al compromiso de los autores que en esta obra participan. Será éste un esfuerzo que haremos perdurar, con el objetivo de presentar
al público entusiasta las especiales características, integración y el desarrollo
de la sociedad de la información digital.
Adriana Zapata de Arbeláez
Directora
Departamento de Derecho de los Negocios
m i l e na q u i j a n o z a pata
Efectos jurídicos y probatorios del mensaje
de datos y la firma digital
introduccin
La ley que le dio la bienvenida a las comunicaciones telemáticas en Colombia
ya no es tan nueva. Se trata de la Ley 527 del 18 de agosto de 1999, mejor conocida como Ley de Comercio Electrónico, no porque esté limitada al escenario
comercial, sino por su origen en la Ley Modelo de Comercio Electrónico,
de 1996, de la Comisión de las Naciones Unidas para el Derecho Mercantil
Internacional, cnudmi.
Esta publicación de la Universidad Externado de Colombia es una oportunidad interesante para analizarla con un enfoque investigativo, y para ir un poco
más allá de la forma tradicional de abordarla, y conocer más profundamente su
espíritu y sus diferentes facetas. Ciertamente, ésta es una oportunidad que no
se puede desaprovechar para hacer un análisis jurídico no sólo de su contenido,
sino también de sus efectos.
I. c o n t e n i d o d e la l ey d e c o m e rc i o e l e c t r  n i c o
En el ámbito de las comunicaciones vía electrónica se presentan situaciones
nuevas que generan interrogantes a los cuales el derecho tiene que dar respuestas.
Éstos tienen que ver principalmente con el otorgamiento de valor jurídico y probatorio al documento con soporte electrónico y con la posibilidad de identificar
adecuadamente a su autor o emisor. Al primer interrogante, nuestro derecho,
a través de la Ley 527 de 1999, responde con la consagración del mensaje de
datos, y al segundo con la firma electrónica.
La adopción de ambas figuras, principales protagonistas de la ley analizada, parte de un nuevo criterio conocido como “equivalente funcional”. Éste
permite, mediante una ficción legal, establecer si una determinada tecnología
puede ponerse al mismo nivel jurídico con una figura tradicional, teniendo en
cuenta si aquélla cumple o no con sus mismas funciones y propósitos.
a . e l m e n s a j e d e dat o s
El artículo 2 literal a de la Ley 527 define el mensaje de datos como
… la información enviada, recibida, almacenada o comunicada por medios electrónicos,
ópticos o similares como pudieran ser, entre otros, el Intercambio Electrónico de Datos
(edi), Internet, el correo electrónico, el telegrama, el télex o el telefax.
Cfr. artículo 1.º de la Ley 527 de 1999 sobre ámbito de aplicación.


Efectos juridicos y probatorios del mensaje de datos y la firma digital
Aunque internet hubiera podido quedar en “entre otros” como en la Ley
Modelo, nuestro legislador, acertadamente, hizo referencia expresa a esta red
de redes. Quizás lo que debió omitirse en este artículo sería el telegrama, por
cuanto su inclusión resulta anacrónica.
La importancia de la consagración legal de esta figura radica en la seguridad
jurídica que proporciona a quienes la utilicen, ya que no sólo le fue otorgada
validez jurídica sino también probatoria. Si el requisito es un escrito, si se exige
un original o la presencia de una firma, la Ley 527 de 1999 trae para cada caso
un equivalente funcional que se verá más adelante, no sin antes dar una mirada
rápida al origen del término “mensaje de datos”.
1 . o r i g e n d e l t  r m i n o “ m e n s a j e d e d at o s ”
El término “mensaje de datos” es tomado de la Ley Modelo de Comercio Electrónico, que lo acogió luego de un interesante proceso que vale la pena conocer.
La iniciativa de lo que culminó con esta Ley Modelo tuvo origen en 1991
al interior del Grupo de Trabajo de Pagos Internacionales de la cnudmi, el cual
se enfocó en la necesidad de regular el edi por su uso creciente en el comercio.
Para ello se apoyó en las reglas conocidas como uncid publicadas por la Cámara
de Comercio Internacional, cci, en 1987. En su artículo 2 literal b. se define el
“mensaje de datos comercial” como los datos comerciales intercambiados entre las
partes interesadas en la conclusión o realización de una transacción comercial.
Cuando en julio de 1993, el mismo grupo (ahora con el nuevo nombre de
Grupo de Trabajo sobre Intercambio Electrónico de Datos) aboca el estudio del
tema, acoge en el primer borrador la expresión “mensajes de datos comerciales”,
con algunas variaciones en la definición.
El vocablo “comerciales” fue excluido posteriormente para dejar abierta la
posibilidad de usos no comerciales. Se consideró que “datos” podría confundirse con los campos de información de los mensajes edi. Se sugirió cambiar
este término por “electrónico” pero podría constituir un impedimento a futuro
para medios no electrónicos. Se mantuvo “datos” por ser de uso común en la
práctica de los actores del edi.
uncid,
Reglas Uniformes de Conducta para el Intercambio de Datos Comerciales por Teletransmis-
ión.
cnudmi, A/CN.9/WG.iv/WP.57
(art. 2.º).
(§§ 34 y 35).
cnudmi, A/CN.9/390 (§ 46).
cnudmi, A/CN.9/387
Sobre la expresión “mensaje”, hubo preocupación por su estrecha relación
con la comunicación, al punto de concluirse que dentro del término “mensaje
de datos” no cabría información sin intención de comunicarse, como es el caso
de los registros.
La inquietud era válida. En los diferentes diccionarios encontramos que el
mensaje nace para ser comunicado. La palabra “documento” fue descartada sin
mucho análisis y con la discutible razón de confundirse con el papel.
Se adoptó “registro” y no “mensaje”, y el péndulo de la confusión se movió
hacia el otro extremo: ¿queda excluida la información que se comunica? En 1994,
el Grupo decide adoptar “registro de datos” en el entendido de que también
abarcaba la comunicación de mensajes.
Ante la incertidumbre causada en algunos idiomas por la palabra “registro”,
se volvió a acoger “mensaje de datos” dejando claro que éste abarca todo tipo
de información destinada o no a la comunicación.
Reconociendo la gran labor del grupo (nuevamente bautizado como Grupo
de Trabajo de Comercio Electrónico), creemos que la adopción de este término no fue muy acertada. Hubo que hacer una extensión ficticia de la palabra
“mensaje”, aunque ha podido utilizarse una como “documento” que englobara
todo tipo de información. Cabe recordar que la teoría de la representación del
documento, mediante la cual cualquier tipo de soporte documental es válido en
la medida que represente o informe sobre un hecho, tiene más aceptación que
la teoría del escrito que sólo admite el documento sobre papel.
Quizás los miembros del Grupo nunca se imaginaron que el término “documento electrónico” llegaría a tener el auge actual, lo que demuestra que no hay
tal confusión con el papel.
Al utilizar “datos” y referirse a la “información generada, enviada, recibida o
archivada o comunicada”, se cometió una imprecisión, puesto que dato e información, si bien son dos palabras íntimamente ligadas, no significan lo mismo.
La información es un conjunto de datos relevantes, significativos y pertinentes. El dato es el resultado de una observación, son símbolos que describen
Ídem.
cnudmi, A/CN.9/390 (§ 49).
cnudmi, A/CN.9/406 (§ 133-135).
El artículo 6.º de la Ley argentina 25.506 sobre firma digital, se refiere a “documento digital” como
equivalente funcional de un escrito.
 Basta con hacer una búsqueda de “documento electrónico” y otra de “mensaje de datos” en buscadores
de internet para comprobar esta afirmación.
 Artículo 2.º lit. a. de la Ley 527 de 1999.


condiciones, hechos, situaciones o valores, pero que por sí mismos no constituyen información.
Cabe preguntarse entonces si un dato (p. ej., estadístico) enviado a través de
medios electrónicos, que en sí mismo no constituye una información, pero es importante para determinar algún evento, no se encuentra cobijado por la ley dentro de la
definición “mensaje de datos” con todas las consecuencias que esto podría traer.
Hubiera sido más claro incluir “datos” en la definición, como en los primeros dos borradores que, en vez de referirse a la información, se referían a un
“conjunto de datos”. En el tercer borrador esta expresión es suprimida y sin
ninguna explicación aparece la palabra “información”, bien sea porque para los
miembros del grupo dato e información es lo mismo, bien porque quisieron evitar
una definición circular, o quizás por excluir los datos carentes de significado.
2 . m e n s a j e d e d at o s e s c r i t o
Aunque dentro de la definición de mensaje de datos no se discrimina si la información a la que se refiere es oral o escrita, el interés de la Ley 527 de 1999 está
volcado hacia los mensajes de datos escritos.
De la Ley Modelo de Comercio Electrónico se intentó excluir las comunicaciones puramente orales, pero finalmente no se hizo, puesto que existen técnicas
mixtas que podrían generar un registro escrito de las mismas. El punto no
quedó muy claro, pero indiscutiblemente el tema del escrito fue ampliamente
abordado.
El mayor análisis estuvo en la escogencia del equivalente funcional, para lograr
equiparar un mensaje de datos a una información escrita en papel. Del escrito
se destacaron muchas funciones, pero resultaba inapropiado acogerlas todas, especialmente las que tuvieran vinculación con autenticidad e integridad. Esto en
virtud de que, para la mayoría de los países, el requisito “escrito” no está ligado
a exigencias adicionales y es aceptable como tal hasta un papel escrito a lápiz.
Finalmente se acogió un requisito mínimo como equivalente funcional, que
fue el de la accesibilidad de la información para su posterior consulta. Así quedó
consagrado el mensaje de datos escrito en la Ley 527 de 1999:
Artículo 6.º Escrito. Cuando cualquier norma requiera que la información conste por
escrito, ese requisito quedará satisfecho con un mensaje de datos, si la información que
éste contiene es accesible para su posterior consulta.
 Comisión de las Naciones Unidas para el Derecho Mercantil Internacional, A/CN.9/387 (§ 37).
Lo dispuesto en este artículo se aplicará tanto si el requisito establecido en cualquier
norma constituye una obligación, como si las normas prevén consecuencias en el caso
de que la información no conste por escrito.
Para una mejor comprensión de esta norma vale la pena estudiarla por partes,
teniendo en cuenta su origen en el Grupo de Trabajo de la cnudmi:
– “Cuando cualquier norma requiera”. Aunque hubo sugerencias para
limitar el alcance de esta expresión a las normas comerciales, se prefirió dejarla
abierta. El término “la ley” utilizado en la Ley Modelo pretende incluir otras
fuentes del derecho como la jurisprudencia. Pero en países como Colombia,
donde las decisiones judiciales son fuente auxiliar del derecho, no se puede
entender su inclusión tácita.
El alcance de la expresión es explicado en el inciso 2.º, que establece que
no sólo se aplica cuando sea el escrito un requisito expresamente establecido
en la ley, sino que se extiende o amplía a aquellos casos en que se establezcan
consecuencias para su ausencia. Un ejemplo claro de esto último es el inciso
2.º, artículo 232 del Código de Comercio, en el que se considera que la falta de
un escrito es un indicio grave de la inexistencia de un contrato.
– “… ese requisito”. Delimita el alcance del equivalente funcional sólo
al requisito de “escrito”. Si la norma requiere algo adicional diferente a un
escrito, el requisito “escrito” se satisface de acuerdo con este artículo, pero el
otro tendrá que ser cumplido con su correspondiente equivalente funcional,
y si éste no existe tendrá que satisfacerse de la forma tradicional, por ejemplo,
con la presentación personal ante notario.
– “… quedará satisfecho con un mensaje de datos”. El comentario que
mereció esta expresión estuvo relacionado con la fecha del mensaje de datos
ya que se sugirió aclarar que éste debe ser generado en una fecha relevante. La
idea era evitar que se crearan escritos en forma retrospectiva, por ejemplo el
caso de una transacción concluida oralmente y que después es registrada en
un mensaje de datos. Entonces sólo se podría dar como satisfecho el requisito
desde la fecha en que el documento escrito fue generado. Se propuso añadir
a “mensaje de datos” la expresión “generado en fecha relevante” o “quedará
satisfecho” con “puede satisfacerse”. Finalmente la sugerencia fue descartada
por considerar que crearía más problemas de los que podría solucionar.
De hecho, aun cuando en un mensaje de datos sea registrada posteriormente
no sólo una transacción oral sino también una escrita en papel, la fecha posterior no
le quita su carácter de equivalente funcional de un escrito. Ya corresponde a quien
se le presente el mensaje de datos determinar si cumple con el requisito “fecha”
(en el caso de que ésta sea relevante). Un juez, si bien podría aceptar un mensaje


de datos como un escrito, es posible que lo descarte como prueba documental por
la razón de que fue constituida con posterioridad a los hechos alegados.
– “… accesible para su posterior consulta”. Se llegó a este equivalente funcional luego de un proceso de descarte de otras nociones como visible, legible,
inteligible, inalterable, auténtico, reproducido y durable.
Se prefirió este equivalente funcional porque es un concepto objetivo, a
diferencia de visible, legible e inteligible y por no añadir exigencias adicionales
que extralimiten el equivalente funcional de un escrito, como inalterable y auténtico. Tampoco repite características implícitas en la definición de mensaje de
datos, como la durabilidad; por no excluir información (como claves en tarjetas
inteligentes) como lo hace la palabra perceptible y porque también permite la
conversión a otros formatos a diferencia de “reproducido”.
La expresión “accesible” no sólo implica la posibilidad de leer la información
con el ojo humano sino también la de ser interpretada. Para ello es necesario
conservar todo hardware y software necesarios para el procesamiento de la información.
3 . m e n s a j e d e d at o s o r i g i n a l
La originalidad de un mensaje de datos es una ficción no muy fácil de digerir.
Según la Real Academia de la Lengua Española, un escrito original es aquel
“que sirve de modelo para sacar de él una copia”.
Antes de estudiar el mensaje de datos original es importante aclarar que,
en este sentido, es imposible hablar de mensajes de datos originales en las
comunicaciones telemáticas porque el destinatario siempre recibe una copia
del mismo. Por esta razón se acude a la ficción con el criterio de equivalente
funcional. La norma que consagró el mensaje de datos original en la Ley 527
de 1999 es la siguiente:
Artículo 8.º Original. Cuando cualquier norma requiera que la información sea presentada y conservada en su forma original, ese requisito quedará satisfecho con un
mensaje de datos, si:
a. Existe alguna garantía confiable de que se ha conservado la integridad de la información, a partir del momento en que se generó por primera vez en su forma definitiva,
como mensaje de datos o en alguna otra forma;
b. De requerirse que la información sea presentada, si dicha información puede ser
mostrada a la persona que se deba presentar.
Lo dispuesto en este artículo se aplicará tanto si el requisito establecido en cualquier
norma constituye una obligación, como si las normas simplemente prevén consecuencias
en el caso de que la información no sea presentada o conservada en su forma original.
La noción de original del artículo 8.º es diferente porque se refiere a la integridad de la información sin tener en cuenta cuántas veces se consigne. Lo que
en últimas se persigue al exigir un original es determinar la integridad de un
documento, lo cual constituye su equivalente funcional.
En principio, cuando se planteó por primera vez la necesidad de regular
el mensaje de datos original para el desarrollo del comercio internacional, se
sugirieron varios criterios que estaban ligados a la voluntad del originador de
atribuirle originalidad a su mensaje, a la firma del mensaje con fecha y hora, y
a la aceptación implícita del destinatario mediante acuse de recibo.
No obstante, rápidamente se dieron cuenta los miembros del grupo de
trabajo que se requería un concepto de originalidad vinculado a la confiabilidad
de la información y así se comenzó a pensar en una garantía confiable sobre la
integridad del contenido del mensaje, el cual es interpretado así por el artículo
9.º de la Ley 527:
Artículo 9.º Integridad de un mensaje de datos. Para efectos del artículo anterior, se
considerará que la información consignada en un mensaje de datos es íntegra, si ésta
ha permanecido completa e inalterada, salvo la adición de algún endoso o de algún
cambio que sea inherente al proceso de comunicación, archivo o presentación. El grado
de confiabilidad requerido, será determinado a la luz de los fines para los que se generó
la información y de todas las circunstancias relevantes del caso.
Cuando la norma menciona “endoso o algún cambio” se refiere al evento en que
el mensaje de datos sea transmitido por una red y ésta inserte automáticamente
datos de transmisión, o también, ante la inserción de una firma electrónica.
4 . e n v  o d e m e n s a j e d e d at o s
Aunque la Ley 527 de 1999 no lo define, la persona que genera o envía un mensaje
de datos, tanto para ser comunicado como para ser archivado, se llama “iniciador”. Puede tratarse de una persona natural o jurídica y dicho envío puede ser
 cnudmi. A/CN.9/WG.iv/WP.57 (art. 8.º variante A).
 Guía para la incorporación al derecho interno de la Ley Modelo de la cnudmi sobre Comercio Electrónico (§ 67).
 Artículo 16 de la Ley 527 de 1999.


personal, a través de intermediario o de un sistema de información. Al sistema
de información, la Ley 527 lo define como “todo sistema utilizado para generar,
enviar, recibir, archivar o procesar de alguna otra forma mensajes de datos”.
Si el iniciador y el destinatario acuerdan un procedimiento o el iniciador lo
fija unilateralmente, se aplica una presunción de envío conforme a la siguiente
norma:
Artículo 17. Presunción del origen de un mensaje de datos. Se presume que un mensaje
de datos ha sido enviado por el iniciador, cuando:
1. Haya aplicado en forma adecuada el procedimiento acordado previamente con el
iniciador, para establecer que el mensaje de datos provenía efectivamente de éste, o
2. El mensaje de datos que reciba el destinatario resulte de los actos de una persona
cuya relación con el iniciador, o con algún mandatario suyo, le haya dado acceso a algún
método utilizado por el iniciador para identificar un mensaje de datos como propio.
Dos comentarios merece este artículo. El primero es que se debe mejorar su
redacción puesto que en el encabezado debería decir “cuando el destinatario”
para darle coherencia al primer numeral.
El numeral 2 se justifica para castigar al iniciador por la negligencia o falta
al no asegurar que sólo él pudiera enviar el mensaje de datos.
Si ningún procedimiento es acordado, el artículo 23 entra a suplir este silencio considerando que el mensaje de datos es expedido cuando ingrese a un
sistema de información sobre el cual quien envía el mensaje no tiene control.
Artículo 23. Tiempo del envío de un mensaje de datos. De no convenir otra cosa el
iniciador y el destinatario, el mensaje de datos se tendrá por expedido cuando ingrese
en un sistema de información que no esté bajo control del iniciador o de la persona
que envió el mensaje de datos en nombre de éste.
Esta solución genera una inquietud: ¿un mensaje de datos enviado a través de un
sistema de información que esté bajo el control exclusivo del iniciador no se considera expedido? Si un empleado recibe un correo electrónico de su empleador en
la dirección de correo electrónico suministrada por la empresa y en un computador
de la empresa, ¿quiere esto decir que el mensaje se considera no expedido?
Entonces, si es un llamado de atención, ¿no hay forma de probarlo para la
empresa? o si es un mensaje injurioso contra el empleado ¿no podría éste usarlo
 Artículo 2.º literal f. de la Ley 527 de 1999.
 Guía para la incorporación al derecho interno de la Ley Modelo de la cnudmi sobre Comercio Electrónico (§ 86).
como prueba? Al parecer, la respuesta es negativa, seguramente ante la posibilidad
de manipulación del mensaje de datos por parte de quien tiene el control. Pero es
norma supletiva que puede enmendarse con acuerdo entre las partes exceptuando
los mensajes firmados digitalmente, cuya manipulación es siempre detectable.
5 . r e c e p c i  n d e u n m e n s a j e d e d at o s
Quien recibe un mensaje de datos se conoce como destinatario. Tampoco lo define
la Ley de Comercio Electrónico. El iniciador y el destinatario pueden ser la misma
persona si el mensaje es para archivarlo. Según la ley modelo, el destinatario nunca
es un intermediario sino aquella persona a quien el iniciador tiene la intención de
enviarle un mensaje de datos, lo cual es un concepto demasiado subjetivo.
Existe también una presunción de recepción ligada al llamado “acuse de
recibo” el cual no es obligatorio. Es potestativo del iniciador solicitar, o de
las partes convenir, que el destinatario acuse recibo de un mensaje de datos y
escoger el método.
Si las partes han pactado acuse de recibo pero guardan silencio sobre la forma
de hacerlo, el artículo 20 de la Ley 527, norma supletiva, llena el vacío así:
Artículo 20. Acuse de recibo. Si al enviar o antes de enviar un mensaje de datos, el
iniciador solicita o acuerda con el destinatario que se acuse recibo del mensaje de datos,
pero no se ha acordado entre éstos una forma o método determinado para efectuarlo,
se podrá acusar recibo mediante:
a. Toda comunicación del destinatario, automatizada o no, o
b. Todo acto del destinatario que baste para indicar al iniciador que se ha recibido el
mensaje de datos.
Si el iniciador ha solicitado o acordado con el destinatario que se acuse recibo del mensaje
de datos, y expresamente aquél ha indicado que los efectos del mensaje de datos estarán
condicionados a la recepción de un acuse de recibo, se considerará que el mensaje de
datos no ha sido enviado en tanto que no se haya recepcionado el acuse de recibo.
El literal a quedó muy amplio y debería limitarse sólo a comunicación expresa
de que se ha recibido el mensaje de datos, puesto que el literal b. es claro en
cuanto a una comunicación tácita a este respecto.
 Ibíd., (§ 36).


Conociendo ya lo que es el acuse de recibo, se pasa a la presunción de recepción del artículo 21 de la Ley 527:
Artículo 21. Presunción de recepción de un mensaje de datos. Cuando el iniciador recepcione acuse recibo del destinatario, se presumirá que éste ha recibido el mensaje de
datos.
Esa presunción no implicará que el mensaje de datos corresponda al mensaje recibido.
Cuando en el acuse de recibo se indique que el mensaje de datos recepcionado cumple
con los requisitos técnicos convenidos o enunciados en alguna norma técnica aplicable,
se presumirá que ello es así.
Si no hay pacto previo entre las partes se aplica el artículo 24 de la Ley 527 de
1999:
Artículo 24. Tiempo de la recepción de un mensaje de datos. De no convenir otra cosa
el iniciador y el destinatario, el momento de la recepción de un mensaje de datos se
determinará como sigue:
a. Si el destinatario ha designado un sistema de información para la recepción de
mensaje de datos, la recepción tendrá lugar:
1. En el momento en que ingrese el mensaje de datos en el sistema de información
designado; o
2. De enviarse el mensaje de datos a un sistema de información del destinatario que
no sea el sistema de información designado, en el momento en que el destinatario
recupere el mensaje de datos;
b. Si el destinatario no ha designado un sistema de información, la recepción tendrá lugar
cuando el mensaje de datos ingrese a un sistema de información del destinatario.
Lo dispuesto en este artículo será aplicable aun cuando el sistema de información esté
ubicado en lugar distinto de donde se tenga por recibido el mensaje de datos conforme
al artículo siguiente.
En el literal a la designación del sistema de información debe ser expresa. La
sola indicación en el membrete u otro documento del correo electrónico o
número de fax no constituye designación expresa según la Ley Modelo. En
el literal a 2 del mismo artículo el término “recupere” hace referencia a que el
destinatario efectivamente lea el mensaje de datos.
 Ibíd., (§ 102).
En el literal b, la expresión “ingrese a un sistema de información del destinatario” puede considerarse como la llegada del mensaje de datos a un buzón de
correo electrónico aunque el servidor donde éste se encuentre no le pertenezca
al destinatario.
6 . l u g a r d e e n v  o y r e c e p c i  n d e l o s m e n s a j e s d e dat o s
Se pretende que el lugar donde se encuentra el sistema de información no sea
un elemento determinante porque crearía una gran incertidumbre jurídica,
teniendo en cuenta que en la mayoría de los casos éste no corresponde al de la
ubicación de las partes. Para ello se incluyó un artículo en la Ley 527 de 1999
que está a tono con la Convención de las Naciones Unidas sobre los Contratos
de Compraventa Internacional de Mercaderías.
Artículo 25. Lugar del envío y recepción del mensaje de datos. De no convenir otra
cosa el iniciador y el destinatario, el mensaje de datos se tendrá por expedido en el
lugar donde el iniciador tenga su establecimiento y por recibido en el lugar donde el
destinatario tenga el suyo. Para los fines del presente artículo:
a. Si el iniciador o destinatario tienen más de un establecimiento, su establecimiento
será el que guarde una relación más estrecha con la operación subyacente o, de no haber
una operación subyacente, su establecimiento principal.
b. Si el iniciador o el destinatario no tienen establecimiento, se tendrá en cuenta su
lugar de residencia habitual.
B. la f i r m a e l e c t r  n i c a
Si bien a menudo se confunden los dos conceptos, la firma electrónica es el
género, y la firma digital una de sus especies. Es importante conocer la primera
ya que, aunque en este momento la digital es la firma electrónica por excelencia,
la más segura y confiable, es posible que en el futuro surjan o se perfeccionen
técnicas que la superen, o también que deje de ser tan confiable y haya que
reemplazarla por otra tecnología.
El artículo 7.º de la Ley 527 introdujo la firma electrónica para aquellos
casos en que la ley exija la presencia de una firma o para aquellos en los cuales
establezca consecuencias ante su ausencia, de tal forma que si cumple con determinados requisitos, la firma electrónica satisfará esta exigencia si:
a. Se ha utilizado un método que permita identificar al iniciador de un
mensaje de datos y para indicar que el contenido cuenta con su aprobación.
Esto trae dos equivalentes funcionales: 1. Identificar a alguien, y 2. Asociarlo(a)


con el contenido del documento. Se tomaron de los trabajos preparatorios de
la Ley Modelo de Firmas Electrónicas de cnudmi.
b. Que el método sea tanto confiable como apropiado para el propósito por
el cual el mensaje fue generado o comunicado. En la Ley Modelo de Firmas
Electrónicas de 2001 quedaron establecidos unos requisitos para la confiabilidad del método de firma electrónica, requisitos que también se fijaron en el
artículo 28 de la Ley 527 de 1999 pero sólo para la firma digital.
1 . l a f i r m a d i g i ta l
La firma digital es definida en el artículo 2.º literal c. de la Ley de Comercio
Electrónico, así:
… c. Firma digital. Se entenderá como un valor numérico que se adhiere a un mensaje
de datos y que, utilizando un procedimiento matemático conocido, vinculado a la clave
del iniciador y al texto del mensaje permite determinar que este valor se ha obtenido
exclusivamente con la clave del iniciador y que el mensaje inicial no ha sido modificado
después de efectuada la transformación.
El artículo 28 antes mencionado asigna a la firma digital los mismos efectos y
fuerza que la firma manuscrita, ante el cumplimiento de los siguientes atributos:
1. “Es única a la persona que la usa”.
No se puede afirmar que la firma es única a la persona que la usa, sino que
los datos de creación de la firma corresponden a su titular. Aunque estos datos
no están definidos en la Ley Modelo de Firmas Electrónicas, ésta los contempla
en el artículo correspondiente así:
a. “Los datos de creación de la firma, en el contexto en que son utilizados
corresponden exclusivamente al firmante”.
La guía para la incorporación de la Ley Modelo de Firmas Electrónicas establece que este término designa las claves secretas, los códigos y otros elementos
que, en el proceso de crear una firma electrónica, se utilizan para obtener un
vínculo seguro entre la firma electrónica resultante y la persona del firmante.
Son datos secretos que, en el contexto de firmas electrónicas mediante dispositivos biométricos, podrían ser la huella digital, pero en el contexto de las firmas
digitales son la clave privada.
 Artículo 6.º de la Ley Modelo de la cnudmi sobre firmas electrónicas.
 Guía para la Incorporación de la Ley Modelo de Firmas Electrónicas, (§ 97).
Existe otra observación para la afirmación contenida en este numeral que está
relacionada con las matemáticas y que vale la pena comentar. Según Enrique
Chaparro, especialista en seguridad de los sistemas de información:
… existe la probabilidad de que dos firmantes distintos, con claves privadas diferentes,
firmando mensaje distintos, obtengan el mismo resultado. Esta probabilidad es muy
pequeña (menor que la de ganar la lotería, ser alcanzado por un rayo y sobrevivir, ser
madre de cuatrillizos y morir en un accidente de aviación, todo en el mismo día), pero
existe. Por lo tanto, no es posible asegurar lo que la ley pretende […] Cuando se lidia
con las matemáticas, que tienen reglas de demostración científica muy precisas, antiguas
y aceptadas, los legisladores deben ser muy cuidadosos con las palabras que eligen.
2. “Es susceptible de ser verificada”.
Se refiere a la existencia de un mecanismo que permita verificar quién es
el titular de la firma digital y si ésta es válida. En este caso son las entidades de
certificación, que a través de las claves públicas de los suscriptores que envían
documentos firmados digitalmente, pueden verificar su identidad.
La Ley 527 de 1999 define Entidad de Certificación en el artículo 2 literal
d como:
c. Entidad de Certificación. Es aquella persona que autorizada conforme a la presente
ley, está facultada para emitir certificados en relación con las firmas digitales de las
personas, ofrecer o facilitar los servicios de registro y estampado cronológico de la
transmisión y recepción de los mensajes así como cumplir otras funciones relativas a
las comunicaciones basadas en las firmas digitales.
El artículo 29 de la Ley 527 de 1999 establece que pueden ser entidades de
certificación personas jurídicas públicas o privadas, nacionales o extranjeras y
cámaras de comercio del país. La Ley 588 de 2000 añade a las notarías y consulados a este grupo.
Las entidades de certificación se clasifican en abiertas y cerradas de acuerdo
con el Decreto 1747 de 2001:
Abiertas: Aquellas cuyos servicios no se limitan al intercambio de mensajes
entre la entidad y el suscriptor o que reciben remuneración por éstos (art. 1.º
num. 9).
Cerradas: Sólo ofrecen servicios para el intercambio de mensajes entre la
entidad y el suscriptor sin exigir remuneración por ello (art. 1.º num. 8).
 Entrevista con Enrique Chaparro, especialista en seguridad de los sistemas de información, vía correo
electrónico, 8 de abril de 2004.
 Artículo 1.º del Decreto 1747 de 2000.


La autorización es otorgada por la Superintendencia de Industria y Comercio si se cumplen unos requisitos de carácter económico, financiero, técnicos
y éticos traídos por la Ley de Comercio Electrónico y por el Decreto 1747 de
2000. Se le asigna a esta Superintendencia porque en concepto de la comisión
redactora del proyecto de ley, que dio origen a la Ley 527 de 1999, éste es el
ente adecuado porque su competencia es afín con estas labores.
3. “Está bajo el control exclusivo de la persona que la usa”
De nuevo se refiere a los datos de creación y éste es un atributo muy importante, porque si el titular de la firma la comparte con otros o la pone en
peligro y no solicita la revocación del certificado, será responsable por los daños
y perjuicios que cause a terceros de buena fe.
Por otro lado, en este atributo surge un interrogante: ¿Puede el titular de
la firma autorizar a un tercero a utilizar sus datos de creación de la firma para
enviar un documento electrónico firmado?
Por el lado de la representación vemos que cuando alguien otorga un mandato con representación, el mandatario al momento de firmar no lo hace con
la firma manuscrita del mandante sino con su propia firma. En el campo de
lo penal, esta conducta sería punible si se configura el tipo penal de “falsedad
personal” del artículo 296 del Código Penal según el cual
… el que con el fin de obtener un provecho para sí o para otro, o causar daño, sustituya
o suplante a una persona o se atribuya nombre, edad, estado civil, o calidad que pueda
tener efectos jurídicos, incurrirá en multa, siempre que la conducta no constituya
otro delito.
4. “Está ligada a la información o mensaje, de tal manera que si éstos son cambiados, la firma digital es invalidada”.
El uso de la firma digital involucra la integridad del documento firmado.
Por la tecnología utilizada, esta integridad va implícita. Si se analiza bien este
artículo se está yendo más allá del concepto de equivalente funcional puesto
que cuando se firma un documento con firma manuscrita o autógrafa, no se
está garantizando su integridad ni el poder detectar alteraciones posteriores al
momento de dicha firma sino su autenticidad.
¿Qué dijo la Ley Modelo de Firmas Electrónicas? En ésta sí quedó bien
planteada la equivalencia funcional porque sólo se refiere a una alteración en la
firma electrónica sin requerir la integridad del documento. Veamos los literales
c. y d. del numeral 3 del artículo 6.º de la Ley Modelo de Firmas Electrónicas
(criterios objetivos de fiabilidad):
 Artículo 37, Ley 527 de 1999.
… c. Es posible detectar cualquier alteración de la firma electrónica hecha después del
momento de la firma (integridad de la firma)
d. Cuando uno de los objetivos del requisito legal de firma consista en dar seguridades
en cuanto a la integridad de la información a que corresponde, es posible detectar
cualquier alteración de esa información hecha después del momento de la firma (integridad del documento).
Como argumento para no combinar ambas normas precisamente está el respeto
al criterio de la equivalencia funcional, por no ser la integridad el equivalente
funcional de la firma manuscrita.
El literal d. va dirigido a aquellos países cuya ley sobre firmas manuscritas
involucre integridad del documento o a los que por motivos de fiabilidad de la
firma electrónica van más allá del equivalente funcional. ¿Está esto ajustado al
ordenamiento colombiano? Está en duda el derecho a la igualdad de quienes usan
una y otra firma. Hay que aplicar el equivalente funcional. Por ejemplo, cuando
se trata de un documento reconocido ante notario para que éste reconozca la
autenticidad y la integridad del mismo (Decreto 960 de 1970), el atributo 4. se
aplicaría perfectamente, pero si la ley no exige integridad, debe prescindirse
de este atributo.
En la práctica, cuando un documento firmado digitalmente es alterado
después de la firma, ésta se invalida, pero la autenticidad puede comprobarse
en el certificado digital, de tal forma que uno puede saber que ese mensaje fue
enviado con la clave privada del emisor y tener la certeza de que él lo envió.
También cabe la discusión de si no se exige la integridad del documento
por ser impráctico en lo relativo a firmas manuscritas; en ese caso, la firma
digital, con su consecuente integridad, podría ser bienvenida desde el punto
de vista jurídico.
II. e f e c to s D e la l ey 5 2 7 D e 1 9 9 9
A . e f e c t o s p r o b at o r i o s D e l o s m e n s a j e s D e D at o s
Ya se examinaron los efectos jurídicos de los mensajes de datos y de la firma
digital; ahora es momento de analizar su valor probatorio.
El artículo 10.º de la Ley 527 de 1999 trae el principio de la no discriminación de un mensaje de datos, al ubicarlo dentro de los medios probatorios
en los documentos:
 Guía para la Incorporación de la Ley Modelo de Firmas Electrónicas (§§ 124 y 125).


Artículo 10.º. Admisibilidad y fuerza probatoria de los mensajes de datos. Los mensajes
de datos serán admisibles como medios de prueba y su fuerza probatoria es la otorgada
en las disposiciones del Capítulo viii del Título xiii, Sección Tercera, Libro Segundo
del Código de Procedimiento Civil.
En toda actuación administrativa o judicial, no se negará eficacia, validez o fuerza
obligatoria y probatoria a todo tipo de información en forma de un mensaje de datos,
por el sólo (sic) hecho que se trate de un mensaje de datos o en razón de no haber sido
presentado en su forma original.
En cuanto a la expresión “no haber sido presentado en su forma original” puede
causar confusión, ya que no es coherente con el artículo 8.º relativo a los mensajes de datos originales. Si se compara este artículo con el correspondiente en
la Ley Modelo de Comercio Electrónico encontramos que su artículo 9.º trae
este mismo supuesto pero en diferente circunstancia:
Artículo 9.º b. Por razón de no haber sido presentado en su forma original, de ser ese mensaje la mejor prueba que quepa razonablemente esperar de la persona que la presenta.
Cuando la norma original se refiere a “la mejor prueba” está expresando una
regla del common law. Para evitar cualquier confusión en países que no contemplan este tecnicismo, como el nuestro, la cnudmi recomendó obviarla. Esta
recomendación no fue seguida en la Ley 527 de 1999 y quedó a medias, lo cual
da lugar a pensar erróneamente que, aunque la ley exija que ciertos documentos sean presentados en original, el juez no podría rechazar una prueba por no
cumplir este requisito.
El artículo 11 trae los criterios para valorar probatoriamente un mensaje
de datos. Es una norma para el juez o funcionario administrativo ante quien se
presente un mensaje de datos como prueba en proceso judicial o administrativo,
y ella establece los mismos criterios y unos adicionales, así:
Artículo 11. Criterio para valorar probatoriamente un mensaje de datos. Para la valoración de la fuerza probatoria de los mensajes de datos a que se refiere esta ley, se tendrán
en cuenta las reglas de la sana crítica y demás criterios reconocidos legalmente para la
apreciación de las pruebas. Por consiguiente habrán de tenerse en cuenta: la confiabilidad en la forma en la que se haya generado, archivado o comunicado el mensaje, la
 Conforme a la regla de la mejor prueba, cuando se requiera la presentación del documento fundamental
de la controversia en su forma original, sólo se admitiría la producción del mensaje de datos si la parte
necesitada de hacerlo valer puede satisfactoriamente explicar por qué el documento en su forma original
(ello es la mejor prueba) no le es accesible.
 Guía para la Incorporación de la Ley Modelo de Firmas Electrónicas (§ 68).
confiabilidad en la forma en que se haya conservado la integridad de la información, la
forma en la que se identifique a su iniciador y cualquier otro factor pertinente.
Para analizar los efectos del mensaje de datos, en un ejercicio académico se partirá
de los argumentos esgrimidos en el Auto 2475 del 4 de noviembre de 2003 de la
Superintendencia de Industria y Comercio. En este proveído se rechaza como
prueba un mensaje de datos porque al no estar firmado electrónicamente, fue considerado por la entidad como un documento privado desprovisto de autenticidad.
Según el artículo 279 del cpc este tipo de documentos tienen el carácter de prueba
sumaria si han sido suscritos ante dos testigos, requisito que tampoco se cumplió,
al igual que los criterios de valoración relacionados con la confiabilidad.
1 . m e n s a j e s d e d at o s s i n f i r m a e l e c t r  n i c a
Los mensajes de datos sin firma electrónica que cumplan con los requisitos
legales están desprovistos de autenticidad en virtud del artículo 279 del cpc
y ni siquiera pueden ser considerados prueba sumaria, porque mal podría
hablarse de suscripción ante testigos cuando el equivalente funcional de la firma
manuscrita es precisamente la firma electrónica y ésta no existe. Entonces, ni
es documento auténtico, ni es prueba sumaria. Pero esta situación no impide
que bajo determinadas circunstancias se pueda utilizar un mensaje de datos
como prueba:
– En el evento contemplado en el artículo 269 del cpc, que permite que
instrumentos no firmados ni manuscritos por la parte a quien se opone tengan
valor probatorio, si son aceptados expresamente por ella.
– Cuando opere la presunción de envío y recepción de un mensaje de datos
vista previamente en los artículos 17 y 21 de la Ley de Comercio Electrónico,
según la cual al presunto iniciador o destinatario le correspondería probar en
contrario si se llegan a demostrar los hechos contemplados por las normas.
2 . m e n s a j e d e d at o s c o n f i r m a e l e c t r  n i c a
Estos mensajes merecen especial análisis puesto que, de la lectura de apartes
del fallo analizado, podría pensarse que éstos son considerados documentos
 Puede consultarse en el Boletín Jurídico n.o 11 de 2003 de la Superintendencia de Industria y Comercio.
Disponible en internet en el sitio web de la entidad.
 Particularmente la frase “Se trata de documentos privados, no auténticos, pues no existe certeza acerca
de quien los elaboró, toda vez que no están manuscritos ni firmados”.


auténticos si son firmados. Esta posición es discutible en la medida que el
artículo 7.0 de la Ley 527 de 1999 sólo trae la firma electrónica como el equivalente funcional de la firma manuscrita, la cual, por sí sola, no hace auténtico
un mensaje de datos.
Si se observa el artículo 252 del cpc, para que un documento privado sea
considerado auténtico se requiere certeza sobre la persona que lo ha elaborado,
manuscrito o firmado. La norma también establece casos de documentos
privados auténticos que podrían tomarse como taxativos, dentro de los cuales
no se encuentran los documentos firmados electrónicamente y, por lo tanto, se
entienden excluidos si no existe la certeza antedicha.
Sin embargo, existe una norma imperativa con respecto a la autenticidad
de mensajes de datos transmitidos entre notarios, consulados o entre ambas
entidades.
a . m e n s a j e s d e d at o s f i r m a d o s p o r n o ta r i o s y c  n s u l e s
Los mensajes de datos con firma electrónica que cumplan con los requisitos y
atributos consagrados en la Ley 527 de 1999 son auténticos si son transmitidos
por notarías o consulados a otros notarios o cónsules. Esta autenticidad está
determinada en norma imperativa, como lo es el parágrafo 2.º del artículo 1.º
de la Ley 588 del 5 de julio de 2000 “por medio de la cual se reglamenta el
ejercicio de la actividad notarial”
Artículo 1.º Parágrafo 2.º Las notarías y consulados podrán transmitir como mensajes
de datos, por los medios electrónicos, ópticos y similares a los que se refiere el literal a.
del artículo 2.º de la Ley 527 de 1999, a otros notarios o cónsules, copias, certificados,
constancias de los documentos que tengan en sus archivos, así como de los documentos
privados que los particulares quieran transmitir con destino a otros notarios y cónsules
o personas naturales o jurídicas. Dichos documentos serán auténticos cuando reúnan
los requisitos técnicos de seguridad que para transmisión de mensajes de datos que
(sic) establece la Ley 527 de 1999.
El parágrafo pareciera limitar la transmisión de estos mensajes a los intercambios
entre notarías y consulados. Es por lo último que en justificación al artículo
nuevo sugerido por la Superintendencia de Notariado y Registro, sobre firma
electrónica notarial del proyecto de ley antitrámites (37 de 2003), que se convirtió en la Ley 962 de 2005, se expresa lo siguiente:
 Cfr. [www.confecámaras.org.co/juridica/guíajuridica/observatorio/2004/pl-37-03s-acum-14-03cartnue.doc].
En el desarrollo de proyectos de simplificación de trámites entre la Superintendencia
y la Cámara de Comercio, los notarios manifestaron sus reservas sobre la frase “a otros
notarios o cónsules”. Al restringir los destinatarios de los mensajes de datos enviados
por los notarios, la Ley 588 de 2000 creó una situación que frena el desarrollo del
comercio electrónico y del gobierno en línea en Colombia.
Se hace necesario que la ley antitrámites permita el uso de la firma electrónica para
autorizar escrituras públicas y expedir copias auténticas de las mismas, desarrollando
el principio de equivalencia funcional, presente en la Ley 527 de 1999, y derogando ese
lamentable error que constituye el parágrafo 2 del artículo 1 de la Ley 588 de 2000.
A pesar de lo anterior, la Superintendencia de Notariado y la Cámara de Comercio de Bogotá celebraron un convenio interinstitucional de cooperación
en 2003, mediante el cual se pretende el envío por internet, por parte de los
notarios, de copias electrónicas de las escrituras públicas que deban registrarse
en las cámaras de comercio.
Para lograr este tipo de envío, la Superintendencia de Notariado y Registro
dictó la Resolución 643 de 2004, que, en su artículo 7.º establece lo siguiente:
Artículo 7.º. Del envío de la copia electrónica de la escritura pública a las Cámaras de
Comercio. Autorizada la escritura pública, el Notario podrá enviar una copia electrónica
de la misma a la Cámara de Comercio que corresponda, para que la cámara realice su
calificación e inscripción en el registro correspondiente. La expedición de esta copia
electrónica causará los mismos derechos que la expedición de una copia auténtica en
soporte tradicional.
El archivo que se enviará a las cámaras de comercio deberá estar firmado digitalmente
por el notario.
Aunque en las consideraciones se invocan algunas normas relevantes, la Ley 588 de
2000 es ignorada. Es importante tener en cuenta que ésta es la única norma que le
da autenticidad a los mensajes de datos transmitidos por notarías y consulados.
Como se vio previamente en el parágrafo 2.º del artículo 1.º de esta ley, se
permite a las notarías y consulados enviar a otros notarios o cónsules mensajes
de datos que contengan copias, certificados, constancias, así como documentos
privados que los particulares quieran transmitir con destino a otros notarios y
cónsules o personas naturales o jurídicas.
Acá debemos anotar que la expresión “con destino a” podría dar lugar a
confusión en el sentido de que se podría interpretar, de una lectura desprevenida, que los notarios y cónsules, a solicitud de particulares, podrían transmitir
directamente mensajes de datos a personas naturales o jurídicas.


Aun sucumbiendo ante esta posible interpretación de aceptar la autenticidad
de un mensaje de datos enviado por notarías y consulados a las cámaras de comercio, se presenta una segunda confusión: ¿esta norma se aplicaría a escrituras
públicas como lo prevé el artículo 7.º de la Resolución 643 de 2004?
A partir de la frase en el parágrafo 2.º “copias, certificados, constancias
de los documentos que tengan en sus archivos, así como de los documentos
privados que los particulares quieran transmitir con destino a otros notarios
y cónsules o personas naturales o jurídicas” podría colegirse que los mensajes
enviados a personas naturales o jurídicas por solicitud de particulares sólo
serían contentivos de documentos privados, dentro de los cuales no caben ni las
escrituras públicas ni sus copias auténticas. Desde este punto de vista no podría
configurarse la autenticidad de los mensajes de datos con las copias electrónicas
de escrituras públicas contempladas en la Instrucción Administrativa n.º 07 de
febrero de 2004 de la Superintendencia de Notariado y Registro.
Otra posible interpretación, menos acorde con la redacción de la frase antes
mencionada, podría dar lugar a pensar que los particulares pueden transmitir
a través de notarías o consulados tanto documentos privados como copias,
certificados y constancias de los documentos que estas entidades tengan en sus
archivos. En este evento no habría lugar a cuestionar ni la Resolución 643 de
2004 ni la Instrucción Administrativa n.º 07 del mismo año, ambas expedidas
por la Superintendencia de Notariado y Registro.
Bajo esta posición surge otra inquietud: ¿pueden enviarse copias de escrituras públicas por medio de un mensaje de datos para su correspondiente registro
en las cámaras de comercio?
En el Concepto 04014920 de 2004, la Superintendencia de Industria y
Comercio se pronunció sobre el tema. Consideró que un mensaje de datos
contentivo de una copia de una escritura pública, que sea accesible para su
posterior consulta y que esté firmado digitalmente por el notario respectivo,
tiene el mismo valor que una copia auténtica tradicional de una escritura.
Para llegar a esta conclusión, la entidad dividió el análisis en dos partes.
En primer lugar, se enfocó en la forma escrita exigida por los artículos 79 del
Estatuto de Notariado y 41 del Decreto 2148 de 1983, la cual es suplida por el
mensaje de datos escrito (art. 6.º Ley 527 de 1999).
 Para mayor información, la Instrucción Administrativa n.o 07 de febrero de 2004 de la Superintendencia
de Notariado y Registro, disponible en [www.supernotariado.gov.co/SuperNotariado/pp./insadm0704.
doc], enuncia las escrituras públicas que pueden ser objeto de envío electrónico de las notarías a las
cámaras de comercio.
Determinada la equivalencia funcional del requisito “escrito”, el siguiente
análisis se dirigió hacia la autenticidad. Así, se acudió al artículo 254 del cpc que
prevé los casos en que las copias tendrán el mismo valor probatorio del original.
En el primer caso, “… cuando hayan sido autorizadas por notario […] previa
orden del juez, donde se encuentre el original o una copia autenticada”, la Superintendencia fundamentó la conclusión en el sentido de que la autorización
por notario implica su firma y que ésta puede suplirse por una firma electrónica
de acuerdo con lo previsto en el artículo 7.º de la Ley 527 de 1999.
No se entiende por qué en este segundo análisis sobre la autenticidad se
tomó el primer caso del artículo 254 del cpc, puesto que en éste se requiere
de orden judicial previa. Si se estaba hablando de copia auténtica, de acuerdo
con lo exigido para la inscripción de la escritura pública de una sociedad en las
cámaras de comercio, debería haberse buscado su equivalente funcional y no
su valor probatorio. De esta forma, en el Capítulo viii de la Sección Cuarta del
Decreto 960 de 1970 –Estatuto del Notariado– se trata el tema de las copias de
las escrituras públicas. Su artículo 85 establece lo siguiente:
Art. 85. Completa la copia, a renglón seguido se pondrá la nota de su expedición que indicará el número ordinal correspondiente a ella, los números de las hojas de papel competente
en que ha sido reproducida, la cantidad de estas y el lugar y la fecha en que se compulsa.
Terminará con la firma autógrafa del notario y la imposición de su sello, con indicación
del nombre y denominación del cargo. Todas las hojas serán rubricadas y selladas.
Esta norma establece unos requisitos adicionales a la copia escrita, dentro de
los cuales se encuentra la firma autógrafa y el sello del notario en cada una de
las copias. La firma autógrafa encuentra su equivalente funcional en la firma
electrónica, pero, ¿cuál sería el equivalente funcional del sello? Cabe anotar que
en este caso no está sustituyendo a la firma sino cumpliendo con un requisito
legal de seguridad adicional, por lo que no se podría tomar la firma electrónica
como equivalente funcional del sello.
El Proyecto de Ley 053 de 2003 del Senado, acumulado con el 93 de 2003
del mismo cuerpo legislativo (archivado), “por la cual se reforma el Estatuto Notarial, en especial el Decreto-Ley 960 de 1970, y se dictan otras disposiciones”,
buscaba regular este aspecto mediante la inclusión de los siguientes artículos:
Artículo 12. La firma digital del Notario tendrá los mismos efectos autorizantes de la
firma autógrafa para las escrituras públicas, y del sello y firma para los demás actos
propios de su competencia.
Artículo 13. El Notario podrá expedir copias digitales auténticas de las escrituras
públicas del protocolo digital, siempre y cuando certifique mediante su firma la cor-


respondencia de la copia con el original y cuente con los medios para garantizar la
integridad y autenticidad del documento emitido.
Queda abierto así el debate. Éste es un debate en el que es de esperarse que
sus actores sean conscientes de la necesidad de adaptar las normas actuales a
las nuevas tecnologías, y, dentro de este proceso, analizar si se debe o no tener
siempre en cuenta el criterio del equivalente funcional.
b. m e n s a j e s d e d at o s f i r m a d o s p o r p e r s o n a s
d i f e r e n t e s a n o ta r i o s y c  n s u l e s
Retomando la introducción a este tema, los mensajes de datos con firma electrónica enviados por particulares no son tampoco documentos auténticos, pero
¿podrían ser considerados prueba sumaria? La situación aquí cambia. Volviendo
al artículo 279 del cpc, que otorga el carácter de prueba sumaria a los documentos
privados desprovistos de autenticidad si han sido suscritos ante dos testigos, es
posible atribuirle tal carácter a un mensaje de datos firmado electrónicamente
porque el acto de firmar de esta forma requiere una acción del firmante que
puede ser objeto de testimonio de quienes la presencien.
Pudiera pensarse que por la presencia de un tercero de confianza, como lo es
una entidad de certificación en un proceso de firma digital, podría garantizarse
la autenticidad del mensaje de datos. De hecho, la Corte Constitucional en la
Sentencia C-662 del 8 de junio de 2000 consideró:
Las entidades de certificación certifican técnicamente que un mensaje de datos cumple
con los elementos esenciales para considerarlo como tal, a saber la confidencialidad,
la autenticidad, la integridad y la no repudiación de la información, lo que, en últimas
permite inequívocamente tenerlo como auténtico.
No obstante, como en el mismo fallo se prevé, corresponde al legislador regular
el servicio notarial que, hasta ahora, no se les ha asignado a las entidades de
certificación creadas por la Ley 527 de 1999.
Es importante aclarar que la “certeza” sobre la persona que firma un
documento, de acuerdo con el artículo 252 del cpc, es difícil de asegurar, si
no imposible, en las firmas digitales y electrónicas en general. La posibilidad
de que una persona diferente al suscriptor, que conozca los datos de creación
de la firma, los utilice para firmar un mensaje de datos, podría ser la base de
 Con la excepción prevista en el artículo 24 de la Ley 962 de 2005 (presunción de validez de firmas).
la presunción del artículo 28 de la Ley 527, en el que se presume la intención
del suscriptor de una firma digital de acreditar el mensaje y de ser vinculado
con su contenido.
Aunque la presunción es reforzada por el artículo 15 del Decreto 1747 de
2000 –que da por probados los atributos de la firma digital ante el uso adecuado
de un certificado digital– no deja de ser presunción y mucho menos permite
concluir una certeza.
consideraciones finales
La Ley 527 de 1999, al contemplar nuevas formas de crear documentos escritos
y originales, de comunicarlos y de firmarlos, tiene la particularidad de estar
relacionada con todas las ramas del derecho sobre las cuales, poco a poco, ha
ido influyendo a través de normas nuevas o adaptaciones a las existentes.
La adopción temprana de la Ley Modelo de Comercio Electrónico, aunque
tiene muchas ventajas, pudo incidir en algunas inexactitudes de la Ley 527 de
1999, por lo que sería conveniente hacerle algunos ajustes para mayor claridad
de sus disposiciones. Vale la pena estar preparados, jurídicamente hablando,
para los conflictos que se avecinan, con el incremento en el uso de los mensajes
de datos y de la firma digital.
En el ámbito del Gobierno Electrónico –al que es más conveniente llamar
Estado Electrónico por involucrar a todas las ramas del poder público–, se
planteó una decisión a tomar por parte de la Comisión Intersectorial de Políticas
y de Gestión de la Información, sobre la implementación de la firma digital,
a finales del 2004, para los asuntos relacionados con el comercio exterior, y la
administración tributaria, entre otros.
Es importante no perder de vista el criterio del equivalente funcional y la
responsabilidad del Estado, con apoyo de la Agenda de Conectividad, de procurar el cierre de la brecha digital, antes de imponer el uso de nuevas tecnologías
a los ciudadanos de a pie.
Es fundamental para los profesionales del derecho, cualquiera sea el área
en la que se desempeñen, familiarizarse con esta ley y aquellas que la desarrollen, porque, en cualquier momento, tendrán que recurrir a ellas. Además,
por ser ésta una ley innovadora y con alto contenido tecnológico, es mejor estar
 Entidad creada por Decreto 3816 del 31 de diciembre de 2003 que, entre otras funciones, tiene la de
optimizar mediante el uso de medios tecnológicos, la calidad, la eficiencia y la agilidad en las relaciones
de la administración pública con el ciudadano, con sus proveedores, y de las entidades de la administración pública entre sí.


preparados para no dejarse confundir por interpretaciones superficiales, que
fácilmente pueden darse en este contexto.
Igualmente es necesario un debate para la necesaria adaptación de trámites
tradicionales a las nuevas tecnologías de la información y de las comunicaciones,
no ignorando normas vigentes sino siendo conscientes de su existencia para
adaptarlas o reemplazarlas –si es el caso– de acuerdo con el nuevo entorno y
con las múltiples posibilidades que éste brinda.
rbinson guerrero clavijo
Novedades en materia de contratación mercantil
introducidas por la ley de servicios
de la sociedad de la información
introduccin
Durante los años 1950, época en que la investigación militar norteamericana
buscaba implantar una red de comunicaciones segura e independiente, nadie
imaginó que, en el fondo, lo que realmente se estaba gestando era el futuro de
las comunicaciones, el comercio y el intercambio de información. Hoy, después
de más de cincuenta años de desarrollo de este tipo de tecnología, el mundo se
encuentra frente a los grandes retos que impone un nuevo medio que afecta
todas las áreas de actividad social y económica.
Como todo tipo de innovación masificada, internet y los demás medios de
comunicación telemática generan nuevas actividades, plantean nuevas relaciones
y crean una serie de condiciones que es necesario regular de manera específica
para un desarrollo ordenado del sector.
Esto ha hecho necesario que los diferentes países adopten mecanismos
jurídicos para regular y hacer frente a todas y cada una de las vicisitudes que
puede presentar el desarrollo de las tecnologías de la información.
En España, a pesar de que ese desarrollo legislativo ha sido tardío, hoy ya
se cuenta con un instrumento que regula, de manera general, lo que se han
llamado servicios de la sociedad de la información, y, de manera específica, el
comercio electrónico.
En efecto, la Ley 34 de 2002, del 11 de julio, Ley de Servicios de la Sociedad
de la Información (lssi), en su exposición de motivos plantea que su objetivo
final es incorporar al ordenamiento jurídico español la directiva 2000/31/CE
del Parlamento Europeo y del Consejo (relativa a determinados aspectos de
los servicios de la sociedad de la información) y la 98/27/CE, del Parlamento
Europeo y del Consejo (relativa a las acciones de protección de los intereses de
los consumidores).
En suma, lo que se pretende es dejar una regulación actual de todo lo
concerniente al comercio electrónico, a la prestación de servicios y al intercambio de información a través de la red, sin dejar de lado la protección de los
consumidores de este tipo de servicios.
Algunos autores consideran, y de hecho se ha dejado plasmado en la Directiva 2000/31/CE, que la
evolución actual de la tecnología no permite crear una herramienta legal que dé cobertura absoluta a
las relaciones ocasionadas como consecuencia de la innovación tecnológica; en ese sentido se plantea
como principio imperante de este tipo de normas el de la neutralidad tecnológica, que consiste en que
los instrumentos legales que se creen no tomen partido por ningún tipo de tecnología, de modo que
puedan ser aplicables a cualquier innovación que surja.
Es necesario tener en cuenta que, pese a la regulación general sobre este tema, la evolución normativa
del comercio electrónico ha girado siempre en torno al aseguramiento de las transacciones, en definitiva


Novedades en materia de contratación mercantil…
Todo esto se debe a que la implantación del comercio electrónico en las sociedades modernas es un hecho que no podemos negar desde ningún punto de vista.
El interés en este medio de comunicación viene determinado por el creciente
empleo de las tecnologías de la información para realizar actividades comerciales,
que, hasta épocas recientes, se desarrollaban por medios tradicionales.
Las ventajas que los medios electrónicos llevan consigo podrían concretarse
en la agilidad, celeridad, comodidad y, sobre todo, un significativo ahorro en costes
tanto de producción como de organización logística para los empresarios; y por
parte de los consumidores, los beneficios se traducen en una oferta de bienes y
servicios mucho más amplia y en la comodidad de hacer las transacciones desde
cualquier lugar que se elija. Esto obviamente implica la utilización de equipos
electrónicos, a través de los cuales –y a petición del usuario– se presta el servicio
requerido. Así pues, la decisión de contratar por vía electrónica se debe, con
frecuencia, a la comodidad derivada de no tener que desplazarse para adquirir el
bien o recibir el servicio deseado, así como a la facilidad y rapidez para acceder a
la información relativa a los productos y servicios que se ofrecen, pues no hay más
que ver las imágenes y descripciones explicativas que aparecen en la pantalla del
ordenador para conocer el producto o servicio y decidirse por su adquisición. Sin
embargo, junto a las ventajas que ofrece este medio de contratación, en palabras
de muchos tratadistas, el problema más delicado del comercio electrónico es la
seguridad, pues la confianza en el sistema es una de las piedras angulares de la
contratación electrónica.
Efectivamente, en un estudio realizado por la Organización de Consumidores y Usuarios se señala que la desconfianza generada en el sistema puede
resumirse en la falta de información completa y transparente, la recepción del
producto sin los documentos necesarios, los problemas generados con la entrega,
la práctica de efectuar el cargo en la cuenta antes de la recepción efectiva del
producto cuando se opta por el pago mediante tarjetas de crédito, y el descuento
de los gastos de envío al solicitar la devolución del importe pagado.
Esta desconfianza se debe también a que una de las características que
definen la contratación electrónica es la falta de presencia física simultánea
a la prueba de dichas transacciones, del documento electrónico, mediante la regulación específica de
la firma y los certificados electrónicos.
Ilise Benun. Self Promotion Online: Marketing Your Creative Services Using Web Sites, E-Mail and
Digital Portfolios, Paperback, 2001, p. 17.
Carmen Pérez Conesa. “Contratación electrónica”, Aranzadi Civil, n.o 20, febrero de 2002.
Barriuso Ruiz. La contratación electrónica, Dickinson, 1998, pp. 239 y ss.
Cavanillas Mugica. “Dieciocho recomendaciones para empresas que practiquen comercio electrónico
con consumidores”, Actualidad informática de Aranzadi, n.º 37, octubre de 2000, p. 1.
“Comprar en internet”, Ocu compra maestra, n.º 232, diciembre de 2001, pp. 24 y 25.
Róbinson Guerrero Clavijo
de las partes, es decir, que ellas no tienen, en el momento en que se realiza la
contratación, otro nexo diferente a la vía electrónica.
Los problemas que hemos enunciado se intentan superar a través de la
regulación de esta nueva modalidad de comercio. Por ello haremos una breve
exposición del contenido de la Ley 34 del 11 de julio de 2002 (en adelante lssi),
que pretende de alguna manera dar seguridad jurídica a este tipo de transacciones; explicaremos las principales innovaciones que trae esta ley y el efecto
de las mismas en el aspecto mercantil.
Adicionalmente, haremos mención de algunas medidas de tipo técnico y
organizativo que deben tenerse en cuenta y que vienen exigidas en la lssi o en
normativa que resulta de su aplicación, como es el caso de la protección de datos de
carácter personal, reglamentada por la Ley Orgánica de Protección de Datos y el
Reglamento de Medidas de Seguridad (en adelante lopd y rms respectivamente),
y la Ley Orgánica de Comercio Minorista (en adelante locm), entre otras.
Finalmente, haremos una breve reflexión sobre los documentos electrónicos,
las ventajas y desventajas de su utilización y cómo se ha ido evolucionando
para asegurar y dar certeza probatoria de su validez.
I . p l a n t e a m i e n t o s g e n e r a l e s d e l a l e y 34 d e 2 0 0 2
La regulación vigente y las novedades legislativas que están apareciendo entorno
a las tecnologías de la información y el comercio electrónico son merecedoras
de algunos comentarios previos al análisis del texto legal.
En el Congreso de los Diputados, el 27 de junio se aprobó y, en el boe del
12 de julio se publicó la Ley 34 de 2002, del 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (lssi) y, el 6 de agosto de
2002 se publicó en el boe la corrección de errores de la misma.
Lucía Arranz Alonso. Derecho tecnológico, Ediciones Experiencia, 2004, p. 73.
Sentencia del Tribunal Constitucional Español del 13 de abril de 2000: “Es decir, la seguridad jurídica
entendida como la certeza sobre el ordenamiento jurídico aplicable y los intereses jurídicamente tutelados” y Sentencia 15 del Tribunal Constitucional español, del 31 de enero de 1986: “Como la expectativa
razonablemente fundada del ciudadano en cuál ha de ser la actuación del poder en la aplicación del
derecho…”.
 Ley Orgánica 15, del 13 de diciembre de 1999, de Protección de Datos de Carácter Personal.
 Real Decreto 994, del 11 de junio de 1999, por el que se aprueba el Reglamento de medidas de seguridad
de los ficheros automatizados que contengan datos de carácter personal.
 Ley Orgánica 7, del 15 de enero de 1996, comercio minorista.
 Valentín Carrascosa López. “Valor probatorio del documento electrónico”, Informática y derecho,
n.º 8.
 Francisco Ramos Méndez. Derecho procesal civil, Barcelona, Edit. Bosch, p. 76.


Esta ley surge como respuesta al llamamiento de la Unión Europea para
que cada país establezca su propio marco normativo y así se regule con más
fuerza aquello que considere más relevante, dada su situación concreta con
respecto a los problemas que genera el comercio electrónico en cada entorno.
Adicionalmente se incorpora a la legislación española la Directiva 2000/31/CE,
la cual tiene por objeto el garantizar la libre circulación de los servicios de la
sociedad de la información entre los Estados miembros de la Unión, sentando
los principios que han de regir: país de origen, libre prestación de servicios y
no autorización previa.
Esta normativa pretende regular las actividades de internet para que tengan
un tratamiento similar a las que no se realizan por medio de la red. El texto ha
incluido, en su paso por el Congreso y el Senado, más de un centenar de enmiendas. A pesar de ello, esta ley ha sido muy criticada al estimarse que, en algunos
aspectos, excede de sus competencias y llega a afectar los derechos fundamentales
de las personas, por lo que tendría que tener un carácter orgánico.
Adicionalmente se establece en ésta su inaplicabilidad en materia de fiscalidad, protección de datos, actividades de notarios o profesionales equivalentes,
cuando impliquen ejercicio de autoridad pública, representación y defensa ante
tribunales y juegos de azar que supongan apuestas monetarias.
Además la Ley 34 de 2002 regula aspectos tales como la información general exigida a los prestadores de servicios, responsabilidades, comunicaciones
comerciales, contratos por vía electrónica, promoción de códigos de conducta,
solución de litigios, cooperación entre Estados miembros, etc.
En el artículo 2.º se define el ámbito de aplicación general de la ley, señalando
que está dirigida a las personas físicas o jurídicas que se encuentren radicadas
en España o aquellos que por medio de establecimientos permanentes prestan
sus servicios por vía electrónica. En este sentido, varias de las asociaciones de
usuarios de internet han manifestado que debió haberse exigido, además, que
el prestador establecido deba ejercer su actividad por un período de tiempo
indefinido, puesto que el hecho de definirse como un proveedor de servicios
 Presentación de la Directiva 2000/31/CE.
 Anales del Congreso de los Diputados, Estadísticas.
 Alejandro Xavier Rivas. Aspectos jurídicos del comercio electrónico en internet, Navarra, Edit. Aranzadi,1999.
 A pesar de la excepción hecha en estas materias, la estrecha relación que tienen los servicios de la
sociedad de la información con los datos personales ha obligado a regular algunos de estos temas en
la ley. De hecho, según la Agencia Española de Protección de Datos, un 23% de las infracciones a la
normativa sectorial proviene de prestadores de servicios de la sociedad de la información.
 Asociación de Usuarios de Internet (aui), en [www. aui.es].
por tiempo definido sería suficiente para sustraerse al campo de aplicación de
la ley, sin olvidar que la mera utilización de un servidor situado en España no
implicará necesariamente la sujeción del prestador de servicios a esta ley sino
en determinadas situaciones.
Como último comentario respecto al artículo 2.º, debemos decir que en éste
no se incluyen otras entidades que en España pueden tener actividad económica,
como pueden ser asociaciones, fundaciones y personas autónomas, que no deben
registrarse en el Registro Mercantil, lo que ya genera un vacío en cuanto a este
tipo de personas jurídicas, pues no establece a qué registro deben acudir.
En lo relativo a las obligaciones que impone la Ley 34 de 2002 a los prestadores de servicios, aparecen como marco de referencia las siguientes: hay que
dejar constancia en el Registro Mercantil del nombre de dominio o dirección
que lo identifique en internet; hay que informar gratuitamente una serie de
datos: razón social, domicilio, e-mail, datos de inscripción del nombre de dominio o dirección de internet, autorizaciones administrativas necesarias para
el ejercicio de su actividad, nif, precio de los distintos productos o servicios
que ofrece, el valor de los gastos de envío, los códigos de conducta a los que se
haya adherido, datos necesarios para el ejercicio de una actividad profesional, en
caso de ser necesario (título, colegio profesional, número de colegiado, normas
profesionales).
Con estos requerimientos se busca dar una información general a los
consumidores y/o usuarios acerca del servicio, las calidades y la seriedad del
oferente, así como proporcionar las especificaciones técnicas del producto que
se busca.
En cuanto a las responsabilidades y sanciones a que la lssi somete a los
prestadores de servicios y comerciantes, la sección 2.ª señala que estas pueden
ser de orden civil, penal y administrativo. Adicionalmente, impone a los prestadores de servicios de intermediación el deber de colaboración con los órganos
administrativos o judiciales en la persecución de actividades ilícitas. Incluso,
algunos de ellos deben retener, por un período no inferior a un año, los datos
generados por las comunicaciones, que sean necesarios para la localización del
equipo terminal empleado por el usuario para la transmisión de la información,
o determinar el origen de los datos alojados y el momento en que se inició la
prestación del servicio. Dicho cúmulo de obligaciones y normas regulatorias
tiene la finalidad de integrar todo un sistema de seguridad que permita regular
los contenidos que circulan permanentemente por la red, establecer la obligación
 Miguel Ángel Davara. Manual de derecho informático, Navarra, Edit. Aranzadi, 2002, p. 214.


de los prestadores de intervenir en ese proceso y vigilar el tráfico comercial a
través de la misma.
También se regula en esa ley el envío de publicidad no solicitada, entendido
como tal cualquier comunicación comercial por vía electrónica dirigida a la
promoción –directa o indirecta–, de imagen, bienes o servicios, que realice una
empresa, organización o persona que ejerza una actividad comercial, industrial,
artesanal o profesional. Esta práctica es conocida como spam y está terminantemente prohibida por la legislación. Por tanto, para poder enviar este tipo de email, se deberá contar con el consentimiento previo del usuario, y dichos correos
deberán ser claramente identificables e incluir la palabra “publicidad”.
Cabe mencionar que la nueva Ley General de Telecomunicaciones (en adelante lgt), Ley 32 del 3 de noviembre de 2003, ha modificado el artículo 21
de la lssi por medio de su disposición final 1.ª, flexibilizando la obligación allí
contenida. A este respecto ahondaremos en el acápite iii a de este trabajo.
Finalmente, la lssi establece una serie de mecanismos tendentes a la creación
y adopción, por parte de los prestadores de servicios en la red, de códigos de
conducta particulares, con la finalidad de regular de manera más expresa la
calidad del contenido y la información que por ella transita.
Desde otro punto de vista, la contratación por vía electrónica produce
plenos efectos jurídicos cuando concurren el consentimiento y los demás requisitos necesarios para su validez, y los mismos se rigen por las disposiciones
generales y por lo dispuesto en la lssi. Cuando intervengan consumidores
finales, el contrato se entiende celebrado en el lugar de residencia de éstos, y
los celebrados entre empresarios o profesionales, salvo pacto, se entenderán
suscritos donde esté establecido el prestador del producto o servicio. Existe un
deber de informar al usuario, de forma clara, comprensible e inequívoca, y antes
del inicio del procedimiento de contratación, en concreto: trámites previos,
lengua, condiciones generales de contratación, etc. También hay obligación de
confirmación de la aceptación del negocio jurídico en caso de que uno de los
intervinientes sea consumidor final.
La lssi potencia el arbitraje, pues permite el uso de las tecnologías de la
información en su procedimiento, lo que desde un punto de vista cualitativo
permite obtener el concurso de profesionales especializados en temas tecnológicos para la resolución de conflictos.
 La experiencia de otros sectores como el de la publicidad, respecto de este tipo de códigos, es bastante
positiva y permite la regulación del sector de forma ordenada y sin intervención estatal.
 Tullio Ascarelli. Studi in tema di contratti, Milano, A. Giuffrè, 1952, p. 79 y Código Civil español, De
los Contratos.
Como se puede observar, los temas abarcados por la lssi son muy diversos y
complejos, y no es posible agotarlos todos en pocas líneas. Por ello, intentaremos
ofrecer una visión global de la regulación incluida en la normativa que rige el
comercio electrónico.
I I . d e l c o m e r c i o e l e c t r  n i c o e n pa r t i c u l a r
Como ya hemos tenido oportunidad de mencionar, otra de las finalidades que
persigue la Ley 34 de 2002 es la de regular de manera específica todas las etapas
de la contratación electrónica y proporcionar un instrumento útil para brindar
seguridad y un marco de referencia adecuado en este tipo de contratos.
En ese sentido, además de crearse un sistema regulatorio específico para
esta nueva forma de comercio, se impone una serie de obligaciones y se otorgan
algunos derechos a las partes que intervienen en el proceso con el fin de superar
la incertidumbre que genera la falta de presencia física simultánea de las partes
y los problemas que esto trae aparejados.
A . n at u r a l e z a j u r  d i c a
d e l a c o n t r ata c i  n e l e c t r  n i c a
Resulta evidente que antes de la promulgación de la lssi, las nuevas perspectivas
abiertas por internet y su uso comercial hicieron que se planteara cierto tipo de
relaciones comerciales no regulado hasta ese momento, y que en muchos casos,
esas relaciones hayan sufrido de vacíos debido a la imposibilidad de aplicarles
la normativa contractual convencional.
En términos generales, la lssi pretendió establecer un marco jurídico adecuado que permitiera potenciar el comercio electrónico y acabar con los vacíos
que pudiese presentar, ocupándose exclusivamente de los aspectos a los que,
por su novedad o peculiaridad, no se les podía aplicar la normativa general que
rige en materia contractual.
Sin embargo, y pese a los esfuerzos por regular el tema, queda en el aire la
sensación de que el comercio electrónico se mueve entre varias aguas, por lo
que diferentes tratadistas han abordado la cuestión de la naturaleza jurídica de
 Jaime Rouanet Moscardo. “Valor probatorio procesal del documento electrónico” Informática y
Derecho, n.o 1, uned, p. 169.
 Vid Díaz Brito. “Contratación electrónica: ¿camino de laberinto?”, Aranzadi Civil-Mercantil, Boletín
mensual, n.o 23, Navarra, enero 2001, pp. 2 y 3.
 Carmen Pérez Conesa. Ob. cit., 1, p. 40.


la contratación electrónica. Lo primero que debemos decir al respecto es que el
ámbito específico de la contratación electrónica no es, ni mucho menos, ajeno
a la teoría general del negocio jurídico y, en consecuencia, a la realización de
un contrato por medios electrónicos no le es inapropiada la aplicación de la
normativa sobre obligaciones y contratos que recoge el Código Civil. Por esta
razón existen tratadistas que afirman que el electrónico es un medio de transmisión de voluntades negociales sin que constituya, por ello, un nuevo derecho
regulador de las mismas.
De acuerdo con lo expresado, todas las técnicas digitales empleadas en la
contratación se convierten en un nuevo medio de comunicación a distancia
que permite la celebración de un contrato sin afectar las reglas aplicables a la
contratación en general.
Partiendo de la base de que los principios generales aplicables a este tipo
de contratación son los contenidos en la teoría general del negocio jurídico,
el paso siguiente es preguntarse cuál es la estructura jurídica de este tipo de
contratos. En ese sentido, en algún sector de la doctrina se afirmó en su momento que podría plantearse que la contratación se efectúa en el domicilio del
suministrador del servicio. Sin embargo, se descarta por parte de los tratadistas
la posibilidad de entender una página web como una especie de local comercial
donde las personas tienen acceso físico a los artículos ofertados, justamente por
la imposibilidad de acceder físicamente a ellos.
Por el contrario, podría pensarse que el contrato se celebra fuera del establecimiento del comerciante, y, en consecuencia, sería de aplicación la Ley 26 de
1991, del 21 de noviembre, sobre contratos celebrados fuera del establecimiento
mercantil. Pese a lo anterior, dicha norma exige que el contrato se realice en
presencia del empresario o de un tercero que intervenga en su nombre, y no sería
correcta su aplicación, pues, en el contrato electrónico, una de las características
es la ausencia de presencia física simultánea de las partes. Además, este tipo
de contratos no sería de aplicación cuando verse sobre cuantías inferiores a las
estipuladas en el artículo 2.1.1.
Agotadas estas opciones, parece que la configuración jurídica del contrato
electrónico se encuadra en la contratación a distancia. Conceptualmente, la
 Álvarez-Cienfuegos Suárez. “Las obligaciones concertadas por medios informáticos y la documentación electrónica de los actos jurídicos”, La Ley, vol. 4, 1992, p. 1013.
 Rafael Illescas Ortiz. Derecho de la contratación electrónica, Madrid, Edit. Civitas, 2001, pp. 46 y
47.
 Lucía Arranz Alonso. Ob. cit., p. 73.
 Ley 26 de 1991, del 21 de noviembre, sobre contratos celebrados fuera del establecimiento mercantil,
artículo 1.º.
 Lucía Arranz Alonso. Ob. cit., p. 62.
 Carmen Pérez Conesa. Ob. cit., p. 41.
contratación a distancia corresponde a aquella que se celebra sin la presencia
física simultánea de las partes, y en la que se transmite la oferta de contrato y
la aceptación por un medio de comunicación a distancia.
La Ley 7.ª de 1996, del 15 de enero, de Ordenación del Comercio Minorista,
en su artículo 38.1 establece en términos generales esta conceptualización y la
encuadra en la categoría que hemos mencionado de la siguiente manera:
Se consideran ventas a distancia las celebradas sin la presencia simultánea del comprador y del vendedor, transmitiéndose la propuesta de contratación del vendedor y
la aceptación del comprador por un medio de comunicación a distancia de cualquier
naturaleza.
Por otra parte, la Directiva 97/7/ce, del 20 de mayo, Legislación de las Comunidades Europeas (LCEur 1997,1943), relativa a la protección de los consumidores
en materia de contratos a distancia, define estos contratos como
… todo contrato entre un proveedor y un consumidor sobre bienes o servicios celebrado
en el marco de un sistema de ventas o de prestación de servicios a distancia organizado
por el proveedor que, para dicho contrato, utiliza exclusivamente una o más técnicas
de comunicación a distancia hasta la celebración del contrato, incluida la celebración
del mismo contrato.
Posteriormente, en el artículo 2.4 se define una técnica de comunicación a
distancia como
… un medio que permita la celebración del contrato entre un consumidor y un proveedor sin presencia física simultánea del proveedor y del consumidor.
De todo lo anterior podemos resumir los elementos principales que deben
concurrir para la celebración de este tipo de contratos, como son: la falta de
presencia física simultánea de las partes y la utilización de algún medio de
comunicación alternativo que sirva como puente entre las voluntades del comprador y proveedor.
B. comunicaciones comerciales por va electrnica
Partiendo de la base de que en el comercio electrónico, en principio, no hay
posibilidad de presencia física simultánea de las partes, la vía por la que éste se
 Carmen Pérez Conesa. Ob. cit., p. 41.


realiza es la de las comunicaciones electrónicas (o cualquier canal alternativo
de comunicación). Ésa es la razón por la que el título iii de la lssi comienza
estableciendo un marco general de lo que son las comunicaciones comerciales
por vía electrónica, y remite además dicha temática a lo dispuesto en la Ley
Orgánica 15 de 1999, del 13 de diciembre, sobre Protección de Datos de Carácter
Personal y la normativa vigente en materia de publicidad.
La idea del legislador al iniciar este título con el apartado referente a
comunicaciones comerciales es justamente reglamentar ab initio uno de los
mecanismos empleados por los comerciantes para tomar contacto con sus posibles clientes y desarrollar sus relaciones comerciales con los mismos. En este
sentido, los artículos 19 al 22 establecen el marco por el cual se deben llevar a
cabo las comunicaciones comerciales remitidas por el comerciante a través del
correo electrónico.
En efecto, el artículo 19 de la lssi establece que tanto las comunicaciones
comerciales como las ofertas promocionales están sometidas, no sólo por la
mencionada ley, sino por la normativa concerniente a protección de datos de
carácter personal y por la normativa sobre publicidad.
El artículo 20 se dedica en dos numerales a establecer la forma que deben
tener las comunicaciones comerciales y los requisitos con que se deben identificar.
La prohibición de hacer comunicaciones comerciales a través de correo
electrónico u otro medio de comunicación electrónica equivalente no solicitadas
por el destinatario, está contemplada en el artículo 21. De acuerdo con esta
norma, se requería solicitar el consentimiento expreso del titular de la cuenta de
correo electrónico, o el medio equivalente, para poder remitirle comunicaciones
comerciales y ofertas promocionales.
Sin embargo, la entrada en vigor de la nueva Ley General de Telecomunicaciones ha supuesto un cambio significativo en la regulación del correo
electrónico publicitario no solicitado o spam.
Como ya hemos mencionado, con la anterior regulación se recogía en toda
su extensión el principio de opt-in, por el cual sólo era posible enviar correos
electrónicos publicitarios a aquellos interesados que los hubieran requerido o
consentido expresamente; así quedaba prohibido el envío de comunicaciones
publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente (p. ej., sms), que previamente no hubieran sido
solicitadas o expresamente autorizadas por sus destinatarios.
 Ley 32 del 3 de noviembre de 2003, lgt, disposición adicional 1.ª.
La modificación del artículo 21 de la lssi por la Disposición Final 1.ª de la
lgt recoge que la reseñada prohibición no será de aplicación cuando exista una
relación contractual previa, siempre que el remitente de correo electrónico publicitario hubiera obtenido de forma lícita los datos de contacto del destinatario
y los empleara para el envío de correos electrónicos publicitarios referentes a
productos o servicios de su propia empresa, que sean similares a los que hubieran
sido objeto de contratación con el destinatario de la publicidad.
La nueva regulación supone una clara flexibilización de las posibilidades
de uso de los datos personales relativos a la dirección de correo electrónico de
aquellas personas con las que se haya mantenido una relación contractual previa.
Ello es posible siempre que se obtengan los datos personales cumpliendo las
obligaciones impuestas por la Ley Orgánica de Protección de Datos. Se evita
así el bloqueo que suponía para los comerciantes la necesidad de requerir el
consentimiento expreso, para el envío de correos electrónicos publicitarios, de
todos los posibles destinatarios, independientemente de que la obtención de
sus datos respondiera a puras relaciones contractuales.
Con esta norma se traspone a nuestro ordenamiento interno la regulación
de las “comunicaciones no solicitadas” del artículo 13 de la Directiva 2002/58,
del Parlamento Europeo y del Consejo, relativa al tratamiento de los datos
personales y a la protección de la intimidad en el sector de las comunicaciones
electrónicas.
Sin embargo, no debemos olvidar que el interesado conserva su derecho
a oponerse al tratamiento de sus datos, y que debe existir a su disposición
“un procedimiento sencillo y gratuito” para tal fin, tanto en el momento de
recolección de sus datos como en cada una de las comunicaciones comerciales
que se le dirijan. Es significativo ver cómo el legislador se asegura de que los
interesados mantengan siempre el control sobre el tratamiento de sus datos;
 De acuerdo con la lopd, las formas mediante las cuales se pueden obtener lícitamente los datos son:
solicitar el consentimiento del titular de los mismos, su obtención en medio de una relación legal o por
medio de fuentes públicas.
 Este requisito es de carácter muy subjetivo y plantea el problema de definir cuáles son los bienes y
servicios análogos o similares sobre los cuales se pueden enviar comunicaciones comerciales, dejándolo
a decisión del buen criterio del comerciante y, en su caso, de la Agencia de Protección de Datos.
 En varias ocasiones, la apd se ha pronunciado en el sentido de incluir la dirección de correo electrónico
como un dato de carácter personal. Agencia de Protección de Datos (apd). “Análisis de los principales
desarrollos”, Memorias de 2000.
 La Ley Orgánica 15 de 1999, de Protección de Datos Personales, establece la regulación de los derechos
de acceso, rectificación, cancelación y oposición de los titulares de los datos con respecto a los mismos
y, del mismo modo, reglamenta las obligaciones de los titulares de ficheros donde consten dichos datos
para garantizar los derechos de los titulares.


prescribiendo la obligación de establecer procedimientos de revocación sencillos
y gratuitos como se establece en el nuevo artículo 21.2 y se reitera en términos
muy similares en la nueva redacción del artículo 22.
Por último, es también importante señalar que dentro de las modificaciones
introducidas por la lgt en la lssi, se incluye en esta última a la Agencia de
Protección de Datos (en adelante apd) como órgano con potestad sancionadora
en cuestiones relacionadas con el spam, concretamente en lo relacionado con
el control del cumplimiento de la Ley Orgánica de Protección de Datos en la
obtención de las direcciones de correo electrónico de las personas y la remisión
de comunicaciones comerciales a dichas personas.
Esta nueva redacción no resuelve, sin embargo, algunos problemas prácticos
que se plantean, como el referente al concepto de comunicación comercial y sus
diferencias con la oferta contractual, pues, como hemos tenido la oportunidad
de analizar anteriormente, la lssi no hace referencia alguna a ofertas contractuales y al hecho de si éstas entran o no en la categoría de comunicaciones
comerciales.
En nuestro concepto, hay claros elementos diferenciadores entre lo que son
comunicaciones comerciales y ofertas contractuales, que en principio harían
que estas últimas no se encontraran cubiertas por el régimen de la lssi, con lo
cual, aunque no existiera relación jurídica entre las partes, sería posible enviar
este tipo de ofertas a los titulares de cuentas de correo electrónico.
Sin embargo, haciendo mención al derecho de consumo, el Tribunal Supremo se ha pronunciado considerando la declaración publicitaria como una oferta
contractual. Esta tesis, desde el punto de vista teórico, es aceptable siempre y
cuando concurran en ella, por parte del oferente, la capacidad, el objeto, la causa
y la voluntad de obligarse propios de los contratos. Esta interpretación nos
lleva a afirmar que, siguiendo criterios restrictivos propios o jurisprudenciales,
 Luis Díez Picazo. Derecho civil y mercantil, Madrid, Edit. Tecnos, pp. 40 a 54.
 Las diferencias entre comunicación comercial y oferta contractual, desde un punto de vista formal,
pueden ser varias; sin embargo, desde la óptica sustancial se pueden resumir en que una comunicación
comercial sólo puede considerarse oferta contractual si concurren en ella la capacidad, el objeto, la causa
y la voluntad del oferente para obligarse, y dicha oferta queda sometida a la aceptación del destinatario
para configurar el consentimiento. Adicionalmente, la responsabilidad derivada de la oferta o publicidad
no viene por la vía de los tratos preliminares, sino fundamentada en la relación de confianza generada a
través de la misma, que se materializaría en una culpa in contrahendo. Finalmente, al no existir contrato,
la responsabilidad por incumplimiento previo se reduce a responsabilidad extracontractual, de manera
que la reparación vendría determinada por el interés contractual negativo del consumidor.
 Tribunal Supremo. Sentencia 894, del 8 noviembre de 1996, Sala de Derecho Civil.
 Víctor Manteca Valdelande. “Delimitación jurídica de la publicidad en derecho del consumo”,
Revista Distribución y consumo, enero-febrero de 2004.
la apd podría interpretar que las ofertas contractuales son equiparables a las
comunicaciones comerciales y por tanto les es de aplicación la lssi.
El análisis de este tema resulta importante en la medida en que toda la
normativa concerniente a la protección de datos de carácter personal impone
ciertas obligaciones a los comerciantes y otorga ciertos derechos a los titulares
de los datos, que deben ser observados con mucho rigor por parte de los primeros, so pena de ser objeto de inspecciones por parte de la apd y que pueden
continuar con la apertura de un expediente sancionador y concluir con multas
que varían entre 600 y 600.000 euros, previstas por incumplimiento de la lopd
y el rms.
Estos cambios suponen también, por lógica, la modificación de algunos
detalles del régimen sancionador de la lssi, pues a partir de ahora la apd tendrá
potestad para “la imposición de sanciones por la comisión de infracciones” referidas al spam, con lo cual el riesgo se amplía a ser objeto también de sanciones
por incumplimiento de la lssi.
Teniendo en cuenta que el correo electrónico también está considerado
como un dato de carácter personal, desde un punto de vista práctico una
persona que realiza comunicaciones comerciales no consentidas, utilizando el
correo electrónico, en principio estaría sujeta a una doble sanción. Por un lado,
la derivada del incumplimiento de las normas sobre protección de datos y, por
otro lado, las que tienen origen en la lssi por envío de spam.
Sin embargo, si tenemos en cuenta el principio de Non bis in idem, según
el cual una persona no puede ser sancionada dos veces con fundamento en la
misma conducta, y si analizamos el bien jurídico protegido por una y otra ley,
llegamos a la conclusión de que no cabe la aplicación de la doble sanción, pues
lo que busca la lopd es salvaguardar la intimidad de las personas en cuanto a
los datos que les pertenecen, y la lssi lo que pretende es evitar al propietario de
una cuenta de correo las molestias de recibir comunicaciones no deseadas.
En vista de las variadas interpretaciones que puede generar esta cuestión,
concluimos expresando que para evitar cualquier tipo de incidente con el tratamiento de los datos concernientes al correo electrónico de las personas, lo más
 La Ley Orgánica de Protección de Datos de Carácter Personal (lopd) tiene claramente definidas las
obligaciones y derechos tanto de los titulares de ficheros que contengan datos de carácter personal
como de las personas incluidas en dichos ficheros. Esta reglamentación se hace en los artículos 13 y
ss.
 El rms, Reglamento de Medidas de Seguridad, consagra una serie de obligaciones de índole organizativo
y técnico que deben ser observadas por todo aquel que trate datos de carácter personal de terceros, claro
está, teniendo en cuenta las excepciones consagradas en la lopd.
 Tribunal Constitucional. Sentencias 112 del 18 de junio de 1990, y 177 del 11 de octubre de 1999.


recomendable (como veremos en el apartado de gestión de riesgos derivados
del comercio electrónico) es someterse a las interpretaciones más restrictivas
de la apd y recabar el consentimiento del titular de los datos para poder enviarle comunicaciones comerciales en el caso de que no se tenga ningún tipo de
relación jurídica con él.
C. f o r m a l i da d e s y r e q u i s i to s
d e l a c o n t r ata c i  n e l e c t r  n i c a
El Título iv de la lssi establece, desde el artículo 23, lo relativo a la contratación
electrónica. En efecto, la validez de un contrato celebrado por medios informáticos depende, en términos generales, de la normatividad establecida en esta ley, y
en los Códigos Civil, de Comercio y otras normas complementarias. Esto desde
un comienzo nos indica que debemos someternos a los principios generales de
nuestro sistema legal que, como es sabido, fundamenta la contratación en los
principios enunciados por el artículo 1.261 del C.C.
Lo anterior quiere decir que nuestro sistema contractual se basa más en
el consentimiento que en la forma, para determinar la validez y eficacia de
las obligaciones nacidas de un negocio jurídico (art.s 1.258, 1.262 y 1.278
del C.C.). Partiendo de estos principios, la lssi, en su artículo 23, exige que
concurran el consentimiento y los demás requisitos necesarios para la validez
de los contratos celebrados por vía electrónica, sin que sea necesario acuerdo
de las partes sobre la utilización de medios electrónicos.
De la misma forma que un contrato convencional, el contrato electrónico
se perfecciona por el consentimiento de las partes (art. 1.258 C.C.) una vez se
ha desplegado la oferta y sobre ésta ha habido aceptación respecto al objeto y
la causa (art. 1.262 C.C.).
Este contrato, sea cual sea la forma mediante la cual se realice, surte plenos
efectos inter partes y las obliga, siempre que concurran las condiciones esenciales
para la validez.
Lo anterior nos lleva a resaltar otro aspecto importante relacionado con el
principio de libertad de forma, en virtud del cual las formalidades del contrato
sólo estarán sometidas al arbitrio de las partes, salvo en los casos en que la ley
exige que, en aras del interés público o de terceros, ciertos contratos deban
presentar determinada forma.
 Miguel Rodríguez Piñero y Enrique Seco Cano Bravo Ferrer. Derecho civil, Madrid
1974.
 P. Giudi. Teoria giuridica del documento, Milano, Edit. Giuffré, 1950.
uned,
Vemos así cómo un contrato celebrado por medios electrónicos no difiere
en sus elementos esenciales de uno firmado directamente por las partes sobre
el papel. Sin embargo, alguien podría preguntarse qué ocurre con los casos en
que debe intervenir un notario para configurar un negocio jurídico que se
realiza de manera electrónica.
En este supuesto, a nuestro juicio se facilita aún más la labor de integración
de voluntades en un solo negocio jurídico, pues la normativa actual prevé la
posibilidad de que por conducto electrónico dos o más notarios se remitan,
bajo su respectiva firma electrónica avanzada, el contenido de los documentos
públicos autorizados por ellos, que incorporen las declaraciones de voluntad
de las partes destinadas a conformar un único negocio jurídico.
En este orden de ideas, dos personas, una ubicada en Melilla y otra en
Madrid, podrían hacer sus declaraciones de voluntad ante notario en sus respectivas ciudades y luego de que cada notario le remita al otro dicha declaración,
configurarían un contrato único sin necesidad de más trámites, lo que nos pone
de presente el inmenso abanico de posibilidades que se abre con la utilización
de medios electrónicos en la contratación.
Como comentario final a esta norma, encontramos que la Directiva 2000/31/
CE establece que los Estados miembros pueden excluir de la contratación electrónica determinadas materias; sin embargo, esta ley sólo excluyó lo relativo
a los contratos de familia y sucesiones, y dejó vía libre a los demás contratos,
salvo que alguna norma especial exija otros requisitos.
De esta forma podemos observar cómo, en esencia, la contratación electrónica es igual a la contratación por medios convencionales y se le aplican los
mismos principios. La diferencia radica, como hemos mencionado, en que los
medios utilizados presentan una cierta complejidad a la hora de integrar los
elementos constitutivos del contrato, lo que ha llevado al legislador a regular la
materia en aquellos aspectos novedosos que lo requieren, por la imposibilidad
de aplicarles las normas generales sobre contratos.
D. p r o p u e s ta s d e c o n t r ata c i  n
Otro punto importante es el relacionado con la propuesta de contratación a
través de medios telemáticos, dependiendo de si es una oferta, una invitación
 No podemos olvidar que los notarios pueden actuar por esta vía en todo lo que no corresponda con
labores expresamente excluidas del ámbito de acción de la ley.
 Ley 24 del 27 de diciembre de 2001, Ley de Acompañamiento de la Ley de Presupuestos Generales
del Estado para el año 2002.
 Las materias que pueden ser objeto de exclusión son las establecidas en el artículo 9.2 de la Directiva.


genérica a realizar ofertas o simplemente se trata de publicidad. En caso de que
se trate de una verdadera oferta, la simple aceptación por parte del receptor de
la misma, es decir, la realización del pedido, implicaría su aceptación y quedaría
vinculado por la perfección del contrato.
La diferencia entre publicidad y lo que realmente constituye una oferta de
contrato, en muchas ocasiones se torna en un camino gris difícil de delimitar;
por esta razón es necesario tener presente lo dispuesto por los artículos 39.1 y
40 de la Ley Orgánica del Comercio Minorista (en adelante locm).
De acuerdo con estos artículos, una propuesta de contratación debe expresar su condición de manera inequívoca, así como ofrecer información precisa
respecto al carácter oneroso y a la técnica de comunicación utilizada para
efectuar el pedido. En ciertas ocasiones, cuando el carácter oneroso de la oferta
resulte evidente, no es necesario hacer una mención expresa; sin embargo, lo
más recomendable es hacerlo.
Por otra parte, el documento de oferta de contratación deberá contener
como mínimo la identidad del proveedor, las características especiales del producto, el precio, y, en su caso, los gastos de transporte debidamente separados,
la forma de pago, las modalidades de entrega o ejecución, y el plazo de validez
de la oferta.
Adicionalmente, y en concordancia con el artículo 13.1 de la Ley General de
Defensa de Consumidores y Usuarios (en adelante lgdcu), toda la información
contenida en una propuesta de contratación debe ser veraz, eficaz, suficiente
y suministrarse al consumidor de modo claro y comprensible, por un medio
adecuado a la técnica empleada de comunicación a distancia.
Ahora, en cuanto a la aplicabilidad de todas estas obligaciones en internet,
algún sector de la doctrina ha manifestado la dificultad que plantea entender
como oferta una propuesta realizada por un proveedor en un entorno interactivo, en el que es el consumidor quien elige la información a la que desea
acceder. Sin embargo, otro sector de la doctrina opina que esto realmente no
es un obstáculo para que se configure una oferta, e incluso, en el caso en que
sea el propio consumidor el que escoja entre todas las ofertas que hay en las
diferentes páginas web por la que finalmente se va a decidir, dependa de su
voluntad, sin que pueda ser establecida a priori la identidad del destinatario de
las mismas. En ese sentido, dicho sector doctrinal opina que, en los términos
establecidos en los artículos 40 y 41 de la locm, lo único que ocurriría es que
 Artículo 40 locm.
 Artículo 4.2 Directiva 97/7/CE.
 Barriuso Ruiz. Ob. cit., p. 3.
si se trata propiamente de una oferta la contenida en el medio interactivo, la
declaración de voluntad de cualquier consumidor, entendida como aceptación,
será suficiente para concluir ese contrato.
En nuestro concepto, la posibilidad de que sea el propio consumidor quien
decida la información a la que quiere acceder en los medios interactivos no
exime al empresario de la responsabilidad de cumplir con todas y cada una de
las obligaciones que contienen las normas de protección de los consumidores
y con la normativa sobre comercio minorista aplicable al comercio electrónico,
normas, todas éstas, que exigen al comerciante diferenciar claramente entre
la publicidad que ofrece, las ofertas de contratación y delimitar los requisitos
mínimos de una y otra; en el último caso, que dicha oferta contenga los requisitos mínimos que la configuren correctamente.
En este orden de ideas, simplemente con que el medio interactivo de que
se trate contenga los requisitos mínimos exigidos por la ley, sea cual fuere el
contenido elegido por el cliente potencial, y en caso de que la persona manifieste
su declaración de voluntad, entendida como aceptación, el comerciante a esas
alturas ya debe haber suministrado toda la información del caso al consumidor.
De hecho, el comerciante no puede permitir que el consumidor adquiera un
determinado producto o servicio sin cerciorarse de que ha entendido y aceptado
la suficiente información constitutiva de la oferta contractual.
La finalidad de que se hagan todas estas exigencias a los empresarios que ofrecen sus productos por medios interactivos es que se brinde al consumidor toda
la información necesaria sobre el producto o servicio que le interesa, para que
de ese modo pueda conformar adecuada y libremente su voluntad negocial.
Por otra parte, en lo referente a las ventas a distancia, la doctrina ha definido
como criterio determinante de la existencia de una oferta contractual el que
la propuesta de contratación reúna todos los elementos esenciales del contrato,
como son: identidad del vendedor, determinación del objeto y precio, con independencia de su formulación en términos de oferta o como incitación a ofrecer
o a contratar, de manera que el consentimiento del consumidor bastaría para
que el contrato se perfeccione.
 Cfr. Carmen Pérez Conesa. Ob. cit.; Cavanillas Mugica. Ob. cit., y Clemente Meoro. “Algunas
consideraciones sobre la contratación electrónica”, Revista de Derecho Patrimonial, n.º 4, 2000, p. 78.
 Ley Orgánica de Defensa de Consumidores y Usuarios (lgdcu).
 Ley Orgánica de Comercio Minorista (locm).
 Cfr. Carmen Pérez Conesa. Ob. cit., p. 46.
 Rodrigo Bercovitz Rodríguez-cano. Comentarios a las leyes de ordenación del comercio minorista,
Madrid, Edit. Tecnos, 1998, p. 685.


Esta postura, aplicada al ámbito de los contratos celebrados por medios
telemáticos, nos indica que estaremos frente a una oferta de contratación cuando se hayan incluido en el contenido de la página web todos los elementos
esenciales del contrato y los mecanismos para que el consumidor pueda emitir
su aceptación. Es más, en los términos establecidos en la lssi, desarrollados en
la Directiva 2000/31/ce, será la comunicación comercial la que deba contener
esos elementos esenciales del contrato para que pueda considerarse oferta, y
corresponderá a cualquier consumidor que acceda a dicha comunicación emitir
su aceptación con la consiguiente perfección del contrato.
Además de la información esencial sobre los elementos constitutivos de la
oferta comercial, la lssi exige expresamente que se informe de manera clara,
comprensible e inequívoca al destinatario del servicio –antes de que efectúe su
pedido– sobre los pasos técnicos que debe seguir para la celebración del contrato;
si se va o no a registrar el contrato celebrado y si éste se va a hacer accesible;
qué medios técnicos se usarán para identificar y corregir errores; las lenguas en
que se puede celebrar el contrato; la indicación de los códigos de conducta a los
que se acoge el comerciante y el medio de consultarlos electrónicamente; y, por
último, las condiciones generales de contratación, en caso de que las haya.
Finalmente, y con la intención de proteger integralmente a los consumidores y usuarios de bienes y servicios, se establece una serie de obligaciones
adicionales a los empresarios que prestan sus servicios a través de la red, como
la constancia registral del nombre de dominio, el deber de colaboración y vigilancia con las autoridades y el deber de retención de ciertos datos para efectos
de ponerlos a disposición de jueces, tribunales y del Ministerio Fiscal en caso
de ser necesario.
Como se puede observar, se trata de dar una cobertura integral a los consumidores y usuarios de productos a través de la red y de dotar de elementos
prácticos el tráfico jurídico por este medio, además de establecer ciertos controles a la actividad.
E . p e r f e c c i o n a m i e n t o d e l c o n t r at o e l e c t r  n i c o
Continuando con el análisis de la lssi, debemos decir que uno de los aspectos
más controvertidos de la contratación por medios electrónicos es el referente
al perfeccionamiento del contrato.
 Mario Clemente Meoro. “Algunas consideraciones sobre la contratación electrónica”, Revista de
Derecho Patrimonial, n.º 4, 2000, p. 78.
Al igual que en la contratación por medios convencionales, la determinación
del momento y el lugar en el que se perfecciona el contrato realizado por medios
telemáticos resulta en ocasiones compleja y difícil de establecer, sobre todo si
tenemos en cuenta que los contratantes pueden encontrarse en distintos países
y estar cobijados por sistemas legales diametralmente opuestos y con requisitos
diferentes.
Para poder establecer con claridad cómo se perfecciona el contrato realizado por medios telemáticos, debemos determinar desde el inicio si este tipo
de contratos se realiza entre ausentes o entre presentes. Sobre esa cuestión
existen teorías de los más variados orígenes, de las cuales sólo expondremos
las más relevantes.
Por un lado, hay tratadistas que consideran que en la contratación electrónica
podemos hablar de contratación entre ausentes en tiempo real, añadiendo que
este tipo de contratación está más cerca de la contratación entre presentes que
entre ausentes.
Otros consideran que la formación de los contratos por correo electrónico es
sucesiva, pues no permite el intercambio sucesivo de información ni la comprobación inmediata de haberse recibido la oferta o la aceptación, mientras que si
se emplea un medio de servicios interactivos de los que permiten el intercambio
simultáneo de información, el tratamiento del contrato debe equipararse al de
otros medios simultáneos como el teléfono.
En contra de lo expresado anteriormente, algún sector de la doctrina considera que en la contratación electrónica no concurre la nota de inmediatez,
pues en la práctica puede no existir una conexión permanente al proveedor de
servicios por encontrarse éste utilizando sistemas informáticos para recibir la
información.
Finalmente, una de las opiniones más generalizadas expresa que indudablemente en la contratación electrónica se está hablando de un contrato entre
ausentes.
En nuestra opinión, para poder determinar el tipo de contrato del que se
trata, hay que tener claro el concepto de contratación entre presentes. Según
este concepto, hay contratación entre presentes cuando existe presencia física
 Miguel Ángel Moreno Navarrete. Contratos electrónicos, p. 37.
 Pedro Alberto De Miguel Asencio. Derecho privado de internet, Madrid, Civitas, 2000, pp. 337 y
338.
 Andrés Domínguez Luelmo. “Contratación electrónica”, Revista de Actualidad Civil, 2001.
 Carlos Vattier Fuenzalida. “En torno a los contratos electrónicos”, Revista General de Legislación
y Jurisprudencia, n.º 1, enero de 1999.


simultánea de las partes, con lo cual se exige que tanto empresario como consumidor se encuentren físicamente en el lugar donde se va a realizar el contrato,
con las excepciones hechas en el numeral 3 del artículo 38 de la locm.
La delimitación de este concepto nos lleva a concluir que si alguna de las dos
partes no se encuentra físicamente a la hora de formalizar el contrato, estaremos lógicamente frente a un contrato entre ausentes regido por la mencionada
normativa específica.
En términos prácticos, esto significa que a los contratos realizados sin presencia física simultánea de las partes se les debe aplicar la normativa referente a
los contratos realizados a distancia.
Ahora, teniendo presente que se trata de un tipo de contratación entre ausentes, el contrato electrónico debería entenderse perfeccionado desde el mismo
momento en que concurren la voluntad de obligarse por parte del oferente en
los términos descritos en la oferta y, por otra parte, la aceptación del consumidor
de los términos de la oferta.
En este punto, y sin apartarnos de los principios generales establecidos por
los artículos 1.262 del C. C., 54 del C. de Co., que fueron modificados por la
ley que venimos analizando, debemos entender como regla general que hay
consentimiento desde el momento en que se manifiesta la aceptación.
De acuerdo con esto, el contrato electrónico debería entenderse perfeccionado una vez llegado a conocimiento del prestador del servicio el pedido
del consumidor; esto se comprende así en aplicación literal del artículo 1.262.2
del C. C.; o desde que haya llegado al buzón del oferente, así éste no tenga un
conocimiento efectivo, con la finalidad de no dejar al libre arbitrio del oferente
la conclusión del contrato.
En concreto, en lo que se refiere a las ventas realizadas a través de internet,
cabe destacar que en concepto de algunos autores hay que diferenciar claramente
entre dos tipos de propuesta de contratación: la que llega a conocimiento del
cliente potencial en su correo electrónico u otro medio equivalente, y la que
permanece estática en el servidor a la espera de que dicho cliente potencial la
consulte.
 Ley Orgánica de Comercio Minorista (locm), artículo 38.
 Alejandro Xavier Rivas. Aspectos jurídicos del comercio electrónico en internet, Navarra, Editorial Aranzadi, 1999.
 Respecto a este tema, cfr. ii A, supra: “Naturaleza jurídica de la contratación electrónica”.
 Enrique Lalaguna Domínguez. Estudios de derecho civil, obligaciones y contratos, Valencia, Tirant lo
Blanch, 2003, pp. 404 y 405.
 Cfr. Alejandro Xavier Rivas. Ob. cit.
En el primer caso, efectivamente la propuesta de contratación es puesta en
conocimiento del cliente potencial, y en el momento en que éste manifiesta su
aceptación se perfecciona el contrato al concurrir las dos voluntades, incluso
antes de que el oferente sepa que se ha aceptado. En el segundo caso, la propuesta de contratación permanece estática en un servidor a la espera de que
los clientes potenciales la consulten, con lo cual el contrato se perfecciona con
la aceptación expresada ante el servidor, lo que igualmente obliga al oferente
como una extensión de su voluntad.
Por otra parte, debemos tener presentes algunos requisitos adicionales que
se exigen por la lssi a este tipo de comercio:
a. La confirmación de la aceptación recibida por parte del oferente, que
está prevista en la lssi como un deber de información posterior a la celebración
del contrato. La finalidad es que el aceptante tenga la confirmación de que el
oferente ha recibido su conformidad con los términos del contrato.
Sin embargo, se debe tener en cuenta también que este deber no siempre
es de obligatorio cumplimiento, pues en determinados casos, como cuando
ambos contratantes así lo acuerden, siempre y cuando ninguno de ellos tenga
la consideración de consumidor o cuando el contrato se haya celebrado exclusivamente mediante correo electrónico o cualquier otro medio equivalente, claro
está, cuando estos medios no sean utilizados para evadir el cumplimiento de
este deber legal, no es preceptivo cumplirlo.
Como se puede observar, los supuestos en los que se puede obviar dicha
obligación legal se encuentran muy restringidos y básicamente se refieren a los
casos en que los contratantes son compañías que realizan sus negocios a través
de este tipo de medios, o cuando se trata de contratos celebrados por medio de
correo electrónico.
b. Además, de acuerdo con la normativa que venimos comentando, se entiende que el lugar de celebración del contrato, cuando intervenga como parte
un consumidor, es donde éste tenga su residencia habitual.
La delimitación como domicilio contractual del lugar de residencia del consumidor, en los términos previstos en la lssi, se establece como una presunción
de carácter legal y tiene como finalidad proteger a los diferentes consumidores y
usuarios de servicios ante los posibles abusos que pueda cometer el comerciante,
y, al mismo tiempo, para facilitar la interposición de las acciones que aquéllos
consideren en defensa de sus propios intereses.
c. Finalmente, la locm exige que se conceda un plazo de 7 días al usuario
para desistir de la operación y devolver el material adquirido. Se exceptúan
 Ley de Servicios de la Sociedad de la Información (lssi), artículo 28.3.


de la posibilidad de devolución todos los bienes que puedan ser copiados o
reproducidos con carácter inmediato, por ejemplo software. Este derecho
de desistimiento faculta al comerciante para cobrar al cliente los gastos de
devolución de la mercancía y, en su caso, los daños que por su culpa se hayan
causado a la misma.
F. e j e c u c i  n d e l c o n t r at o e l e c t r  n i c o
En términos generales, lo concerniente a la ejecución de los contratos está
supeditado a la voluntad de las partes y subsidiariamente a las normas sobre
obligaciones y contratos contenidas en el Código Civil y el Código de Comercio.
Sin embargo, los innumerables problemas teóricos y prácticos que ocasionaba
la aplicación de estos principios en las ventas realizadas por medios telemáticos
y la posición de indefensión en la que se ponía a los consumidores y usuarios
obligaron a regular particularmente esta cuestión y, de ese modo, superar los
desequilibrios.
Adicionalmente, la particular operativa que presenta el comercio electrónico
nos obliga a hacer la distinción entre el comercio electrónico directo y el indirecto,
enunciado por la lssi, pues si se trata de un servicio que puede perfeccionarse
por un medio telemático y ejecutarse a través del mismo medio, se llamará comercio electrónico directo. Pero si, por el contrario, es un contrato celebrado por
medios telemáticos, pero que necesita una infraestructura logística diferente,
como correo o mensajería, se llamará indirecto.
Sobre este tema se ocupa exhaustivamente la locm y establece una serie de
obligaciones para los comerciantes:
a. El contrato electrónico origina la obligación principal para el prestador
del servicio de entregar los bienes o efectuar el servicio solicitado a cambio del
pago del precio por el destinatario del mismo; simplemente se trata de enunciar
la obligación general de satisfacción de las prestaciones mutuas propias de todo
contrato.
b. De acuerdo con el artículo 43.1 de la locm, el prestador del servicio tiene
un plazo máximo de treinta días para hacer efectiva la prestación, siempre que
no se hubiera determinado en la oferta un plazo de ejecución. Estos treinta
días se cuentan desde el momento de la recepción del pedido por el vendedor.
En el mismo sentido se expresó la lssi disponiendo un plazo similar, salvo pacto
en contrario de las partes.
 Ley Orgánica de Comercio Minorista (locm), artículo 44.
 La Directiva 97/7/CE establece un plazo igual para estas obligaciones en su artículo 7.1.
Si se incumple con el plazo estipulado para cumplir la obligación, el consumidor puede elegir entre solicitar el cumplimiento o la resolución del contrato,
junto con la indemnización de daños y perjuicios si procediera.
c. Se establece adicionalmente, en el artículo 47, un deber de información,
según el cual, a la ejecución del contrato, el comprador deberá haber recibido
información escrita y en la lengua utilizada en la propuesta de contratación,
información amplia de todos los datos señalados en el artículo 40 y, además,
de la dirección de uno de los establecimientos del vendedor, así como de su
domicilio social; y, en su caso, las condiciones de crédito o pago escalonado,
documento de desistimiento o revocación identificado claramente como tal, y
que contenga el nombre y dirección de la persona a quien debe enviarse y los
datos de identificación del contrato y de los contratantes a que se refiere.
d. Finalmente, la obligación principal del consumidor que contrata por vía
electrónica es la de pagar el precio del servicio que haya recibido. Como medida
de protección del consumidor, la obligación de pago nace desde el momento
de la entrega del producto o desde la prestación del servicio solicitado y no
podrá exigirse antes. Sólo podrá exigirse antes cuando el pedido tenga que
elaborarse con unas características especiales para el comprador. Sin embargo,
existe una forma de exigir un pago anticipado y es cuando se carga el precio
en cuenta antes de la entrega del producto o prestación del servicio cuando se
paga más barato. Por ello, la recomendación de las asociaciones de usuarios es
pagar contra reembolso.
G. p r u e b a d e l c o n t r at o y l a f i r m a e l e c t r  n i c a
De la misma manera que el derecho sustancial se ha visto visiblemente afectado
por la entrada de las nuevas tecnologías en el campo contractual, simultáneamente el derecho procesal ha tenido que adaptarse a las nuevas situaciones.
En ese sentido, la lssi ha establecido una serie de mecanismos que pretenden
integrar al derecho procesal herramientas que permitan hacer exigibles los
contratos suscritos por medios telemáticos y proteger a los intervenientes en
los mismos.
La regla general que establece nuestro ordenamiento jurídico para la realización de contratos, incluidos los contratos telemáticos, es la libertad de
forma establecida en el artículo 1278 del C. C. De acuerdo con dicha norma
los contratos serán obligatorios, cualquiera que sea la forma en que se hayan
 Rodrigo Bercovitz Rodríguez-Cano. Ob. cit., p. 685.


celebrado, siempre que en ellos concurran las condiciones esenciales para su
validez. Sin embargo, como señala Díez-Picazo, ciertos negocios jurídicos
carecen de plena validez y eficacia jurídica, a menos que la voluntad se haya
manifestado a través de las especiales solemnidades previstas en la ley. Dichas
solemnidades se reducen principalmente a dos: la necesidad de celebrar ciertos
contratos por escrito y la exigencia de firma.
Tanto en nuestro derecho (art. 1280 C. C.) como en el common law (Statute of Frauds, todavía de aplicación en Estados Unidos) se puede encontrar la
exigencia de celebrar un contrato por escrito.
En el ámbito comunitario, en su momento, la Directiva de la Comunidad
Europea (dce) aportó las bases suficientes para estimar que el formato electrónico
satisface la obligación de celebrar el contrato por escrito. De acuerdo con el artículo 9 de la dce, los Estados miembros están obligados a eliminar barreras (y en
particular, barreras formales) a la conclusión de contratos electrónicos (exigencia
basada en la Ley Modelo de Comercio Electrónico de uncitral de 1996).
La transposición española no ha dejado ninguna duda al respecto, y el
artículo 22.1 reza:
Los contratos celebrados por vía electrónica producirán todos los efectos previstos por
el ordenamiento jurídico, cuando concurran el consentimiento y los demás requisitos
necesarios para su validez.
Posteriormente, el artículo 24 de la lssi establece como mecanismo procesal la
validez de los contratos electrónicos que constan por esas mismas vías.
Tanto en Estados Unidos como en Inglaterra, la jurisprudencia (en interpretación del Uniform Commercial Code estadounidense o el propio common
law preexistente) ha relajado este requisito lo suficiente como para abarcar
documentos o información almacenada en formato electrónico.
De acuerdo con todo lo anterior, podemos extraer como conclusión que, en
principio, no se requiere ningún tipo de formalidad para el contrato realizado
por medios telemáticos y que el principio de la libertad de forma prima en este
tipo de actos. En ese sentido, la referencia que hace la normativa que hemos
mencionado tiene simplemente como finalidad ratificar la validez de dichos
contratos, lo que en nuestra opinión no tiene mayor trascendencia, pues esa
validez se debe presumir per se.
 Luis Díez Picazo. Ob. cit., p. 64.
 Fred M. Greguras. Electronic commerce: online contract issues, Law Seminars International, 1998.
Sin embargo, desde un punto de vista probatorio, al permitirse la presentación de documentos electrónicos como prueba de la celebración de un contrato
y de las comunicaciones intercambiadas por las partes, se abre todo un abanico
de posibilidades que necesariamente deben ser integradas por el derecho procesal dentro de su estructura.
Como es obvio, este tipo de documentos presenta algunos inconvenientes
como determinar qué documento es original y qué documento es copia, si dicho
documento ha sido manipulado o no, y, sobre todo, quiénes son los signatarios
del mismo.
En realidad, este tipo de problemas aún persisten, por lo que los abogados
deben valerse de los medios técnicos informáticos para encontrar la manera
más limpia de aportar los documentos y evitar cualquier tacha de falsedad o
manipulación sobre los mismos, utilizando para ello todas las herramientas
técnicas a su alcance.
En cuanto a los requisitos de la firma, éstos también acompañan el requisito de la celebración por escrito (así ocurre con el artículo 688 del C.C. –forma
del testamento– y las reglas de aplicación en el Reino Unido con respecto a las
emisión de facturas por los abogados).
Este punto en concreto ha sido desarrollado en el ámbito comunitario, pues
la Directiva de Firma Electrónica (transpuesta inicialmente en nuestro Real
Decreto de Firma Electrónica de 1999, ahora sustituido por la Ley 59 del 19
de diciembre de 2003) brinda las bases para estimar que un registro electrónico
que iguale las capacidades de la firma manuscrita (identidad de las partes, intención de vincularse al contrato e integridad de los contenidos del contrato)
satisfaría el requisito de firma.
Compartimos, sin embargo, la opinión de Schneier, de acuerdo con la
cual la equiparación no puede nunca ser exacta, pues incluso mediante el uso
de “firmas avanzadas” la comunicación entre la persona física y el soporte informático de dichas firmas no llega nunca a verificarse, de modo que serían más
equiparables a los sellos personales de otras épocas (si bien proveen garantías
indudablemente mayores).
A pesar de las iniciativas existentes en Estados Unidos e Inglaterra al respecto, la firma no alcanza en la common law el nivel de solemnidad con el que
 Sergio Maldonado Elvira. Comercio electrónico entre empresas (B2B), internet, claves legales para la
empresa, Madrid, Edit. Civitas, 2002.
 Javier Plaza. “Breve comentario a la Ley de servicios de la sociedad de la información y comercio
electrónico”, en [www.alfa-redi.org], 2002.
 Bruce Schneier. Beyond Fear: Thinking Sensibly About Security in an Uncertain World, Edit. Copernicus,
2002.


cuenta en los sistemas continentales. Es por ello que, por ejemplo, el único
impacto realmente apreciable de las Electronic Signatures Regulations en el
Reino Unido ha sido el producido por el reconocimiento mutuo de certificados
válidos a través del mercado interno.
En Estados Unidos, la Electronic Signatures in Global and National Commerce Act es de aplicación a nivel federal, mientras que la Uniform Electronic
Transactions Act está destinada a la legislación estatal. Ambas establecen un
sistema flexible y una fijación de estándares mínimos (a pesar del carácter más
cerrado de la primera iniciativa en la materia –la Utah Digital Signature Act
1996– de gran influencia en la Directiva comunitaria).
Por otra parte, el Reino Unido comenzó aprobando la Electronic Communications Act en el año 2000 (sin aportar una sola novedad con respecto al
statu quo), y aprobó este mismo año las Electronic Signatures Regulations, en
transposición de la “Directiva de Firma Electrónica”.
Como se puede observar, la larga tradición del concepto de documento como
escrito ha planteado un reto bastante difícil de superar, y por ello los intentos
de los diferentes sistemas legales de hacer efectivamente equiparables los documentos electrónicos y los documentos suscritos en formato papel, y además
de dotar de la misma seguridad jurídica ambos documentos; sin embargo, el
camino recorrido hasta ahora se puede evaluar como muy positivo y permite ya
realizar cierto tipo de transacciones con total seguridad. No obstante, algunas
otras transacciones deben ser dotadas de sistemas de protección, no sólo de firma
sino también de encriptación, que resultan muy costosos y poco accesibles.
Siguiendo con las consideraciones al respecto, haremos unos comentarios
técnicos respecto a la firma electrónica. Como es suficientemente conocido,
la formación de la firma tradicional se materializa de forma manual, mientras
que la firma electrónica se ha de materializar a través de una determinada técnica y ha de circular por un determinado medio. Este último es generalmente
internet.
La herramienta para la formación de la firma electrónica, que permite
otorgar seguridad a las transacciones y, por tanto, prueba, se realiza a través de
 Bruce Schneier. Why Digital Signatures are not Signatures, (referred to by Lars Davies, ccls).
 Christopher Reed. Internet Law: Text and Materials, Butterworths, 2001.
 Christopher Gatt. “Comparative Issues in the Formation of Electronic Contracts”, International Journal
of Law and Information Technology, Oxford University Press, 1998.
 Internet no es el único medio: existe además desde finales de los años 1980 el sistema denominado
Intercambio Electrónico de Datos (edi), utilizado sobre todo en la contratación mercantil entre empresas
(business to business, B2B).
técnicas criptográficas de cifrado, concretamente la técnica basada en la criptografía de clave pública, la cual genera la denominada firma digital.
La firma digital es el resultado de un procedimiento informático fundado
en el uso de un par asociado de claves, una pública y otra privada, cuya nota
esencial es que son distintas o asimétricas. La clave pública es conocida por
todos o susceptible de ser conocida. La clave privada, por su parte, es conocida
sólo por el titular.
La importancia de la clave pública radica en que por la misma se verifica la
firma digital y, por tanto, es prueba de la autoría e integridad del documento
electrónico. La importancia de la clave privada, por su parte, viene avalada
porque es generadora de la firma digital, es decir, el autor ha de firmar digitalmente el documento mediante su clave privada, la cual lleva asociada una
clave pública.
Como es obvio, dada su naturaleza, la clave privada solamente es conocida
por el titular de la misma. Dado que la firma digital se genera a partir de la
clave privada del autor, se produce una asociación entre la clave privada y la
firma digital que trae como consecuencia que el autor no pueda negar su firma
(no repudio), pues sólo él conoce la clave privada.
Los efectos principales de la firma electrónica se concretan en el conocimiento del titular o autor de la firma, del sujeto que la certifica, y del registro
donde queda publicada para su consulta.
Ahora bien, deducido el componente tecnológico que conlleva el tema de
la firma electrónica, la normativa al respecto parte del principio que hemos
denominado de neutralidad tecnológica. En este sentido, en sus fundamentos
legales se aprecia que es posible cualquier procedimiento tecnológico, tanto
en el presente como en el futuro, de generación de firma electrónica, pues los
procedimientos basados en la firma digital con fundamento en la criptografía
de clave pública no se prevén como los únicos posibles. Por este motivo se tiene
a la firma electrónica como un concepto más amplio que el de firma digital, que
obedece a una determinada técnica.
 Ley 59 del 19 de diciembre de 2003, sobre firma electrónica.

carlos mario duque
I. resumen
Los niveles más altos de la gerencia no siempre han considerado una gestión
explícita de los riesgos, y mucha parte del valor de implementar un proceso de
este tipo puede no ser reconocido o perderse. La administración de riesgos debe
ser vista como parte integral de los negocios, y debe llegar a ser una característica
natural de todos los proyectos y procesos, más que una actividad adicional que
algunas veces es tratada como opcional.
En el mismo sentido, la administración de los riesgos asociados a las tecnologías de la información con frecuencia ha sido considerada como ajena a los altos
niveles de dirección, lo que en muchas ocasiones ha llevado a que no sea tratada
como un tema de prioridad, independientemente de la magnitud del riesgo, y
por lo tanto no se tomen las medidas adecuadas para la administración de éste.
Los cambios suscitados a partir de eventos como los del 11 de septiembre
en Nueva York, los escándalos financieros en Enron, WorldCom, Tyco, la crisis
financiera asiática, etc., han generado una nueva visión alrededor de la administración de riesgos empresariales y, dentro de éstos, los asociados a la utilización
de tecnologías de la información.
Esta nueva visión ha llevado al desarrollo de iniciativas que tienen por objetivo enfrentar este tipo de eventualidades, o sus consecuencias, a partir del
establecimiento y mejoramiento de los marcos normativos, de los patrones de
comportamiento corporativo y de los procesos de gestión de riesgos.
Adicionalmente, los diferentes reguladores han definido o hecho más exigentes los marcos normativos, buscando que las organizaciones adopten medidas
de control y modelos de identificación y valoración de los riesgos cada vez más
elaborados, lo que a su vez lleva a que los administradores de las empresas requieran mediciones confiables de riesgo para dirigir el capital hacia actividades
con las mejores relaciones rendimiento/riesgo.
Este nuevo marco de referencia, a la vez que plantea un esfuerzo mayor para
las áreas de gestión de riesgos y tecnología, representa una oportunidad para
que éstos sean administrados, al ser considerados a niveles más estratégicos de
las organizaciones, más allá de las áreas señaladas.
Para lograr aprovechar de una mejor forma esta visión se requiere establecer
un lenguaje y un entendimiento comunes de la administración de riesgos, y un
marco de referencia que nos permita evaluar y monitorear la calidad de dicha
práctica a partir de diferentes estándares utilizados internacionalmente.


A . la n e c e s i da d d e u n l e n g ua j e c o m  n
En el campo de la administración de riesgos podemos encontrarnos con múltiples fuentes de información que dan un manejo diferente a los términos,
inclusive a aquellos que son clave.
En sus principios el riesgo estuvo asociado a los juegos de azar, y no se
consideraba ninguna teoría para su administración: el futuro será, según esta
concepción, lo que la suerte tenga a bien darnos.
Los cambios sucedidos con la aparición del capitalismo, hacia el siglo xv,
establecieron el marco cultural para pensar de una manera diferente el futuro
y nuestra posibilidad de decisión o de influencia sobre los eventos futuros.
Los conceptos de ahorro y abstinencia que caracterizaron la ética protestante
evidencian la importancia creciente del futuro en relación con el presente. Con
este surgimiento de opciones y decisiones, las personas reconocieron gradualmente que el futuro ofrecía oportunidades tanto como peligros.
Ya en 1951, Arrow3 hace un recorrido de los estudios desarrollados sobre
decisiones bajo incertidumbre y el comportamiento de las personas al tomar
decisiones, particularmente asociado a situaciones económicas. Este autor
plantea:
Sin ser totalmente precisos, las descripciones de consecuencias inciertas pueden ser
clasificadas en dos categorías principales: aquellas que utilizan exclusivamente el lenguaje de las distribuciones de probabilidad y aquellas que utilizan algún otro principio,
que lo reemplaza o lo complementa.
En este mismo análisis recoge algunos pensamientos de Knight4 (capítulo x):
… la mayoría de los autores están de acuerdo en que muchas de las instituciones que
nos caracterizan están formadas por la existencia del riesgo.
Knight va más lejos sosteniendo que el sistema de libre empresa se presenta
como una reacción a la existencia de incertidumbre:
… el fenómeno de la incertidumbre debe haber precedido la era del capitalismo, y
podría mostrar que las diferencias entre el presente y el pasado explican la organización
social diferente para ajustarse al riesgo.
En cuanto al concepto de riesgo, aunque existen diferentes aproximaciones, se
utilizará la planteada por Markowitz (1952), citado por Benstein (1998), en
Portafolio Selection del Journal of Finance, publicación en la que define el valor
esperado (en este caso por un inversionista) como algo deseado, y la varianza
Carlos Mario Duque
del retorno como algo no deseado, lo cual se ha asumido como la definición de
riesgo, aunque Markowitz no lo haya hecho en forma explícita.
También es fundamental diferenciar riesgo de incertidumbre. En el caso
de la incertidumbre se realiza la siguiente diferencia ya establecida por Knight
(1921):
En el riesgo es conocida la distribución de los resultados en grupo o instancias (sea a
través del cálculo a priori o de estadísticas de experiencias anteriores), mientras en el caso
de la incertidumbre esto no es verdad; la razón de que esto exista, en términos generales,
es que es imposible elaborar un grupo de instancias, debido a que la situación es única
en un alto grado. El mejor ejemplo de incertidumbre está en relación con el ejercicio del
juicio o la formación de opiniones sobre el curso futuro de los eventos. Tales opiniones
(y no el conocimiento científico) guían la mayor parte de nuestra conducta.
Los diferentes modelos considerados hasta el momento parten de la idea de la
racionalidad en la toma de decisiones, concepto que ha sido revalorado profundamente en los últimos años. Aquí sobresalen los trabajos de experimentación
de Daniel Kahneman y Amos Tversky, a partir de los cuales desarrollaron la
teoría de prospectos.
La teoría de prospectos identificó patrones de comportamiento sobre el juicio
humano y las decisiones bajo condiciones de incertidumbre, con las limitaciones
propias del ser humano (dificultades cognitivas) en cuanto al procesamiento de
información y la influencia del contexto inmediato en la toma de decisiones (p.
ej., cómo se presenta el problema, el orden de la presentación o la posibilidad de
las alternativas), que lleva a elecciones inconsistentes cuando el mismo problema
aparece en diferentes marcos o presentaciones.
En esta corta definición e historia acerca del riesgo no se pretende ser detallado en el registro de los diferentes eventos, pero sí resaltar autores y teorías
sobre las que se fundamentan los conceptos iniciales de riesgo y su administración. Los elementos adicionales que se considerarán serán las metodologías
de administración (cubrimiento) del riesgo y las metodologías que podrían
abordarse para realizar un proceso de análisis sistemático de éste.
B. la a d m i n i s t rac i  n y e l c u b r i m i e n to d e l r i e s g o
El concepto de la administración de riesgo también ha evolucionado en el tiempo.
En la administración actual (no desde la teoría financiera), este concepto estuvo
ligado fundamentalmente a atender requerimientos de entidades reguladoras;
sin embargo, esta situación ha evolucionado y ha llegado en la actualidad a ser
una herramienta de gestión organizacional.


La definición que encontramos en el estándar as/nzs 4360 (1999) sobre la
administración de riesgos es:
Cultura, procesos y estructuras que se dirigen hacia la gestión eficaz de las oportunidades potenciales y los efectos adversos.
Básicamente la administración de riesgo es un proceso continuo, o más bien
una disciplina que se lleva a cabo sistemática y analíticamente con el fin de
minimizar el impacto negativo o maximizar el beneficio de las oportunidades
que se nos presentan.
La administración del riesgo se basa en el principio de que éste no se puede
eliminar totalmente, pero para su administración se pueden seguir diferentes
estrategias:
– Evitar el riesgo: eliminación de actividades causantes de riesgos, en las
cuales su tratamiento adicional no es efectivo en costo y el retorno no es atractivo
con relación al riesgo involucrado.
– Aceptar el riesgo: aceptar los riesgos cuando el tratamiento adicional del
mismo no es costoso, pero los retornos potenciales son atractivos en relación
con los riesgos involucrados.
– Reducir riesgos: actividades y medidas tendientes a reducir la probabilidad de ocurrencia de un riesgo y/o minimizar la severidad de su impacto, en
caso de suceder.
– Transferir riesgos: actividades y medidas tendientes a transferir a un
tercero la responsabilidad por el manejo de riesgos y/o la obligación por las
consecuencias financieras del riesgo, en caso de ocurrencia.
Existen diversos marcos de referencia para identificar y evaluar los riesgos,
así como para determinar la necesidad de implementar medidas de control,
y dos referencias importantes son el estándar anz 4360 y el marco de trabajo
desarrollado por el Committee of Sponsoring Organization of the Treadway
Commission, mejor conocido como coso, el cual proporciona detallados criterios que inciden sobre el mantenimiento de un sistema adecuado de control
interno y define los componentes de un marco de trabajo para la administración
de riesgo empresarial, como sigue:
– Contexto interno.
– Establecimiento de objetivos a nivel estratégico, operaciones, reporte y
cumplimiento.
– Identificación de eventos.
– Evaluación de riesgos.
– Respuesta a los riesgos.
Carlos Mario Duque
– Actividades de control.
– Información y comunicación.
– Monitoreo.
En forma similar, el estándar anz 4360 (1999) da pautas sobre el proceso
de gestión del riesgo, proceso que es la base del desarrollo de la norma técnica
colombiana ntc 5254 de 2004, “Gestión del riesgo”.
Como se presenta en la figura 1, la administración del riesgo es un proceso
iterativo de mejora continua. Todas las fases están caracterizadas por una continua comunicación y consulta, pero sobre todo por una adecuada documentación que sirve para “demostrar que el proceso se ha realizado correctamente,
posibilitar la revisión de decisiones o procesos, y demostrar responsabilidad”,
anz 4360 (1999)6.
figura 1
administracin del riesgo
Establecimiento
de un contexto
Monitoreo
y revisión de los
avances
Tratamiento
de riesgos
Administración
del riesgo
Identificación
de riesgos
Valoración
de riesgos
– Establecer el contexto estratégico. En esta primera etapa es donde se definen los
métodos de acción de la organización con base en su entorno, es decir, el “quién”,
“dónde”, “cuándo”, “cómo” y “con qué recursos”. Se define cómo van a ser
tratados los riesgos y qué niveles de riesgo se está dispuesto a aceptar.
– Identificar los riesgos. Aquí se debe preguntar qué eventos riesgosos podrían ocurrir e imaginarse los escenarios posibles en los que nos podríamos
encontrar. Se deben tener en cuenta tanto los eventos que están bajo el control
de la organización como los que no.


– Valorar los riesgos. Esta etapa se puede dividir en dos partes: la primera
es analizar los riesgos y la segunda es evaluarlos. En el análisis lo que se hace
es tratar de separar los riesgos altos de los bajos, estimando su probabilidad de
ocurrencia y el impacto que puedan tener sobre la organización. La parte de evaluación consiste en comparar los niveles de riesgo obtenidos en la fase de análisis
con los que se plantearon al establecer el contexto estratégico; de esta manera
sabremos si son riesgos aceptables o si es necesario tomar medidas al respecto.
– Tratar los riesgos. Tratar un riesgo se refiere a las medidas que se van a
tomar para enfrentarlo.
– Monitorear y revisar los avances. Su objetivo es rastrear los avances del
proceso para identificar las fallas y, si es necesario, volver a un punto de control
previo y hacer modificaciones al proceso.
– Comunicar y consultar. “Ésta es una parte integral de todos los aspectos
del proceso de administración de riesgo”6. Para que el proceso de gestión del
riesgo se desarrolle en armonía es necesario que estén abiertos unos canales de
comunicación que permitan transmitir el conocimiento a las diferentes partes
de la organización y, de esta forma, aprovechar la realimentación.
De otra parte, la disminución del impacto se puede lograr con las actividades de control y con la transferencia del riesgo, ya sea a través de seguros
(específicos y por lo tanto limitados), de disposición de capital para cubrir la
materialización de algún riesgo, o a través de instrumentos financieros que
tengan como propósito el cubrimiento o el complemento en el cubrimiento de
algunos tipos de riesgos.
C. modelos de riesgo
1 . la i d e n t i f i c ac i  n
Para definir las medidas de control dentro de la administración de riesgos,
se parte de haber estructurado procedimientos adecuados de identificación,
evaluación y calificación de los mismos.
Para modelar los riesgos de una organización existen dos enfoques complementarios: un enfoque top-down en el que se parte del análisis estratégico, cuyo
propósito es proporcionar un marco mediante el cual se puedan comprender
primero los objetivos y estrategias de la organización en el contexto de la industria y del entorno donde opera. Estas estrategias pueden ser diferenciadas
en perspectivas que normalmente están interrelacionadas; dentro de las perspectivas se definen objetivos estratégicos, así como indicadores de desempeño.
Carlos Mario Duque
Todos estos elementos nos deben permitir identificar procesos críticos para que
se logren los objetivos de una organización.
El control de un determinado proceso se podría realizar, como se planteó
anteriormente, a partir de la definición de una serie de indicadores que podrían
ser de desempeño o de riesgo. La importancia relativa de los indicadores clave
de riesgo (kri) es otro de los tantos elementos que debe ser considerado en este
proceso de identificación.
El enfoque complementario es el bottom-up, que parte de la información
disponible de eventos de pérdidas (materialización de los riesgos), elaborada
con base en un registro histórico del impacto monetario en una organización, de
los riesgos que se han materializado; este enfoque, a partir de diferentes aproximaciones al análisis de datos, desarrolla modelos explicativos y predictivos. Un
proceso importante en este punto es la integración de los dos enfoques, lo cual
conlleva un análisis importante respecto a los riesgos que son cuantificables y
a los que no, y la mejor forma de aproximarse a su medición.
2 . l a va l o r a c i  n
La valoración de los riesgos depende en gran medida del riesgo que se pretenda
valorar y de la industria en que se encuentre inscrita una organización específica.
En el caso del sector financiero (tomándolo como el mercado de dinero), dos
tipos de riesgos relevantes son el riesgo de crédito y el riesgo de mercado, los
cuales, para dicho sector, tienen metodologías muy establecidas y conocidas.
I I . e s t  n da r e s y m e j o r e s p r  c t i c a s
e n la a d m i n i s t rac i  n d e r i e s g o s
de tecnologas de informacin
En el contexto que nos referimos al riesgo, existe una doble responsabilidad
para las áreas de tecnología de información: apoyar el logro de los objetivos de
la organización, administrando los riesgos que ésta pueda enfrentar por el uso
de dichas tecnologías.
Al respecto se ha utilizado el término “gobierno de tecnología de información”,
el cual ha sido definido por el Information Technology Institute (itgi) como:
… la estructura de relaciones y procesos para dirigir y controlar la empresa para alcanzar
los objetivos de la misma agregando valor mientras se logra un balance entre riesgos y
retorno, sobre la tecnología de información y sus procesos13.


Se consideran como objetivos claves del gobierno de tecnología de información:
– Esta tecnología debe estar alineada con el negocio para maximizar sus
beneficios.
– Los riesgos asociados a las tecnologías de información deben ser administrados apropiadamente.
– Debe incrementar su productividad y hacer un uso adecuado de los
recursos.
– Debe mejorar la administración de proyectos de tecnología de información.
– Debe mejorar la calidad del software.
Para lograr estos objetivos se deben integrar diferentes herramientas de
gestión y control de tecnología de información, como la presentada a continuación:
figura 2
gobierno de tecnologa de informacin (adaptado de ratcliffe, 2004).
caso
cobit
Sistema de calidad
Planeación de T.I.
Administración de proyectos
Seguridad de T.I.
itil
Desarrollo de aplicaciones
Administración de servicios
cmm
iso
Six
Sigma
Operación de tecnología de información
BS
7799
pmi
Estrategia
tso
Relacionados con la gestión de tecnología de información y la administración
de riesgos tecnológicos, existen diferentes estándares y mejores prácticas que
ayudan a complementar el análisis que se puede desarrollar a partir de un
marco en administración de riesgos, como el marco de trabajo coso, anz 4360
o similares. Algunos de estos estándares y mejores prácticas son:
Carlos Mario Duque
A . c o b i t ( c o n t r o l o b j e c t i v e s f o r i n f o r m at i o n
a n d r e l at e d t e c h n o l o g y )
ha sido desarrollado como una serie de buenas prácticas de control y seguridad de tecnologías de información, que proporciona un marco de trabajo de
referencia para administradores, usuarios, auditores de sistemas y ejecutores de
los procesos de seguridad y control. Este marco de trabajo ha sido desarrollado
por el Information Technology Governance Institute y facilita a las organizaciones la implementación efectiva del gobierno de tecnología de información.
Los componentes de cobit incluyen:
– Resumen ejecutivo
– Marco de trabajo
– Objetivos de control
– Guías de auditoría
– Conjunto de herramientas para la implementación
– Guías de administración
Las herramientas que incluye cobit son:
– Indicadores de objetivos e indicadores claves de desempeño (mediciones
de resultado y determinantes de desempeño de los procesos de tecnología de
información)
– Una lista de factores críticos de éxito
– Modelos de maduración para ayudar en la comparación y toma de decisión
en el mejoramiento de capacidades
Aunque cobit cubre un marco muy amplio de objetivos y prácticas de control, no es muy específico en ellas o en su implementación, por lo cual requiere
ser acompañado de otras herramientas que se aplican a áreas especializadas tales
como: itil, BS7799, cmm, etc.
cobit
B . i t i l ( i n f o r m at i o n t e c h n o l o g y
i n f r a s t r u c t u r e l i b r a ry )
no es un marco de control. Es un conjunto de mejores prácticas en la
administración de los servicios de tecnología de información y sus procesos
asociados. Este conjunto de prácticas ha sido desarrollado por la British Office
of Government Commerce (ogc).
itil realiza una aproximación detallada a los dominios de cobit denominados
“Adquisición e implementación”, y “Entrega y soporte” (de los servicios de
tecnología de información), lo mismo que a algunos aspectos del dominio de
“Planeación y organización”.
itil


C. iso 17799 de iso 27000
Esta norma tuvo su origen en el British Standard BS7799, desarrollado en los
años 1990 por parte del British Standard Institute (bsi), que buscaba la creación
de una estructura común de seguridad de información.
Posteriormente, la International Organization for Standardization (iso),
pone su interés en el estándar desarrollado y mejorado por el bsi, acogiéndolo
y publicándolo como la norma iso 17799. Existen dos partes de la norma:
– iso de iec 17799 2000 ó BS7799 (Parte 1): Tecnologías de información.
Código de práctica para la administración de seguridad de información. Se basa
en once categorías de control. Será reemplazada por la iso/iec 27002.
– BS7799 (Parte 2): Técnicas de seguridad. Especificación para el sistema
de administración de la seguridad de la información. En octubre de 2005 fue
reemplazada por la iso/iec 27001. Su objetivo principal es ayudar a establecer
/mantener un sistema efectivo de gestión de la seguridad de la información
utilizando el ciclo de mejoramiento continuo.
Se desarrollarán otras normas complementarias dentro de la serie iso 27000,
que considerarán métricas, evaluación de riesgos, guías complementarias para
la implementación, etc.
Las secciones principales que componen el estándar iso 17799 son:
– Políticas de seguridad.
– Organización de la seguridad de información.
– Clasificación y control de activos.
– Seguridad de los recursos humanos.
– Seguridad física y ambiental.
– Administración de las comunicaciones y operaciones.
– Control de accesos.
– Adquisición, desarrollo y mantenimiento de sistemas de información.
– Manejo de incidentes de seguridad de información.
– Administración de la continuidad del negocio.
– Cumplimiento.
Para el diseño de soluciones se pueden utilizar estas herramientas unidas
a otras como:
D. nist
Los desarrollos del Computer Security Resource Center, del National Institute
for Standards and Technology [csrc.nist.gov], aunque no son muy utilizados por
fuera de los Estados Unidos, sí contienen principios que sirven para comparar
Carlos Mario Duque
y complementar los estándares y mejores prácticas considerados anteriormente.
Algunos de sus estándares son:
– nist SP 800-12: The Computer Security Handbook.
– nist SP 800-14: Generally Accepted Principles and Practices for Securing
IT Systems.
– nist SP 800-18: The Guide for Developing Security Plans for IT Systems.
E . a rq u i t e c t u ra d e s e g u r i da d i e t f
El Internet Engineering Task Force (ietf), a través del Security Area Working
Group, actúa como un cuerpo asesor para los protocolos y áreas desarrolladas
y promovidas en la sociedad de internet.
– rfc 2196: Site Security Handbook brinda un análisis sobre cinco áreas básicas de seguridad y discusiones detalladas en su desarrollo e implementación.
Hay capítulos que abordan importantes tópicos, como las políticas de seguridad, arquitectura técnica de seguridad, servicios de seguridad y administración
de incidentes de seguridad.
F . s k i p ( s e c u r i t y k n ow l e d g e i n p rac t i c e )
es un método desarrollado por el Centro de Coordinación del cert para
fortalecer las redes, detectar y responder a intrusiones, y mejorar el sistema con
base en la revisión de eventos.
El proceso de maduración considera un ciclo repetitivo de mejoramiento
continuo de la seguridad de información en la infraestructura, modelo que se
plantea los pasos lógicos en el aseguramiento de ésta:
– Fortalecimiento y aseguramiento.
– Preparación y caracterización.
– Detección.
– Respuesta.
– Mejoramiento.
Las acciones de mejoramiento pueden provocar que se retomen las prácticas
de fortalecimiento y aseguramiento, preparación y detección.
skip
G. i s o 1 333 5 – g u i d e l i n e s f o r t h e m a n a g e m e n t
o f i n f o r m at i o n t e c h n o l o g y s e c u r i t y ( g m i t s )
Esta serie de reportes técnicos, conocidos como iso/iec 13335, brinda guías en
la administración de la seguridad de tecnología de información.


En la actualidad, el proyecto gmits consta de cinco partes:
– Conceptos y modelos para la administración de seguridad de tecnologías
de comunicación e información.
– Administración y planeación de seguridad de tecnología de información.
– Técnicas para la administración de seguridad de tecnologías de información
– Selección de salvaguardas.
– Guías de administración para la seguridad en red.
H. cmm aplicado a diferentes disciplinas
La primera versión del cmm fue desarrollada por el software Engineering Institute (sei) y estaba orientada a la ingeniería de software. Posteriormente se aplicó
este mismo modelo a otras disciplinas: People cmm (p-cmm), System Engineering
cmm (se-cmm), Software Acquisition cmm (sa-cmm), e Integrated Product Development cmm (ipd-cmm). En cada uno de estos casos, y en otras aplicaciones
realizadas a procesos organizacionales (dentro de las actividades de mejoramiento), se realiza una definición para cada uno de los niveles calificados dentro del
modelo de maduración de capacidades que se señala a continuación:
– Inicial.
– Repetible.
– Definido.
– Administrado.
– Optimizado.
conclusiones
Diferentes hechos mundiales han puesto de manifiesto la necesidad de mejorar la práctica de controles en las diferentes organizaciones, y han convertido
cada vez más el tema de la administración de riesgos en un asunto de las áreas
directivas de las organizaciones, no sólo por la exigencia de la regulación, sino
porque al requerir importantes inversiones de recursos financieros y humanos,
se busca obtener el mayor beneficio de ello.
Para abordar este proceso existen diferentes marcos de referencia, que van
desde aspectos muy generales a otros más específicos, marcos que en algunos momentos se superponen pero también pueden ser importantes complementos.
Se puede ir desde marcos generales para la gestión de riesgos, por ejemplo,
el as/nzs: 4360, aprobado y emitido en Colombia como la norma técnica colombiana de gestión de riesgo ntc 5254, marcos de administración de riesgos
aplicables más específicamente a los riesgos en tecnologías de información, hasta
herramientas de soporte a estos procesos en aspectos más detallados.
Carlos Mario Duque
Se puede decir que existe un marco de referencia bastante amplio y que
cada vez va a ser más consistente con los esfuerzos de armonización que se
vienen realizando.
bibliografa
1.
iso/iec guide 73, Risk Management –Vocabulary– Guidelines for use in standards, 1.ª ed.,
2002.
2. Arrow, Kenneth J. “Alternative approaches to the theory of choice in risk-taking
situations”, Cowles Foundation Paper 51, reimpreso de Econometrica, Journal of the
Econometric Society, vol. 19, n.º 4, october 1951.
3. Knight, f.h. Risk, Uncertainty and Profit. Boston, Houghton and Mifflin, Online
edition. Publicado originalmente en 1921.
4. Douglas, Mary y Aaron Wildavsky. Risk and Culture, 1982.
5. The Australian/New Zealand Standard for Risk Management (AS/nzs 4360).
6. British Standards Institution. BS 7799-2:2002: Information security management systems
– specification with guidance for use, London, 2002.
7. International Organization for Standardization-International Electrotechnical Commission. International Standard iso/iec tr 13335-1:1996 Guidelines for the management of
IT security, Part 1: Concepts and models for IT Security, Genève, iso,1996.
IT security, Part 2: Managing and planning IT Security, Genève, iso, 1997.
IT security, Par 3: Techniques for the management of IT security, Genève, iso, 1998.
10.International Organization for Standardization-International Electrotechnical Commission. International Standard iso/iec tr 13335-4:2000 Guidelines for the management of
IT security, Part 4: Selection of safeguards, Genève, iso, 2000.
11.International Organization for Standardization-International Electrotechnical Commission. International Standard iso/iec tr 13335-5:2001 Guidelines for the management of
IT security, Part 5: Management guidance on network security, Genève, iso, 2001.
12. Ratcliffe, David. The world of it service management: the past, present and future of
itsmf, Houston, november 2004.


13. Guldentops, Erik; John Lainhart; Eddy Schuermans; John Beveridge; Michael
Donahue; Gary Hardy; Ronald Saull y Mark Stanley. cobit Framework, Rolling
Meadows, 2000.
emilio su llins
La firma digital en los registros y el notariado:
la seguridad jurídica preventiva
I . l a f i r m a c o r p o r at i va d e n o ta r i o s y r e g i s t r a d o r e s y
s u c o n c o r da n c i a c o n e l d e r e c h o d e la u n i  n e u ro p e a
Desde el punto de vista normativo, en España es básico, en todo aquello que
tiene que ver con la firma digital en al ámbito de los Registros y del Notariado,
lo establecido en la Ley 24 del 27 de diciembre de 2001, de Medidas Fiscales,
Administrativas y del Orden Social; es decir, la conocida como Ley de Acompañamiento a la Ley de Presupuestos Generales del Estado para 2002. La Ley
de Acompañamiento, en apenas cuatro años y de forma muy significativa, ha
tenido que ser profundamente modificada por la Ley 24 del 18 de noviembre
de 2005, de reformas para el impulso a la productividad. Dentro de la Ley 24
de 2001 se destacan los artículos 106 a 115, agrupados bajo la rúbrica Incorporación de técnicas electrónicas, informáticas y telemáticas a la seguridad jurídica
preventiva. No obstante, la Ley 24 de 2001 contiene también otros artículos, así
como algunas disposiciones adicionales y transitorias que así mismo se refieren
a esta materia, por lo que tales preceptos serán debidamente comentados.
Las disposiciones reseñadas afectan, según establece el artículo 106 de la
Ley 24 de 2001 –modificada por la Ley 24 de 2005–, a notarios y registradores
de la propiedad, tanto mercantiles como de bienes muebles, en el ejercicio de
sus funciones públicas; tan es así que el artículo 107 ordena directamente la
implantación obligatoria de sistemas telemáticos para todos ellos, cuyas características han de ser establecidas mediante instrucciones de la Dirección General
de los Registros y del Notariado (dgrn).
El artículo 108 dispone (no podía ser de otra manera) que la firma digital de
notarios y registradores se adecue a la Ley 59 del 19 de diciembre de 2003, que
se refiere a firma electrónica. El precepto reconoce que los certificados pueden
ser emitidos por cualquier prestador puesto que está vigente el principio de
libre acceso a la actividad de prestación de servicios de certificación.
Aparentemente esta cuestión tiene muy pocas posibilidades de discusión, si
se atiende a lo dispuesto en la Directiva 1999/93/CE, que literalmente dice:
Los Estados miembros podrán supeditar el uso de la firma electrónica en el sector
público a posibles prescripciones adicionales. Tales prescripciones serán objetivas,
transparentes, proporcionadas y no discriminatorias y sólo podrán hacer referencia a las
características específicas de la aplicación de que se trate. (Cursivas fuera de texto).
Lo que parece estar claro en la Directiva europea, y por ende en la legislación
española, es, sin embargo, muy discutido por los notarios tratadistas en firma
electrónica. Uno de tales notarios especialistas en firma electrónica, Francisco
Javier García Mas, cuyos puntos de vista sobre la cuestión son muy semejantes


La firma digital en los registros y el notariado: la seguridad jurídica preventiva
a los que inspiran la Ley 24 de 2001, en una obra sobre comercio y firma electrónica discrepa sin embargo sobre este punto, puesto que él hubiese preferido
que para la expedición de certificados a notarios y registradores estuviesen
solamente habilitadas las correspondientes corporaciones y, en concreto, el
Consejo General del Notariado y el Colegio Nacional de Registradores de la
Propiedad y Mercantiles de España.
También Antonio Rodríguez Adrados, en distintos artículos y libros sobre
firma electrónica, hace aseveraciones tales como que
… tendría que ser el Colegio Notarial respectivo, o el Consejo General del Notariado,
el que certificara la clave pública de los notarios, que deberán tener registrada, a la
manera de lo encomendado a la Fábrica Nacional de Moneda y Timbre-Real Casa de
la Moneda para los documentos administrativos.
De hecho conviene tener en cuenta que todo lo relativo a la función notarial
está integrado –de forma peculiar, pero integrado a fin de cuentas– en el sector
público. No olvidemos que las funciones públicas delegadas o, hasta cierto punto,
el ejercicio privado de funciones públicas –muy cualificado, por cierto– que en
España suele definirse bajo la rúbrica “seguridad jurídica preventiva”, es muy
parecido a lo que el insigne administrativista Zanobini denominaba administración del derecho privado, que, junto con las funciones delegadas de fe pública
–sustancialmente notarial– y registros no retenidos en la propia Administración,
englobaría algunas funciones jurisdiccionales no contenciosas, y en el fondo
administrativas, como la jurisdicción voluntaria, que a su vez tiene muchos
ámbitos colindantes y hasta concurrentes con la función notarial.
Las posturas doctrinales de algunos notarios, como los citados, que han
escrito sobre firma digital, no logran, a mi juicio y al menos en lo que yo he
tenido ocasión de leer, dar argumentos que apuntalen de forma rotunda y difícilmente contestable sus puntos de vista y sin embargo, conforme veremos,
participo de sus conclusiones; es decir, creo que tienen razón. No obstante,
para argumentar de forma más contundente y rotunda, entiendo que habría
que justificar muy bien por qué la firma corporativa es no discriminatoria con
respecto a los prestadores privados de servicios de certificación y, en consecuencia, no contraviene la Directiva 1999 de 93. Eso es lo que nunca he visto
suficientemente argumentado.
Francisco Javier García Mas. Comercio y firma electrónicos, Valladolid, Edit. Lexnova, 2001.
Antonio Rodríguez Adrados. “La firma electrónica”, en Notariado y contratación electrónica, Edit.
Colegios Notariales de España, 2000.
Guido Zanobini. Corso di diritto amministrativo, Milán, Edit. Giuffré, 1958.
Emilio Suñé Llinás
En cualquier caso, tales posicionamientos notariales han influido mucho en
el legislador y por supuesto también en las instrucciones de la dgrn, algunas
de las cuales, pese a ser anteriores a la Ley 24 de 2001, tienen un contenido
sustancialmente parecido a la misma. Me refiero en concreto a la Instrucción
de 19 de octubre de 2000, de la Dirección General de los Registros y del Notariado, sobre el uso de la firma electrónica de los fedatarios públicos, instrucción
ésta que deroga otra anterior, del 26 de abril de 2000. La Instrucción de 19 de
octubre de 2000 pretendía que las corporaciones respectivas monopolizasen la
firma digital de notarios y registradores, y para ello hacía una interpretación
ciertamente forzada de la Directiva 1999 de 93. Según la Instrucción de la
dgrn referida, la monopolización de la firma digital en el ámbito de la seguridad jurídica preventiva es, conforme al espíritu del artículo 1.º, párrafo 2.º,
de la Directiva 1999/93/CE del Parlamento Europeo y del Consejo, de 13 de
diciembre de 1999, por la que se establece un marco comunitario para la firma
electrónica, que dispone:
La presente directiva no regula otros aspectos relacionados con la celebración y validez de los contratos u otras obligaciones legales cuando existan requisitos de forma
establecidos en las legislaciones nacionales o comunitaria, ni afectan a las normas y
límites, contenidos en las legislaciones nacionales o comunitarias, que rigen el uso de
documentos.
La exclusión de la actividad de los fedatarios públicos del ámbito de la citada
norma responde a una adecuada ponderación de las diferencias que separan el
sistema público de garantías consustanciales a la función de estos profesionales, de las características propias del procedimiento de firma electrónica y, en
concreto, de las que se le ha dotado en nuestro ordenamiento. A mi juicio esto
es una interpretación forzada –que además sigue sin explicar por qué la firma
corporativa es no discriminatoria– puesto que este precepto, como otros de la
directiva, se limita a afirmar que la normativa contenida en la misma no altera
las instituciones del derecho privado, ni en el fondo ni en la forma. Pretender
inducir de ahí que la actividad de los fedatarios públicos queda excluida del
ámbito de aplicación de la directiva, como se hace en la Instrucción de la dgrn,
es muy difícilmente sostenible.
La argumentación ha de ser a mi juicio otra, y ha de partir del carácter de
función pública que, como antes he señalado, indudablemente tiene la función
notarial. En otras palabras, el notario es el titular de un órgano público que
desempeña una inequívoca función pública.
Para que se entienda por dónde va mi argumentación diré que poco antes
del año 2000, en otro entorno (el de la Administración del Estado), éste se vio


obligado a echar marcha atrás en su pretensión de que la fnmt monopolizase la
certificación de firma digital en su propio ámbito, lo que hizo de forma expresa,
como ya dije, en la Ley de Acompañamiento a la Ley de Presupuestos para el
año 2000, cuya referencia exacta es Ley 55 del 29 de diciembre de 1999, de
Medidas Fiscales, Administrativas y del Orden Social (art. 51).
La confusión se produce porque no se separa suficientemente, a estos
efectos, la problemática de los certificados de órgano público con respecto a
los certificados de usuario de servicios públicos, cuya problemática es, sin embargo, completamente distinta. A mi entender, cualquier interpretación lógica
y teleológica del principio de no discriminación de prestadores de servicios de
certificación, contenido en la Directiva 1999 de 1993, debiera circunscribir
dicho principio a los certificados de usuario (privado) de servicios públicos, y
nunca a los certificados expedidos en el ámbito de la relación orgánica; es decir,
aquella que vincula al titular de un órgano público con la propia organización
en la que presta sus funciones públicas, lógicamente en su condición de titular
de un órgano público y no de persona privada.
No entender suficientemente lo que se acaba de exponer ha dado lugar a
multitud de problemas, tanto en el ámbito del derecho administrativo como
en el del derecho notarial. De hecho, en la Administración del Estado o en
determinadas administraciones autonómicas con sus propias entidades de certificación, se plantean problemas parecidos, y también lo facilitan disposiciones
legales o reglamentarias que parten de un entendimiento poco adecuado de la
Directiva 1999 de 93. Por ejemplo, cuando el Real Decreto 1317 de 2001 prevé
que las distintas entidades públicas puedan celebrar convenios tanto con la fnmt
como con otros prestadores de servicios de certificación, aunque en régimen
de libre concurrencia, en el fondo lo que se pretende es obstaculizar esta libre
concurrencia que sin embargo se proclama, puesto que cada una de las administraciones públicas estará directa o indirectamente presionada para celebrar
el correspondiente convenio con su propia entidad de certificación. Si esto se
circunscribiese a los certificados de titular de órgano público no habría nada
que decir, pero lo cierto es que se suele extender a los certificados de usuario
de los correspondientes servicios públicos, y es precisamente eso lo que no es
conforme con el principio de no discriminación de prestadores de servicios de
certificación, contenido en la Directiva 1999 de 93.
En el fondo estamos simplemente ante una aplicación de los principios
generales del derecho administrativo –que no parece razonable entender hayan querido ser alterados por el derecho comunitario europeo, al cual además
trascienden–, que distinguen rotundamente entre lo que mi maestro, José
Luis Villar Palasí, denominaba potestad doméstica de las administraciones
públicas –incluidas, por qué no, las corporaciones, en la medida en que desempeñan funciones públicas– y la potestad relacional con los ciudadanos; o, si se
quiere (estamos prácticamente ante expresiones materialmente sinónimas), las
relaciones de supremacía especial que las administraciones públicas tienen en
su ámbito interno, frente a las relaciones de supremacía general de que disponen en su relación con los ciudadanos. A partir de ahí (sólo estoy recordando
principios estructurales del derecho administrativo) no debiera ni hacer falta
justificar, puesto que va de suyo, por qué las administraciones públicas (e insisto,
también las corporaciones, en la medida en que ejercitan funciones públicas),
en sus relaciones con los ciudadanos están sujetas de forma positiva al principio
de legalidad (positive binding), mientras que en el ámbito doméstico, de autoorganización, por esencia discrecional, sólo lo están de forma negativa (negative
binding). Cualquier administración pública, al igual que cualquier corporación en
el ejercicio de sus funciones públicas, puede organizarse como mejor le parezca
–potestad autoorganizatoria, por esencia discrecional–, incluido todo lo que
tenga que ver con los certificados digitales vinculados a una relación orgánica.
Cuestión distinta es la que sucede en el ámbito de la potestad relacional con
los ciudadanos, en la que la vinculación al principio de legalidad es estricta; en
la que, en un Estado de derecho, ha de primar, con mucho, lo reglado frente a
lo discrecional; en la que, en definitiva, es perfectamente legítima y hasta adecuada, proporcionada y deseable la decisión del legislador europeo –que sólo
a este ámbito afecta– de someter la prestación de servicios de certificación al
principio de libre concurrencia y, por lo tanto, de no discriminación de prestadores, incluido todo lo que tenga que ver con los certificados de firma digital
que empleen los ciudadanos para sus relaciones telemáticas con las distintas
administraciones públicas.
La cuestión, de haberse sabido interpretar adecuadamente la Directiva 1999
de 93, era todavía más sencilla en el ámbito de los registros y del notariado que
en el de las administraciones públicas en general, toda vez que allí no se plantea
una cuestión propiamente dicha de certificados de usuario, sino de certificados
expedidos a los notarios y registradores de la propiedad y mercantiles, en su
condición de titulares de un órgano público y para el ejercicio de las correspondientes funciones públicas. A mi juicio, es la falta de una argumentación
suficientemente convincente la que ha hecho que el legislador no haya acogido
formalmente la firma corporativa en la Ley 24 de 2001, de Acompañamiento
a la de Presupuestos Generales del Estado para 2002; si bien la insistencia
notarial en que el Consejo General del Notariado monopolice la certificación
digital en su propio ámbito sí ha hecho mella en su ánimo, toda vez que, en la
práctica, deja muy pocas oportunidades reales a la intervención de prestadores


de servicios de certificación, distintos del corporativo, lo que acaba dando lugar
a un panorama normativo que transmite una cierta sensación –permítaseme la
expresión– de trampeo, que sería de todo punto innecesaria de haberse sabido
plantear correctamente las cosas. Porque en el fondo, no nos engañemos, sí que
existe un monopolio certificador de facto, en su propia esfera de actividad, para
el Consejo General del Notariado y el Colegio Nacional de Registradores de
la Propiedad y Mercantiles de España, cosa fácil de conseguir si se establecen
condicionantes normativos en tales ámbitos, como así ha sucedido, condicionantes que en la práctica dificulten la viabilidad de la entrada de otros proveedores
de servicios de certificación.
Personalmente he tenido ocasión de arrepentirme, incluso, de no haber
publicado en su debido momento lo que ya hace tiempo había escrito y expuesto en algunas conferencias sobre la materia, puesto que, sin duda, por la
errónea creencia del legislador de que se estaría contraviniendo el derecho de la
Unión Europea, se acaba de perder una ocasión de oro para introducir la firma
corporativa en el ámbito de los registros y del notariado, pues ya se ha dicho al
principio de este escrito que la Ley 24 de 2001 ha sido profusamente modificada
por la Ley 24 de 2005, de 18 de noviembre, de reformas para el impulso a la
productividad, que sin embargo no se atrevió a tocar formalmente el principio
de libre concurrencia entre prestadores de servicios de certificación, al cual, sin
embargo, al igual que hacía la Ley 24 de 2001, acaba vaciando materialmente
–y acaso conscientemente– de contenido. En fin, dado el carácter ya casi acostumbrado con que los sucesivos legisladores publican trascendentales modificaciones de la normativa sobre firma digital en el sector público, en las Leyes
de Acompañamiento de las de Presupuestos, eufemísticamente denominadas
de Medidas Fiscales, Administrativas y en el Orden Social, no estaría de más
que en la Ley de Acompañamiento a la de pge para 2007 se hiciese de una vez
lo que siempre se ha querido hacer, sin atreverse, y se regulase directamente sin
tapujos la firma corporativa, en el ámbito de la denominada seguridad jurídica
preventiva.
La habilitación legal al Consejo General del Notariado y al Colegio Nacional
de Registradores para actuar como prestadores de servicios de certificación en su
propio ámbito no figura en el articulado que se comenta, sino en la disposición
adicional 26.ª de la propia Ley 24 de 2001, que obliga a ambas corporaciones,
en el plazo de seis meses desde la entrada en vigor de dicha ley, a constituirse
en prestadoras de servicios de certificación, con lo cual pueden celebrar a estos
efectos los oportunos convenios, cosa que el Consejo General del Notariado
(cgn) ha efectuado, al convenir con la Fábrica Nacional de Moneda y TimbreReal Casa de la Moneda (fnmt), que sería la entidad de certificación raíz, y el
como entidad de certificación de segundo nivel –lo que es una pura denominación técnica, que nada tiene que ver con la importancia de cada uno– y
esta opción, la de convenir con la fnmt, es sin duda la más acertada, toda vez
que la entidad raíz, con la fnmt, no deja de ser el propio Estado.
La propia disposición adicional 26.ª, en su párrafo 2.º, deja muy clara la
obligatoriedad del Consejo General del Notariado y del Colegio Nacional de
Registradores en cuanto a prestar servicios de certificación a aquellos notarios
y registradores que lo soliciten.
El establecimiento de un monopolio –o duopolio– de facto prácticamente se
consolidó con posterioridad a la Ley 24 de 2001, a través de la Instrucción de la
dgrn de 18 de marzo de 2003, que se refiere fundamentalmente a las comunicaciones entre notarios y registradores, sobre todo en lo relativo a la presentación
de títulos públicos. Tal instrucción obligaba extra legem –y probablemente contra
legem– a canalizar tales comunicaciones a través de las respectivas corporaciones, con lo que el sistema parece estar expresamente diseñado para excluir la
intervención de cualesquiera otros prestadores de servicios de certificación.
Todo ello ha quedado ya convalidado en el artículo 108 de la Ley 24 de 2001,
que le ha dado la Ley 24 del 18 de noviembre de 2005, de reformas para el
impulso a la productividad. Efectúo acto seguido un extracto del punto 2.º de
la Instrucción, que iré comentando brevemente, para de inmediato exponer la
regulación recientemente aprobada:
cgn
Segundo. Con relación a la compatibilidad e interoperabilidad de los sistemas de los
sistemas telemáticos de emisión, transmisión, comunicación y recepción de información
entre las notarías y los Registros se establece:
a. La comunicación se realizará entre el nodo central del notariado y el nodo central
de los registradores.
A tales efectos deberá existir un Directorio que permita verificar on-line, contra la crl
existente en el Consejo General del Notariado, y en el Colegio de Registradores, la
vigencia y eficacia de cada certificado que incorpore la firma electrónica avanzada de
los notarios y de los registradores. A los efectos de la comprobación de la vigencia de
los certificados de firma electrónica y mientras no sea precisa su sustitución por otros
sistemas más adecuados, se utilizará el instrumento o herramienta telemática ldap. Todo
ello se entiende sin perjuicio del acuerdo que pudieran alcanzar las Organizaciones
Corporativas de Notarios y Registradores, en cuanto al diseño y desarrollo del sistema
que realice esta función, debidamente aprobado por este Centro Directivo.
La exclusión de otros prestadores de servicios de certificación es tan radical que
se hace de todo punto explícita, por lo que es difícil eludir la impresión de que


la Instrucción contraviene la Ley 24 de 2001, pues ni siquiera se contemplan
otros posibles directorios de certificados diferentes a los del cgn y el Colegio
de Registradores.
Por lo demás, en la letra c. del mismo epígrafe 2.º de la Instrucción de 18
de marzo de 2003, se obliga a incluir certificaciones corporativas al hacerse la
transmisión de los datos por las redes corporativas, de forma, por una parte,
innecesaria, toda vez que los certificados notariales deben revocarse y reexpedirse a cada cambio de destino. Dice esa letra c.:
Por las características del documento notarial que se remite a los Registros y por la
esencia de los títulos públicos presentados, en copias autorizadas electrónicas, no sólo
se debe remitir firmado electrónicamente el texto del mensaje que se remite, sino el
propio archivo añadido al citado mensaje. A tal efecto se utilizará la aplicación que realice
esta función. Del mismo modo con relación a los documentos que se remitan por los
Registros a las Notarías, todo ello en el campo de aplicación del art. 112 de la citada Ley
de Medidas. Para poder comprobar el Registro correspondiente en el momento de la
recepción del archivo o sobre, que el firmante de la copia autorizada electrónica estaba en
situación de notario en activo cuando la firmó, el Consejo General del Notariado incluirá
en dicho sobre o archivo, además de la copia autorizada, una certificación maestra con
un tipo texto, que especifique que el citado notario en el día correspondiente cumple
todos los requisitos legales para poder firmar la copia correspondiente que se remite.
Esta certificación maestra estará firmada electrónicamente por el certificado raíz o por
el certificado del servidor del Consejo General del Notariado. Los mismos requisitos
de seguridad se utilizarán, respecto de la comprobación de la situación de Registrador
en activo, para la verificación de dicha condición, en el momento de la comunicación
al notario de los datos registrales del asiento realizado.
Por lo demás añadiré que el principio de prioridad registral, al que se refiere
la propia Instrucción de 18 de marzo de 2003, podría resultar afectado, toda
vez que el sello de tiempo válido no es el de acceso al nodo corporativo, sino
el de acceso al Registro. Y yo pregunto, ante un sistema tan artificialmente
burocrático, ¿qué sucedería si un título que ha llegado antes que otro al nodo
corporativo es reexpedido al Registro después de otro título con el que pueda
entrar en conflicto de prioridad, que, sin embargo, haya llegado más tarde al
nodo corporativo?, pues es lo cierto que esta situación no se plantearía si las
comunicaciones telemáticas entre notarios y registradores se hiciesen directamente, que es lo que dice la lógica y el sentido común.
Volviendo al articulado de la Ley 24 de 2001 –en su redacción originaria,
previa a la vigente Ley 24 de 2005– y en concreto al artículo 108, que suscitó
la cuestión acabada de plantear, dicho artículo –que se ve complementado por
el 109– precisa determinados datos que obligatoriamente han de constar en los
certificados emitidos a notarios y registradores, cuales son (aparte lógicamente
de la identidad y los correspondientes datos de verificación de firma, todo ello
además de sujetar las características de tales certificados a lo que reglamentariamente se disponga):
– Cualidad profesional.
– Situación administrativa de servicio activo.
– Plaza de destino asignada.
– Expresar (art. 109) que el uso de la firma se encuentra limitado exclusivamente a la suscripción de documentos públicos u oficiales propios del oficio
del signatario.
Todo ello es sustancialmente idéntico a lo que ya disponía la previa Instrucción de la dgrn, del 19 de octubre de 2000, epígrafes 2, 3 y 4, que incluyo
de forma parcialmente extractada:
2. El Consejo General del Notariado y el Colegio de Registradores de la Propiedad
y Mercantiles de España se constituirán, en el plazo máximo de nueve meses desde
la publicación de la presente Instrucción, en prestadores de certificación acreditados.
3. En el plazo máximo de tres meses, a contar desde que su respectiva corporación se
haya constituido en entidad de certificación, todos los notarios y registradores de la
propiedad y mercantiles habrán de obtener de su corporación una firma.
4. Los certificados reconocidos emitidos por el Consejo General del Notariado y el
Colegio de Registradores de la Propiedad y Mercantiles de España, además de identificar
a su titular, habrán de expresar su condición de notario o registrador de la propiedad
o mercantil en activo y la plaza de destino, y deberán indicar que su uso se encuentra
limitado a la remisión de comunicaciones entre Notarías y Registros recíprocamente y
de los notarios y registradores con los órganos de sus respectivas Corporaciones.
Toda esta extralegalidad, por no decir ilegalidad, ha sido convalidada por la Ley
24 del 18 de noviembre de 2005, de reformas para el impulso a la productividad,
cuyos artículos 107 y 108, en la redacción vigente, disponen lo que sigue:
Artículo 107. Implantación obligatoria de sistemas telemáticos.
1. Los notarios y los registradores de la propiedad, mercantiles y de bienes muebles
dispondrán obligatoriamente de sistemas telemáticos para la emisión, transmisión,
comunicación y recepción de información.
2. El Colegio de Registradores de la Propiedad y Mercantiles de España y el Consejo
General del Notariado dispondrán de redes privadas telemáticas que deberán garantizar
una interconexión segura por procedimientos exclusivos cuyos parámetros y características técnicas sean gestionadas por las respectivas organizaciones corporativas. Todos
los registradores y notarios están obligados a integrarse en su respectiva red telemática.


Tales redes deberán permitir que las oficinas públicas registrales se conecten entre sí
y con los Sistemas de Información corporativos de su organización corporativa. De
igual modo, deberán permitir la interconexión de las oficinas públicas notariales entre
sí y con sus Sistemas de Información corporativos.
3. La Dirección General de los Registros y del Notariado, en desarrollo de lo previsto
en la presente sección, determinará, mediante las Instrucciones oportunas, las características que hayan de reunir los indicados sistemas, con tecnologías periódicamente
actualizadas, de conformidad con la legislación notarial e hipotecaria, respectivamente, garantizando la ruptura del nexo de comunicación, de forma que se impida
el televaciado y la manipulación del núcleo central de sus respectivos sistemas de
almacenamiento de la información. Así mismo, compete a la Dirección General de los
Registros y del Notariado la inspección y el control del cumplimiento de lo relativo
a las características técnicas de los sistemas de información corporativos del Consejo
General del Notariado y del Colegio de Registradores de la Propiedad y Mercantiles
de España. En el ejercicio de esta competencia podrá requerir la colaboración de los
órganos técnicos que entienda oportuno, así como ordenar mediante Instrucciones a
las diferentes organizaciones corporativas que adopten las medidas precisas para el
funcionamiento del sistema.
La novedad más significativa, con respecto a lo que antes ya estaba regulado a
nivel reglamentario, es la obligatoriedad de establecer sistemas que impidan el
televaciado, lo que constituye una nueva disposición tendiente a impedir que
prestadores de servicios de internet puedan competir de facto, al menos al nivel
de notas simples informativas, con los Registros de la Propiedad y Mercantiles, lo que ya había llegado a suceder antes de que se establecieran anteriores
barreras legales al efecto.
Artículo 108. Adecuación a los principios rectores de la firma electrónica.
1. La prestación de servicios de certificación se hará de conformidad con lo dispuesto
en la Ley 59 de 2003, de 19 de diciembre, de firma electrónica, a efectos de expedir
certificados electrónicos mediante los que se vinculen unos datos de verificación de
firma a la identidad, cualidad profesional, situación administrativa de los notarios y
registradores de la propiedad, mercantiles y de bienes muebles en activo así como la
plaza de destino asignada.
Los notarios y registradores de la propiedad, mercantiles y de bienes muebles, deberán
disponer para la adecuada prestación de sus funciones públicas de firma electrónica
reconocida. Dicha firma electrónica reconocida deberá obtenerse de un prestador de
servicios de certificación que cumpla con los requisitos previstos en el artículo 20 de
la Ley 59 de 2003, de 19 de diciembre, y, en todo caso, con pleno respeto al principio
de libre acceso a la actividad de prestación de los servicios de certificación.
Reglamentariamente se desarrollarán los requisitos a que hayan de someterse los
dispositivos de creación y verificación de firma electrónica, la forma en que deban ser
generados y entregados a sus titulares, las menciones que deban contener los certificados, el procedimiento y publicidad de su vigencia, suspensión o revocación, en el marco
de lo dispuesto en la Ley 59 de 2003, de 19 de diciembre, de firma electrónica.
2. La emisión, transmisión, comunicación y recepción de información que permita
la presentación de títulos notariales en los diferentes Registros de la propiedad, mercantiles y de bienes muebles, así como el envío de cuanta notificación, calificación y
comunicación deban dirigir éstos a los notarios se realizará mediante los Sistemas de
Información corporativos de cada organización debidamente conectados.
El Colegio de Registradores de la Propiedad y Mercantiles de España y el Consejo
General del Notariado, a través de sus medios correspondientes, deberán garantizar
a los prestadores de servicio de certificación que lo soliciten, incluidas las respectivas
organizaciones corporativas, la condición de registrador o notario en activo al tiempo
de la firma de la calificación o comunicación notificada o del instrumento público
remitido, la vigencia, revocación y suspensión del certificado electrónico, mediante el
mantenimiento de un directorio actualizado de certificados debidamente protegido,
así como un servicio de consulta permanente, rápido y seguro.
Así mismo, ambas organizaciones corporativas deberán aplicar el mecanismo de sellado
de tiempo en cuanto envío y recepción de información se practique, en los términos
que reglamentariamente se disponga. A tal fin, deberán disponer de sistemas horarios
homogéneos debiendo sincronizar sus respectivos sistemas de sellado de tiempo con
la señal horaria del Real Instituto y Observatorio de la Armada, de conformidad con
lo previsto en el Real Decreto 1308 de 1992, de 23 de octubre, por el que se atribuye a
ese laboratorio la función de depositario del Patrón Nacional de Tiempo.
Espero que la nueva regulación legal permita dar la respuesta correcta a la
cuestión que había planteado antes: ¿qué sucedería si un título que ha llegado
antes que otro al nodo corporativo es reexpedido al Registro después de otro
título con el que pueda entrar en conflicto de prioridad, que, sin embargo, haya
llegado más tarde al nodo corporativo? En otras palabras, lo que estoy diciendo
es que los nodos corporativos, en su intermediación, aunque sea a los efectos
de sellado de tiempo, no deben interferir, ni siquiera de facto, en el principio
de prioridad registral. Debe quedar garantizado, a todos los efectos, que un
documento público, notarial o de otra índole, expedido antes que otro a un
Registro Público, debe también llegar antes que este otro a su correspondiente
destino, el Registro correspondiente. Dicho de otro modo, los mecanismos de
sellado de tiempo que se establezcan no deben interferir, ni siquiera de facto,
en el principio de prioridad registral, y para esto no basta decir, como hace el
párrafo siguiente del artículo 108 (en la redacción de la vigente Ley 24 de 2005),


que el Registro ha de garantizar la prioridad ¡faltaría más! Lo que realmente hay
que garantizar es que la intermediación (¿es de verdad técnicamente necesaria u
obedece a otras finalidades?) que se establece del nodo notarial o quizás de otros
sistemas, como el hoy denominado punto neutro judicial, no altere de facto el
principio prior in tempore, potior in iure, en su vertiente registral. Sigue diciendo
el artículo 108 de la Ley 24 de 2001, modificado por la Ley 24 de 2005:
En todo caso, el Colegio de Registradores de la Propiedad y Mercantiles de España,
para el adecuado cumplimiento del principio de prioridad registral, deberá establecer
en cada Registro de la propiedad, mercantil y de bienes muebles una sola fuente de
sellado de tiempo sincronizada en los términos expuestos en el párrafo precedente para
todos los títulos que puedan causar inscripción, de conformidad con lo dispuesto en los
artículos 3 de la Ley Hipotecaria y 18 del Código de Comercio, éste último, aprobado
por Real Decreto de 22 de agosto de 1885. Dicha fuente única de sellado de tiempo
deberá garantizar que los títulos presentados telemáticamente, con independencia de
su origen, se asientan correlativamente con expresión de la unidad de tiempo precisa
a tal fin.
En el cumplimiento de las obligaciones previstas en este apartado, el Colegio de Registradores de la Propiedad y Mercantiles de España y el Consejo General del Notariado,
actuarán con autonomía y respeto a los diferentes sistemas empleados por cada organización corporativa, no obstante lo cual deberán colaborar para garantizar el adecuado
funcionamiento del sistema, siendo obligatorias para sus respectivos miembros las medidas internas de unificación técnica y procedimiento que adopten para la consecución
de dicha coordinación en todas las oficinas públicas, Registrales y Notariales.
Corresponde a la Dirección General de los Registros y del Notariado la inspección y
control del cumplimiento de lo previsto en este apartado y, especialmente, lo relativo al
examen y verificación técnica de los requisitos que han de cumplir las diferentes redes
telemáticas, sistemas de acreditación y verificación de la vigencia de los certificados
electrónicos y sistemas de sellado de tiempo. En el ejercicio de esta competencia podrá
requerir la colaboración de los órganos técnicos que entienda oportuno, así como ordenar
mediante Instrucciones a las diferentes organizaciones corporativas que adopten las
medidas precisas para el funcionamiento del sistema.
Reglamentariamente podrán modificarse las obligaciones relativas a la emisión, transmisión, comunicación y recepción de información mediante los Sistemas de Información
corporativos de cada organización, ampliándolos a otros sistemas de información que
puedan aparecer en el futuro. En todo caso estos sistemas de información deberán
cumplir con las mismas características que determine la Dirección General de los
Registros y del Notariado para los sistemas de información del Consejo General del
Notariado y del Colegio de Registradores de la Propiedad y Mercantiles de España
previstas en el artículo 107.3 de esta Ley.
Probablemente la respuesta a mi anterior pregunta pueda darla una adecuada organización técnica establecida por la dgrn, pero ¿no sería más fácil evitar
tanta complejidad de intermediaciones corporativas en las comunicaciones
establecidas principalmente entre notarías y registros, que acaso sólo busquen
ser barreras fácticas de entrada frente a los prestadores privados de servicios
de certificación, y legalizar sin ambages la firma corporativa? Creo que he dado
argumentos jurídicos más que suficientes para justificar la legalidad de la firma
corporativa en el marco de la Directiva 1999 de 93. Establezcámosla pues de
una vez y simplifiquemos las comunicaciones entre notarías y registros. Sigo
sin ver una razón técnica de peso que impida que el sellado de tiempo pueda
ser efectuado directamente, sin intermediaciones, por el registro de destino.
El artículo 109 de la Ley 24 de 2001, que no ha sufrido virtualmente modificación alguna, salvo la de índole formal que afecta a su apartado 1.º letra
a., sigue diciendo:
2. Los notarios y registradores de la propiedad, mercantiles y de bienes muebles habrán
de obtener, en el momento de la toma de posesión de una plaza, una firma electrónica
avanzada, basada en un certificado reconocido, con un dispositivo seguro de creación
de firma, de conformidad con lo previsto en este artículo. De igual manera habrá de
procederse cuando se produzca la revocación o expiración del período de validez del
certificado precedente.
3. A tal fin, deberá procederse en ese momento a la generación de los datos de verificación de firma, con intervención personal del signatario, en presencia de una autoridad
corporativa competente y auxiliado por los mecanismos técnicos correspondientes. Los
prestadores de servicios de certificación en ningún caso podrán almacenar ni copiar
los datos de creación de firma.
4. Los prestadores de servicios de certificación no podrán emitir los certificados que
amparan las firmas electrónicas profesionales de notarios y registradores de la propiedad, mercantiles o de bienes muebles hasta tanto no hayan recibido notificación
electrónica, firmada por el titular del órgano corporativo competente, expresiva de los
datos de verificación de firma del signatario y acreditativa de la condición de notario
o registrador de la propiedad, mercantil o de bienes muebles, de la situación de servicio activo del mismo, de su plaza de destino, y de haberse cumplido los requisitos de
asunción de la firma electrónica que reglamentariamente se establezcan.
5. Los notarios y registradores de la propiedad, mercantiles o de bienes muebles estarán
obligados a custodiar personalmente, adoptando las medidas de seguridad adecuadas,
a. Estar amparada por un certificado reconocido emitido por un prestador de servicios de certificación,
de conformidad con lo dispuesto en la Ley 59 de 2003, del 19 de diciembre, de firma electrónica.


los datos de creación de firma electrónica que les corresponda, no podrán ceder su
uso a ninguna otra persona en ningún supuesto, y deberán denunciar inmediatamente
al Colegio respectivo su pérdida, extravío o deterioro, así como cualquier situación o
acaecimiento que pueda poner en peligro el secreto o la unicidad del mecanismo, para
que lo comunique al prestador de servicios de certificación que hubiera expedido el
certificado o a quien le hubiera sido transferido, para que proceda inmediatamente a
su suspensión o revocación.
6. En todo caso, y sin perjuicio de lo dispuesto en el artículo 9.º del Real Decreto-ley 14
de 1999, de 17 de septiembre, sobre firma electrónica, los prestadores de servicios de
certificación deberán proceder a la inmediata revocación de sus certificados a instancia
de la autoridad corporativa competente, que así deberá ordenarlo a solicitud del propio
signatario conforme a lo dispuesto en el párrafo anterior, y cuando se produzca su cese
en la plaza de destino. En los supuestos de la interrupción temporal de las funciones
del signatario previstos en la legislación notarial o hipotecaria, o a requerimiento del
mismo, se procederá a la suspensión del correspondiente certificado.
A modo de comentario diré lo siguiente:
1. Es curiosa tanta obsesión reguladora de peculiaridades –a mi juicio innecesarias– de la firma digital de notarios y registradores, y que se haya olvidado
regular algo cuya presencia siempre figura en los documentos notariales, que
es el sello del notario. Probablemente el legislador, o quien lo haya asesorado,
se ha dejado influir por el verbalismo de la firma digital y haya olvidado que
instituciones como firma, rúbrica y sello son reproducibles a través de las tecnologías de criptosistemas de clave asimétrica que de facto están detrás de las
disposiciones reguladoras de la firma digital, en las cuales, de la misma manera
que se puede amparar un sello de tiempo (time stamping), también es posible
amparar un sello notarial. Para no complicar más las cosas, al menos mientras
no se opte por reformar la legislación, probablemente habría que entender que
una firma electrónica notarial, con tantos matices y restricciones como la que
se configura, resume en sí firma, por supuesto rúbrica –que no es fácilmente
distinguible de la primera– y también sello notarial.
2. No haberse atrevido –por falta de convicción– a plantear abiertamente en
la Ley 24 de 2001 un sistema diáfano de firma corporativa genera un burocratismo de todo punto innecesario, como la obligatoriedad de generar los datos de
creación de firma en presencia de la autoridad corporativa competente, lo que
por demás y de facto, al vincularse la prestación de servicios de certificación a
la cúspide de la correspondiente autoridad corporativa, constituye una barrera
que dificulta, hasta el punto de prácticamente hacerla inviable, la entrada de
prestadores de servicios de certificación, distintos de los corporativos. Esta
impresión se refuerza con la exigencia de una certificación corporativa, nece-
saria para poder expedir certificados a los notarios y registradores, que incluye
cuestiones tan ajenas a lo que ha de ser la natural competencia corporativa,
como los datos de verificación de firma del signatario. Si un dato tan técnico
como éste debe constar en la certificación –en el sentido tradicional de la expresión– de una corporación, que además tiene atribuida legalmente la condición
de prestador de servicios de certificación –en el sentido propio de la legislación
de firma electrónica–, es hipócrita pensar que existe una libre prestación de
tales servicios, real y efectiva, en este ámbito.
3. Es adecuada la previsión, en la firma digital notarial, de la custodia personal de los datos de creación de firma y su uso personalísimo, mas no se olvide
que cumplir adecuadamente con este precepto supondría que todos los notarios
y registradores tuviesen formación informática como usuarios avanzados, cosa
que hoy dudo que sea así, por lo que desde las corporaciones correspondientes
habrían de preverse planes de formación para que notarios y registradores pudieran ser, con efectividad, usuarios cualificados de los sistemas de firma digital
al uso, y tampoco estaría de más que un conocimiento suficiente de todas las
cuestiones de derecho informático que atañen a notarios y registradores (que
son muchas, pues aparte de la firma digital, les afecta la nueva realidad del comercio electrónico, la protección de datos personales y la protección jurídica
del software y los contenidos digitales, entre otras) estuviera exigido, al nivel
procedente, en los temarios de oposiciones. Para los notarios y registradores
que no tengan formación suficiente en todo lo relativo al uso de la firma digital
aplicada a su función, lo recomendable, para cumplir la norma, es custodiar
celosamente el pin de acceso a sus datos de creación de firma, con el empleo
personalísimo de la correspondiente tarjeta chip, que nunca debieran dejar de
custodiar personalmente, o, en su caso, de otros pines técnica y económicamente
viables y adecuados. Reitero, no obstante, que una previsión legal de un sello
digital del notario, puesto además de su firma, como sucede en la cultura del
papel, y custodiado de forma análoga a como se guardan los sellos en las notarías,
ayudaría a reforzar las funciones de seguridad jurídica preventiva en el mundo
digital, sin necesidad de tanta e injustificada regulación específica, ya no sólo
legal, sino también la reglamentaria que probablemente nos espere, añadida a
la legislación general sobre firma electrónica.
4. Insistir en que también es innecesariamente peculiar que la revocación
–y suspensión– de certificados no se pueda hacer directamente por el propio
notario o registrador, sino a instancias de la autoridad corporativa, que de forma
significativa, a su vez es prestadora de servicios de certificación digital.
5. También las disposiciones ahora comentadas de la Ley 24 de 2001 –que
ya estaban en su redacción original– son muy semejantes a la tantas veces citada


Instrucción de la dgrn, de 19 de octubre de 2000, epígrafes 5 y 6, que rezaban
como sigue:
5. Los dispositivos seguros de creación de firma habrán de ser generados con la
intervención personal del signatario, auxiliado por los mecanismos técnicos correspondientes, en presencia del Decano de su Colegio, en el caso de los notarios, o del
Delegado provincial, en el caso de los registradores, dejando constancia documental
de ello. En ningún caso podrán ser almacenados los datos de creación de firma. Del
acto de generación del dispositivo de creación de firma y sus correspondientes datos de
verificación se dejará constancia escrita en un documento suscrito con firma autógrafa
por ambos asistentes. A continuación se procederá por el titular del órgano corporativo
anteriormente indicado a comunicar por vía y con firma electrónica la generación del
dispositivo, los datos de verificación de firma y los demás extremos precisos para que por
su Corporación se emita y publique de manera inmediata el oportuno certificado con
sus correspondientes datos de verificación de firma. El Consejo General del Notariado
y el Colegio de Registradores de la Propiedad y Mercantiles de España procederán a
la revocación inmediata de oficio de los certificados, respecto de los notarios o registradores que dejen de servir la plaza indicada en ellos.
6. Los Notarios y los Registradores de la Propiedad y Mercantiles estarán obligados
a custodiar personalmente, adoptando las medidas de seguridad adecuadas, el dispositivo seguro de creación de firma electrónica que les corresponda, no podrán ceder
su uso a ninguna otra persona en ningún supuesto, y deberán denunciar de manera
inmediata a la corporación emisora del certificado, por el procedimiento arbitrado por
ella, su pérdida, extravío o deterioro, así como cualquier situación o acaecimiento que
pueda poner en peligro el secreto o la unicidad del mecanismo, para que proceda a su
suspensión o revocación.
II. remisin de comunicaciones, con especial
r e f e r e n c i a a la e s c r i t u ra p  b l i c a
e n l o s e n t o r n o s d i g i ta l e s
En otro orden de cosas, los artículos 110 a 115 de la Ley 24 de 2001 regulan
la utilización de la firma digital en los ámbitos referidos, con sólo dos peculiaridades relevantes, una de ellas positiva, al abrirse la posibilidad de llevar la
escritura pública al ámbito digital, que lógicamente tiene interés en la contratación a distancia; y otra negativa, que es la prohibición, a mi juicio infundada
–al menos desde un análisis racional y razonable de la cuestión–, de expedir
copias autorizadas de matrices a los particulares.
Vayamos primero a las cuestiones más propiamente de carril, las que no
plantean grandes innovaciones, ni resultan, a priori, problemáticas:
1. Remisión de todo tipo de comunicaciones. Es el contenido del artículo
110 de la Ley 24 de 2001:
Art. 110. Utilización de la firma electrónica en el ámbito de los Notarios y Registradores
de la Propiedad, Mercantiles o de bienes muebles.
1. Mediante el uso de la firma electrónica regulada en esta disposición podrán remitirse
documentos públicos notariales, comunicaciones, partes, declaraciones y autoliquidaciones tributarias, solicitudes o certificaciones por vía electrónica por parte de un notario
o registrador de la propiedad, mercantil o de bienes muebles dirigidas a otro notario o
registrador, a las Administraciones públicas o a cualquier órgano jurisdiccional, siempre
en el ámbito de su respectiva competencia y por razón de su oficio.
2. Por el mismo medio seguro podrán remitirse copias simples electrónicas a las entidades y personas interesadas cuando su identidad e interés legítimo le consten al
notario; de la misma forma podrán remitirse por los registradores de la propiedad y
mercantiles notas simples informativas. El receptor podrá, por el mismo medio, enviar
al remitente acuse de recibo y, en su caso, dejar constancia del cumplimiento de las
obligaciones administrativas o tributarias.
3. La firma electrónica avanzada también podrá ser empleada por notarios y registradores para el envío de documentos e informaciones a los particulares con el valor, efectos
y requisitos que reglamentariamente se determinen.
2. Presentación de títulos en los Registros, por vía telemática. Es el contenido
del artículo 112 de la tantas veces citada Ley de Acompañamiento a la Ley de
Presupuestos para 2002, cuyos dos primeros párrafos han sido modificados por
la Ley 24 de 2005, y que así mismo reproduzco a continuación:
Art. 112. Presentación de títulos por vía telemática en los Registros de la Propiedad,
Mercantiles o de bienes muebles.
1. Salvo indicación expresa en contrario de los interesados, los documentos susceptibles de inscripción en los Registros de la propiedad, mercantiles o de bienes muebles
podrán ser presentados en éstos por vía telemática y con firma electrónica reconocida
Redacción originaria de los dos primeros párrafos del artículo 112:
“1. Salvo indicación en contrario de los interesados, los documentos susceptibles de calificación e
inscripción en los Registros de la Propiedad, Mercantiles o de Bienes Muebles podrán ser presentados
en éstos por vía telemática y con firma electrónica avanzada del notario autorizante o responsable del
protocolo, siempre que cumplan los requisitos expresados en esta norma, dejando constancia de ello
en la matriz o, en su caso, en el libro indicador.
“2. En tales casos el registrador de la propiedad mercantil o de bienes muebles comunicará al notario
autorizante, o a su sucesor en el protocolo, por vía telemática y con firma electrónica avanzada del
mismo, tanto la práctica del asiento de presentación, como, en su caso, la denegación del mismo, la nota
de calificación y la realización de la inscripción, anotación preventiva, cancelación o nota marginal que
corresponda, con arreglo a los principios de la legislación registral”.


del notario autorizante, interviniente o responsable del protocolo. El notario deberá
inexcusablemente remitir tal documento a través del Sistema de Información central del
Consejo General del Notariado debidamente conectado con el Sistema de Información
corporativo del Colegio de Registradores de la Propiedad y Mercantiles de España. El
notario deberá dejar constancia de ello en la matriz o, en su caso, en el libro indicador.
2. En tales casos, el registrador de la propiedad, mercantil o de bienes muebles comunicará al notario autorizante, o a su sucesor en el protocolo, por vía telemática y con
firma electrónica reconocida del mismo, tanto la práctica del asiento de presentación,
como, en su caso, la denegación del mismo, la nota de calificación y la realización de la
inscripción, anotación preventiva, cancelación o nota marginal que corresponda, con
arreglo a los principios de la legislación registral. Las notificaciones o comunicaciones
que deba efectuar el registrador por vía telemática al notario autorizante del título, o a
su sucesor en el protocolo, se remitirán a través del Sistema de Información corporativo
del Colegio de Registradores de la Propiedad y Mercantiles de España debidamente
conectado con el Sistema de Información Central del Consejo General del Notariado.
3. Practicado el asiento registral, el notario dejará constancia de la recepción de la comunicación y del contenido de ésta en forma de testimonio, bajo su fe, en la matriz y
en la copia que de la misma expida.
4. Los asientos de presentación realizados por esta vía, se practicarán por el orden que
correspondan a su hora de recepción. Reglamentariamente se establecerán los criterios
y el procedimiento para que los asientos de presentación que traigan causa de títulos
presentados por vía telemática, dentro o fuera de las horas de oficina, se practiquen
de modo correlativo a la hora de su recepción teniendo en cuenta a su vez la hora de
presentación de los demás títulos que tengan acceso al Registro, tanto los presentados
en papel como los presentados por vía telemática.
La Ley 24 de 2005, de 18 de noviembre, de reformas para el impulso a la
productividad, añade un nuevo apartado quinto al artículo 112 de la Ley 24
de 2001, de 27 de diciembre, de medidas fiscales, administrativas y de orden
social, con la evidente finalidad de superar la primitiva redacción de la norma, que prácticamente circunscribía toda la seguridad jurídica preventiva a la
relación entre notarios y registradores, haciendo abstracción del papel que así
mismo desempeña la certificación de actos del Poder Judicial y de órganos y
autoridades de las distintas administraciones públicas. Tal omisión ha quedado
subsanada por el párrafo 5 del artículo 112, introducido por la Ley 24 de 2005,
con la siguiente redacción:
5. Respecto de la presentación de documentos judiciales, administrativos o privados que
puedan causar inscripción en los diferentes Registros se estará a las siguientes reglas:
1.ª. Tratándose de documentos judiciales, su presentación se realizará a través del punto
neutro judicial o sistema de información telemático que lo sustituya, para lo cual deberá
conectarse con el sistema telemático de información del Colegio de Registradores de la
Propiedad y Mercantiles de España. En lo relativo a la acreditación de la condición del
firmante, la vigencia, revocación y suspensión del certificado de firma electrónica del
funcionario judicial remitente se estará a lo dispuesto en su legislación específica.
2.ª. En el caso de documentos administrativos, la Administración Pública que pretenda
inscribir aquéllos deberá utilizar técnicas y medios electrónicos informáticos y telemáticos que garanticen la identificación de la Administración actuante y el ejercicio
de sus competencias. En cualquier caso, los programas y aplicaciones electrónicos,
informáticos y telemáticos utilizados deberán ser aprobados por la Administración
correspondiente.
3.ª. Con carácter excepcional y sólo en los casos y con los requisitos expresamente
previstos en las Leyes y los Reglamentos Hipotecario y del Registro Mercantil para
los documentos privados en soporte papel, podrá practicarse la inscripción de documentos electrónicos con firma electrónica reconocida que sean soporte de documentos
privados presentados telemáticamente en los Registros de la Propiedad, Mercantiles
y de Bienes Muebles.
4.ª. Los documentos electrónicos que sean soporte de documentos privados que se
presenten deberán estar firmados con firma electrónica reconocida amparada en un
certificado reconocido conforme a la Ley 59 de 2003, de 19 de diciembre, de firma
electrónica.
En consonancia con el referido artículo 112, están determinadas modificaciones del texto refundido de la Ley Hipotecaria, de 1946, llevadas a cabo por el
artículo 96 de la propia Ley 24 de 2001. En concreto, añade los apartados 9.º,
10.º y 11.º a su artículo 222 y modifica la redacción de su artículo 248. Con la
modificación (art. 222) se permite dar información del Registro, del tipo nota
simple informativa, tanto del Libro Diario como en su caso del de Entrada,
los de Inscripciones y de Incapacitados, por diversos medios, entre los que se
incluyen el telefax y los telemáticos. Además, se difiere a desarrollo reglamentario, entre otras cosas, la posibilidad de consulta del contenido de los libros
por vía telemática.
Por lo demás, y puesto que los títulos pueden presentarse también por
diversos procedimientos, entre los que se incluyen el correo, el telefax y los
telemáticos, se adoptan cautelas, que se concretarán reglamentariamente, para
que los diversos procedimientos de presentación de títulos no alteren el correcto
orden del Libro Diario.


Evidentemente, la presentación de títulos por vía telemática en los Registros
no altera la operación de los mismos basada en el soporte papel, pero lo lógico
sería la conservación –sólo o además– de tales títulos en el soporte en que llegaron, es decir, el digital y, lo que es más, la cultura de los Registros, a medida en
que se vaya imponiendo la documentación en soporte digital, debiera adaptar
su funcionamiento a la misma, a cuyo efecto se requieren modificaciones legislativas de alcance, que la Ley 24 de 2001 sólo aborda de una forma muy inicial
y tímida en el artículo 113, en el 115 in fine, y en la disposición transitoria 19.ª
de la propia Ley.
No me duelen prendas a la hora de señalar que al revés de lo que suele ser
habitual, es decir, que las naciones hermanas de la Comunidad Iberoamericana
inspiren su derecho en el español, en este caso debiera procederse a la inversa
y no estaría de más que nosotros buscásemos la inspiración en la legislación
peruana de microformas digitales, en vigor desde 1991, que, más que la cuestión
de las firmas digitales, contempla un asunto muy dejado de lado por la legislación española, cual es el almacenamiento seguro y la expedición de copias de
documentos originales, matrices o primarios custodiados en soporte digital. A
mi juicio, esta materia es tan importante como la firma digital misma, toda vez
que los documentos firmados digitalmente tienen, por definición, “plazo de
caducidad”, en la medida en que la tecnología de firma digital sólo es segura en
un estadio determinado de evolución tecnológica y, por lo tanto, en un período
determinado, que no hay que esperar que vaya mucho más allá de un lustro.
De hecho, la necesidad de renovar periódicamente los instrumentos de firma
digital reconocida, que en España se establece en un máximo legal de 4 años,
obedece precisamente a ello.
Por lo tanto, insisto en que tan importante como la firma digital es legislar
adecuadamente sobre la conservación de información en soportes digitales y en
que la legislación peruana puede dar más de una pista al respecto.
Por el momento, las soluciones previstas en la Ley 24 de 2001 sólo pueden
considerarse como provisionales y transitorias a estos efectos. Como decía antes,
las incipientes previsiones legales sobre el tema figuran en el artículo 113, en el
115 in fine, y en la disposición transitoria 19.ª de la Ley.
El artículo 113 se limita a prever que los notarios puedan testimoniar en
soporte papel las comunicaciones electrónicas recibidas o efectuadas, al igual
que se permite a los registradores certificarlas en papel. Por lo demás, el artículo
remite a desarrollo reglamentario el procedimiento para almacenarlas en soporte
informático, y establece así mismo una cláusula de progreso en los soportes,
que garantice su conservación y lectura. No se olvide que no sólo la seguridad
de los soportes varía con el tiempo, sino que incluso el desuso de determinados soportes podría dar lugar a que en el futuro fuese muy difícil disponer de
periféricos adecuados para leerlos. Por poner un ejemplo, muchos de nosotros
utilizamos disquetes de 5¼ pulgadas para almacenar información. Pues bien, al
día de hoy no resulta ya nada fácil encontrar disqueteras capaces de leerlos.
El desarrollo reglamentario que se haga del artículo 113 de la Ley 24 de 2001
va a ser particularmente importante, toda vez que de su acierto se derivará la
mayor o menor celeridad en la apertura de caminos que permitan un funcionamiento normalizado de las notarías en soportes distintos del papel. Sin embargo,
el artículo 115 in fine no invita precisamente al optimismo, al añadir la siguiente
disposición transitoria undécima a la Ley del Notariado de 1862:
Disposición transitoria undécima. Hasta que los avances tecnológicos hagan posible que
la matriz u original del documento notarial se autorice o intervenga y se conserve en
soporte electrónico, la regulación del documento público electrónico contenida en este
artículo se entenderá aplicable exclusivamente a las copias de las matrices de escrituras
y actas así como, en su caso, a la reproducción de las pólizas intervenidas.
La impresión que transluce esta transitoria es que no hay ninguna intención,
al menos de momento, de permitir la conservación del protocolo notarial en
soporte digital, pues ello no requiere de ningún avance tecnológico especial,
sino que se tome la decisión de prever legislativamente esta cuestión, lo que es
perfectamente posible y económicamente viable, con la tecnología existente al
día de hoy. Si no se hace es, sin duda, por otras razones. De hecho ya dije que
en otros países esta cuestión lleva tiempo en marcha, sin ir más lejos, en Perú,
con la legislación de microformas digitales, que arranca de 1991; en España, la
propia Ley 24 de 2001 abre puertas a la informatización de los registros de la
propiedad, mercantiles y de bienes muebles, conforme veremos acto seguido,
por lo que no existen razones argumentables para que no se haga lo mismo con
el protocolo notarial.
Desgraciadamente todas estas cuestiones, quizás más importantes que las
reformadas hace poco, no han sido innovadas por la Ley 24 de 2005, por lo que
quedan pendientes para una ulterior reforma, que esperemos se produzca lo
antes posible.
Por lo que se refiere al funcionamiento digital de los Registros de la Propiedad, Mercantiles y de Bienes Muebles, no se puede dejar de mencionar lo
dispuesto en la disposición transitoria 19.ª, cuya rúbrica es de lo más significativa: “Obligación de trasladar el contenido de los asientos de los registros de
la propiedad y mercantiles a soporte informático”. La disposición comienza
con una imposición tan tajante como digna de aplauso, en un país en el que el
legislador suele permitir que las obligaciones que afecten a los poderes públicos
queden demoradas ad calendas grecas. Dice:


1. En el plazo de un año desde la entrada en vigor de la presente ley, deberá constar
en soporte informático el contenido de los libros y asientos de todos los Registros de
la Propiedad y mercantiles de España.
La responsabilidad del cumplimiento de la Ley es directa del registrador titular
de cada Registro, y se establece un sistema para sufragar costes que soportan
básicamente los propios registradores, en cuantía proporcional al tiempo que
hubieran permanecido en determinada plaza, con posibilidad de que lo sufrague
el propio Colegio, en caso de vacante. Así mismo, se establece expresamente
que el incumplimiento de la norma por parte de los registradores constituirá
una infracción de régimen disciplinario, calificada como muy grave. Además, se
obliga al Colegio de Registradores de la Propiedad y Mercantiles a que presente
un plan concreto al efecto, en el plazo de dos meses, ante la dgrn, con datos y
actuaciones concretas sobre los Registros adscritos a cada Decanato.
Igualmente, la disposición transitoria 19.ª, en relación con el artículo 97 de la
Ley, que introduce un párrafo 4.º en el Código de Comercio, establece la publicidad telemática del contenido de los Registros Mercantiles y de Bienes Muebles,
aplicable con la realización en el plazo máximo de un año, del acceso telemático
inmediato al Registro Mercantil.
Cumpliendo lo prometido con anterioridad, entraré ahora en la última de
las cuestiones “de carril” que plantean los artículos comentados (110 a 115),
para pasar después a las innovaciones y a las cuestiones problemáticas.
Entiendo que no es propiamente innovadora la constatación fehaciente, por
los notarios, de hechos relacionados con soportes informáticos, contemplada en
el artículo 114; no en vano los notarios ya venían levantando acta del contenido
de algunas páginas de internet, o en las que quedaba constancia de cualesquiera
hechos relacionados con soportes informáticos. No obstante, lo habitual era
que el Notario trasladase el contenido de dicho documento digital a soporte
papel, cosa que expresamente deja de ser necesaria, a tenor de lo dispuesto en
el artículo 114 de la Ley 24 de 2001. Ahora basta con que,
[en papel] se indique el nombre del archivo y una función alfanumérica que lo identifique de manera inequívoca, obtenida del mismo con las normas técnicas dictadas al
efecto por el Ministro de Justicia.
Las copias que se realicen de dicho documento reproducirán en papel sólo la
parte escrita de la matriz, mientras que la copia del archivo figurará en soporte
informático, amparada por la firma electrónica avanzada del notario.
El artículo, en su párrafo 2, se refiere a las comunicaciones telemáticas recibidas o emitidas por particulares interesados, que podrán ser almacenadas a su
solicitud por el notario en soporte informático, quien dejará constancia en acta
de tales hechos, con consignación de fecha y hora y de los extremos concretos
que queden amparados por la fe pública. Sigue diciendo:
A estos exclusivos efectos podrán los notarios admitir como requerimiento de parte la
instancia suscrita con firma electrónica avanzada atribuida al requirente por un prestador
de servicios de certificación acreditado mediante un certificado reconocido.
Lo más innovador de todo lo contemplado en este elenco de artículos es que se
abre la puerta a la escritura pública telemática, que sólo adquiere su auténtico
sentido en la formalización de negocios jurídicos a distancia, contemplada en el
artículo 111, que es donde resulta auténticamente útil. De hecho no es normal
que, por ejemplo, para que un ciudadano residente en Madrid pueda comprar
un apartamento a un ciudadano residente en una población de la Costa Brava,
alguno de los dos deba desplazarse a fin de elevar la compraventa a escritura
pública. La legislación de firma electrónica hace muy bien, en principio, en
no alterar el derecho privado patrimonial ni la legislación notarial, con una
salvedad, la de aquellas determinaciones legislativas clásicas, basadas en la
“insuperabilidad” del espacio, que han quedado desfasadas por la cada día más
frecuente celebración de negocios jurídicos en el ciberespacio. La unidad de
acto de la escritura pública, manifestada pomposamente por el notario con el
clásico “Ante Mí”, debe ceder ante las exigencias de un cibermundo en el cual
no valen nostalgias de un pasado que no volverá. La seguridad jurídica preventiva no debe ser menor, sino incluso mayor y debe adaptarse a las referidas
exigencias del cibermundo; ésta es la puerta que abre el artículo 111, que reza
como sigue:
Art. 111. Formalización de negocios jurídicos a distancia. Por conducto electrónico
podrán dos o más notarios remitirse, bajo su respectiva firma electrónica avanzada, el
contenido de los documentos públicos autorizados por cada uno de ellos que incorporen
las declaraciones de voluntad dirigidas a conformar un único negocio jurídico. Reglamentariamente se determinarán las condiciones y el procedimiento para la integración
de las distintas declaraciones de voluntad en el negocio unitario, así como la plasmación
del mismo en un único documento público.
Es cierto que el artículo 111 no resuelve definitivamente la cuestión, sino que
abre las puertas a que lo haga el Reglamento, que debiera dictarse lo antes posible, para así evitar costosos desplazamientos con el exclusivo fin de obtener la
fe pública notarial en determinados negocios jurídicos que podrían celebrarse
perfectamente en el ciberespacio. Ésta es precisamente la manera en que debe
actuar el derecho en los países realmente avanzados: promoviendo, con todas
las garantías y muy especialmente las de seguridad jurídica, la actividad eco-


nómica, y no dificultándola. Estamos ante una nueva cuestión que tiene una
relación más que evidente con la productividad y que irónicamente no ha sido
regulada por la Ley 24 de 2005, que tiene precisamente esta rúbrica de impulso
a la productividad y que, en tantos otros aspectos, entra en detalles más propios
de la naturaleza de un reglamento que de una ley. La cuestión de la unitariedad
de la escritura pública digital no es tan difícil de resolver; ni siquiera requiere
imperiosamente de un desarrollo reglamentario. Bastaría con que la propia
ley estableciese el, o más bien los, criterios –pocos en todo caso– que permitiesen determinar quién es el notario, en singular, que autoriza la operación,
aun cuando ésta sea un negocio jurídico plurilateral. Al no ser el que suscribe
notario y dada la enorme dispersión normativa del derecho actual, es posible
que no haya sido capaz de encontrar la norma que regula esta cuestión; pero
me temo que cuatro años después de la Ley 24 de 2001, tal norma no existe, ni
con rango legal, ni con el rango reglamentario que postula el artículo 111 de la
propia Ley 24 de 2001.
Quiero llamar la atención, no obstante, acerca de un extremo que pende
sobre el planteamiento de la firma digital en el ámbito del notariado y que casi
nunca se cita, y es que habría que evitar, en lo posible, que la nueva situación
comportase una subida práctica de aranceles y que se aceptase serenamente la
disminución de los mismos en determinadas operaciones concretas, por la sencilla
razón de que, en términos globales, la nueva situación de la actividad notarial
en el cibermundo va a incrementar, y mucho, el número de asuntos en los que
se reclame la intervención de tan cualificados fedatarios profesionales. Con lo
que acabo de escribir es evidente que el que suscribe no piensa que la dualidad
altamente cualificada de funcionario y profesional que concurre en el notario
no deba ser adecuadamente retribuida. Obvio es decir que estoy muy lejos de
pensar eso: no en vano es inevitable que un servicio de calidad tenga un precio
consonante con el mismo. Pero no deja de ser cierto que las funciones de seguridad jurídica preventiva están aristopolizadas –por evitar la, en este caso, injusta
expresión “oligopolizadas”–, por lo que habría que poner un especial cuidado en
no transmitir la impresión de que en determinadas regulaciones legales, y sobre
todo reglamentarias, se reflejan motivaciones económicas de fondo de un grupo
social influyente. Reitero que con lo que acabo de exponer, un lector inteligente
percibirá también que estoy muy lejos de pedir un sacrificio económico real a
notarios y registradores, puesto que con la dinamización del comercio electrónico
y la traslación al mismo de las funciones de seguridad jurídica preventiva, se
abren nuevos campos de actuación para notarios y registradores, que lógicamente
habrán de tener repercusiones económicas muy positivas para los mismos.
I I I . o t ra s c u e s t i o n e s : c o pi a s au to r i z a da s
t e l e m  t i c a s d e m at r i c e s y a s p e c t o s
r e l at i v o s a l a o r g a n i z a c i  n r e g i s t r a l
Con lo que acabo de exponer al cierre del anterior capítulo, quiero decir algunas cosas, pero especialmente dos muy concretas. Primera: la formalización de
negocios jurídicos celebrados a distancia en ningún caso tendría que comportar
un monto total de aranceles mayor que si el correspondiente negocio jurídico
se celebrase entre presentes. Segundo (y relacionado con la cuestión problemática que quería plantear): da la impresión –y digo da la impresión, corríjanla
y explíquese bien la cuestión de no ser así– de que la motivación de fondo de
las restricciones legales que impone la Ley 24 de 2001 a las copias autorizadas
telemáticas de matrices obedece en el fondo a una cuestión arancelaria, adornada con múltiples pretextos, que doctrinalmente llegan al absurdo de poner
en duda ni más ni menos que la fiabilidad de las tecnologías que respalda el
uso de firma digital. Es de sobra conocido que cuando se establece en soporte
digital la copia autorizada de una matriz, pierde casi por entero sentido la idea
de primera, segunda y sucesivas copias –con el correspondiente devengo de
aranceles cada vez–, puesto que cada copia autorizada por la firma digital del
notario es susceptible de ser copiada, con idénticas garantías, en todos los soportes que se quiera. Pues bien, esto es precisamente lo que la Ley, y en concreto
su artículo 115, pretende impedir.
El artículo 115 de la Ley 24 de 2001 modifica la Ley del Notariado de 1862
añadiéndole un nuevo artículo –el 17 bis–, que permite la existencia de instrumentos públicos en soporte digital firmados digitalmente por el notario y, en
su caso, por los otorgantes o intervinientes; remite a desarrollo reglamentario la
autorización y conservación del correspondiente instrumento, que en todo caso
se sujeta a las mismas garantías y requisitos de los demás documentos públicos
notariales, por lo que también produce los mismos efectos de fe pública; exige
así mismo que, al igual que en los demás documentos públicos notariales, el
notario dé fe de la identidad de los otorgantes, su capacidad y legitimación, la
libre prestación de su consentimiento y de que el mismo se adecua a la legalidad
y a la voluntad debidamente informada de los otorgantes e intervinientes.
Hasta aquí nada que objetar, salvo el temor de que, con tanta remisión a desarrollo reglamentario, acabemos dificultando la entrada efectiva de la seguridad
jurídica preventiva en el cibermundo. El problema viene, como antes decía, en
las restricciones impuestas a las copias digitales autorizadas de las matrices, que
figuran en los apartados 3 a 8 del nuevo artículo 17 bis de la Ley del Notariado
y que tienen el siguiente tenor:


3. Las copias autorizadas de las matrices podrán expedirse y remitirse electrónicamente, con firma electrónica avanzada, por el notario autorizante de la matriz o por
quien le sustituya legalmente. Dichas copias sólo podrán expedirse para su remisión a
otro notario o a un registrador o a cualquier órgano de las Administraciones públicas o
jurisdiccionales, siempre en el ámbito de su respectiva competencia y por razón de su
oficio. Las copias simples electrónicas podrán remitirse a cualquier interesado cuando
su identidad e interés legítimo le consten fehacientemente al notario.
4. Si las copias autorizadas, expedidas electrónicamente, se trasladan a papel, para que
conserven la autenticidad y garantía notarial, dicho traslado deberá hacerlo el notario
al que se le hubiesen remitido.
5. Las copias electrónicas se entenderán siempre expedidas por el notario autorizante
del documento matriz y no perderán su carácter, valor y efectos por el hecho de que su
traslado a papel lo realice el notario al que se le hubiese enviado, el cual signará, firmará
y rubricará el documento haciendo constar su carácter y procedencia.
6. También podrán los registradores de la propiedad y mercantiles, así como los órganos de las Administraciones públicas y jurisdiccionales, trasladar a soporte papel las
copias autorizadas electrónicas que hubiesen recibido, a los únicos y exclusivos efectos
de incorporarlas a los expedientes o archivos que correspondan por razón de su oficio
en el ámbito de su respectiva competencia.
7. Las copias electrónicas sólo serán válidas para la concreta finalidad para la que fueron solicitadas, lo que deberá hacerse constar expresamente en cada copia indicando
dicha finalidad.
8. En lo no previsto en esta norma, la expedición de copia electrónica queda sujeta a lo
previsto para las copias autorizadas en la Ley notarial y en su Reglamento.
Las restricciones a las copias digitales autorizadas de las matrices son un tema
que se quiere evitar a toda costa en el ámbito de los Registros y del Notariado,
hasta el punto de que praeter legem –y probablemente contra legem– se les ha
puesto fecha de caducidad, en la Instrucción de 18 de marzo de 2003, de la
dgrn, punto 4.º, que se expresa como sigue:
Por motivos de seguridad, a los solos efectos de la remisión de la copia autorizada
electrónica, por parte del notario a los órganos de las Administraciones Públicas y
jurisdiccionales, a los registradores y a otros notarios, aquélla tendrá un período de
validez de treinta días contados desde la fecha de su expedición.
Dicho período debe entenderse sin perjuicio de lo dispuesto en el artículo 17 bis de
la Ley del Notariado y, en concreto, en su apartado sexto, pudiendo los órganos de las
Administraciones Públicas y jurisdiccionales y los registradores, trasladar dicha copia
autorizada electrónica a soporte papel, a los únicos y exclusivos efectos de incorporarlos
a los expedientes o archivos que correspondan por razón del desempeño de las funciones
públicas atribuidas a aquéllos y en el ámbito de su respectiva competencia.
A modo de comentario diré –o mejor dicho, reiteraré– que los motivos de
seguridad a que la norma alude existen, puesto que la seguridad de la firma
digital, debido al avance tecnológico, no es insensible al tiempo, por lo que una
vez asentada legalmente la institución de la firma electrónica debiera ponerse
especial insistencia en la regulación del denominado records management; no
en vano existen soluciones técnicas muy diversas para mantener la seguridad
documental a lo largo del tiempo. La solución de forzar la caducidad de las copias autorizadas –y más en el plazo de un mes– no puede obedecer seriamente a
razones técnicas, como se aduce. El Preámbulo de la Instrucción de 18 de marzo
de 2003 abunda tanto en la justificación de la efímera vida de las copias digitales
autorizadas que lo que realmente consigue es el efecto contrario. Señala dicho
preámbulo que no es una copia pensada para ser archivada o guardada, sino
para ser remitida a otro notario, registrador o a cualquier órgano de la Administración Pública; dice también que dicha limitación temporal no menoscaba ni
perjudica derecho alguno del interesado, ya que el notario no puede entregar la
copia auténtica en soporte electrónico a un particular; añade que esta decisión
ayuda enormemente a facilitar la comprobación de la vigencia del certificado
digital con el que se ha firmado electrónicamente tal copia auténtica.
Para terminar, ya no queda sino analizar someramente el resto de disposiciones introducidas por la –en cuestiones de seguridad jurídica preventiva– trascendental Ley 24 del 27 de diciembre de 2001, de Medidas Económicas,
Administrativas y del Orden Social, que se refiere a la obligatoriedad de que
notarios y registradores dispongan de firma reconocida y una dirección de correo
electrónico oficial y a cuestiones diversas relacionadas con los Registros.
En relación con el primero de los temas por tratar, la obligatoriedad de que
notarios y registradores dispongan de firma reconocida y una dirección de correo
electrónico oficial, la cuestión de la firma reconocida figura en la disposición
transitoria 21.ª de la Ley 24 de 2001 y se refiere a la firma vinculada a su oficio
o cargo, que se establece en el artículo 109, para lo que les otorga un plazo de
nueve meses. En lo que afecta a la dirección de correo electrónico, también ésta
tiene carácter oficial, toda vez que les será asignada, según la disposición transitoria 20ª, por el Consejo General del Notariado o el Colegio de Registradores
de la Propiedad y Mercantiles de España, y será objeto de publicación en un
directorio electrónico oficial.
Por lo que se refiere a cuestiones diversas relacionadas con los registros, una
de ellas, la relativa a las bases gráficas del Registro de la Propiedad, aparece en la
redacción originaria de la Ley 24 de 2001; mientras que todas las demás que se van


a considerar aquí fueron introducidas por la reciente y tantas veces citada Ley 24
del 18 de noviembre de 2005, de reformas para el impulso a la productividad.
La posible utilización de bases gráficas en el Registro de la Propiedad se
introduce por la disposición adicional 28.ª de la Ley 24 de 2001, que adiciona
algunos párrafos al artículo 9.º de la Ley Hipotecaria. Se establece que la referida base gráfica puede incorporarse al título inscribible de la finca. Tales bases
gráficas pueden ser catastrales, urbanísticas e incluso planos topográficos, y se
acompañarán por duplicado. Además se permite que se incorpore al título la
definición de las coordenadas topográficas de la finca. La repercusión informática
de todo lo anterior es que en el mismo artículo se establece:
Los registradores dispondrán de aplicaciones informáticas para el tratamiento de bases
gráficas que permitan su coordinación con las fincas registrales y la incorporación a éstas
de la calificación urbanística, medioambiental o administrativa correspondiente.
De las innovaciones operadas por la Ley 24 de 2005, relacionadas con la firma
digital en el ámbito registral, interesa destacar las siguientes:
a. Manifestación de los libros del registro. A partir de la modificación del
apartado 10.º del artículo 222 de la Ley Hipotecaria, dicha manifestación se
efectúa en los siguientes términos:
10. La manifestación de los libros del Registro deberá hacerse, si así se solicita, por
medios telemáticos. Dicha manifestación implica el acceso telemático al contenido de
los libros del Registro. A tal efecto, si quien consulta es una autoridad, empleado o
funcionario público que actúe por razón de su oficio y cargo, cuyo interés se presume
en atención a su condición, el acceso se realizará sin necesidad de intermediación por
parte del registrador. Dicha autoridad, empleado o funcionario público deberá identificarse con su firma electrónica reconocida o por cualquier otro medio tecnológico que
en el futuro la sustituya. Cuando el consultante sea un empleado o funcionario público,
responderán éstos de que la consulta se efectúa amparada en el cumplimiento estricto
de las funciones que respectivamente les atribuye la legislación vigente. En todo caso,
la autoridad, empleado o funcionario público no podrá acceder telemáticamente sin
intermediación del registrador al Índice de Personas.
b. Acceso a la información registral. A partir de la modificación del apartado
11.º del referido artículo 222 de la Ley Hipotecaria y de la adición de un nuevo
artículo 222 bis.
11. Reglamentariamente se concretará el procedimiento para autorizar la restricción
del acceso a la información relativa a determinadas personas, comerciantes o fincas
cuando ello venga impuesto por razón de la protección de la seguridad e integridad de
las personas o los bienes.
[…]
Artículo 222 bis.
1. Las solicitudes de información se ajustarán a un modelo informático que tendrá los
campos necesarios para identificar al solicitante, el interés que acredita, en su caso, la
finca, los derechos, libros o asientos a que se contrae la información.
La Dirección General de los Registros y del Notariado aprobará el modelo informático
de consulta y los requisitos técnicos a los que deba sujetarse el mismo.
2. La identificación del solicitante se efectuará mediante los apellidos, nombre y número de identidad de las personas físicas y razón social o denominación de las personas
jurídicas, número de su código de identificación y dirección de correo electrónico
hábil a efectos de notificaciones. En todo caso, la solicitud deberá estar firmada con la
firma electrónica reconocida del solicitante, de la persona jurídica o del representante
de ésta.
3. El interés se expresará de forma sucinta en una casilla que advertirá de las limitaciones
impuestas por el ordenamiento en relación al uso que puede darse a dicha información. No obstante, si el registrador entendiera que no ha quedado acreditado de modo
suficiente dicho interés legítimo, podrá solicitar que se le complete éste. En todo caso,
el registrador deberá notificar al solicitante en el plazo máximo de veinticuatro horas
si autoriza o deniega el acceso, en este último caso de forma motivada.
4. La resolución sobre el acceso solicitado se notificará en el plazo máximo de un día
hábil al solicitante y, caso de ser positiva, incorporará el código individual que permitirá el acceso a la página que reproduzca el contenido registral relativo a la finca
solicitada. Este contenido registral, que se limitará a los asientos vigentes, se pondrá
de manifiesto al interesado durante el plazo de veinticuatro horas desde la notificación
accediendo al mismo.
Si el registrador se negare injustificadamente a manifestar los libros del Registro, se
estará a lo dispuesto en el artículo 228 de la Ley Hipotecaria.
5. Las fincas y derechos se identificarán a través de:
a. Cualesquiera de sus titulares, haciendo constar el apellido, nombre y número del
documento nacional de identidad o documento que permita identificar a las personas
físicas y razón social o denominación de las personas jurídicas.
b. Libro, asiento, tomo y folio registral.
c. Referencia catastral, cuando constare en el Registro.


Cuando la consulta se refiera a las fichas del Índice de Personas se harán constar solamente las circunstancias de la letra a. anterior. Lo mismo se observará respecto del
Libro de Incapacitados.
6. Las notificaciones a que se refiere este artículo entre el registrador y el solicitante
se realizarán en la dirección de correo electrónico que designe éste y deberán contar
con la firma electrónica reconocida del registrador.
c. Llevanza informática de los libros registrales. La Ley 24 de 2005 opera las
correspondientes modificaciones a través de la nueva redacción que da al artículo
238 del Texto Refundido de la Ley Hipotecaria y de la modificación del artículo
248, que así mismo se reproducen a continuación:
Artículo 238.
El Registro de la Propiedad se llevará en libros foliados y visados judicialmente.
Los libros de los Registros de la Propiedad, Mercantiles y de Bienes Muebles deberán
llevarse por medios informáticos que permitan en todo momento el acceso telemático
a su contenido.
El Registro dispondrá de un sistema de sellado temporal que dejará constancia del
momento en que el soporte papel se trasladó a soporte informático.
En caso de destrucción de los libros, se sustituirán con arreglo a lo dispuesto en las
Leyes de 15 de agosto de 1873 y 5 de julio de 1938.
[…]
Artículo 248.
1. El contenido de los Libros del Registro deberá ser actualizado en el mismo día en
que se presenten los títulos a inscripción, si dicha presentación se efectúa en horas de
oficina. Dicha actualización deberá realizarse con independencia del medio utilizado
para la presentación de los títulos. El registrador deberá disponer de los medios materiales y personales necesarios para cumplir con la obligación de actualización. Si no
fuera posible extender el asiento de presentación, se estará a lo dispuesto en el apartado
primero del artículo 417 del Reglamento Hipotecario.
Igualmente, y antes de la hora de apertura al público, deberán incorporarse las modificaciones que resulten de la presentación de aquellos títulos que se hubiera efectuado
en el día hábil precedente fuera de horas, atendiendo al riguroso orden de ingreso si
se hubieran presentado telemáticamente. Si el título se hubiera presentado por correo
o telefax fuera de las horas de oficina se estará a lo dispuesto en los apartados tres a
cinco del artículo 418 del Reglamento Hipotecario.
2. Para cumplir con la obligación de actualización inmediata del contenido de los
Libros, los registradores llevarán un Libro de Entrada donde se hará constar de modo
inmediato la presentación de los títulos por el riguroso orden en que hubieran ingresado los documentos, con expresión de la persona que los presente, el tiempo exacto
de su presentación indicando la unidad temporal precisa, el medio de presentación,
sea físico, por correo, por telefax o por remisión telemática y los datos precisos que
permitan identificar la finca afectada por el título presentado. Así mismo se adoptarán
las cautelas necesarias para que en ningún caso sea posible la manipulación o alteración
del orden de presentación de los títulos o de los asientos ya practicados.
El Libro de Entrada deberá ser accesible telemáticamente y de modo directo a los funcionarios y empleados a los que se les presume su interés en la consulta de los Libros, de
conformidad con lo dispuesto en los artículos 221.2 y 222.10 de la Ley Hipotecaria.
3. Si el título se hubiera presentado telemáticamente, se estará a las siguientes reglas:
1.ª El sistema telemático de comunicación empleado deberá generar un acuse de recibo
digital mediante un sistema de sellado temporal acreditativo del tiempo exacto con
expresión de la unidad temporal precisa de presentación del título.
2.ª De conformidad con el artículo 112.4 de la Ley 24 del 27 de diciembre de 2001, si
el título hubiera ingresado en horas de oficina, el registrador procederá en el mismo día
a practicar el asiento de presentación correspondiente al título presentado atendiendo
al orden de presentación de éste. Si no fuera posible extender el asiento de presentación, se estará a lo dispuesto en el apartado primero del artículo 417 del Reglamento
Hipotecario. Si el título se presentara fuera de las horas de oficina, se deberá extender
el asiento de presentación en el día hábil siguiente atendiendo, igualmente, al orden
riguroso de presentación de aquél, de conformidad con el sellado temporal.
3.ª El registrador notificará telemáticamente en el mismo día en que se hubiera extendido
el asiento de presentación su práctica así como, en su caso, la denegación del mismo.
En este último supuesto se deberán motivar suficientemente las causas impeditivas, de
conformidad con el apartado cuarto del artículo 258 de la Ley Hipotecaria.
4.ª Si se presentaran telemáticamente o en papel en el mismo día y hora títulos relativos
a una misma finca que resulten contradictorios, se tomará anotación preventiva de cada
uno, comprensiva de la imposibilidad de extender el asiento solicitado. Esta anotación
preventiva se comunicará a los efectos de que se proceda por los interesados o por los
Tribunales a decidir el orden de preferencia.
4. Los documentos presentados por telefax, cuando la Ley o el Reglamento admitan
este medio de presentación, se asentarán en el Diario de conformidad con la regla general, a excepción de los que se reciban fuera de las horas de oficina que se asentarán
en el día hábil siguiente.


El asiento de presentación caducará si, en el plazo de diez días hábiles siguientes, no
se presenta en el Registro el título original o su copia autorizada.
No me ha parecido oportuno comentar tales artículos, pero sí, como es lógico
dado su carácter novedoso, informar de su contenido mediante su transcripción literal. En todo caso, en ellos resulta patente que los registros operan
directamente un sellado de tiempo, como no podría ser de otra manera, de los
documentos firmados digitalmente y recibidos por medios telemáticos, por lo
que insisto en el absurdo de que los documentos notariales que hayan de tener
acceso a los mismos no puedan ser transmitidos directamente al registro por
el propio notario. Reitero una vez más, y ya para finalizar, que la complicación
procedimental de esta materia roza el absurdo, por lo que el establecimiento
que aquí se propugna de la firma electrónica corporativa para notarios y registradores sería sin duda una buena ocasión para proceder así mismo a una
modificación legislativa que racionalizase el sistema de comunicaciones entre
notarías y registros.
stephen j. davidson
miki kapsner
Bricks and mortar to the internet
practical legal considerations
I. introduction
Until recently, business on the Internet has been dominated by technologydriven companies selling well-financed ideas. These start-up.coms have enjoyed
the luxury of abundant investment capital, without the burden of having to
show a profit. That time, however, may be rapidly coming to an end. Though
initially they lagged behind the “idea companies”, traditional “brick and mortar”
companies are quietly making up for lost time and going online. The current
wisdom holds that it will likely be these companies that will ultimately become
the financial cornerstones of Internet commerce.
Entering the world of e-commerce, however, should be a considered business
decision, not a knee-jerk reaction to the sudden availability of new technology.
An existing brick and mortar company’s goals are different from those of an
“idea company”. Likely already profitable, a brick and mortar company will
most often turn to the Internet to expand its markets, meet customer needs, and
improve operating efficiencies in ways that are usually incidental to an existing
business –not to re-invent its business.
The first step is to identify the business goals that can be served by using
the Internet. Answering this question depends, in part, upon the nature of the
business. For example: How large is the company? What sort of distribution
chain does it utilize? Is its customer base static or could it be expanded? Some
careful planning will smooth the path for a business developing from a brick
and mortar to “click and mortar” world.
Beyond the basic business considerations, a host of legal issues faces a
company preparing to go online. This article does not purport to thoroughly
address all the issues and implications of bringing a traditional business online.
Each of these issues could be the subject of a much longer work. Instead, this
article simply identifies some of the basic considerations a company should
address before launching its business into cyberspace.
See, e.g., Reuters, VCs Tighten Wallet for mbas, April 20, 2000 [http://wired.com/news/ business/0,1367,35821,00.html ]; Leslie Kaufman. New Species, Old Struggle, N.Y. Times, March 29,
2000.
See, e.g., Reuters, Dow Resurrected, Nasdaq Nailed, April 20, 2000 http://wired.com/news/ business/0,1367,35804,00.html; Reuters, Little Gains? Nothing Ventured, April 19, 2000, [http://wired.
com/news/ business/0,1367,35769,00.html].
Leslie Kaufman. New Species, Old Struggle, N.Y. Times, March 29, 2000, See also Jon Christensen.
Costco Brings its Big Box Onto the Web, but Cautiously, N.Y. Times, March 29, 2000.
See id. See also Sari Kalin. Everything You Know About e-business is Wrong, cio Magazine, March 27,
2000 [www.cio.com/forums/ec/edit/032700_newrules.html].


Bricks and mortar to the internet practical legal considerations
Hopefully, the discussion of these issues will stimulate some thought about
others. Indeed, the principal point this article serves to make is that time spent
on thought and preparation prior to commencing the e-commerce aspects of
any business will help ensure the brick and mortar company’s smooth and successful transition onto the Internet.
II. choosing a domain name
A domain name functions as a company’s address on the Internet. It frequently
also serves as the company’s most prominent Internet identity. As with a
traditional address, some domain names are more valuable than others. In
the United States, there are currently three commonly used top level domains
(tlds). These are .com, .net, and .org. The familiar .com tld is significantly
more valuable than .net or .org. Therefore, a company establishing an Internet
presence may wish to secure a .com domain.
Determine the availability of the desired domain name. Even if the desired
name is already registered, it may be for sale. Ideally, a company can use its own
name. Customers and clients will be more likely to remember and access shorter
names that are easy to spell, and those that immediately connote a marketable
product or service.
When registering the domain name, consider “clump registrations”.
Registration of the name in all three commercially available tlds may prevent confusion or dilution of the business’s identity. It is similarly prudent to
register logical misspellings of the company name and common “nicknames”
by which the company is known in the industry. A business may also consider
registering certain defamatory iterations of its own name. “Mycompanysucks.
com” or “mycompanybites.com” are currently popular sites that disgruntled
employees, customers or even competitors may register.
Likewise, a company doing a significant amount of business abroad should
be prepared to register its domain name under the proposed .eu tld, which will
likely come to function as the default tld of Europe. There are also a number
of new tld’s, including .biz, .info, .name, .pro, .museum, and .aero, that will
soon become available in the United States as well.
See Brookfield Communications, Inc. v. West Coast Entertainment Corp., 174 F.3d at 1065 (9th Cir.
1999).
See, e.g., Sue Cummings. Free-for-All on the Name Exchange, N.Y. Times, March 29, 2000.
See id.
Id.
Oscar S. Lisneros. Icann Gets Down To Dot-Biz(ness), Wired, Nov. 17, 2000 [www.wired.com/news/
business/0,1367,40270,00.html].
Stephen J. Davidson y Miki Kapsner
If an independent web site developer or host is registering the domain
name(s), a business should make sure that all domains and pointer domains are
registered in the company’s name, not in the name of the developer or host. The
company should clarify which party will be listed as the administrative contact,
and the company should be listed as the billing contact. The developer or host
should provide the owner with the nic number and all other account information pertaining to the registration of the domain, as well as any passwords or
relevant information provided by the hosting company. The parties should also
be clear about who will bear responsibility for renewing the registration.
III. developing a web site
Web site developers come in all shapes and sizes – and levels of sophistication.
For this reason, negotiating a carefully tailored web site development contract
is important. The key issue here is ownership. In general, unless the contract
specifies that the business owns the copyrighted work and content of the site
it buys, the developer will own it.The company should, therefore, negotiate
to own the site’s look and feel, plus specific text, music, videos, or graphics on
the site.
Often, developers write back-end code, such as that behind an online shopping cart, for example, which they will use with multiple clients. Developers
will not relinquish ownership of such code. In that case, the company should
be sure the contract includes specific licensing terms, including what kinds of
future modifications can be made to the code and what happens if the licensee
decides to perform the modifications in house or hire another web design firm
to do them.
I V. h o s t i n g a w e b s i t e
After a web site has been developed, it must be hosted on a server that is connected to the Internet. Sometimes, the same firm that developed the web site
also offers hosting services. Other times, a site is hosted by another company
that specializes in providing in hosting services. Alternatively, some organizations choose to host their own web sites in-house.
 Sari Kalin. e-Legal Tangles, cio Magazine, Mar. 2000, [http://webbusiness.cio.com/archive/ 030700_
legal_content.html].
Id.
 Id.


There are a number of elements that go into creating a comprehensive scope
of services agreement with the host. Perhaps most important for many businesses, however, are the terms governing the performance criteria, or up-time.
Business is negatively impacted by any significant unavailability of a web site.
Negotiate an agreement that sets forth exacting up-time requirements. Keep
in mind that as the guaranteed up-time increases, so too does the cost. It is also
important to remember that what seems like a small percentage of down-time,
e.g., .05%, can be significant if that down-time occurs in the middle of a business
day. Although every web site must be taken down for periodic maintenance, a
good hosting agreement will specify the non-peak hours (such as 2-4 a.m. on
Sunday mornings) when such regularly scheduled maintenance will occur.
Most hosting companies offer additional services, such as site traffic reports.
These reports can reflect the number of hits a site receives and can be utilized
to determine which areas of a web site are popular with users and which are
not. Reviewing site traffic reports and implementing updates or modifications
to a web site based upon such reports can help a company improve its users’
online experience. Although a host can and must access information transmitted via a web site to provide many standard hosting services, a web site owner
should make sure the hosting contract specifies that all of the web site’s content
and all information concerning its users is and will remain the property of the
web site owner and that the host will maintain the confidentiality of all user
information.
V. o n l i n e c o n t r a c t i n g
Just as the law of contracts has adapted to other technological developments
that have affected the ways in which people do business, the traditional rules
governing contract formation will continue to apply to online contracting. In
certain respects, however, the traditional rules leave open issues peculiar to the
Internet environment.
The primary concern regarding Internet contract formation and enforcement is the relative anonymity of the parties to any given transaction. When a
company conducts business with a party with whom it has no prior relationship,
concerns regarding enforceability may arise where, for example, the party is a
minor, or where the party purporting to contract on behalf of an organization
lacks authority to do so.
 See, e.g., Farnsworth on Contracts, § 1.10 (2d ed. 1990).
 Millstein. et al. Doing Business on the Internet: Forms and Analysis, § 8.03 [1].
A . d i g i ta l s i g n at u r e s
A digital signature is a process that transforms an electronic message in a manner
that is unique to each user. Such signatures are created and verified by using
a particular type of cryptography involving complex mathematical algorithms
that facilitate the verification of the integrity and authenticity of electronic
communications to make them non-repudiable. The most widely accepted
digital signatures are created and verified by application of public/private key
cryptography and an algorithm called a “hash function”.
Public key encryption employs two mathematically related keys. Each key
performs a one-way transformation on the data. Each key performs the inverse
function of the other, so what one key encrypts, the other key decrypts, and vice
versa. The public key is made, as the name suggests, publicly available. The
other key, the private key, is kept secret by the owner. Thus, a message encrypted
by the private key is known, by holders of the public key, to have originated
with the key owner. Similarly, a message encrypted with a public key can be
read only by the intended recipient, the holder of the private key.
Message integrity is cryptographically verified by performing a hash function on the message. A hash is a complex one-way mathematical function that
reduces a message of any length to a unique, 160-bit message. The same message will always hash to the same message digest value. But if even only one
bit in the message is changed, the message digest will change dramatically.
The sender and the recipient each perform the same hash computation on the
message. If the hash produces the same value for both parties, and it was signed
by the sender, that proves the document has not been altered along the way.
 Maureen S. Dorney. Digital Signature Legislation, in Doing Business on the Internet: The Law of
Electronic Commerce 141, 145 (p.l.i. 1997).
 See Millstein, supra n.o 14, § 8.05 [1].
 See id. See also Ronald S. Laurie. “Electronic Commerce & Applied Cryptography: Mapping the
Patent Minefield”, in Doing Business on the Internet: The law of Electronic Commerce, 25, 47-48 (P.L.I.
1997).
 See Laurie, supra n.o 17, at 47.
 Id.
 Id.
 See id.
 Id. at 48.
 Id.
 Id.
 Id.
 Id.
 Id.


Increased use of digital signatures has created a market for so-called independent certification authorities. A certification authority is a trusted third person
or entity that ascertains the identity of a person and certifies that the public
key of a public-private key pair belongs to that person. After verification, the
certification authority issues a certificate in the form of a computer-based record
that attests to the association of a public key to an identified person or entity.
The certificate is then published in an electronic database or repository, which
contains a number of certificates, as well as other important information, such
as the status (i.e., active, compromised, etc.) of the subscribers’ keys.
B . s tat u t e o f f r a u d s
No court has yet published an opinion addressing the enforceability of a purely
electronic contract under the Statute of Frauds. A traditional contract satisfies
the Statute of Frauds if it (1) reasonably identifies the subject matter of the
contract; (2) is sufficient to indicate that a contract has been made between the
parties or that the signing party has made an offer; and (3) states with reasonable
certainty the essential terms of the contract. Contracts under the ucc must
be “signed” by the party against whom enforcement is sought. The signature
requirement is the real issue concerning electronic contract formation.
Under the ucc, a “signature” “may take many forms and be located anywhere in [a] writing, so long as it conveys an intention to authenticate the writing”. In fact, any symbol or code on an electronic record, which is intended as
a signature, satisfies the Statute of Frauds requirement, even a name typed at
the end of an email. The issue is proving intent and authenticity. As the use
of digital and other electronic signatures (e.g., biometric devices, codes, etc.)
becomes more widespread, concerns about the intent and authenticity aspects
of the signature requirement of the Statute of Frauds will probably lessen.
Until then, however, a business may consider other options, such as offline
verification for important contracts.
The American Bar Association’s Information Security Committee has
promulgated Digital Signature Guidelines, in an effort to address the legal
 Thomas J. Smedinghoff. Electronic Contracts and Digital Signatures: An Overview of Law and Legislation, in 2 Third annual Internet Law Institute 125, 149 (P.L.I. 1999).
 Id. at 150.
 Id. at 151.
 Restatement (Second) of Contracts, § 110 (1981).
 ucc § 2-201, cmt. 1.
 Vess Beverages, Inc. v. Paddington Corp., 886 F.2d 208, 213 (8th Cir. 1989).
 Smedinghoff, supra n.o 28, at 138.
effect of digital signatures. The Guidelines address practices and procedures
to be followed by certification authorities, and set forth a legal framework for
the development and use of secure computer-based signatures, in order to
minimize forgeries, enable reliable authentication of electronic documents,
facilitate e-commerce, and “give legal effect to the general import of the technical standards for authentication of computerized messages”. A number of
states have passed the Uniform Electronic Transactions Act or ueta, as well as
a variety of independently developed legislation authorizing the use of digital
or electronic signatures.
On June 30, 2000, President Clinton signed the Electronic Signatures in
Global and National Commerce Act. Referred to as the “e-sign” Act, the
law went into effect on October 1, 2000. The Act reflects a national policy that
encourages the use of electronic signatures, contracts, and records.
Under the Act, existing contract law remains applicable. Thus, when a
contract is required to be “in writing”, an electronically signed agreement must
be in a form that is capable of being retained and reproduced. For example, an
agreement that could be stored on a computer hard disk or printed by a printer
would satisfy the requirement. Additionally, a party seeking to enforce an electronically signed contract still bears the burden of showing that the party to be
bound intended to sign the agreement. Intent may be determined, for example,
by a showing of adequate safeguards, the purpose of which are to demonstrate
whether the electronic signature was actually created by the person to whom
it is attributed.
Under e-sign, states are prohibited from denying legal effect to an electronic
signature or record, if the parties involved have agreed that they will accept and
use electronic signatures and records in their dealings with one another. e-sign,
however, does not preclude application of state law governing the use of electronic
signatures if the state has adopted, without modification, ueta as promulgated
by the National Conference of Commissioners on Uniform State Laws. e-sign
also provides that state consumer protection laws will continue to apply.
C. click-wrap agreements
Most commercial web sites require that a user consent to the proprietor’s
specified legal terms as a condition of using or transacting business on a site.
 Digital Signature Guidelines (Aug. 1, 1996), available online at [www.abanet.org/scitech/ ec/isc/dsgfree.html].
 Id.
 Pub. L. n.o 106-229 (June 30, 2000).
 Id. at § 101.


Sometimes this is accomplished by means of a button that states “I Agree” or
“I Accept” –a so-called “click-wrap agreement”. Most often, however, terms
of site use and transaction terms are passively posted on the site, leaving it to
the user to find and follow the necessary links to the text of the proposed legal
terms. In the latter case, there commonly appears a statement that by using or
transacting business on the site, the user consents to those terms. The issue is
whether such agreements are enforceable, or whether they are unconscionable
adhesion contracts.
Although there have been few rulings on point, courts have so-far upheld
click-wrap agreements, or indicated that the agreements would likely be upheld. It is worth noting, however, that in many of these cases, the party against
whom the click-wrap agreement was to be enforced had engaged in some sort of
bad behavior, such as spamming or copyright violation. Moreover, at least one
court has expressed disapproval with respect to passive click-wrap agreements,
stating “it cannot be said that merely putting the terms and conditions in this
fashion necessarily creates a contract with any one using the web site”.
When possible, click-wrap agreements should be drafted with a view towards
emulating the frequently enforced shrink-wrap agreements popular among
software vendors. The agreement should clearly give notice to the user that
he or she is about to enter a legal agreement, the terms of which should be in
plain language and should be disclosed to the user before or shortly after coming into force. The user should be offered a means of rejecting the terms and
easily returning an associated purchase. Ideally, the user should be required to
make an affirmative act, such as clicking an “I Agree” button, to indicate assent
before being allowed to proceed with the transaction.
D. i n t e r n at i o n a l c o n c e r n s
As with more traditional contracts involving the sale of goods, an international
e-business must consider a veritable cornucopia of issues such jurisdiction,
choice of law, and battle-of-the-forms questions. Will the ucc or the Conven-
 Millstein, supra n.o 14, § 8.04 [5].
 Caspi v. The Microsoft Network,732 A.2d 528 (N.J. Super. Ct. App. Div. 1999); Hotmail Corp. v. Van$
Money Pie, 47 U.S.P.Q. 2d 1020 (N.D. Cal. 1998); Storm Impact v. Software of the Month Club, 13 F.
Supp. 2d 782 (N.D. Ill. 1998); America Online, Inc. v. lcgm, Inc., 46 F. Supp.2d 444 (E.D. Va. 1998).
 Ticketmaster Corp. v. Tickets.com, 54 u.s.p.q.2d 1344 (C.D. Cal. 2000).
 As in Caspi, supra.
 See ProCD, Inc. v. Zeidenberg, 86 F.3d 1447 (7th Cir. 1996) (enforcing shrink-wrap agreement subject
to similar terms. See also Millstein, supra, n.o 14, § 8.04 [5][a].
tion on the International Sale of Goods (“cisg”) apply? The best solution is to
include a provision in the online contract, which expressly states which law will
govern and what terms will apply to contracts formed via the Internet.
Regarding contracts formed with entities within the European Union, an
e-business should heed the provisions of the EU Distance Selling Directive.
Under the Directive, consumers must be provided with certain information
before a contract can be concluded. This information includes: (1) the supplier’s
name and address, (2) the main features of the goods or services, (3) the price of
the goods or services (including all taxes), (4) added delivery costs, (5) arrangements for payment, delivery, and performance, (6) whether the consumer has
a right to withdraw from the contract, and (7) the duration of the contract.
The Directive requires confirmation of the information in a “durable medium
available and accessible to him”, and allows consumers a right of withdrawal
from the contract of at least seven working days. The Directive also addresses
issues such as credit card fraud.
VI. security
According to one study, security is the primary worry of companies that want
to do business on the World Wide Web. In general, web security is a set of
procedures, practices, and technologies for protecting web servers, web users, and their surrounding organizations against unexpected behavior. Web
security consists of three major parts: (1) securing the web server and the data
that is on it, (2) securing information that travels between the web server and
the user, and (3) securing the user’s computer.
A “firewall” is some type of software or software-hardware combination that
is designed to separate a company’s internal information systems and data from
 Directive 97/7/EC of the European parliament and of the Council of 20 May 1997 on the Protection
of Consumers in Respect of Distance Contracts, O.J. L144, 4/06/1997, p. 0019-0027, available online
at [http://www.europa.eu.int]. the Directive was adopted in January 1997 and published in the Official
Journal in June 1997. Member states have until June 4, 2000 to implement the Directive’s provisions.
See id.
 Millstein, supra n.o 14, § 8.04 [7] (citing Directive, supra n.o 42, at Art. 4(1)).
 Id. (citing Directive, supra n.o 42, at Art. Art. 5(1), 6(1)).
 Id. (citing Directive, supra n.o 42, at Art. 14).
 Simson Garfinkel & Gene Spafford, Web Security & Commerce xi (1997).
 Id. at 3.
 Id. at 10. Only the first of these issues is discussed in this section. For a discussion of issues relating to
the second and third issues, see those sections dealing with Privacy, Intellectual Property, and Insurance.


that available to the rest of the world via the Internet. Selecting the appropriate firewall vendor may be difficult because vendors are reluctant to disclose
exactly what their products do. A company must negotiate with the vendor to
obtain as detailed information as possible about the functionality of the firewall.
Likewise, a company should attempt to secure the most comprehensive written
warranty possible, to provide some recourse, should the business’s confidential
systems be breached.
A firewall alone, however, is not enough. Firewalls only assist in preventing
unauthorized access from outside the company. They do not resolve internal network security problems and should, therefore, be used in conjunction with other
security measures, such as limiting the number of internal users authorized to
access the system, encryption systems, and other traditional security measures.
In the wake of a recent series of domain name hijackings,businesses registering new domain names should be advised to inquire of their chosen registrar
regarding the level of security their account will carry. Network Solutions,
for example, offers three levels of security, all of which are free, but some of
which require that the user implement additional measures and software. If
the registrant does not actively seek greater levels of protection, its new account will default to the weakest level of security. Newer, smaller registrars
may automatically offer heightened security protections but, in all instances,
the registrant should take the extra step of learning what is available, versus
what he or she is getting. At a minimum, the attacks re-emphasize the need for
vigilant oversight of the status of one’s web site.
VII. jurisdiction
The global reach of the Internet has raised a host of problems concerning
jurisdiction. The two primary concerns a new e-business must address are: 1.
Id. at 20-21.
See Millstein, supra n.o 14.
Garfinkel & Spafford, supra n.o 46, at 21.
In recent months a number of commercial sites, such as cnn, Yahoo, eBay, and Amazon.com has suffered
disruption of service attacks and other sites, such as bosnia.com, have been subjected to apparently
politically motivated hijacking. See, e.g., Decian McCullagh. DoS Attacks: Blame Canada, Apr. 20,
2000, [http://wired.com/news/politics/0,1283,35768,00.html]; Chris Oakes. Domain War Motive
a Guess, Apr. 19, 2000, [http://wired.com/news/business/0,1367,35708,00.html]. There is currently
no practical way to defend against denial-of-service attacks, although redundancy and backup systems
can help to minimize their impact. Garfinkel & Spafford, supra, n.o 46, at 12. Ultimately, it will take
effective use of the legal system against attackers to make such attacks less frequent. Id.
 Chris Oakes. Domain War Motive a Guess, supra n.o 52.
 Id.




whether and to what extent establishing a presence on the Internet establishes
sufficient contacts upon which personal jurisdiction may be based in any jurisdiction from which its web site may be accessed; and 2. how to limit the risk
of liability in multiple jurisdictions. Traditional considerations concerning
personal jurisdiction –specific jurisdiction, general jurisdiction, due process,
and minimum contacts– apply to a business’s presence on the Internet.
In general, courts have declined to exercise personal jurisdiction over entities that merely post information on a web site and have no other contact or
interaction with a forum state. On the other hand, businesses that enter into
contracts or otherwise direct conduct toward a forum state have been subjected
to jurisdiction in the forum. Advertising, sending e-mail into a forum, and
gathering market information via an Internet web site have all provided the basis
for courts to find conduct sufficient to warrant the exercise of jurisdiction.
Less settled is the question of when a U.S. business’s presence on the Internet
will subject it to jurisdiction in a foreign country.
A company may go a long way toward limiting its exposure to jurisdiction
in multiple fora by including a forum selection clause in the terms of its web
site and requiring new users of the site to acquiesce to the terms by completing a mandatory click-wrap agreement. The few courts that have considered
the issue to date have enforced such clauses. A choice of law clause should
also be included.
V I I I . ta x at i o n
The same concerns that affect personal jurisdiction are also relevant to the issue
of taxation. The difficulty of determining the physical location and, at times,
 Millstein, supra n.o 14, § 11.02.
 See, e.g., Bensusan Restaurant Corp. v. King, 937 F. Supp. 295, 297 (S.D.N.Y. 1996), aff ’d 1997 U.S.
App. Lexis 23742 (2d Cir. Sept. 10, 1997); ids Life Ins. Co. v. SunAmerica Inc., 948 F. Supp. 1258,
1268 (N.D. Ill. 1997); McDonough v. Fallon McElligott, Inc., 40 U.S.P.Q.2d 1826, 1828-29 (S.D. Cal.
1996). But see Inset Sys., Inc. v. Instruction Set, 937 F. Supp. 161, 164 (D. Conn. 1996).
 See, e.g., Zippo Mfg. Co. v. Zippo Dot Com, Inc., 952 F. Supp. 1119 (W.D. Pa. 1997); CompuServe,
Inc. v. Patterson, 89 F.3d 1257 (6th Cir. 1996).
 See Minnesota v. Granite Gate Resorts, Inc., Case No. C6-95 7227 (Minn. Dist., Dec. 10, 1996),
aff ’d No. C695-7227 (Minn. App. Sept. 5, 1997) (advertising); Cody v. Ward, 954 F. Supp. 43, 44 (D.
Conn. 1997) (email); Maritz v. CyberGold, Inc., 947 F. Supp. 1338 (E.D. Mo. 1996) (gathering market
information via web site).
 See Concert Concept, 5 U 659/97, 97 O 193/96 Landgericht Berlin (District Court of Berlin) (finding
Kansas City company subject to jurisdiction in Germany in trademark dispute over domain names,
based on accessibility of domains from Germany).
 See Decker v. Circus Circus Hotel, 49 F. supp.2d 743 (D.N.J. 1999); Caspi v. Microsoft Network, L.L.C.,
732 A.2d 528 (N.J. Super. Ct. App. Div. 1999); Groff v. America Online, Inc., 1998 WL 307001 (R.I.
Super. May 27, 1998).


the identities of parties to various transactions creates a parallel difficulty in
determining the tax regulations to which a given transaction is subject.
A . s a l e s a n d u s e ta x
Most states impose sales tax on the sale or lease of tangible personal property.
Many states also impose on vendors a duty to collect use tax, either on goods
purchased for use within the state, or on goods brought into the state, regardless of any intent to use them within the state. The state’s power to collect
sales or use tax depends upon the existence of a nexus sufficient to satisfy the
due process and commerce clauses of the United States Constitution. These
clauses impose related, but distinct limits on the states’ powers of taxation. The
considerations of due process in the taxation context are substantially identical
to those in the context of personal jurisdiction, requiring an examination of the
quantity and quality of contacts with the taxing state.
The nexus requirements under the commerce clause are somewhat more
restrictive. A tax affecting interstate commerce will survive a commerce clause
challenge if: (1) a substantial nexus exists with the taxing state; (2) the tax is fairly
apportioned; (3) the tax does not discriminate against interstate commerce; and
(4) the tax is fairly related to the services provided by the state. To date, there
has been no definitive ruling defining a sufficient nexus for taxation under the
commerce clause in the context of electronic commerce. The Supreme Court
has ruled that retail outlets, solicitors, or property within a state will generally
satisfy the nexus requirement, but contacts solely by mail or common carrier
or other de minimis physical presence are insufficient.This holding will be an
important precedent as cases considering the taxation of e-commerce become
more frequent.
An e-business should be aware of the tax implications of its agreement
with its Internet service provider. A typical agreement will indicate the client’s
agreement to be responsible for any tax liabilities that may arise based on sales
or activities via the client’s web site. This concern becomes important as case-
 See generally Due and Mikesell. Sales Taxation, State and Local Structure and Administration (2d ed.
1994).
 See id. See also Millstein, supra n.o 14, § 9.03 [1].
 See Quill Corp. v. North Dakota, 112 S. Ct. 1904, 1909 (1992).
 See id. at 1913.
 Complete Auto Transit v. Brady, 97 S. Ct. 1076 (1976).
 Quill, 112 S. Ct. at 1912-14.
 See, e.g., Millstein, supra n.o 14, § 9.03 [2][b][ii].
law develops as to whether an isp’s point of presence (“pop”) site in a taxing
state constitutes a de minimis physical presence, or is a sufficient nexus with the
state to justify imposition of sales and or use tax. If a sufficient nexus is found,
it is likely that states will then attempt to find a nexus with electronic vendors
who use the services of the isp, based on a theory that the business’s isp is the
“agent” of the vendor. Although the likelihood of this argument succeeding
is small, a new e-business should be aware of the possibility.
In March 1997, the Internet Tax Freedom Act was introduced in Congress.
The bill would impose a national moratorium on the imposition of state and
local taxes, direct or indirect, on the Internet. Section 3 of the Act, however,
would permit states to impose sales and use taxes on transactions effected over
the Internet, if the taxes and the obligation to collect them, are substantially
the same as those in transactions effected by mail order, telephone, or other
remote means. Moreover, some states, such as Florida and Tennessee, have
been adamant that they will continue to impose and attempt to collect sales and
use taxes from e-businesses.
B . i n c o m e ta x
Public Law 86-272 prohibits a state from imposing a tax on income derived
from interstate commerce if the only business activity of the company within
the state consists of solicitation of orders for sales of tangible personal property
that are fulfilled by shipment or delivery from points outside the state. Thus,
to the extent a brick and mortar company confines its activities to the sale of
tangible goods into states in which it has no physical or other significant presence, it is unlikely that it will be subject to income tax within the state. To the
extent, however, that a company also deals in intangible property, its lack of
physical presence within a state may not protect it from the power of the state
to levy an income tax.
 See Interactive Services Association, “Logging On to Cyberspace Tax Policy White Paper” (Dec. 1996)
available online at www.isa.net/about/releases/taxwhpap.html.
 See Millstein, supra n.o 14, § 9.03 [2][b][ii].
 S. 442, H.R. 1054, 105th Cong. (1997).
 Id. § 3.
 Steve Bills. States Fight Back on e-Taxes, April 21, 2000, [http://cnnfn.com/2000/04/21/
electronic/q_etaxes/].
 15 U.S.C. §§ 381 et seq.
 See Geoffrey, Inc. v. South Carolina Tax Comm’n, 437 S.E.2d 13 (S.C. 1993) (“It is well settled that
the taxpayer need not have a tangible physical presence in a state for income to be taxable there. The


C . i n t e r n at i o n a l ta x c o n s i d e r at i o n s
In a 1997 paper entitled “A Framework for Global Electronic Commerce”,
the United States government articulated its position that the international
community should adopt standards requiring the Internet to be a tariff-free
environment. The paper stated that the United States will advocate that the
World Trade Organization declare the Internet to be a tariff-free zone “whenever it is used to deliver products or services”. According to the paper, the
government’s position is that no new taxes should be imposed on electronic
commerce and that the taxation of such commerce should be consistent with
established principles of international taxation.
I X . i n s u r a n c e 
Conventional insurance does not adequately protect e-commerce. Thus, a
company bringing its business online should obtain an insurance audit. Some
insurers recommend supplemental standard policies with additional coverage
endorsements for e-commerce, while others believe that entire new policies are
needed. Little more than a year ago, no insurer offered a stand-alone cyberpolicy. In recent months, however, over a dozen insurers have introduced such
policies. These new policies are not fungible, however, and no single “standard”
has evolved. Therefore, it is important to tailor a cyber policy to the individual
business and its specific e-commerce risks. Standard cgl policies do not cover,
among other things:
– Intangible property, including loss of use of the property (software and
data may be considered intangible property).
– Publishing/broadcasting activity (maintenance of a web site may constitute publishing or broadcasting).
– “Services” (mixed goods and services businesses may be only partially
covered).




presence of intangible property alone is sufficient to establish nexus.”). Based on Geoffrey, some states
have also imposed sales and/or use tax on companies which license intangible products. Millstein,
supra, n.o 14, § 9.03 [2][a] n.o 31.
A Framework for Global Electronic Commerce, available at [www.iitf.nist.gov/eleccomm/ecomm.
htm].
Id.
Id.
The materials in this section are derived from Robert P. Thavis. Insurance and the Web, in The Business Side of eCommerce § ii (Minnesota Institute of Legal Education 2000).
Whenever a business sells a product via the Internet, strict product liability
may apply. A traditional business may purchase additional endorsements to cover
the risk for those in the distribution chain. The extent of the distribution chain
for Internet sales, however, is not yet clearly defined, or necessarily insured.
Other concerns specific to e-commerce include potential damage caused by
hijackers who can damage a site, re-route a domain name, steal information, or
create viruses that may damage visitors to the site. Normal business interruptions, such as satellite or server failure may occur. None of these incidents is
protected by traditional cgl insurance. Finally, most cgl policies have territorial limits, which, of course, leave an e-business open to potentially uninsured
worldwide liability. Careful consideration of the risks will allow the new click
and mortar company to negotiate more comprehensive insurance coverage.
X . i n t e l l e c t ua l p r o p e r t y p r o t e c t i o n
The intellectual property issues associated with doing business on the Internet are too numerous to present here in any detail. Generally, any conceivable
intellectual property concern that may occur in the traditional business world
may also occur on the Internet. The unique environment of the Internet does,
however, magnify certain aspects of the various intellectual property issues that
apply to all businesses.
A. trademarks
A party doing business on the Internet should be aware of the trademark
implications of three specific areas – web site content, domain names, and
metatags.
When a web site operator incorporates existing trademarks belonging to
others, the operator may be subject to suit for trademark infringement, dilution, and/or unfair competition. Similar results may obtain when an operator
 For a comprehensive discussion of these issues see S. Davidson and L. Dechery. Trademark as Navigator: Trademark Use in Web Site Metatags and Advertising, The Journal of Internet Law (Vol. 3, n.o
5, Nov. 1999).
 See Playboy Enterprises v. Calvin Designer Label, 985 F. Supp. 1220 (N.D. Cal. 1997) (enjoining
defendant from using plaintiff ’s trademark in Internet advertising and promotion, as well as in connection with its goods and in its site’s metatags); Insituform Tech., Inc. v. National Envirotech Group,
l.l.c., Civil Action No. 97-2064 (E.D. La., final consent judgment entered Aug. 27, 1997) (defendant
agreed to remove from its web site and metatags all marks similar to plaintiff ’s).


incorporates hyperlinks containing another entity’s trademark into its site.
Due to the ease with which linking and framing may be accomplished by less
than scrupulous competitors, a business should carefully monitor sites creating
links into and/or frames over its site, in order to prevent confusion regarding
the source of the information the viewer sees.
Domain names are another area in which a company must be vigilant in
protecting its trademark rights. Case-law and federal statutory law dictate that
the intentional practice of cybersquatting (registering a domain name containing the marks of others in the hopes of obtaining future profit) is unlawful.
The Uniform Domain Name Dispute Resolution Policy (“udrp”), effective
January 3, 2000, governs current domain name disputes. Under the udrp, a
complainant seeking to oust a cybersquatter must prove: (1) the registrant’s
domain name is identical or confusingly similar to a trademark or service mark
in which the complainant has rights; (2) the domain name registrant has no
rights or legitimate interests in respect of the domain name; and (3) the domain
name has been registered and is being used in bad faith.
A metatag is a string of text, embedded in the code used to create web sites,
which is used by search engines to index and retrieve a web page. Metatags are
not visible to the viewers of the web page, but are visible to persons reading the
underlying code. As with web site content and domain names, improper use of
another party’s trademark in a site’s metatags can result in litigation.
Trademark law rewards the vigilant. Therefore, the prudent e-business
will conduct periodic searches to discover whether its trademarks have been
improperly incorporated into the web sites of unlicensed third parties.
 See, e.g., Ticketmaster Corp. v. Microsoft Corp., n.o 97-3055 (C.D. Cal., filed Apr. 28, 1997) (alleging
misappropriation, misuse, dilution, and unfair competition when defendant linked to plaintiff ’s site
without permission).
 15 u.s.c. § 1125[d]. See, e.g., Ricart automotive Inc. v. Robert F. Dalton. n.o 00-CV-57 (S.D. Ohio
Jan. 21, 2000) (preliminarily enjoining defendant’s use of plaintiff ’s trademark as part of defendant’s
domain name); Planned Parenthood Federation of America v. Bucci, 42 U.S.P.Q.2d 1430 (s.d.n.y. 1997)
(preliminarily enjoining pro-life defendant from operating web site called plannedparenthood.com, on
claims of trademark infringement, dilution, and false designation of origin), aff ’d by Summary Order
(2d Cir. 1998). See also National Football League v. Miller d/b/a nfl Today, n.o 99CV11846 (s.d.n.y.,
filed Dec. 7, 1999); President and Fellows of Harvard College v. Rhys, n.o 99CV12489RCL (D. Md.,
filed Dec. 6, 1999).
 Links to the relevant documents necessary to implement the process can be obtained at [www.icann.
org/udrp/udrp.htm].
 See id. See also Susan L. Crane. icann’s New Policy: What It Covers, 16 No. 9 e-Commerce 1
(2000).
 See, e.g., Playboy Enterprises, Inc. v. Calvin Designer Label, 985 F. Supp. 1220 (N.D. Cal. 1997);
Insituform Tech., Inc. v. national Envirotech Group, l.l.c. Civil Action n.o 97-2064 (E.D. La., final
consent judgment entered Aug. 27, 1997).
B. trade secret
Owners of trade secrets who use the Internet or who are connected to computers with Internet links must take special care to guard their trade secrets.
When a trade secret, however inadvertently, comes into the public domain
via the Internet, its value may be destroyed and it might no longer enjoy legal
protection. If a business’s trade secrets are stored in a computer, security measures must be employed to prevent their publication. Such measures include
firewalls, encryption, and Internet use policies that restrict the scope of use of
trade secrets by employees and contractors. Traditional forms of trade secret
protection, such as physical relocation of trade secret information to computers that are not connected to the Internet or the company’s lan, should also be
employed where possible.
C. copyright
Copyright law impacts nearly every aspect Internet activity. Examples are
sending an e-mail, conducting commerce, web site development, licensing,
browsing to downloading. The particular ways in which traditional copyright
law will apply to Internet activities is still evolving.
The simple electronic transmission of documents on the Internet, for
example, presents fundamental challenges to current copyright law. First,
copyright law has historically protected a work by prohibiting the unauthorized
reproduction and distribution of copies of the work. On the Internet, however,
there are no physical copies. Second, copyright law provides different results
depending upon whether the work is published or unpublished and whether it is
used for commercial or non-commercial purposes. On the Internet, however,
such distinctions are difficult to draw. Third, copyright laws are territorial,
but on the Internet, a copyrighted work is accessible anywhere.
 Religious Tech. Ctr. v. f.a.c.t.net, Inc., 901 F. Supp. 1519, 1526-27 (D. Col. 1995) (despite “elaborate”
and “ardent” measures to maintain secrecy of works, works had come into public domain via Internet
and other means and, therefore, were not protectable as trade secrets); see also Religious Tech. Ctr. V.
Lerma, 897 F. Supp. 260 (E.D. Va. 1995) (same).
 William A. Tanenbaum. Lost in Cyberia: Electronic Transmissions Under the Law of Copyright, in 2 pli’s
Third Annual Institute for Intellectual Property Law 109, 111-12 (P.L.I. 1997). For a comprehensive
discussion of copyright laws affecting electronic transmissions, see id.
 Id.
 Id.
 Id.
 Id.
 Id.


As mentioned above, the ownership of the copyrighted material in a web
site is a matter of importance. In general, once a work is “fixed” in a tangible
medium, the copyright in the work immediately become the property of the
author who created the work-i.e., the web site developer. Thus, it is imperative
that the contract between a business and any outside developer clearly specify
that those aspects of the web site over which the business wishes to maintain
control. Because works prepared by independent contractors (as opposed to
employees) are not “works for hire”, within the meaning of the Copyright Act,
it is important to provide for either an assignment of the copyright ownership
to the commissioning party or a license which adequately defines what each of
the parties may thereafter do with copyrightable aspects of the site.
A new e-business’s web site may also incorporate the use of certain databases, which, as compilations of underlying data or other works, may be subject
to copyright protection, at least in the United States. Although underlying
facts themselves are not the subject of copyright protection under U.S. law,
the original selection or arrangement of the facts or other elements comprising
the database may warrant some degree of protection. In addition to copyright,
issues implicating the laws of privacy, defamation, and data protection may arise
in connection with an employer’s database, such as employee records, that is
accessible via the Internet.
Linking and framing, discussed above in the context of trademark infringement, present similar concerns in the area of copyright infringement. Should
a business desire to link its web site to a site it does not own, it may wish to
See 17 u.s.c. § 101 (defining work for hire).
See Millstein, supra n.o 14, § 3.02 [6][a].
For example, a web site may incorporate a searchable database of available inventory which a customer
may order.
 See 17 u.s.c. § 103(b).
 17 U. S. C. § 102(b). Notably, databases of European origin may be entitled to significantly more
protection that databases created or owned by American companies. See European Community
Database Directive, Council directive No. 96/9, O.J. L 77/20 (1996) (providing copyright and sui
generis protection for databases).
 Databases can be extremely valuable. Each year over one hundred billion dollars change hands for
the use of commercial electronic databases. Databases are the sixth largest part of the information
industry and the second largest segment of the information technology sales market. Susan H. Nycum. Database Protection, in 2 pli’s Third Annual Institute for Intellectual Property Law 705 (P.L.I.
1997).
 See id.
 See Shetland Times Ltd. V. Wills, Scot. Sess. Cas. (10/24/96) 1 eiplr 723 (11/1/96), settled Nov.
11, 1997. The court’s order granting interim interdict (preliminary injunction) is available online at
[www.jmls.edu/cyber/cases/shetld1.html]. See also [www.cs.princeton.edu/ ~dwallach/dilbert]
(discussing copyright dispute over inlining of copyrighted images of “Dilbert” cartoon character).



investigate the possibility of establishing a contractual linking agreement with
the owner of the other site.
A company’s web site should include information about the copyright protection applicable to its various elements. Usually, this is accomplished by means
of a link entitled “copyright notice” or, simply, ©. Comprehensive information
regarding the copyrights can then be displayed on a separate page.
Unlike trademarks, which can be easily searched on the Internet, it is often
difficult to ascertain whether someone has stolen copyrighted images or designs
from a web site. One method of detection involves implanting some sort of
password, a seemingly meaningless string of characters, into the site’s metatags.
Often a site pirate will not recognize the password as such and will simply copy
all the information into the pirated site. Periodic random Internet searches for
the password will sometimes reveal a pirated site. Appropriate legal action may
then be taken to enjoin the infringer.
D. pat e n t
Patent law is most relevant to the Internet in connection with businesses that
produce Internet-based products or services. As such, a traditional brick and
mortar business will have fewer patent worries than will a company whose business is the Internet. Nonetheless, even the traditional business remains vulnerable to loss of its patentable inventions through use of the Internet or e-mail.
For instance, the Patent Act bars an applicant from receiving a patent if, more
than one year prior to the date of the application, the invention was described in
a written publication in the United States or a foreign country, or was in public
use or on sale in the United States. Thus, posting a detailed description of
an invention on a web site may qualify as a printed publication in public use.
Similarly, an employee may raise a statutory bar by sending an e-mail containing otherwise patentable subject matter to an outside party without provision
for the maintenance of confidentiality of the communication.
So-called “business method patents” have become a subject of great attention in the past few years. Therefore, a business should also be aware that
 For a guide to drafting linking agreements, see Web Linking Agreements: Contracting Strategies and
Model Provisions, available online through the aba Web site at [www.abanet.org].
 35 u.s.c. § 102(b).
 See Baron v. Bausch & Lomb Inc., 25 u.s.p.q.2d 1641, 1662 (w.d.n.y. 1992), aff ’d without opinion
(Fed. Cir. 1992) (“printed” has been interpreted to mean all material accessible to the public in
tangible form, whether as a description, drawing, or photograph).
 See Millstein, supra n.o14, § 5.04.


certain functions performed by its web site, such as “shopping carts”, may be
the subject of a patent owned by someone else. A business should seek to provide in any contract it makes with a web site developer that the developer will
not employ any unlicensed or unauthorized patented inventions in the site. If
the site incorporates the patented invention of the developer, depending on the
importance of the feature to the site owner, the owner may wish to secure from
the developer, not just a license to use the invention, but a guarantee that, in the
event of infringement, the developer will join the site owner in an infringement
action against the infringer.
X I . p r i va c y
In the absence of comprehensive legislation governing privacy on the Internet,
self-regulation has played an important role in the protection of on-line privacy.
Given the privacy concerns a business’s customers or clients may have, and
considering the potential liability a business may face if it fails to disclose and
control certain activities affecting privacy, a little self-regulation may go a long
way towards alleviating concern and minimizing risk.
A. e-mail
Most businesses, even those not directly doing business over the Internet,
correspond internally using e-mail that travels over their own local networks
and externally using e-mail that travels over the Internet. Companies may face
liability when their employees use e-mail improperly. Companies may also face
liability if they intercept or monitor their employees’ e-mail messages without
placing the employees on notice of such a practice. Therefore, a company must
establish a clear email policy, to be signed by employees, which:
– Limits the use of e-mail to business purposes.
– Identifies the business as the owner of the e-mail system.
– Notifies employees that nothing stored in the e-mail system is confidential,
except when such confidentiality is for the benefit of the employer.
 See Public Varieties of Mississippi, Inc. v. Sun Valley Seed Co., Inc., 734 F. Supp. 250, 252 (N.D.
Miss. 1990) (noting that a patent licensee is generally not entitled to sue an infringer in its own name,
without the joinder of the licensor).
 See generally Thomas P. Klein. Electronic Communications in the Workplace, in 1 Third Annual
Internet Law Institute 695 (p.l.i. 1999).
– Clearly states that information placed on the system may be accessed by
the employer at any time.
– Reminds employees that certain types of messages, such as those containing harassing, abusive, or offensive language, are prohibited.
– Indicates that misuse of the e-mail system will result in discipline, up to
and including termination of employment.
A company wishing to engage in other types of electronic monitoring of its
employees should prepare a separate, similar policy for each type of monitoring.
Like the e-mail policy, such other policies should be signed by employees.
X I I . p r i va c y s tat e m e n t
Similarly, a company’s web site should contain a privacy policy. Internet consumers are rapidly becoming more savvy about the various methods e-businesses employ to collect and use personal data. For example, a site may require
a user to enter specific personal information before being allowed to access the
contents of the site. Less obviously, many web sites automatically record certain
“clickstream” information, which includes personal data, or obtain similar
data through the use of “cookies”. An e-business should include, as part of its
web site, a statement of exactly what information the company is gathering and
how it intends to use the information. The statement may also indicate that by
accessing the site, the user agrees to the terms of the privacy policy. Perhaps
most importantly, once an e-business publishes a privacy policy, it must abide
by that policy.
A . i n t e r n at i o n a l p r i va c y l aw s
Development of privacy-related laws applicable to the Internet has proceeded
on a seemingly “ad hoc” basis, as new technologies have developed. Thus,
an e-business must comply with a number of federal and state statutes and
international regulations. Most important among these is the European Union
Directive on the Protection of Personal Data, which went into effect on October 25, 2000. The Directive requires member states to enact national laws
to protect personal data, prohibiting the restriction of the free flow of data
between member countries, and restricting the flow of such data to nonmember
 See Millstein, supra n.o 14, § 10.03 [1].
 Council Directive, 95/46/EC, 1995 O.J. (L 281).


countries whose laws do not “adequately” satisfy the Directive’s standards.
US standards are generally not considered to be adequate.
Accordingly, the US and EU have worked together to develop a so-called
Safe Harbor from the Directive, which applies to any data or information about
an identified or identifiable person that is within the scope of the Directive and
is received by a US organization from the EU and recorded in any form. Organized around seven basic principles that concern notice, choice, onward transfer,
access, security, data integrity, and enforcement, the Safe Harbor is designed to
protect American companies from prosecution under EU privacy laws.
B . n at i o n a l p r i va c y l aw s
In the United States, state laws are remarkably lacking in uniformity. Thus, a
number of states’ laws may need to be considered when developing an online
privacy policy or determining whether a violation has occurred. Several federal regulations also exist. The Children’s Online Privacy Protection Act, which
became effective April 21, 2000, strictly regulates the collection of personal
data from children under age 13. The Electronic Communications Privacy
Act essentially codifies the tort of invasion of privacy, as applied to electronic
communications, and prohibits intentional interception, disclosure, or use of
any wire, oral or electronic communication, such as e-mail. And the Fair
Credit Reporting Act, as amended by the Consumer Reporting Reform Act
of 1996, regulates the collection and use of personal information by consumer
reporting agencies (although not by other private entities).
Additionally, the Federal Trade Commission (“ftc”) has taken an aggressive
stance with respect to protecting privacy rights in connection with the collection and use of personal information by web sites. In 1998, the ftc filed suit
against GeoCities, a web site through which members can create their own
web pages, alleging unfair or deceptive trade practices based on GeoCities’
 See id., art. 1(e), Art. 25.
 Millstein, supra n.o 14, § 10.03 [e].
 Pub. L. No. 105-277, 112 Stat. 2681 (Title xiii §§ 1301-1308) (1998). See also Lynn Burke. Kids’
Privacy an Act, or Action?, Apr. 20, 2000, [http://wired.com/news/politics/ 0,1283,35712,00.html].
 18 u.s.c. §§ 2511, 2520 (1)(a), (c), (d), 2701(a).
 Fair Credit Reporting Act of 1970, 15 u.s.c. §§ 1681-1691u (1997).
 Consumer Credit Reporting Reform Act of 1996, Pub. L. No. 104-208, 110 Stat. 3009-426 (Sept. 30,
1996).
 Millstein, supra n.o 14, § 10.03 [1][d]. See also Reuters, ftc Tackles Online Profiling, Nov. 9, 1999,
[www.wired.com/news/retuers/0,1349,32415,00.html].
collection and sale of personal data when, the ftc alleged, GeoCities told its
customers the information would be used for very limited purposes. Although
the case settled, the suit serves as a reminder that a web site’s privacy policy
must be clear and must correctly state the uses the company will make of the
information it collects.
XIII. a dv e rt i s i n g
The Federal Trade Commission (“ftc”) is responsible for enforcing the ftc
Act, which generally prohibits “unfair methods of competition in or affecting
commerce and unfair or deceptive acts or practices in or affecting commerce”,
including false advertisement. The Lanham Act, state unfair competition and consumer protection laws, and other regulations may also bear on
considerations surrounding online advertising. The ftc has been quite active
in monitoring advertising online. The ftc has brought enforcement actions
with respect to deceptive conduct, deceptive pricing, and unsubstantiated
claims, among other activities.
 A copy of the complaint is available at [www.ftc.gov/os/9808/geo-cmpl.htm].
 A copy of the settlement agreement is available at [www.ftc.gov/os/9808/geo-ord.htm].
 The ftc subsequently investigated DoubleClick to determine whether its plan to track Internet user’s
movements and combine the data with real names and addresses constituted an unfair or deceptive
trade practice. See, e.g., Reuters, ftc, N.Y. State Probe DoubleClick, Find Law Legal News, Feb. 16,
2000, [http://news.findlaw.com/Business/s/20000216/doubleclickprobe.html]. Similar allegations
were leveled in complaints filed by private individuals. See, e.g., Douglas F. Gray. DoubleClick Sued
for Privacy Violations, Jan. 31, 2000, wysiwyg://21/[http://www.cnn.com/ 20…ouble.click.lawsuit.
idg/index.html]. Privacy advocates have filed similar complaints against other Internet giants. See,
e.g., Lawsuit Reportedly Claims Yahoo’s Web ‘Cookies’ allow Illegal Stalking, dowjones.com, Feb. 23,
2000, wysiwyg://37/[http://dowjones.wsj.c…0218-000043-d-industry-cl-law.html]; RealNetworks in
Real Trouble, Wired News Report, Nov. 12, 1999, [www.wired.com/news/politics/0,1283,32459,00.
html].
 15 u.s.c. §§ 45 & 52 (1997). See also 16 c.f.r. §§ 17-260.8.
 15 u.s.c. § 1051 et seq.
 See, e.g., Audiotex Connection, Inc., (ftc File No. 972-3079); Civ. Action No. C-97 0726 (e.d.n.y.
Feb. 19, 1997) (injunction against company that disconnected consumers’ computers from local isps
and reconnected to Moldova phone number without consumers’ knowledge).
 See, e.g., In re America Online, Inc. (ftc Docket No. C-3787) (decision and order Mar. 16, 1998)
(improper use of term “free” and inadequate disclosure regarding billing practices).
 See, e.g., In re Zygon Int’l, Inc. (ftc File n.o 942-3171) (consent agreement dated Mar. 5, 1996)
(company charged with making unsubstantiated claims that “Learning Machine” could accelerate
learning, enable users to lose weight, quit smoking, increase I.Q.s and learn foreign languages overnight).


Private actions with respect to advertising have involved such activities
asframing and linking, use of metatags, commercial misappropriation,
defamation,and spamming. The various ftc and private actions simply teach
that businesses wishing to advertise online should obey the traditional rules
relating to honesty and fair advertising. Of course, online advertising may
also be subject to a variety of foreign laws, which may need to be investigated
prior to beginning a significant online advertising campaign.
XIV. conclusion
The law of e-commerce is evolving every day. Although many questions are, as
yet, unresolved, the best advice a brick and mortar company can take with it as
it moves forward onto the Internet is to heed those concerns the business has
already followed to achieve success in the traditional environment. Honesty and
fair dealing in business go a long way towards avoiding liability. Vigilant supervision of a company’s rights and property guard against infringement by less
scrupulous competitors. With a little foresight and planning, the leap from brick
and mortar to click and mortar will be a smooth and successful transition.
 See, e.g., Ticketmaster Corp. v. Microsoft Corp., n.o 97 Civ. 3055 (C.D. Cal. filed Apr. 28, 1997)
(attempting to prevent, among other things, deep-linking to online ticket service, the parties settled
in January of 1999); Washington Post Co. v. TotalNews, Inc., n.o 92 CV01190 (s.d.n.y. filed Feb. 22,
1997) (resulting in settlement agreement in which defendant agreed, among other things, to stop
framing the plaintiffs’ home pages).
 See, e.g., Playboy enterprises, Inc. v. Calvin Designer label, 985 f. Supp. 1218 (N.D. Cal. 1997)
(granting temporary restraining order), 985 F. Supp. 1220 (N.D. Cal. 1997) (granting preliminary
injunction).
 See, e.g., Stern v. Delphi Internet Servs. Corp., 626 n.y.s.2d 694 (N.Y. Sup. Ct. 1995) (finding
defendant’s online use of photograph of plaintiff ’s bare buttocks protected “incidental use” of news
distributor to advertise defendant’s services).
 See, e.g., Zeran v. America Online, Inc., 958 F. Supp. 1124 (e.d. va.), aff ’d 129 F.3d 327 (4th Cir. 1997)
(finding defendant not liable for publication of plaintiff ’s name and phone number in connection
with ad to purchase t-shirts containing offensive slogans about the Oklahoma City bombing because
iap was not the “publisher” of the statements).
 See, e.g., Cyber Promotions, Inc. v. America Online, Inc., 948 F. Supp. 436 (E.D. Pa. 1996) (holding defendant’s anti-spamming policy not violative of First Amendment); Hotmail Corp. v. Van$
Money Pie, Inc., 47 U.S.P.Q.2d 1020 (N.D. Cal 1998) (granting preliminary injunction prohibiting
defendants from using plaintiff ’s address in their spam; using marks likely to cause confusion with
plaintiff ’s trademark or domain name; sending spam using plaintiff ’s computers or email accounts;
and opening new email accounts with plaintiff or obtaining plaintiff ’s member addresses to send
spam).
 For a thorough presentation of cases involving online advertising, see Karren M. Shorofsky, Advertising and Promotions on the Internet, in 1 third Annual Internet Law Institute 659 (P.L.I. 1999).
juan carlos samper
E-Marketing
I. introduccin al e-business
Escribir acerca de e-business debe partir de un concepto básico, aunque si se
investiga se encontrará que existen miles de conceptos. Tal vez hay una definición muy acertada, y es la que se refiere a que el e-business se concentra en
la transformación de los procesos clave de los negocios mediante el uso de las
tecnologías de internet.
E-business está relacionado con todos aquellos procesos que, mediante
tecnología, son susceptibles de mejorar o de ser integrados a los procesos normales de un negocio. Con el e-business se logra, por encima de cualquier cosa,
tecnificación, eficiencia y mejoramiento.
No existen organizaciones que sostengan que algunos de sus procesos no son
susceptibles de mejorar y que con ello no se logre eficiencia utilizando internet
como el mecanismo para lograrlo.
II. e-commerce
E-commerce se refiere a toda transacción comercial hecha de manera electrónica
entre clientes y proveedores, de modo virtual, es decir, en tiempo real.
Se debe tener claro el concepto de tiempo real. Lo más importante en esta
breve definición es que el proceso se hace de forma electrónica, es decir, todo
el proceso se realiza a través de internet y se lleva a cabo de forma inmediata.
Lo que ha ocurrido en los últimos años en Colombia es que las empresas de
tarjetas de crédito no han podido establecer los niveles óptimos de seguridad
para que la red sea el vehículo para efectuar las transacciones. Hoy en día dichas transacciones se hacen por teléfono y se suben a internet, lo cual muestra
claramente que en Colombia no hay e-commerce.
Hay varios factores que han afectado el e-commerce. El que mayor daño ha
hecho es el que las entidades financieras se mantengan comunicando el tema
de los fraudes a traves de internet.
Internet es un medio como cualquier otro y en él hay que tener precauciones.
Es claro que el mismo riesgo tiene un usuario de tarjeta de crédito cuando la
entrega a un mesero en un restaurante. No hay diferencia si se compara con el
proceso llevado a cabo en internet.
A . v e n ta j a s d e l e - c o m m e r c e
Se podría decir que las ventajas que tiene el e-commerce son innumerables. Entre
otras vale la pena destacar:


E-Marketing
– Canales de comunicación con clientes ricos en información: el e-commerce permite que los clientes tengan mucha información. Pueden investigar
precios, condiciones, colores, etc., para casi todos los productos disponibles en
el mercado.
– Nuevos canales de ventas: el e-commerce abre nuevos canales de ventas
para las organizaciones.
– Ahorro en los costos de comunicación: disminuye los costos de comunicación
de las organizaciones con sus clientes, proveedores, empleados, entre otros.
– Aceleración del proceso de venta en el mercado: agiliza todo el proceso
de venta con sus clientes y el de compra con sus proveedores.
– Servicio al cliente mejorado: permite trabajar en un proceso constante de
mejoramiento del servicio al cliente en las organizaciones.
– Mejora la imagen de la marca: es claro que una marca o empresa que
pueda comercializar sus productos o servicios a través de internet va a lograr
una mejoría en su posicionamiento.
– Relación más cercana con los clientes: está relacionada con el servicio al cliente, lo cual permite estrechar las relaciones con los clientes actuales y potenciales.
El conocer los hábitos de consumo de los clientes ayuda en todo el proceso de desarrollo de nuevos productos, lo cual está totalmente ligado con el
siguiente punto.
– Mejora de la capacidad de innovación del producto o servicio.
– Disponibilidad de nuevos modelos de negocios: permite establecer posibles modelos que no habían sido considerados por las organizaciones (p. ej. el
fabricante de computadores Dell y su modelo de desarrollo a la medida).
B. barreras del e-commerce
Entre otras, las siguientes son las barreras importantes de destacar:
– Tecnológicas (medios de pago, software, etc.): no existen en Colombia las
plataformas adecuadas para poder desarrollar ventas en línea, y para los pocos
que las han desarrollado, el tema de los fraudes es complejo, dado el temor que
mucha gente siente y la falta de garantías legales para los que ofrecen productos
a través de la red.
– Gerenciales (desconocimiento = temor): los altos cargos de gran parte
de las organizaciones tienen temor por las noticias que aparecen en medios
referentes a los fraudes, aunque saben que deben montar a sus organizaciones
en internet.
– Organizacionales (servicio al cliente, etc.): no existe una cultura organizacional clara que esté orientada a proveer soluciones reales a los clientes a
traves de internet.
Juan Carlos Samper
– Logística: si se establece una plataforma de comercio electrónico, no se ve
que se deben tener soluciones logísticas claras para poder hacer entregas de los
bienes o servicios que son vendidos o comprados a través de internet.
– Temor del consumidor originado por noticias del sector financiero.
C . r e q u i s i t o s pa r a v e n d e r o n l i n e
– Diseñar el site.
– Crear el catálogo de productos y servicios.
– Tener un carrito de compras (no implica pagos en línea).
– Medios de pago.
– Atención a clientes en línea.
– Soporte logístico disponible.
– Servicio de entrega de mercancías.
– Mecanismos de seguridad transaccional.
Ahora que se ha definido lo que se necesita tener para un website transaccional, y las definiciones correspondientes, hay que trabajar, como en cualquier
punto de venta, en el proceso de llevar clientes a ese punto. Se considera que
una dirección como [www.mipunto deventa.com] es igual a tener un punto de
venta físico ubicado en cualquier calle de la ciudad. La única diferencia es que
la tecnología permite conocer un poco más en detalle lo que ocurre ahí dentro,
tanto con los clientes actuales como potenciales.
Lo que se sabe con certeza es que la teoría según la cual si se tiene un website
se empieza a vender inmediatamente no es veraz. Hay que tener estrategias
claras para lograr que la gente conozca y visite el sitio web y, lo más importante,
debe tener herramientas que permitan conocer los hábitos de consumo, lo que
les gusta y lo que no les gusta a los clientes. Esto es lo que se analizará en las
siguientes páginas. Todo el tema del e-marketing corresponde a las herramientas
que existen para potencializar un website.
III. e-marketing
La mayoría de las organizaciones no tienen claro qué hacer con un site. Es por
ello que es fundamental analizar que un sitio web equivale a tener un punto de
venta en la ciudad.
El objetivo del e-marketing es lograr llevar gente a dicho punto de venta,
que en este caso es una dirección del tipo [www…com].
Se debe partir entonces desde el concepto básico. El e-marketing se orienta
a las comunicaciones on line, utilizando un diálogo directo para, por una parte,


E-Marketing
encontrar clientes potenciales leales, y por otra, para lograr que los que hoy son
sus clientes hagan negocios de una forma mucho más sencilla con usted.
En palabras sencillas, e-marketing son todas las acciones que usted haga on
line en su negocio para encontrar, atraer, ganar y retener clientes.
El e-marketing no ha sido nada fácil en el continente, ya que ni las agencias
de publicidad, ni las centrales de medios, ni los mismos clientes tienen claro
qué pueden hacer on line y, lo peor, no saben cómo funciona el medio.
¿Cuál es entonces la diferencia entre e-marketing y marketing? La única
distinción radica en el ambiente en el cual se desarrollan. Los objetivos son los
mismos. Se debe lograr que mediante estrategias de marketing se logre llevar a la
mayor cantidad de gente a los puntos de venta a que consuman los productos o
servicios. En el caso del e-marketing, el objetivo es lograr que la mayor cantidad
de personas llegue al punto de venta virtual que la empresa posee.
¿Cómo se hace? Aquí es donde el tema de las herramientas de e-marketing
disponibles en el mercado empieza a desempeñar un papel fundamental.
A . h e r r a m i e n ta s d e m a r k e t i n g o n l i n e
Hay varias herramientas con las cuales se cuenta actualmente para poder direccionar tráfico a las diferentes páginas y para poder monitorearlo. Las más
conocidas y utilizadas para direccionar tráfico son:
– E-Advertising.
– E-Mailing.
– Viral Marketing.
– Search Engine Marketing (sem).
– Administradores de bases de datos.
Para poder monitorear el tráfico existen los reportes de tráfico.
1 . r e p o rt e s d e t r  f i c o
Es fundamental empezar por este punto. La idea de internet como medio radica en
que cada usuario que se conecta al mundo de internet posee una cédula que es única
en el universo y que se llama dirección IP (Internet Protocol). Estas direcciones
son secuencias de cuatro grupos de números (ej. 220.14.25.67). Esta identificación
la asigna el entorno internet a cada computador que se conecta en el mundo.
Cada vez que una IP (en este caso un computador) entra a una página, se
supone que esa IP es un visitante. Pero este visitante puede ingresar varias
veces en un lapso de tiempo a la página mencionada, cada una de las cuales se
considera una visita, y en cada visita puede consultar páginas o artículos.
Juan Carlos Samper
Teniendo en cuenta lo anterior y el desconocimiento que existe acerca de
las multiples IP que hay en el universo, lo que hacen los sistemas de reportes
de tráfico es analizar el comportamiento de las IP en un lapso de tiempo que
usted, como dueño de la página, estableció previamente.
La secuencia del visitante genera visitas, y la visita genera páginas vistas o
artículos (se puede decir que una página vista equivale a leer un artículo en una
revista o visitar una sección en un supermercado).
La equivalencia sería que los compradores visitaran un punto de venta, por
ejemplo, Carrefour de la 80 [carrefour.com.co], 2 veces en el mes (visitas al site
el 15 y 25 del mes), y en cada visita generaran visitas a la sección de frutas y
verduras, y a la de pescados (páginas vistas de la sección de frutas y pescados).
Si se analiza, es exactamente igual a tener un punto de venta físico, con la diferencia de que, en este caso, se tienen las estadísticas permanentes de lo que
hacen todos los visitantes del website y sus hábitos de consumo.
La importancia de dichos reportes radica en que se puede monitorear lo
que ocurre en su punto de venta virtual y, con estas herramientas, es posible
determinar el detalle de lo que está ocurriendo y lo que los usuarios están percibiendo de su compañía o de su punto de venta.
En otras palabras, con estos sistemas se puede verificar exactamente el número de personas que ingresan a su sitio, de dónde provienen (si usted realizó
actividades de marketing) y qué hacen cuando lo visitan.
Es fundamental tener preparados estos sistemas de información una vez
la página de su empresa se ponga en funcionamiento. Si usted no lo hace está
perdiendo una herramienta fundamental en términos de mercadeo. Es como si
usted dispusiera de las estadísticas de los clientes que visitan su punto de venta
de la calle 93, qué hacen cuando ingresan, qué analizan y por qué compran (o
por qué no lo hacen). Esto es lo que usted puede lograr si tiene un buen sistema
de reportes y si los analiza en detalle con cierta periodicidad.
2 . e - a dv e rt i s i n g
Mucho se ha especulado acerca de la publicidad on line. Ya pasó el boom de
internet del año 2000 (no nos referimos a esas tonterías de que internet no
funciona, sino al hecho de que todos pretendían vender miles de millones de
dólares rápidamente e internet es un medio que tiene que desarrollarse como
cualquier otro negocio) y ahora las empresas que han permanecido son parte de
una nueva tendencia, donde prima la estrategia on line por encima de cualquier
intento de venta aislado de publicidad on line.


E-Marketing
Lo que sí es claro es que internet ya es parte del pan de cada día de la población
económicamente activa. El crecimiento en facturación en países desarrollados
está en niveles cercanos al 40% y en Colombia la cifra se acerca al 50%.
La particularidad de la publicidad en internet es que sirve para empresas
de cualquier tamaño y es un medio realmente muy económico. La forma como
opera es por impactos (exposiciones) de la pieza que una marca quiera mostrar a
los navegantes. En otras palabras, un anunciante paga por la cantidad de personas
que quiere que lo vean en determinadas páginas. Es como si usted se fuera para
un gran periódico y les dijera que usted paga por cada persona que vea su aviso.
Así funciona el medio y además da acceso a un software que le cuenta día a día
cuántas personas vieron el aviso y si fueron motivadas a actuar (hacer clic) para
llegar a un destino previamente establecido [www.mipágina.com].
Esto hace que internet se potencialice como medio y se vuelva realmente
medible. Creemos que es el único que lo puede hacer, a diferencia de la radio,
la tv, prensa, revistas, en las que esto es imposible.
Hace poco tiempo surgió una excelente noticia para el medio. Nada menos
que dos monstruos, America Online (aol) y Volvo decidieron apostarle todo a la
publicidad en internet. El nuevo automóvil Volvo S60 se lanzó exclusivamente
por internet. Lo que es increíble es que mientras en Estados Unidos ocurre
este tipo de noticias, en Colombia la miopía de las agencias las está llevando a
empezar a perder parte de la torta publicitaria. Siguen las agencias de publicidad, las centrales de medios y los anunciantes dudando de internet como un
nuevo vehículo, motor publicitario y de mercadeo en Colombia, mientras que
por fuera los indicadores siguen disparados.
Se ha analizado en los últimos años qué hacer para que los presidentes de
las agencias asuman el tema de la publicidad en internet. A las charlas sobre el
tema nunca han asistido, y si lo han hecho no han sido más de dos, lo cual es
muy grave para Colombia.
¿Cómo pretender que las organizaciones involucren a internet dentro de sus
sistemas, si la cabeza ni siquiera sabe cómo opera este nuevo medio?
Hay variables que hacen dudar a estos jefes de agencias: que la penetración
medida según egm (Estudio General de Medios) aunque hoy el consumo de
internet en el último mes es mayor que el consumo de prensa en el último
período; otras dicen que los usuarios, que los sistemas; en fin un sinnúmero
de variables que aunque son importantes para cualquier anunciante, en este
medio son irrelevantes por los sistemas de conteo que manejan. Muchos dirán:
¿qué es esto? Pues sí. Si su producto necesita alcance (en número de personas)
independientemente de la calificación del comprador, lo mejor es que paute
en los otros medios y lo logrará (aunque es necesario el mix de medios). Sin
embargo, utilizando internet obtendrá compradores o consumidores calificados;
Juan Carlos Samper
pueden ser pocos (aunque esto es relativo ya que según egm 2006 hay cerca de
5,3 millones de usuarios en Colombia) pero calificados.
Internet es un medio más. Es un medio que complementa la torta publicitaria, pero que tiene todas las diferencias y ventajas que ningún otro les da a los
anunciantes. Entre sus principales ventajas está la de encontrar que es el único
medio que permite cuantificar todo (bueno, casi todo). Puede manejar variables
como la del número de personas que ven su mensaje publicitario, cuántas están
interesadas, cuántas le compraron, desde dónde lo vieron, a qué horas, qué días.
Lo mejor de todo es que, como anunciante, puede ver los resultados desde su
equipo cuando quiera. Todas las buenas páginas o sites donde se coloca publicidad deben tener un software (ad server) que las maneja, lo cual permite evaluar
completamente a sus usuarios. Lo único que se necesita es que el sitio (web site)
donde paute le dé acceso a los reportes (y que tenga los sistemas adecuados).
La única desventaja que tiene este medio en Colombia en el año 2006 es el
alcance: efectivamente no llega a todos los hogares; llega a una población económicamente activa y, en un gran porcentaje, con poder adquisitivo, aunque el
67% de los usuarios se conectan desde cafés internet, lo cual lleva a que el 67%
de los cibernautas son de estratos 2 y 3. Con esto surge entonces la pregunta:
¿usted quiere compradores calificados o gran alcance?
En lo que se refiere al medio, históricamente se han manejado los famosos
banners. Éstos son anuncios gráficos que se colocan en la parte superior de las
páginas (sites). Cuando el usuario ve uno de estos banners, se considera que el
gráfico tiene efectividad si el usuario hace clic en el mismo. Todos los días los
anunciantes se convencen más de que este medio es el más gráfico de todos.
Que depende del sitio donde coloque sus piezas, estamos de acuerdo. Pero se
puede garantizar que el punto clave aquí es la creatividad. Si alguien utiliza tres
sitios para publicitar el mismo producto, y en cada uno coloca gráficos distintos,
la efectividad está determinada por esta faceta y no por los sitios donde pautó;
éstos tienen importancia pero no son lo determinante.
Muchas personas se preguntarán acerca de cifras en el medio. Hay varios
estudios de firmas reconocidas que dicen que la torta mundial publicitaria en
el año 2003 estuvo rondando los 227 mil millones de dólares, e internet tuvo el
2% de la misma, pero lo más increíble es que se estima que en 2006 ésta será
de 294 mil millones de dólares e internet tendrá el 6% (30 mil millones). Lo
más increíble de esto es que el mercado hispano alcanzará una cifra cercana a
los 2.700 millones, en el cual Latinoamérica contribuirá con 1.700 millones.
¿Y sabe a cuánto ascienden las proyecciones de Colombia en esta tajada? Para
que se aterren: ¡2,8 millones! Sí ¡2,8 millones!, de un total de 1.700 millones.
Al paso que va el negocio, esta cifra será menor, si no abren los ojos. Es triste
que un país donde las “.com” están invirtiendo sea uno de los pocos mercados


E-Marketing
que aún no cree y no recomienda el medio. El caso de Volvo es perfecto para
ilustrar lo que piensan en otros mercados, y muchos de ustedes se preguntarán
por qué en Colombia no se ha hecho nada parecido. No es porque son mercados
diferentes. Claro que lo son, pero la publicidad es universal. La respuesta está
en que el mercado colombiano no está maduro para afrontar la publicidad con
herramientas cuantitativas. Este medio les exige a las agencias un poco más de
lo tradicional. Como es medible día tras día –y ésta es una gran diferencia– exige que la agencia monitoree los resultados para sus clientes. Esto no les llama
mucho la atención, ya que es más trabajo para ellas.
Ahora bien, hay varios estudios que muestran que internet como medio es
el que mayor crecimiento tiene. Algunos de los resultados son increíbles:
El 33% de la muestra utiliza internet desde la casa y el 17% desde la oficina, y
lo más sorprendente es que el 83% de la muestra navegó en la última semana (alta
frecuencia de uso). No pueden decir las agencias y los anunciantes que esto no es una
oportunidad maravillosa para el medio. La gente está navegando desde las oficinas,
desde los hogares, desde los cafés internet, etc.Vale la pena preguntarse: ¿qué medio
distinto de la radio le permite llegar a la población económicamente activa en su
horario laboral con estos tiempos de exposición? Ninguno que se conozca.
Que están evaluando el medio, que quieren aprender antes de recomendar,
que la gente de medios no tiene tiempo para aprender de internet… Pregúntese usted: ¿qué van a pensar las multinacionales cuando empiecen a exigir que
internet sea la prelación?, ¿qué va a pasar con el tlc cuando entren empresas a
competir por el mercado nacional y las empresas locales no sepan nada del medio? Ya está pasando… No vale la pena mencionar cuál multinacional importante
en nuestro país dijo la semana pasada que el presidente puso a internet como el
principal objetivo. ¿Saben ustedes que la agencia que maneja la publicidad de
esta multinacional no conoce del tema? ¿Qué hace un anunciante si no encuentra
eco en la agencia? Busca quien se lo brinde. ¿Quién pierde? La agencia. Esto está
ocurriendo. Las únicas que van a perder en esta nueva etapa de internet serán
las agencias y centrales de medios, ya que las empresas están buscando quién
las asesore en el proceso de toma de decisiones de este medio.
La palabra clave es estrategia. Los anunciantes no quieren más planes de
medios per se. Quieren estrategia en los medios a fin de alcanzar objetivos.
Hay que reconocer, no obstante, que se ha cometido un error, consistente en
que las campañas que se han llevado a cabo en internet no han tenido soporte en
los otros medios. No se puede plantear en un país como Colombia una campaña
en internet sin apoyarse en medios tradicionales. Es claro que éste debe ser un
medio que hace parte del mix.
El boom de “.com” despertó un gran interés para los anunciantes. Lo que
ocurría hace un año o dos ya no es percibido hoy en día. Todos los anunciantes
quieren estar en el medio pero no saben cómo. El temor por parte de las agencias
Juan Carlos Samper
es evidente. Hasta tanto no se prepare gente en el interior de las agencias para
manejar y manipular el medio, éste no va a despegar. Esto no funciona como la
venta y planeación de medios off line. Internet exige más preparación y más análisis, junto con un seguimiento permanente. En internet no se puede vender una
campaña y olvidarse de los resultados. Se debe hacer un seguimiento permanente
(para saber qué sitios funcionan, qué piezas, qué días, en qué horarios, etc.). Por
ello es un medio que tiene más diferencias de las que la gente se imagina.
Para entrar en otros temas, es importante considerar que internet no debe
limitarse a los famosos banners. Internet debe ser visto como el medio con las herramientas gráficas mas poderosas para soportar una estrategia de mercadeo [www.
thenetdesign.com], [www.unitedvirtualities.com], [www.eyeblaster.com], etc.].
Utilizándolo adecuadamente, internet puede generar un impacto increíble
en sus consumidores, levantar bases de datos, conocer los gustos de los consumidores de sus productos en cuanto a empaques, calidad, etc. En Estados Unidos la
entidad que regula el tema de internet como medio publicitario [www.iab.net] ha
desarrollado 12 estudios de marcas reconocidas para ver el efecto de internet como
soporte de una campaña publicitaria on line. Los resultados son asombrosos ya
que en casi todos los casos se muestra que internet, como parte del mix de medios,
puede incrementar la recordación de marca en niveles cercanos al 20%. Todos los
indicadores se disparan y, en un caso en el que se evaluó la intención de compra
para la marca Ford, se llegó a la conclusión de que internet había incrementado
la intención de compra en un 6%, con el menor nivel de inversión.
Hay casos como el de una fábrica de lácteos bien conocida en Bogotá, que
no sabía como utilizar internet dentro de su estrategia de ventas de una nueva
leche. Se colocaron banners y se elaboró un minisitio (esto opera para empresas
que no tienen página en internet, y corresponde a una página pequeña con información básica). Cuando el consumidor entraba al minisitio se le pedían datos
como el nombre, la dirección y el e-mail. Cuando el usuario llenaba estos datos,
la empresa fabricante enviaba una muestra de la leche solicitada a cambio de la
información. ¿Qué es lo interesante de esto?: que se obtienen segmentación y
bases de datos para saber los gustos y hábitos de sus clientes.
La nueva tendencia en el mundo de la publicidad on line es el opt-in e-mail,
que se ha convertido en la segunda herramienta de e-marketing.
3. opt in e-mail (e-mailing con permiso)
Hay que tener muy claro el concepto de Opt In E-Mail y de spam. Spam es el
envío de correos a personas que nunca han dado autorización (nada de colocarle
en el footer que si tiene un mecanismo de ser removido no es spam: ¡sí lo es!).


E-Marketing
Con orgullo digo que he sido el único colombiano que ha peleado y luchado
en contra del spam (interpuse la primera tutela en Colombia contra un spammer).
Éste es un mal mayor: afecta el medio, hace que se ponga en duda su eficiencia
y lo peor es que lleva a que muchas empresas pierdan un dinero importante a
raíz del tiempo que se desperdicia mirando este tipo de comunicaciones.
La diferencia entre el spam y el opt in radica en la forma como se obtienen
los datos. En el primer caso, los correos electrónicos se han emitido con trucos,
con compras de bases de datos, etc. En otras palabras, de forma ilegal. En el
segundo caso, la captura se hace mediante un formulario a través del cual se
le solicita la información demográfica a cada usuario, y se le pide autorización
para interactuar con él mediante ofertas comerciales.
Cuando el usuario llena la planilla, acepta recibir información de un producto o servicio (opt-in significa option inside, opción de recibir), y mediante
dicho formulario se puede detectar cuáles son las preferencias de sus clientes.
Permite saber a qué tipo de mensajes son sensibles sus consumidores, y que
con este tipo de herramientas se puede llegar a niveles de respuesta cercanos
al 40% de los mails enviados.
Lo que se debe tener claro respecto a esta herramienta es que cuando se hace
un envío de mails a bases de datos opt in, los remitentes no son los anunciantes.
Es la empresa a la cual se le dió autorización para que enviara información. En
bases spam el remitente es el mismo anunciante. Muchas empresas no se han
dado cuenta de las implicaciones negativas que tiene el hacer spam. En otras
palabras, siempre hay que trabajar con bases opt in. Nunca compre bases de
datos de las que no tenga la certeza que tienen el permiso para interactuar con
los usuarios. Caso de este sistema lo encuentra en [www.correodirect.com].
4. viral marketing
¿Cómo lograr que cuando se envía un correo electrónico a un amigo con su
marca, él a su vez lo envíe a 5 de sus amigos y éstos a 5 y así sucesivamente?
En otras palabras, su marca está siendo promocionada por sus amigos y
sus amigos están enterándose de una forma muy sencilla de lo que usted está
haciendo en los puntos de venta.
Así se trabaja el concepto relacionado con “usuario recomienda a usuario”.
Éste es un mecanismo excelente para promocionar y capturar bases de datos
a traves de internet. El concepto es muy sencillo. La ventaja es que tecnológicamente hay una herramienta que le da informes, en tiempo real, de lo que está
ocurriendo con una actividad viral. Detrás de un viral marketing hay un software
Juan Carlos Samper
que me muestra día a día cuántos referidos estoy logrando, cuántos abren los mails,
cuántos interactúan con los correos electrónicos que son enviados por personas
que usted puso en lista. En otras palabras, se obtiene toda la información de los
referidos y se puede llegar al punto de encontrar quiénes son los clientes más
fieles y cuáles son los mejores prescriptores de su marca.
Este tipo de herramientas es recomendable para actividades que tienen un
alcance importante y siempre que el anunciante esté dispuesto a incentivar mediante productos a los que le ayuden a mover una marca a través del medio.
5. search engine marketing (sem)
Ésta debe ser la primera actividad que cualquier empresa debe desarrollar
cuando monta un site, con ello trata de posicionarse en los buscadores.
Hay dos mecanismos para hacerlo: conseguir un genio para que le ayude a
estar ubicado en las 30 primeras posiciones cuando se hace una consulta de su
marca o de su empresa, o pagarle al buscador.
El anunciante debe seleccionar las palabras bajo las cuales quiere estar “indexado” (ubicado) y le paga por ejemplo a Google para que lo haga.
Si este mecanismo no es interesante, existe el mecanismo de los ad-words,
en el que se selecciona una lista de palabras bajo las cuales quiere estar ubicado
el anunciante y le paga a Google por cada usuario que envíe, mediante clics, a
su página.
En el primer caso, está garantizado que la página saldrá en las primeras 30
posiciones, mientras que el segundo le asegura, por determinada suma, que le
enviará visitantes mediante clics.
Vale la pena hacer un análisis porque, en este caso, lo que es claro es que
llegarán visitantes realmente interesados en el producto promocionado, por
ejemplo, una persona que busca artículos de construcción y obtiene firmas
proveedoras.
6 . a d m i n i s t r a d o r e s d e b a s e s d e dat o s
Una vez se inicia el desarrollo de estrategias para llevar usuarios a un sitio de internet no se debe desperdiciar la oportunidad de conocer a esos usuarios. Siempre
es recomendable hacerlo. Las empresas de consumo masivo nunca se preocupan
por conocer a sus clientes leales y a sus clientes potenciales. Ésta es una herramienta fundamental para desarrollar estrategias de marketing segmentado.
Una vez que un usuario entra a un sitio a consultar información, se le debe
incentivar para que informe por qué entró, cómo le pareció, qué le gustaría
encontrar la próxima vez que lo haga, y se debe empezar a interactuar con él.


E-Marketing
El anunciante debe tener claro que si esto se hace, la próxima vez que el
usuario vaya a un punto de venta, o al de la competencia, siempre tendrá primero
en su mente la marca que interactúa con él. Esto es lo que toda marca necesita,
ya que se traducirá en mayores posibilidades de vender un producto.
En otras palabras, se deben capitalizar las oportunidades de contacto con
los clientes, ya que éste será el mecanismo ideal para que se puedan desarrollar
productos y se puedan vender de manera más fácil y rápida.
conclusiones
Luego de analizar el panorama del e-Business, el e-Commerce y el e-Marketing,
se puede concluir que para cualquier empresa que desee iniciar el recorrido
por el mundo virtual es fundamental tener perfectamente claro el objetivo de
dicho paso.
Con este artículo pretendimos lograr que se pudiera entender que el objetivo
del e-Marketing es llevar clientes a un site, y si se tienen estrategias claras, se
podrán conocer y orientar para que, como se dijo al comienzo, se puedan hacer
negocios con ellos de una forma mucho más sencilla.
Construir un sitio, invertirle a su plataforma tecnológica sin tener definida previamente la estrategia y los objetivos del mismo es botar el dinero a la
basura.
Por otro lado, tener un sitio genera multiples implicaciones y responsabilidades para las empresas, y desde la óptica de mercadeo, es fundamental definir
con anterioridad lo que se debe hacer para poder generar el tráfico necesario y
que de esta forma se puedan capitalizar las visitas a los sitios en ventas efectivas
en mundo real.
wilmar castellanos
E-Business:enfoque de riesgos
para un nuevo paradigma de negocios
I. conceptos bsicos de e-commerce
Cuando hablamos de comercio electrónico (e-commerce) siempre viene a nuestra
mente internet, la red de computadores más popular del mundo. Aunque no
hace mucho esta red estaba compuesta por tan sólo 1.000 computadores (1984),
hoy en día internet permite el intercambio de información a millones de computadores. Internet se inició hacia 1968 como una red de investigación militar
compuesta por cuatro computadores y, posteriormente, su uso se definió para
compartir información con fines académicos. Actualmente, internet cuenta con
más de 15 millones de servidores, sin contar los computadores personales con
los que millones de personas nos conectamos diariamente.
En términos de comercio, el intercambio masivo de información entre
personas y organizaciones ubicadas en cualquier lugar del planeta potencializa
el intercambio de bienes y servicios, a la vez que minimiza los costos asociados
con la intermediación mercantil. Gracias a las capacidades de intercambio de
información que posee internet y a su masificación, nace el comercio electrónico
como una forma de realizar transacciones y llegar a mercados lejanos con menor
esfuerzo que a través del comercio tradicional.
A . d e f i n i c i  n y h a b i l i ta d o r e s
El comercio electrónico no es más que la posibilidad de realizar transacciones
comerciales a través de internet, especialmente de la World Wide Web (www).
Sin embargo, estas transacciones se pueden realizar por otros medios electrónicos, no sólo internet, por ejemplo:
− Intercambio electrónico de datos (Electronic Data Interchange– edi)
− Correo electrónico (e-mail), fax y telefonía por internet. Aunque son
formas más limitadas de intercambio electrónico de datos, son especialmente
utilizadas en negocios directos entre empresas (business-to-business ó B2B). Una
manera de potencializar el comercio electrónico es a través de noticias enviadas
por correo electrónico, servicio que ya es tradicionalmente ofrecido por los sitios
web, de acuerdo con los intereses del usuario.
Otras definiciones breves de comercio electrónico son:
− Aplicación de la tecnología de la información en la automatización de
transacciones comerciales y procesos de negocio a través de flujos de trabajo.
− Entrega de información, bienes y servicios, realización de pagos a través
de medios electrónicos, como líneas telefónicas, redes de computadores, entre
otros posibles medios.
− Herramienta que satisface el sueño de las organizaciones y sus clientes
de reducir los costos tradicionalmente aplicables durante el intercambio co-


E-Business: enfoque de riesgos para un nuevo paradigma de negocios
mercial de bienes y servicios, aunque mejorando la calidad de los productos y
optimizando los tiempos de entrega.
Otro concepto es el de e-business, el cual se deriva de términos como e-mail
o e-commerce y se refiere al desarrollo del negocio pero a través de internet. No
se trata sólo de compra y venta de bienes y servicios sino que también considera
aspectos como servicio al cliente y colaboración con socios de negocio.
Actualmente, las grandes organizaciones están repensando su negocio en
términos de internet, de la nueva cultura que implica esta tecnología y de sus
capacidades potenciales de reducción de costos, velocidad frente al mercado,
entre otras. Explotando la conveniencia, disponibilidad y alcance mundial de
internet, muchas compañías, como Amazon.com, que comercializa libros, han
descubierto ya cómo utilizar de manera exitosa a esta red como habilitadora
del negocio.
B. tipos de e-commerce
− Compra y venta de bienes y servicios de una empresa hacia clientes (businessto-consumer o B2C): es el tipo de e-commerce basado en el comercio al detal (o
detallista) en internet. Es usualmente contrastado con el concepto de B2B o
business-to-business.
− Compra y venta de bienes y servicios entre empresas (business-to-business
o B2B): intercambio de productos, servicios o información entre empresas. A
pesar del interés en el crecimiento del comercio detallista en internet (e-tailing),
las predicciones apuntan a que los ingresos del B2B superarán en el corto plazo a los del B2C. Gartner Group estima que los ingresos mundiales por B2B
superarán los $10 billones (millones de millones) de dólares en 2006. Miles
de compañías que venden productos a otras compañías han visto el potencial
que brinda la web ya que permite no sólo una vitrina 24 horas al día para sus
productos sino una manera ágil de contactar a la persona indicada para obtener
mayor información sobre un producto o servicio.
Una tecnología temprana de B2B, que sin embargo tiene mucho menor
capacidad que la de internet, es Electronic Data Interchange (edi), la cual es aún
ampliamente usada.
C . i n t e r n e t, w w w, i n t r a n e t, e x t r a n e t
De acuerdo con lo descrito anteriormente, internet es, en síntesis, una red que
conecta millones de redes de computadores a nivel mundial, lo cual permite
caracterizarla como uno de los medios de comunicación más extendidos, utilizados y con mayor potencial de la actualidad.
Wilmar Castellanos
Aunque comúnmente se usan los términos web (www) e internet indistintamente, la web o www es sólo uno de los servicios que se brinda a través de
internet. Sin embargo, la particularidad de la tecnología web es que permite la
comunicación a través de internet de manera gráfica e intuitiva para los usuarios,
que se conectan a servidores web a través de su navegador (browser), lo que lo ha
convertido en el medio más popular de toda la internet.
El desarrollo de la tecnología web permitió que el uso de internet se popularizara ya que la interfaz gráfica que ofrece hace que la navegación por internet
sea amena y sencilla. Esta tecnología hizo que internet se haya convertido hoy
en día en un modelo de experiencia para el usuario a través de la tecnología
web, a tal punto que incluso se habla de aplicaciones web-enabled (que tienen la
posibilidad de comunicarse usando tecnología web) para ser usadas al interior
de las organizaciones (p. ej., sistemas contables, de nómina, de producción, de
ventas, de servicio al cliente).
La popularización de internet y del uso de la tecnología web como experiencia satisfactoria para los usuarios de servicios de información permitió el
desarrollo de 2 aplicaciones específicas de la tecnología web: las intranets y las
extranets.
Una intranet es la aplicación de la tecnología web para publicar e intercambiar información por medio de la red interna de la organización (p. ej.,
comunicaciones corporativas, políticas internas, información de interés general
o de áreas particulares), utilizando servidores web como repositorios de infor-


mación, permitiendo que los usuarios internos de la organización consulten o
intercambien información a través de su navegador de internet usando dichos
servidores web. La información publicada en la intranet de una organización
es sólo para fines internos y no debería ser divulgada a terceros.
Otros servidores
Servidor web
de intranet
Intranet: la red interna
es usada para compartir
información usando
tecnología web
Usuarios en la red interna
de la organización compartiendo
información a través de un servidor
web (servidor de intranet)
Una extranet es similar a una intranet en la medida en que es una red ubicada
en la red de la organización, pero su diferencia con la intranet es que la extranet
existe para compartir e intercambiar información con terceros, usualmente
socios de negocios, a través de internet, no de una red privada. Por esta razón
la extranet es accesible desde internet pero el acceso a su información es sólo
para ciertos socios de negocio.
Servidores web
de la extranet
Internet
Usuario autorizado
(socios de negocios
en cualquier lugar
del mundo usando
un navegador
(Servidor e-mail)
Red interna
Red semipública
La realización de negocios en internet usualmente se realiza interconectando extranets o cuando un usuario se conecta a un servidor web ubicado en una extranet.
Wilmar Castellanos
II.aplicaciones del e-commerce a los negocios
A. banca
La industria bancaria ha sufrido un cambio orientado a garantizar la retención
de los clientes actuales y a cautivar nuevos clientes a través de una mejor experiencia de servicio, además de productos versátiles e innovadores. Esto ha
creado un ambiente muy competitivo generado por factores como:
− Los clientes demandan poder comerciar en línea (usando internet).
− Optimización de la red de sucursales para reducir costos.
− Cambio en las tendencias demográficas y en el mercado de clientes potenciales.
− Competencia entre industrias gracias a libertades en la regulación.
− Ofrecimiento de productos financieros en línea.
El banco a través de internet es una iniciativa que potencializa la competitividad de los bancos, además de generar reducción en costos, servicio 7x24 y acceso
a mercados y clientes antes imposibles de alcanzar debido a las limitaciones
geográficas. La banca en línea es una idea de comienzos de los años 1970, que
se inició con sistemas basados en telefonía de tonos (audiorrespuesta), que no
tuvieron el éxito esperado debido a que el cliente siempre quiere “visualizar” el
resultado de su transacción. En los años 1980 la infraestructura de televisión por
cable se pensó como el medio que permitiría tener el banco en línea no sólo con
audio sino con imagen. Sin embargo, se requería una infraestructura de redes
de dos vías mayor que la instalada, pues la televisión por cable de dos vías no


estaba tan extendida. El computador personal nació como la alternativa para la
comunicación de dos vías que se requería para la banca en línea, por lo cual la
industria bancaria invirtió millones de dólares en los 1980 y comienzos de los
1990, pero igualmente con pobres resultados, considerando lo poco amigables
que eran en aquel entonces los computadores.
Hoy en día, acceder al banco desde el computador es una práctica habitual
originada por:
− El incremento en la curva de conocimiento de los usuarios sobre computadores.
− Los computadores son uno de los temas de los cuales más se habla, tanto
de lo positivo como de sus amenazas, por lo que los usuarios los ven como algo
natural hoy en día, y ya no como algo novedoso pero sin garantía, como sucedía
en los años 1980.
− La base instalada de computadores personales es muy alta, principalmente
en el primer mundo.
− Internet es un medio libre de comunicaciones de dos vías, que minimiza
costos asociados al medio de comunicación y que brinda al cliente una experiencia agradable de navegación, consulta y realización de transacciones con la
posibilidad de confirmar en línea, a través de la tecnología web.
B . i n d u s t r i a d e ta l l i s ta ( r e ta i l ) : e - ta i l i n g
La tecnología web ha hecho que se haya incrementado dramáticamente la cantidad de transacciones directas de compra y venta en internet (e-tailing). Este
incremento se debe no sólo a la existencia misma de internet y de la tecnología
web, sino a que actualmente no sólo los computadores personales tienen la
capacidad de navegar en internet a través de páginas web. Esta capacidad viene
hoy en día incorporada en los teléfonos móviles y en las pda (Asistente Personal
Digital, por sus siglas en inglés), lo cual facilita el acceso a internet de manera
amigable, prácticamente desde cualquier lugar del mundo, potencializando la
realización de transacciones bancarias o comerciales sin necesidad de desplazarse físicamente.
Respecto al e-tailing, uno de los primeros en reportar ventas por millones de
dólares a través de un sitio web fue Dell Computer. Actualmente es una práctica
común adquirir bienes a través de sitios en internet como Amazon.com.
C . m a n u fa c t u r a
La logística integrada ha sido, desde hace décadas, una manera de integrar la
producción de bienes en las fábricas con otros procesos, como la administración
de inventarios, la cadena de abastecimiento (manejo de proveedores, planeación
Wilmar Castellanos
de compras), la distribución y el bodegaje. La conclusión de diversas iniciativas ha sido la de orientar la producción a la satisfacción de las necesidades
del cliente, característica potencializada por el uso de internet y de tecnologías
web para habilitar la generación de órdenes de compra en línea por parte de
los clientes, lo cual resulta en órdenes de producción y en abastecimiento de
materias primas e inventarios de manera más eficiente en costo, minimizando
inventarios sobrantes e ineficiencias en las plantas de producción. Hoy en día se
puede ordenar desde un computador hasta un automóvil a través de la página
web del fabricante. La configuración específica del producto puede ser definida
por el usuario y esto se integra con los sistemas de abastecimiento, producción,
distribución e inventarios, mejorando la calidad del servicio al cliente y disminuyendo costos de producción sobrante o de abastecimiento excesivo o por
debajo de la necesidad real del mercado. Igualmente, esta integración mejora
el tiempo de respuesta a los requerimientos del mercado, no sólo en cantidades
sino en tipos de productos.
III. riesgos originados por el cambio
d e pa r a d i g m a d e n e g o c i o s
En el comercio tradicional, quien quiere comprar y quien quiere vender, de
alguna manera se tienen que contactar, conocer y construir una relación básica
de confianza para poder intercambiar bienes o servicios por dinero. Además de
la confianza, cada uno quiere tener certeza de la identidad de su contraparte,
para lo cual usualmente establece mecanismos que permitan validar la identidad
y autoridad que tiene esa contraparte para realizar el negocio. La confianza, la
validación de la identidad y la autoridad de la contraparte son elementos que
se deben mantener en la realización de transacciones por internet.
Sin embargo, internet es una red de redes, en la que el intercambio de información ocurre en su mayoría a través de la red de telefonía pública conmutada y de
redes en general públicas. Aunque nació como una red de investigación militar, su
concepción posterior de servir como medio de intercambio global de información
no fue acompañada por un desarrollo paralelo de definiciones de seguridad para
proteger la información intercambiada en un ambiente de negocios, sino más bien
en un ambiente de colaboración, por lo cual la realización de negocios en internet
trae consigo riesgos que deben ser analizados y mitigados para poder generar
confianza en el mercado, posibilitar la validación de la identidad y administrar de
manera adecuada la autoridad de cada ente involucrado en la realización de comercio
electrónico. Igualmente, la privacidad de la información que una parte le confía a
la otra para efectos única y exclusivamente de la transacción es otro elemento de
vital importancia para el desarrollo y crecimiento de un negocio en internet.


Los negocios siempre han involucrado riesgos como el fraude, la entrega
de un bien o servicio sin recibir el pago correspondiente, el rechazo por parte
de un cliente de la mercancía enviada, entre otros. Igualmente, la realización
de negocios puede exponernos a riesgos como:
− Acceso no autorizado a información que permita a terceros realizar
compras fraudulentas: por ejemplo, cuando pagamos en un restaurante con
una tarjeta de crédito, la información contenida en la tarjeta (número, dígitos
de verificación, nombre del titular, fecha de vencimiento) es suficiente para
la realización de compras por parte de personas no autorizadas. Sin embargo,
nunca nos tomamos el trabajo de acompañar al mesero y asegurarnos de que
no tome nota de esta información, sino que se limite a usarla para concretar la
compra que estamos haciendo. En e-business también es posible que personas no
autorizadas accedan a la información de nuestra tarjeta de crédito para realizar
compras sin nuestro consentimiento.
− Modificación no autorizada de la información de una transacción: esto
se relaciona con el hecho de que una persona no autorizada modifique la información de cantidades, de persona y lugar donde se debe entregar el producto,
etc. posibilitando que la mercancía sea robada o que se haga una entrega y se
facture una cantidad superior a la que el cliente deseaba adquirir.
− Repudio de una transacción: con esto nos referimos a la posibilidad que
existe de que un comprador rechace la mercancía que recibe argumentando que
no la solicitó o que no corresponde a lo que solicitó. En el caso de e-business, este
riesgo es alto si se tiene en cuenta que el comprador y el vendedor físicamente
pueden no tener contacto o ni siquiera conocerse, lo cual resulta en costos innecesarios de procesamiento de la orden de compra, producción y despacho.
A continuación se describen brevemente algunos aspectos fundamentales
para la protección de las partes que interactúan en transacciones e-business, y,
en general, en la realización de transacciones tradicionales:
A . s e g u r i da d t ra n s ac c i o na l
La seguridad contempla aspectos como:
− La identificación de cada uno de los que interviene en la transacción
(¿quién eres?).
− La autenticación de la identidad de los involucrados en la transacción
(ahora que te identificaste, demuéstrame que eres quien dices ser).
− Control de acceso a los recursos como páginas web exclusivas para usuarios registrados (Ahora que sé quién eres, te permito acceso a los recursos que
requieres y nada más).
Wilmar Castellanos
B . v i s i b i l i da d
Las organizaciones y personas dependen en mayor o menor medida de conservar
y posicionar una imagen de seriedad, responsabilidad, respeto, ética profesional
y de negocios, entre otros. Esta imagen es uno de los activos más importantes
de muchos negocios, por lo cual es vital protegerla, particularmente cuando
parte o la totalidad del negocio se basa en un sitio web, ya que gran parte de lo
que el mercado reconoce de una organización puede estar en el sitio web mismo
(p. ej., logo, versatilidad del sitio, flexibilidad, facilidad para el usuario). En el
caso de e-business, la imagen está dada no sólo por las actuaciones, conductas,
desempeño del negocio, servicio al cliente, relaciones con proveedores, entre
otros, sino también por aspectos como:
1. Servicio adecuado al cliente, considerando que el contenido del sitio
web debe:
– Brindar las opciones requeridas para el desarrollo de transacciones de
negocio.
– Ser fácil de leer.
– Proveer canales alternativos de comunicación.
– Estar disponible 24 horas.
2. Brindar respuestas oportunas y ágiles al cliente, no sólo en el sitio web
sino cuando el cliente desee hablar personalmente con un asesor o recibir confirmación del estado de una transacción que esté realizando.
Fallar en la disponibilidad 7x24 del servicio de un sitio web donde se desarrolla parte o la totalidad del negocio puede provocar que los usuarios que no
puedan acceder no vuelvan a intentarlo y prefieran otro proveedor, bien sean
clientes nuevos o clientes recurrentes, considerando que la oferta de valor de
e-business es estar disponible 24 horas para suplir las necesidades de sus clientes
en cualquier momento y en cualquier lugar del mundo.
3. Una adecuada administración del contenido publicado en el sitio web: algunos ataques famosos a sitios web han involucrado la modificación del contenido del
sitio web víctima con el fin de desacreditar a la institución, de hacer propaganda
de la competencia o simplemente de publicar material inapropiado.
C . p r i va c i d a d / c o n f i d e n c i a l i d a d
La información transmitida por un usuario a través de su navegador es enviada por
internet hacia el sitio web con el cual desea transar. Internet es una red en general
pública, por lo que por defecto cualquier información que transporta puede ser
potencialmente visualizada o modificada por personas no autorizadas, lo cual es
una amenaza inaceptable cuando se trata de intercambiar información sensible,
como medios de pago o información personal necesaria para la transacción.


I V . c o n t r o l e s pa r a e l n u e v o pa r a d i g m a :
analoga con los negocios tradicionales
Con el fin de mitigar los riesgos presentados previamente, a continuación analizamos algunas alternativas de control que se utilizan actualmente en la realización de negocios a través de internet y utilizando tecnología web (e-business).
A . a u t e n t i c a c i  n d e va r i o s fa c t o r e s : o b t e n c i  n d e l a
i d e n t i d a d , a u t e n t i c i d a d y a u t o r i z a c i  n d e l a s pa r t e s
En los negocios tradicionales, y con base en lecciones aprendidas, las organizaciones y personas utilizan diversos mecanismos para identificarse y pedir a
sus contrapartes que hagan lo mismo.
En nuestro caso, dos personas que están realizando una transacción comercial tienen la oportunidad de conocerse, verificar la cédula de ciudadanía,
pasaporte u otro documento de identificación. Cuando la transacción comercial
involucra el pago inmediato por el bien o servicio, algunos de estos controles se
reducen a un mínimo ya que el hecho de contar con el dinero inmediatamente
hace que pierda relevancia saber quién es mi contraparte.
En el caso de personas jurídicas, la manera como una “conoce” a la otra y
verifica su identidad usualmente se basa en documentos públicos emitidos por
un tercero confiable, por ejemplo, el certificado de existencia y representación
legal. De esta manera, cada empresa puede verificar que está haciendo negocios
con una empresa debidamente registrada, además de poder obtener alguna otra
información de su interés para brindar confianza a la relación de negocios.
La autenticidad de las partes en una transacción usualmente se asegura habiendo definido previamente un protocolo de interacción, es decir, la transacción se
inicia mediante el envío de una orden de compra en papel membreteado y firmada
por personas específicas que tengan la autorización respectiva, con el fin de evitar
el inicio o culminación de transacciones falsas que generen gastos innecesarios.
En e-business, la identificación se hacía inicialmente mediante un identificador de usuario y una contraseña, como el acceso a cualquier sistema de
información. Sin embargo, este mecanismo de identificación y autenticación
es vulnerable a:
− Conocimiento por personas no autorizadas que puedan determinar el
identificador de usuario y adivinar o descifrar la contraseña.
− Intercepción o conocimiento no autorizado de la contraseña de un usuario
válido considerando que internet, por defecto, es una red pública (infra, literal
B para ver los controles asociados).
Wilmar Castellanos
− Suplantación de personas o entidades usando identificadores de usuario
que usualmente son fáciles de determinar, pues si no existe una cultura de
proteger adecuadamente las contraseñas, mucho menos se protegen los identificadores de usuario.
Este mecanismo de identificación-autenticación se basa en “algo que sé” (la
contraseña). Con el fin de minimizar la posibilidad de que una identidad sea
suplantada o de que la revelación de una contraseña pueda afectar inmediatamente el esquema de autenticación, actualmente se pueden utilizar mecanismos
adicionales de identificación-autenticación, que permiten que la autenticación
no dependa sólo de la contraseña sino de uno o varios factores adicionales.
Además de contar con “algo que sé”, puede usarse “algo que tengo” (como
es el caso de los cajeros automáticos, en los que se requiere tener una tarjeta
débito o crédito para poder ser identificado) o “algo que soy” (biométricos
como identificación-autenticación por huella digital, por la palma de la mano,
por la retina, por voz).
ejemplo de autenticacin por token
(“algo que tengo”)
Servidor de
autenticación
5
1
2
Usuario
4
6
3
Servidor web
1. El computador muestra al usuario un valor.
2. El usuario ingresa el valor y un Personal Identification Number (pin) en su tarjeta (token).
3. El token muestra otro valor en respuesta a lo que el usuario ingresó.
4. El valor presentado por el token es ingresado por el usuario en su computador.
5. El computador envía el valor recibido al servidor de autenticación para que determine
que es el valor que el token asignado a ese usuario daría como respuesta.
6. Si el valor es adecuado, el servidor de autenticación aprueba el acceso (ha autenticado la
identidad del usuario). Si el valor es diferente, posiblemente alguien pretende acceder
al sistema pero o tiene un token válido.


Si bien es cierto que estos medios adicionales de autenticación son válidos
para obtener una seguridad mínima de la identidad de la persona o entidad, y de
hecho se usan ampliamente en transacciones de cierta importancia, no aseguran
totalmente la identidad ya que yo no puedo saber si quien se encuentra al otro
lado de la conexión, en cualquier parte del mundo, es realmente a quien yo le
entregué los mecanismos de identidad y autenticación que me está presentando,
si es con quien yo quiero realmente negociar o si es un suplantador.
Un método para minimizar el riesgo de suplantación, y a su vez el riesgo
de que la autoría de la transacción sea negada (repudiada), es la certificación
digital (infra, literal c).
B . c i f r a d o : p r o t e c c i  n d e l a p r i va c i d a d
y c o n f i d e n c i a l i da d
Dado que internet es una red pública por naturaleza, el hecho de transmitir la
información plana a través de este medio posibilita el conocimiento no autorizado de dicha información, lo cual es crítico cuando hablamos de transacciones
comerciales en las que se involucra información de medios de pago, o información sensible que pueda ser utilizada en contra de los intereses de alguna de las
partes. Como respuesta a esta preocupación, en e-business se han incorporado
tecnologías de encripción que permiten cifrar la información mientras transita
por internet. Para tal fin se utiliza un algoritmo de encripción/desencripción
que sea común a las partes involucradas en la transacción, y una o varias llaves
necesarias para que cada parte pueda activar el algoritmo de acuerdo con su
rol en la transacción.
Encripción
Desencripción
To: Banco
From: Wilmar
Date: 12 feb. 2000
Transferir un
millón de dólares desde cuenta
1234567 a cuenta
7654321
Wilmar
* > *ql3*UY
#~00873/JDI
c4 (DH:iwb(883
lks9U29
as9eeasdofi
qw9vijhas9djerhp
7goe.>(*Y23K^w
bvlqwcyw83zqwBiskdue di7@94
+
+
+
+
Algoritmo
Algoritmo
* > *ql3*UY
#~00873/JDI
c4 (DH:iwb(883
lks9U29
as9eeasdofi
qw9vijhas9djerhp
7goe.>(*Y23K^w
bvlqwcyw83zqwBiskdue di7@94
To: Banco
From: Wilmar
Date: 12 feb. 2000
Transferir un
millón de dólares desde cuenta
1234567 a cuenta
7654321
Wilmar
Wilmar Castellanos
Un algoritmo de encripción/desencripción es un conjunto de operaciones
matemáticas que, de acuerdo con la llave que se utilice, toma la información
plana y la cifra, o toma un texto cifrado y lo descifra. Estos algoritmos se
conciben de tal manera que se debe usar la llave correcta para poder descifrar
la información que haya sido cifrada con una llave específica, lo que permite
minimizar el riesgo de que una persona no autorizada pueda interceptar el
texto cifrado y obtener el texto original que se envió (p. ej., una contraseña, la
información de una tarjeta de crédito).
La encripción de comunicaciones permite asegurar igualmente la privacidad
de la información. Entre las tecnologías de seguridad más usadas en e-business
basadas en tecnología web se encuentra Secure Sockets Layer (ssl), que permite
cifrar las comunicaciones entre los actores de la transacción. De hecho es el
algoritmo que se usa cada vez que nos conectamos al banco por internet.
C . c e r t i f i c a c i  n d i g i ta l y f i r m a d i g i ta l :
a s e g u ra m i e n to d e la i d e n t i da d y n o r e p u d i ac i  n
Aunque existen mecanismos como los expuestos en el literal A (supra), que
permiten validar la identidad de personas o empresas, no hay una certeza de
dicha identidad cuando me estoy comunicando por internet, ya que esos mecanismos de seguridad pudieron ser vulnerados (p. ej., me pueden robar un token,
pueden verme digitar mi contraseña), lo cual impide confiar en la identidad de
mi contraparte, que seguramente se encuentra geográficamente lejos de mí.
Adicionalmente, aunque la identidad sea la correcta y pueda validarla, estos
mecanismos no me permiten evitar que mi contraparte manifieste no haber
ejecutado una acción específica o no haber hecho una transacción comercial
conmigo (p. ej., mi contraparte puede negarse a recibir un envío de mercancía
alegando que nunca lo pidió). Esta negación o repudiación de la transacción puede ser hecha partiendo de que legalmente no existe confianza en las tecnologías
de identificación y autenticación como prueba de la ejecución de un acto.
En función de esta necesidad se creó el concepto de certificado digital. El
certificado digital es un documento de identificación (usualmente un archivo
digital que puede almacenarse en un disquete, en un pc o en una tarjeta), que,
a diferencia de un identificador de usuario, debe ser entregado por una entidad
confiable, que haya verificado exhaustivamente que la identidad de quien va a
portar el certificado digital es cierta, bien sea una persona natural, una persona
jurídica o incluso un servidor específico (p. ej., para estar seguro de que estoy
ingresando mi clave de servicios bancarios en el sitio web de mi banco y no en
un sitio web de un suplantador). En ese sentido, el certificado digital es superior


a un identificador de usuario y una contraseña, así como la visa estadounidense
es superior a un carnet de universidad, considerando los estrictos controles que
deben superarse para recibir un certificado digital (o una visa estadounidense)
frente a los controles discrecionales y escasos aplicados para que un identificador
de usuario o contraseña sea entregado y que posteriormente no sea suplantado
o para que un carnet sea entregado y no pueda ser falsificado. Una autoridad
de certificación es un ente regulado y vigilado que debe tener procedimientos
estrictos para la recepción de solicitudes y entrega de certificados digitales,
así como una embajada estadounidense es muy estricta en sus procedimientos
para la aprobación y entrega de visas, bajo unos criterios establecidos. En esta
medida, muchos de los controles existentes en el comercio tradicional –como
certificados de existencia y representación legal, pasado judicial, etc.– son
aplicados por las autoridades de certificación para validar la existencia e identidad de una organización antes de emitirle un certificado digital, con el fin
de cumplir a cabalidad con su deber de ser una entidad de confianza. En este
orden de ideas, quien haga negocios con una organización puede confiar en el
certificado digital si éste ha sido entregado por una autoridad de certificación
de confianza, y si se demuestra que el certificado digital fue vulnerado y por
esta razón se realizó un fraude, la autoridad de certificación debe responder
por el hecho, considerando además que va en detrimento de la confianza que
se requiere para que este mecanismo funcione.
Actualmente la certificación digital es el medio más ampliamente aceptado para poder demostrar la autoría de una transacción o acción en sistemas
computacionales, y por extensión, en e-business. Esto se logra a través de la
aplicación del cifrado y del concepto de que cada persona o entidad que recibe un certificado digital también recibe una llave privada (sólo esa persona o
entidad la tiene y nadie más), con lo cual toda transacción que ejecute quedará
firmada automáticamente. Esto equivale a que cuando me entregan la visa
norteamericana dicha visa viene con mi huella digital y mi firma, de tal manera
que en cualquier momento se puede validar que quien porta esa visa es a quien
originalmente le fue asignada.
Actualmente, navegadores como Internet Explorer y Netscape tienen incorporada una lista de autoridades de certificación válidas, con el fin de que
para el usuario final sea transparente el uso de esta tecnología. Sin embargo,
muy pocas personas saben cómo verificar la validez de un certificado o si confiar o no en una u otra autoridad de certificación. Esta tecnología ha sido, y de
hecho debe serlo en principio, más explotada por las organizaciones que por
las personas, pero las personas naturales no deben dejar de lado su derecho
a verificar también la identidad y autoridad de la organización con la cual se
Wilmar Castellanos
comunican. Ejemplos de intento de fraude a personas, que pueden ser evitados
si los usuarios aprovechan la posibilidad de validar la identidad de la entidad
con la cual están interactuando mediante certificados digitales, se pueden leer
buscando la palabra “phising” en [www.google.com].
conclusin
Con el desarrollo de mecanismos de seguridad incluidos en los navegadores y
en la tecnología que soporta el uso de internet, con el empleo de mecanismos
tradicionales de seguridad en sistemas de información, y con la existencia de certificados digitales, el comercio electrónico ha venido creciendo sustancialmente,
pues muchas de las preocupaciones acerca de la seguridad de las transacciones
de negocio vía web han venido siendo resueltas.
Sin embargo, el desarrollo de un negocio a través de internet debe contar con
un análisis detallado de los procesos de negocio involucrados, con un panorama
suficientemente amplio que permita considerar las amenazas a las que está expuesta la organización y los riesgos de negocio que se originan producto de estas
amenazas en el nuevo contexto de negocios electrónicos. Esto se debe hacer con
el fin de definir el perfil de riesgo de la organización ante este nuevo escenario
de operación del negocio, por lo cual se deben considerar aspectos como:
− Alineación de la estrategia de e-business con la estrategia de la organización
y con el perfil de riesgo de negocio. Es importante reconocer que los riesgos de
negocio son dinámicos y su naturaleza, impacto o probabilidad pueden variar,
en algunos casos de manera sustancial, cuando se lleva el negocio del campo
tradicional al e-business.
− Análisis y rediseño de procesos de negocio y actividades de control propias de
cada proceso. La utilización de un referente de control interno es una alternativa
interesante para establecer las necesidades/recursos/habilidades de control
que deben considerarse en este nuevo escenario y al interior de cada uno de los
procesos de negocio y de soporte, ya que estamos hablando de mover nuestro
negocio a un campo de acción diferente al que usualmente estamos acostumbrados, por lo que el control interno de la organización debe evolucionar en
este mismo sentido.
− Recursos requeridos, ya que el rediseño de procesos y la operación posterior pueden requerir el desarrollo o adquisición de habilidades diferentes
a las existentes actualmente en la organización, así como la incorporación de
políticas y procedimientos de operación y control específicos para el negocio
en internet. Por último, se debe considerar la tecnología necesaria para habilitar
esta operación, incluyendo componentes de seguridad.


– E-business es sólo otra forma de hacer negocios, otra manera que trae
consigo las mismas amenazas pero en un escenario diferente. Los riesgos en
e-business deben ser controlados al igual que en un negocio tradicional, pero considerando controles que sean consecuentes con el nuevo escenario de operación
y que respondan a las cualidades que la organización está queriendo explotar
(negocio en línea, servicio 7x24, calidad del servicio al cliente, calidad del bien
o servicio que ofrezco, reducción de costos de intermediación) sin exponer la
reputación o viabilidad del negocio.
glosario
(Electronic Data Interchange): edi es el intercambio de información de
negocio en un formato de datos previamente acordado entre las partes. Este
mecanismo precedió al internet actual en cuanto a la posibilidad de realizar
negocios entre empresas. edi involucra el intercambio de datos entre organizaciones que se conocen y que han firmado acuerdos para conectarse entre sí,
usualmente mediante conexión telefónica conmutada o dedicada. edi es usado
aún, incluso aprovechando tecnologías para funcionar sobre internet, por lo que
se espera que edi evolucione hacia o sea reemplazado por uno o más estándares
de intercambio de datos más recientes como ebxml.
ebxml (Electronic Business xml): es un proyecto para utilizar un lenguaje
estándar de internet, el Extensible Markup Language (xml), para estandarizar
un intercambio seguro de información de negocios. ebxml será una evolución o
quizás reemplace al edi estándar. ebxml está diseñado para permitir el comercio
electrónico global mediante el intercambio seguro de información a través de
mensajes basados en xml. El proyecto es un esfuerzo conjunto de The United
Nations Body for Trade Facilitation and Electronic Business Information Standards (un/cefact) y de The Organization for the Advancement of Structured
Information Standards (oasis).
Dado que ebxml se basa en estándares actuales de internet, como http,
tcp/ip, mime, smtp, ftp, uml y xml, puede ser implementado prácticamente
en cualquier plataforma, lo que además permite que sea relativamente barato
y fácil de usar.
html (Hypertext Markup Language): conjunto de símbolos ó códigos
que permiten mostrar contenido específico en la World Wide Web a través de
páginas web. html es una recomendación formal del World Wide Web Consortium (w3c), que permite desplegar texto, imágenes, video y sonido de manera
amigable para los usuarios, a través de navegadores como Internet Explorer o
Netscape Navigator.
edi
Wilmar Castellanos
http (Hypertext Transfer Protocol): conjunto de reglas para transferir archi-
vos en formatos no sólo de texto, sino multimediales (imágenes, sonido, video)
en www. Es lo que ve el usuario cuando abre su navegador (p. ej., Internet Explorer, Netscape Navigator). Aunque http nos muestra la imagen más común
con la cual reconocemos a internet (páginas web), es sólo uno de los medios de
acceder a la información de esta red.
www (World Wide Web): es el conjunto de todos los recursos y usuarios
sobre internet que usan el protocolo de transferencia de hipertexto (Hypertext
Transfer Protocol – http) para intercambiar información. Nótese que www no
es lo mismo que internet, sino que es una de las aplicaciones que tiene internet
como red de redes.
xml (Extensible Markup Language): es un estándar en internet (particularmente World Wide Web) que permite crear formatos comunes de información
y compartir dicha información en el World Wide Web, intranets, extranets. Por
ejemplo, un fabricante de computadores puede acordar con otros fabricantes
un estándar para presentar la información de sus productos (velocidad de procesador, memoria, etc.) y así poder describir la información del producto en
internet mediante xml. Esto permite definir modelos estándar de intercambio
de información entre compañías, o de presentación de información en catálogos
para clientes potenciales.
xml es una recomendación formal del World Wide Web Consortium (w3c).
Es similar a html (usado actualmente en muchas páginas web) y se espera que
ambos estándares convivan en las páginas web.
bibliografa
Ravi Kalakota, Andrew B. Whinston. Electronic commerce, A manager’s guide, AddisonWesley.
Anup K. Ghosh. e-Commerce Security. Weak links, best defenses, John Wiley & Sons.
William Stallings. Cryptography and Network Security, Prentice Hall.
[www.whatis.com].
Ley 527 de 1999.
[www.certicamara.com].

stephen j. davidson
g a b r i e l k . h o l l oway
I . p la n n i n g f o r c u s t o m s e rv i c e s
With an important computer software acquisition or a custom software development project involving an outside contractor, there is more to worry about
than meets the eye. Failure to pay attention to crucial contract issues can result
in frustrated expectations, project failure or a disruptive and costly dispute.
Although the vast majority of system vendors and software developers are
ethical and well intended, good faith misunderstandings and turnover of sales
and management personnel who made “handshake” commitments can lead to
disaster. In addition, “standard” vendor form agreements are often one-sided
and can leave the customer with little or no remedy if the vendor fails to deliver
what was expected.
It is vitally important, therefore, that companies about to get involved
in a major custom computer software or system transaction make a point of
negotiating and documenting an agreement that addresses the needs of both
parties. The negotiation process itself will serve to clarify important issues and
ensure that there is a mutual understanding of what each party expects from
the other. Just going through this process makes it less likely that conflict will
develop later on, and the negotiated contract will serve as a reference tool for
the parties if they later need to be reminded of what their deal was. Ultimately,
if push comes to shove, the written contract will be the standard by which a
court can settle the rights and responsibilities of the parties and measure their
performance.
There are numerous types of contract terms that one should bear in mind
for these contracts, and there are copious published books and checklists that
address all of them in detail. This paper will not do that. Rather, the purposes
here are to draw attention to a few of the overriding principles that should
be borne in mind when approaching a major custom software acquisition or
development project and to boost the reader’s sensitivity to some of the wideranging concerns that should be addressed.
The principal concepts that need to be considered in approaching any such
contract are:
1. Ensuring that both parties receive the expected benefit at the anticipated
cost.
2. Ensuring that both parties properly manage and staff the project.
3. Ensuring that each party owns intellectual property rights that correspond
to its investment and that are necessary for it to enjoy the expected benefit of
the transaction.


II. the customer’s eagerness to acquire
Identifying the custom system vendor or software developer of choice is often
the end of a lengthy quest for the Management Information Systems (mis)
staff, which may well have spent a year or more on its hunt for the appropriate
technical solution. Having thus found the object of their quest, these people
are understandably very anxious to get the project underway, and they believe
with all their hearts that the solution they have uncovered could not help but
succeed. To make matters worse, it is common for vendor sales representatives
to deliberately induce a false sense of anxiety to get the contract signed quickly
and without legal evaluation. Common ploys include the threat of an imminent,
scheduled price increase which will make the acquisition considerably more
expensive if the contract is not signed at once, or the threat that if the contract
is not signed promptly, it will be impossible to allocate the vendor resources
necessary to meet the customer’s desired time frame for installation because so
many other customers are lined up and ready to sign any minute.
The vendor’s sales representative may also tell the mis staff that all they
need to do to get things underway is sign “the standard contract” that all customers sign. It is astonishing how many of these contracts get signed without
top management or corporate counsel knowing anything about them. Equally
amazing is how many mis vice presidents sign these things without the foggiest
idea of what their provisions are.
Or perhaps it is not so amazing, when one considers that these people are
programmed to think of lawyers as risk identifiers, nit pickers, delayers and
deal breakers –not as helpers. Even where the contract does find its way into
counsel’s hands, it often comes with a note something like:
Take a quick look at this and let me know if anything jumps out at you as something
we absolutely can’t live with. We need to sign by tomorrow.
Your client may be willing to spend a year and a hundred thousand dollars
pinpointing what it thinks is the correct technical solution and another million
dollars or more buying it, but he or she does not want to “make a thousand dollar project” out of making sure the company has a leg to stand on if the vendor
fails to perform as expected.
I I I . p l a n n i n g a h e a d a n d s ta b l i s h i n g
c l e a r s ta n d a r d s o f p e r f o r m a n c e
It is not at all uncommon to find that vendors and customers can talk about
what they expect the end result of a custom software implementation to be
Stephen J. Davidson y Gabriel K. Holloway
without having a common understanding of what they mean. This happens for
several reasons, such as each making assumptions about things that have not
been specifically discussed, speaking in generalities, or simply expecting that
the details will get worked out as the project moves along. After all, both are
committed in principle to coming up with a solution to the customer’s needs.
Many such contracts are even signed with the express provision that the first
phase of the project will be the development of a mutually agreeable, written
specification of what is to be delivered. That is a very serious mistake.
The majority of disputes over unsuccessful software or system implementations result from the failure to effectively specify what was to be furnished and
good faith disagreements over what was promised by the vender versus what
was expected by the customer. Therefore, the single most critical thing both
parties can do before committing to the project is to spend the time necessary
to develop a sufficiently detailed specification of what will be delivered. The
vendor should appreciate that if it delivers less, it will not be paid and will be
held accountable. The customer should understand that if it receives only what
is specified and no more, it will have gotten all that it bargained for and will
have no basis to object if it turns out that what it bargained for is not really
what it wanted.
In fact, it sometimes happens that the customer in one of these deals does
not really know what it truly wants until it gets what it asked for and realizes
that isn’t what it needs. The process of developing a suitably detailed written
specification makes this less likely and gives both parties a mutual awareness of
precisely what is expected. In the best managed projects, the customer’s general
requirements are contained in a forma Request for Proposal, prepared on the
basis of a thorough analysis of the customer’s needs. In any reasonably well
managed project, detailed specifications will be included in the contract.
I V . t i m e l i n e s s , m a n a g e m e n t a n d s ta f f i n g
The timeliness of implementation, management and staffing of custom software
projects is also vitally important, not only in terms of how the vendor supports
the project, but also in terms of the customer’s commitment and cooperation.
The distribution of responsibility between the parties can vary greatly, but
certain themes tend to be present in most cases.
In terms of the customer’s role, it is critical that these projects have the
support, guidance and continuing participation of upper management. This
does not mean that the president of the company or chairman of the board
needs to be personally involved, but it does mean that the customer needs to


be committed at the highest levels to the project and its success. This is partly
to ensure that the project has the strategic direction and resources required for
success, and partly to ensure that the proper level of management discipline is
imposed on those working day-to-day on the things for which the customer is
responsible. Without top management support and direction, mission-critical
projects can suffer from lack of internal resources, meander off course, or suffer
from so-called “scope creep” such that resources can be misapplied, expenses
can grossly exceed budget, milestone dates can be missed, and all those involved
can become demoralized.
It is also important that the customer commit the required business and
technical capital to the project. This can include customer subject matter experts who help in the design and specification of system features and functions,
business managers who assist with internal planning, change management and
implementation, and IS personnel whose responsibilities may cover a broad
range of tasks including such things as budgeting, internal management,
preparation of test data, testing, data conversion, training, implementation,
configuration, and internal technical support.
In terms of the vendor’s role, it is important to determine in advance what
capabilities the vendor is expected to bring to the table. These can range from
expertise in designing, building or configuring systems for the customer’s industry to the particular technical skills necessary to build, customize, configure,
and implement the technology. In some cases this can include such things as
expertise in system architecture, graphic design, technical writing and change
management, and in all cases it will require some level of management and
technical personnel.
Timeliness of implementation is another important issue that falls on the
vendor’s shoulders. In order to ensure adequate performance, the contract should
include a schedule that details what tasks are assigned to each party at each stage
of software development and implementation and a timetable for completion
of those tasks. One effective method of ensuring that the vendor gives its best
effort to a project is to tie payment to performance milestones and to hold back
a substantial portion of the price until final acceptance criteria are met. Since
most custom software implementation projects are put into operation in several
phases, the customer should pay the vendor only after the customer has received
and tested each deliverable. For many vendors, understanding that payment is
directly tied to delivering functional software will help ensure that the job is
completed on time and to the customer’s satisfaction.
In too many cases, vendors have failed as a result of their own success. As
their products achieve market success, there is a risk that they may sell beyond
their ability to support new customers. As a result, vendor resources can become
strained to the point that projects falter or fail or at least are delayed beyond
acceptable limits. For these reasons, it is wise for customers on critical projects
to obtain contractual commitments that their vendors will assign adequate and
appropriate resources to the project at hand. This is true whether the required
resources are limited to such things as installation, configuration and training,
or whether they extend to all aspects of a new development project including
specification, design, development, testing and data conversion.
Its is often possible not only to specify the capabilities and experience levels
of persons to be assigned to the project, but also to identify them by name and
to provide that the vendor will not reassign personnel without the customer’s
consent. It may also be wise from the customer’s point of view to provide that
the vendor will, at the customer’s request, remove from the project and replace
any of its personnel that the customers finds unsatisfactory.
V . a c c o u n ta b i l i t y, wa r r a n t i e s a n d r e m e d i e s
A reputable vendor of custom software or development services should be willing to accept a reasonable level of accountability for its own performance. This
is true in terms of system cost, system functionality, system performance, time
for completion and level of post-implementation support. Estimated pricing
should be a red flag, because these projects virtually never come in at or below
the original estimated budget. The same is true for projected completion dates
of various phases of the project. Cost and timing should be specified from the
outset. The vendor should accept a reasonable level of accountability for exceeding a specified price or completion date absent written change orders, and
the customer should be willing to accept responsibility for added cost or delay
resulting from changes requested after the contract is signed.
For almost all custom software implementations, rigorous acceptance testing
and personnel training is very important. Acceptance testing is the process by
which the customer and the vendor determine if the delivered software meets the
requirements set forth in the software agreement. Typically, throughout complex
software implementations, at least two or more acceptance tests are required.
At a minimum, one acceptance test should be performed before the software
is used in the “real world” by the customer and, assuming satisfactory results,
a second should be performed after the software goes live. During the initial
acceptance test, the customer and the vendor should test the software implementation under simulated real world conditions to uncover any bugs and ensure
that the product meets specification. Once the software goes live, the software


should be thoroughly retested to uncover any undiscovered bugs or implementation issues. Training of customer personnel is also an important issue. Most
custom software buyers will want to make sure that their personnel are fully
equipped to manage software operations and that they have sufficiently detailed
documentation to effectively utilize the software. Regardless of the degree of
testing and training needed, customers should always tie successful completion
of a substantial real world test of the software to vendor payment.
Warranty disclaimers, remedy limitations and liability limits should also
be a subject of careful attention. Historically, broad disclaimers and limitations
evolved at a time when this technology was relatively immature and unstable,
the market was relatively unsophisticated, and the relatively small number of
monolithic mainframe software vendors was able to impose such terms on their
customers by virtue of sheer market strength. That was then, and this is now.
Although no software is bug free, technology has matured to the point where
it is reasonable to expect vendors to warrant that their products will conform to
and perform in accordance with agreed-upon specifications in all material respects. At the same time, the market has become more sophisticated in terms of
knowing what to demand, and the level of competition among software vendors
and developers has increased to the point where accepting accountability can be
made a competitive issue if raised early enough in the acquisition process. For
this reason, a comprehensive performance warranty is essential to a custom
software agreement. The performance warranty should clearly spell out or
refer to the agreed upon specifications for the software, require that software
and documentation meet customer standards, and include a requirement that
the software be free of material errors.
The same holds true with respect to post-implementation correction of design
or programming defects. Whether as part of the initial contract or contained in
a separate maintenance and support agreement, the required standard of performance should be the timely correction of defects -– not merely “attempting” or
making “a good faith effort” to correct defects which cause the system to fail in
some material way to meet the required standard of performance. Most vendors,
even the reputable ones, will try to get away with such limited responsibility if
they can. In addition, vendors will often argue for severe limitations on the time
period of such warranties. However, if the customer plans to receive support
and maintenance for the software from the vendor, it should demand that the
warranties remain in effect as long as the customer continues to receive such
support and maintenance and that the customer will have the option to continue purchasing support and maintenance at a foreseeable price throughout
the anticipated useful life of the software.
Because of the nature of the custom software project, customers may also
wish to obtain compatibility and documentation warranties. A compatibility
warranty specifies that the custom software will interoperate with all customerspecified software and hardware, including future versions of appropriate
third-party software. An adequacy of documentation warranty helps ensure
that documentation for the custom software is complete and that future upgrades and improvements will be delivered with updated documentation that
is as detailed as the original.
Once the customer and the vendor have determined the specific warranties that will apply to the software agreement, they must agree on the specific
remedies for breach of such warranties. This is often a particularly contentious, but important, area for negotiation. Because custom software is such
a specialized undertaking, it is vitally important to ensure that the client has
adequate remedies in the event of breach. The adequacy of various remedies
will vary substantially from project to project and will depend largely upon
the circumstances of the customer. It is important to keep in mind that for
many customers, especially if the breach involves the failure of mission-critical
software implementations, monetary remedies, by themselves, may ultimately
prove inadequate.
Many custom software vendors will argue that their support and maintenance obligations provide assurances that equal or surpass the remedies
the customer seeks to obtain. However, it is very important take into account
that in almost all situations, the remedies available for breach of support and
maintenance warranties are substantially more limited than those available for
a general breach of warranty.
Although vendors cannot afford to accept unlimited risk in every transaction they take on (and their customers should not want them to), they should
at least be willing to be held accountable up to the amount they are paid under
a given contract if they fail to perform as promised. Giving the customer the
right to terminate a license and/or receive a refund of some modest, amortized
portion of the price paid is not an adequate remedy and should not be acceptable. Usually, the customer’s desire is to have a properly working system as
opposed to monetary damages for breach. Therefore, the customer should seek
a level of financial accountability that is sufficiently large to provide the vendor
an incentive to perform; that is, the economic consequences of breach should
exceed the cost of performance. And in most cases, there should be no limit at
all on the vendor’s accountability for providing software that somehow violates
the intellectual property rights of a third party.


V I . p r o p r i e ta ry r i g h t s
The question of “who owns what” is vital to custom software development
contracts. When contracting for the development of custom software or programming services, special attention must be paid to the issue of intellectual
property ownership, since the law is counterintuitive to the expectations of
many lawyers and virtually all mis personnel. Most mis personnel take for
granted that the party that commissions and pays for the development of
computer software will be the owner of what is produced. That used to be
the law in many jurisdictions. However, statutory changes to the “work made
for hire” rules and a relatively recent decision by the United States Supreme
Court have resulted in a different state of the law. Suffice it to say that in the
vast majority of cases, software written by independent contractors is owned
by the independent contractor absent an express, written assignment of rights
to the commissioning party.
In considering proprietary rights, many parties react instinctively by insisting that they must “own” the resulting work product in a development project.
As with all transactions in intellectual property, proprietary rights in software
are a function or price. As with any business transaction, the needs of the parties and the economics of the situation should dictate how intellectual property rights are addressed. In some cases it will be important for a customer to
“own” the system, and in such cases the customer should expect to pay the full
development cost and bear the expense of ongoing maintenance and support.
In most cases, however, it will be beneficial for the customer to share the cost
of development and ongoing support with other, similarly situated users. The
driving factor should be for each party to take into account its real needs and to
then ensure that a well-written contract defines its rights in ways that will enable
it to derive all of the necessary foreseeable benefit from the transaction.
VII. source code access
Computer programs are written in a variety of programming languages. These
range from so-called “high level languages” such as Basic, Fortran, C++, Cobol and Pascal, to so-called “low level languages” such as assembly language
or Assembler. The programming language or “code” in which the program
is originally written is called the “source code” version of the program. It is
common for programmers to incorporate into the source code various textual
comments that explain the purpose and operation of the code they write. Such
comments are ignored by the computer, but they are very important to any
future programmer who wishes to understand the program in order to correct
defects or make modifications. The technical design and specification documents that explain how the program was designed and written are similarly
very important.
The computer, however, does not execute the source code. Rather, the
computer executes something called the “object code” version of the program,
which is the source code translated into a binary (1’s and 0’s) expression of computer instructions. In an effort to protect proprietary programming methods
or to maintain an exclusive market in the ongoing support of their products,
many software vendors furnish software in object code form only. This makes
it virtually impossible for the customer to correct, maintain or enhance the
software without the vendor’s assistance and puts the customer at considerable
risk of being unable to do so at all if the vendor, for whatever reason, fails or
refuses to do so.
Where software is furnished in object code form only, the vendor will generally consider its source code and technical documentation to be the “family
jewels” of its business and will guard them quite jealously. When considering
whether to require some level of source code access, several points should be
borne in mind. First, it will generally be impossible to maintain, modify or
enhance the software without access to the source code. Second, it may be impossible or impractical to maintain, modify or enhance the software even with
access to the source code. Third, absent an express contractual right to do so,
the customer may have no right to maintain, modify or enhance the software.
Fourth, modification of the software can introduce unintended “pathological”
defects in the way the program operates and may void any ongoing warranty,
maintenance or support obligation the vendor may otherwise have. However,
to accommodate customers who refuse to take the risk that vendor support may
become unavailable at some point down the road, custom software vendors are
often willing to agree to source code escrow arrangements.
Under these arrangements, the vendor will agree to deposit its source code
with a designated third party escrow agent, to be released to the customer upon the
occurrence of one of a number of specified events. When entering into a source
code escrow agreement in the custom software context, there are a number of
critical issues that should be considered. The most important of these issues
are the vendor’s deposit obligations, the customer’s inspection rights, and the
escrow release conditions.
The vendor should be required to deposit all design specifications, documentation and development notes with the escrow agent. In addition, the
software vendor should be required to update its deposited source code with


the escrow agent whenever there is a new update or release of the software. The
escrow agent should periodically provide both parties with notice regarding
which version of the source code is currently in escrow. If there is to be a source
code escrow or similar arrangement, it is vitally important to ensure that the deposit copies of the source code, specifications and technical/user documentation
are kept up to date with the most current release.
Custom software vendors will frequently seek to have only one release condition –bankruptcy. However, by the time a software vendor enters bankruptcy,
support and maintenance of software will often have been severely neglected.
In addition, such bankruptcy-contingent release conditions may not even
be enforceable once the software vendor has entered bankruptcy. For these
reasons, customers must require somewhat broad release conditions that tie
release of the source code not only to the vendor’s discontinuance of business,
but also to material breach in its failure to furnish the customer with contracted
maintenance or support.
V I I I . h a n d l i n g o f c u s t o m e r d ata
In all development and outsourcing relationships, vendor personnel will inevitably have access to customer data, either on site or off site. Not only are
the data and their confidentiality important for the customer’s own strategic
business purposes – they may include information that is confidential or proprietary to the customer’s customers or to others to whom their confidentiality
is important. Their confidential treatment may even be regulated by law, as in
the case of health care and financial information.
For these reasons, it is important in all such transactions not only to restrict
access to such data to only those of the vendor’s personnel who reasonably
require access in order for the vendor to perform its duties, but to also provide
contractually for how the data will be treated. A typical confidential provision
might be as follows:
To the extent that Vendor comes into possession of any non-public data or records or
any proprietary or confidential information of Customer, Vendor will not use any such
information for any purpose other than performance of this Agreement and will not
disclose any such information to any third party without Customer’s express consent.
This restriction shall not, however, apply to information that: a) is or becomes publicly
available other than as the result of a disclosure by Vendor, (b) becomes available to
Vendor on a non-confidential basis from a source other than Customer which is not
prohibited by obligation to Customer from disclosing such information to Vendor,
(iii) is known by Vendor prior to its receipt from Customer without any obligation of
confidentiality with respect thereto, or (iv) is developed by Vendor independently of
any disclosures made by Customer to Vendor.
In proper cases, such restrictions should apply not only to the customer’s data,
but also to other confidential information concerning the customer’s business
methods and plans. In addition, there are elaborate measures that can be prescribed for the specific handling and safeguarding of the customer’s data, but
the particulars will depend on the circumstances of each case.
I X . s u p p o r t a n d m a i n t e n a n c e o b l i g at i o n s
As mentioned earlier, ongoing support and maintenance arrangements are very
common in the custom software context. The same vendor that designed and
developed the software for the customer is most often best equipped to provide
continuing support and maintenance. Despite this, support and maintenance
agreements should still be carefully drafted to ensure that the customer receives
the highest levels of support it is willing to pay for. At a minimum, vendors
should agree to respond to documented defects, fix bugs and make minor improvements to the software.
Custom software will almost always require more support and maintenance
than off-the-shelf software. By far, the most critical issue when negotiating
support and maintenance is the speed at which the service provider resolves
problems. Service providers are often hesitant to commit to specific timetables
for the resolution of software bugs. However, customers should always require
a guaranteed timeframe in which software problems are resolved. These timeframes can be made to vary depending upon the seriousness of the problem by
negotiating tiered “service levels” that tie the nature and severity of the defect
to a specific timeframe for resolution.
The number and definition of service levels will vary substantially depending upon the complexity and scope of the software implementation. However,
each tiered service level should clearly define the nature of the defect to which
it applies, a time period for acknowledgment of error reports, a timeframe for
resolution of the defect, and a standard for vendor accountability. Using such
a system, the most serious defects, such as those that cause loss of essential
functionality or corruption of data, are dealt with swiftly, while those that are
less important, such as a cosmetic defect, are dealt with on a relaxed timetable.
A typical tiered support provision might appear as follows:


A . s e rv i c e l e v e l 1
i. Definition. A Documented Defect that causes, (i) loss or corruption of data,
or (ii) failure of essential Licensed Software functionality.
ii. Response Time. Vendor shall provide an initial response to Service Level
1 Defects within one (1) hour of receipt of defect documentation.
iii. Response. Vendor will immediately assign appropriate personnel to
diagnose and correct the Documented Defect or identify Circumvention Procedures. Vendor’s initial response will include an acknowledgement of notice
of the Documented Defect, confirmation that Vendor has received sufficient
information concerning the Documented Defect, and an action plan for resolving the Documented Defect and avoiding further deleterious consequences of
the Documented Defect.
iv. Resolution Time. Vendor will use its best efforts to resolve such Documented Defect within one business day, and in any event as promptly as reasonably possible.
v. Limitations. Vendor’s responsibility for lost or corrupted data is limited
to assisting the Customer to restore the database to a known, accurate state.
B . s e rv i c e l e v e l 2
i. Definition. A Documented Defect that causes failure of essential Licensed
Software functionality with an existing Circumvention Procedure.
2 Defects within one (1) business day of receipt of defect documentation.
iii. Response. Vendor will promptly assign appropriate personnel to diagnose
and correct the Documented Defect. Vendor’s initial response will include an
acknowledgement of notice of the Documented Defect, confirmation that Vendor has received sufficient information concerning the Documented Defect,
and an action plan for resolving the Documented Defect.
iv. Resolution Time. Vendor will use commercially reasonable efforts to
resolve such Documented Defect without the need for Circumvention Procedures within five (5) business days, and in any event as promptly as reasonably
possible.
C . s e rv i c e l e v e l 3
i. Definition. A Documented Defect that causes failure of non-essential Licensed Software functionality.
3 Defects within two (2) business days.
iii. Response. Vendor will assign appropriate personnel to diagnose and correct the Documented Defect or identify Circumvention Procedures. Vendor’s
initial response will include an acknowledgement of notice of the Documented
Defect, confirmation that Vendor has received sufficient information concerning the Documented Defect, and an action plan for resolving the Documented
Defect.
iv. Resolution Time. Vendor will use commercially reasonable efforts to
resolve such Documented Defect within ten (10) business days.
D . s e rv i c e l e v e l 4
i. Definition. A Documented Defect that causes failure of non-essential Licensed Software functionality with an existing Circumvention Procedure.
iii. Response. Vendor will deliver to the Customer correcting software.
Vendor’s initial response will include an acknowledgement of notice of the
Documented Defect, confirmation that Vendor has received sufficient information concerning the Documented Defect, and an action plan for resolving
iv. Resolution Time. Vendor will deliver to the Customer correcting software
with the next version release.
E . s e rv i c e l e v e l 5
i. Definition. A cosmetic or other defect in the Licensed Software that does not
qualify as a Service Level 1, 2, 3 or 4 defect.
iii. Response. Vendor will deliver to the Customer correcting software.
Vendor’s initial response will include an acknowledgement of notice of the
Documented Defect, confirmation that Vendor has received sufficient information concerning the Documented Defect, and an action plan for resolving
iv. Resolution Time. Vendor will deliver to the Customer correcting software
at Vendor’s discretion in a version release.


E . ac c e s s t o v e n d o r s e rv i c e
i n c i d e n t t r a c k i n g d ata b a s e
Throughout the time that any Documented Defect is pending and unresolved,
Vendor will provide the Customer with online access to Vendor’s Service Incident Tracking Database for the purpose of tracking the status of Vendor’s
resolution efforts.
No matter what terms are arrived at by the customer and the support and
maintenance provider, it is very important that a timeframe for updates regarding the progress of problem resolution be clearly provided for. Communication
during error resolution is key to accountability.
In addition, it is important that customers plan ahead to control future
costs associated with support and maintenance. For this reason, customers
should make sure that limits are placed on the amount by which support and
maintenance costs can be periodically increased over the anticipated useful
life of the software and that the service provider cannot terminate support and
maintenance during that period for any reason short of nonpayment over an
extended period of time.
stephen j. davidson
da n i e l m . b rya n t
B2B exchanges: lessons from the traiding pit
introduction
During his first earnings call as the head of Ariba Inc., ceo Robert Calderoni took
pains to distance his company’s purchasing products from the term B2B and from IT
solutions in general. Calderoni said, ‘I don’t know what B2B means. I don’t know
what collaboration means. I do know what helping customers and saving money is all
about. B2B sounds too much like tech and Internet hype to me’.
On May 4, (2001) The Wall Street Journal announced in a headline, ‘GE Reshuffles
Its Dot-Com Strategy to Focus on Internal Digitizing.’ So far, GE has realized only
5% of its revenue through the Internet, far short of its goal of 30%. Its suppliers
wouldn’t readily convert their formats and methods to fit GE’s systems. I also suspect
that suppliers finally realized that if their systems were latched into GE’s supply systems, their bargaining power with GE would diminish. Apparently, GE’s visionaries
didn’t fully consider that implementing B2B is as much a political phenomenon as it
is a technological one.
Companies should focus on, and measure improvements in, margins on both sides of
any B2B relationship, says Kevin O’Marah, service director for supply chain strategies
at amr Research. If your supplier or any other trading partner does not see a positive roi
from B2B, the supply chain changes intended will not stick. The key is to use simple
metrics and insist on real roi in the short term.
Not unlike the Hydra from Greek mythology, B2B is a multi-headed amalgam
of technology and commerce where as soon as one head is severed, two more
emerge in its place. Conceptually, B2B encompasses the historical breadth and
depth of commercial exchange between businesses, but with a subtext that
includes the exchange of information tied to the trade of goods or services
via an electronic computer network. Couple the mechanics of B2B with the
spirit of invention and entrepreneurship that is so well ingrained in the United
States and add a dash of economic instability and you begin to see the recipe
for the hydra-like qualities of B2B Exchanges in today’s marketplace. Regardless of the sudden drop in venture capital and the reverberating death toll of
Internet-driven businesses, B2B entities and initiatives continue to emerge
and/or reinvent themselves in an effort to capitalize on the ever-developing
infrastructure of networked electronic exchange.
Computerworld.com “Ariba ceo attempts to divorce B2B label” by Michael Meehan. October 25,
2001, at www.computerworld.com/storyba/0,4125,nav47_sto65037,00.html.
Computerworld.com “GE’s B2B Retreat” by Paul A. Strassmann. July 2, 2001, at [www.computerworld.com/cwi/story/0,1199,nav47_STO61771,00.html].
EbizQ. “The roi of B2B Networks” by Nick Brox, senior vice president, ipnet Solutions at [http://
B2B.ebizq.net/exchanges/brox_1.html 06/25/01].


The three quotes stated above offer compass points on the initial reaction
to the first wave of the B2B initiatives that were borne from the heady days of
inflated valuations of anything associated with the Internet. The return to sound
business economics has brought the focus of B2B back to the gains businesses
may reap from improved business processes that spring from technological
innovations grounded in sound business principles, including such things as
cultural training and instruction, and away from the fascination of technology
for its own sake. The commonality that unites the comments stated above lies in
the “soft” people issues that reside in business cultures and not in the software
that run on computer systems. While the implication that problems with the
technological performance of the B2B infrastructure is exempt as a cause of
market failure for some exchanges is overstated, the fact remains that application and acceptance of B2B initiatives on an individual and business cultural
level can not be ignored as the coup de grace. The advantages of B2B processes
must be readily apparent to all sides of the trading pit, or the mechanism of
exchange will be suspect and fail to gain integration into the normative business
practices of the participants.
Perhaps the most startling example of the preeminence of the soft people
issues in B2B is the stranger-than-fiction example of Enron Corporation. A
dramatic and precipitous drop in customer confidence that left a former Fortune 7 company in a state of financial dismemberment is Case Study n.º 1 for
emphasizing the need for sound relationships over technological expediency.
Bright line conflicts of interest and debt-hiding slight of hand accounting
practices aside, Enron’s public relations crises emerged from a perception that
it could not meet credit expectations inherent with its futures trading– this
attributed to a company with US$49,8 billion in assets. While Enron’s fate
has produced the largest bankruptcy filing in U.S. history, it has not stymied
futures energy trading through other B2B private and public portals. Rather,
rival Intercontinent Exchange recently reported a 133% increase in daily trading volume and a 400% increase in new user requests. Clearly, the exchange
model is not going down with the ship.
See “Trading giant Enron tumbles, Collapse raises new doubts about B2B” by Michael Meehan
and Julia King. ComputerWorld, December 3, 2001, [www.computerworld.com/cwi/story/0,1199,
nav47_sto66256,00.html].
See “Enron files largest claim for US bankruptcy” by Richard A. Oppel Jr, and Andrew Ross Sorkin.
New York Times, December 3, 2001.
See “Rivals thrive as Enron collapses” by Michael Meehan and Melissa Solomon. ComputerWorld,
December 10, 2001 [www.computerworld.com/itresources/rcstory/0,4167,sto66474_key52,00.
html].
Stephen J. Davidson – Daniel M. Bryant
In an unabashed display of hydra-like resilience, only weeks after Enron’s
bankruptcy announcement, the energy industry was introduced to a new B2B
player. ElecTrade, developed by energy trading and risk-management specialists, allows participants to execute deals that can vary by the hour and helps
clients optimize risk and portfolio management while reducing transaction
costs. ElecTrade is endeavoring to feed from the energy industry’s trough
of risk management by spreading risk among different exchange forums and
offering a micro trading platform –Enron’s former specialty. James Walker,
an analyst at Forrester Research Inc. in Cambridge, Mass., noted that rival exchanges “got started in the first place because users wanted to spread the risk
around”. That strategy proved fortuitous when traders began to flee en masse
from EnronOnline.
The events unfolding in the energy-trading marketplace are semiotic of the
developing language of B2B. That the syntax of this developing language must
be based on strong business fundamentals there can be no doubt; but there is
also no doubt that the efficiencies to be gained from B2B are inherent in the
structured increase in the flow of information. Just as the trading ships of old
presented new opportunities to the merchants of their day, so too does the new
means of commercial exchange bring new opportunities to our own day. But, as
then, intelligent, well-grounded business practices cannot be ignored.
This article will set out the basic structure of B2B entities and the various
agreements that create B2B relationships as well as present certain predictions
of future iterations of B2B in its broadest implication.
I . ¿ h ow i s a B 2 B e xc h a n g e s t ru c t u r e d ?
B2B electronic exchanges are business-to-business electronic marketplaces that
utilize the Internet to electronically connect businesses to each other in order
to facilitate market transactions. They have (or had) been characterized as the
new business development most likely to transform how business is conducted
in the twenty-first century. B2Bs are now estimated to handle billions of dollars
worth of market exchanges, primarily between buyers and sellers of commodities. At present, most B2Bs offer primarily topical industry content, auctions
and electronic-catalog listings that match buyers and sellers of commodities.
See “Web exchange seeks to fill Enron void” by Reuters, published at CNet News.com, December 12,
2001 [www.news.cnet.com/news/0-1007-200-8156351.html].
See Meehan and Solomon.


However, by 2004 analysts predict the volume of commerce exchanged through
B2Bs will range from US$2,4 trillion (Forrester Research) to US$7,29 trillion
(Gartner Group) (although these figure are frequently revised).
B2Bs began as single company Web sites that sought to migrate product
offerings to their own company Web site or portal. Industry-wide B2Bs began in
late 1999 and early 2000. B2Bs are primarily modeled as “vertical exchanges” or
“horizontal exchanges” and typically include functional offerings such as catalog buying, auctions, supply chain management and forecasting, collaborative
product development and a portal for industry information. Vertical exchanges
generally serve specific industries up and down the supply chain. Examples
of industries employing the vertical exchange model include the Automotive,
Aircraft/Aerospace parts, Chemical and Pharmaceutical.
Convisint is a B2B for the Automobile industry that includes a consortium
of Ford, GM, DaimlerChrysler, Renault and Nissan. Convisint connects the
world’s top automakers with over 30,000 suppliers and is forecasted to be the
largest exchange announced to date, with projected annual transactions of more
than US$300 billion. Horizontal B2Bs generally serve different industries
(albeit, related industries), span different markets and may offer value-added
services such as financing, logistics and transportation. Many vertical B2Bs
plan to expand their horizontal offerings as they become further entrenched
in their respective industries. (See asp Offerings below.)
Other types of emerging B2B exchange models include diagonal B2Bs
and regional B2Bs. Diagonal B2Bs generally support a specific type of buyer
or product category across multiple industries. An example may be a B2B that
facilitates the purchase and sale of electricity, natural gas, and liquefied fuels in
Latin American markets. Regional B2Bs serve a community’s businesses and
non-profit institutions of all sizes, focusing upon the unique needs of a wide
range of regional or local entities. Examples may include universities, hospitals, and other regional business centers such as a local division of the Small
Business Association.
Other common features of B2B include ownership and membership
parameters as well as functional considerations. Consider mts Corp. (mts),
a middle-tier supplier in the widget industry. mts may participate in one or
variety of the following exchange models.
Online Catalog-mts may either create or purchase its own supplies from
an online catalog that enables customers to search or browse product lines over
the Internet. If e-commerce functionality has been incorporated, customers
may also make purchases and set up shipping requirements. Online catalogs
are often open to a public market and rely on convenience as a primary incentive for customers.
Private Trading Network-mts could also participate in a private trading
network. By definition, a private trading network is not open to public markets;
rather, private participants exchange commodities and/or information over a
password protected Web site or via edi protocols. edi is, in most estimations,
the precursor to B2B and continues to provide the core mode of interchange
between numerous Fortune 1000 companies. Private trading networks operating under edi protocols are often on private or “value-added networks” that
are more readily malleable to increased security and reliability measures then
the open commons called the Internet.
Collaborative Design – a collaborative design B2B would allow mts engineers to use the Internet to work with supplier or customer engineers in order
to better integrate the mts product offerings up and down the supply-chain. An
interesting example of the collaborative design B2B offering is GE Polymereland. GE Polymereland offers its customers “wizards” to aid the design process
in ordering a countless array of plastic products. A simple wizard would allow a
customer to help them select the proper resin for a particular plastic product. A
more sophisticated wizard enables a customer with a cad drawing to interact in
live time with a GE Polymereland engineer, where both the customer engineer
and the GE engineer can look at the drawing via a secure Web page in order to
resolve technical issues.
Public Exchange – this type of exchange is what most people think of when
the term B2B is bandied about. In some ways, it may be thought of as a highbred
B2B and B2B offering in its attempt to maximize roi and general purchasing
efficiencies through volume. mts could also utilize the reverse auction features
of a public exchange, where a buyer seeks a bid from a group of sellers by posting an order and then (theoretically) sitting back and waiting for the sellers to
sort themselves out by lowest bid. More traditionally, buyers can also bid on
goods that may be in short supply or form a collaborative with other buyers in
order to benefit from economies of scale pricing.
Electronic Data Interchange. edi was the early manifestation of electronic trading and it continues
to be a dominant force in the age of the Internet as many companies have spent huge IT sums on the
deployment of electronic systems based in edi.
 edi is “a simple message format created in the 1970s by industry trade groups to reduce inefficient
paper-based communications between trading partners. edi lets two or more parties structure their
communications for transmission on a data network”. See Nick Wingfield. The Wall Street Journal
Reports on E-Commerce, May 21, 2001. A key distinction between edi based networks and Internetbased trading, is that edi takes place over value-added private networks that are more readily available
for security protections and reliability standards that the open commons that is the Internet.
 See Joel Kurtzman and Glenn Rifkin. Radical E: From GE to Enron-Lessons on How to Rule the
Web, pp. 43-45, John Wilely & Sons, Inc., © 2001.


Supply-Chain Management– together with such nomenclatures as “knowledge management” and “total visibility,” this type of B2B attempts to capitalize on the efficiencies of “just in time inventory” and other like management
initiatives of the streamlined modern corporation. Supply-chain management
software can be utilized in both private networks and public exchanges and is a
key component in many of these exchanges efforts to provide asp or horizontal
integration of enterprise management technologies. mts may use supply-chain
management software on both sides of the supply-chain so that both its suppliers
and its buyers have “visibility” with respect to its inventory requirements.
As noted in the Introduction, B2B continues to bloom with ever-new versions of the same theme, providing businesses with new modes and methods for
exchanging information and conducting business. While it is true that not every
bud will flower and bear fruit, as is evident from the sheer variety of iterations
of the B2B initiatives referenced above, the utilization of electronic networks
(including wireless networks) is likely to continue to flourish.
I I . c r i t i c a l i s s u e s f o r d r a f t i n g / n e g o t i at i n g
B2B agreements
As one can easily imagine from the variety of functions and participants noted
above, it is vitally important to define and document proper legal relationships
in the development and operation of a B2B exchange. From equity ownership
of the exchange, to infrastructure agreements, to membership agreements, to
content agreements, a B2B is a complex technical and legal structure that could
take any number of different business forms. While much depends upon whether
the exchange is public or private, owned by a consortium of industry players or
structured as a wholly owned subsidiary, there are several commonalities that
can be meaningfully categorized and discussed.
A. membership agreements
In the broadest sense, membership agreements run the gamut; from shareholder
agreements between equity owners of the exchange, to end user agreements
with exchange participants, to employee agreements. Membership in the exchange often involves a complicated set of considerations that must be closely
and carefully scrutinized. To illustrate the potential complexity of this, one
method of equity ownership and organization that has been put in place where
public companies are the equity players in the exchange involves three limited
liability companies and a “C” corporation. The limited liability companies of-
fer financial and technological investment platforms for the “C” corporation,
which in turn acts as the public face of the exchange. The “C” corporation has
an advantage with respect to employee issues and stock classification, while
the limited liability companies can offer structural and other advantages for
the equity parties.
Shareholder Agreements are agreements between equity owners of the
B2B which may include industry players or players across industries, depending upon the intended market of the B2B. They also may include financial or
venture capital entities or technology companies that provide the architecture
for the B2B. Another key consideration is the reversion of assets to the equity
owners upon dissolution of the exchange entity. As always, a careful eye should
be focused upon the details of possible dissolution when forming the entity.
Ironically, well-drafted consequences of dissolution can be an important aid in
keeping the parties together by creating the residual effect of forcing the parties
to think through difficult issues before they occur.
An often –touted issue regarding ownership of the exchange involves antitrust considerations– particularly where an industry consortium is the owner
of the exchange. A well publicized consortium of this type is Covisint, the
automotive-industry exchange. Covisint faced direct Federal Trade Commission scrutiny for potential antitrust violations during its founding, but the ftc
found no reason for immediate concern. While at first blush it may seem startling that staunch competitors would join forces in an expensive entity venture,
streamlining the auto parts purchasing channels was considered a win-win for
all participants. Covisint is also an example of a vertical exchange, in that it was
developed to reduce the costs of building automobiles by linking raw materials,
parts suppliers and production plants. Some day, more collaborative features
may be incorporated into the exchange that will allow customers to custom
design an automobile and drive it off the lot, all within a very short time.
The form and specific content of shareholder agreements will likely depend
upon the model of the exchange (i. e., public exchange or private network), the
entities involved, and their relative goals and bargaining power and funding
sources, both at start-up and over time. Another consideration will be whether
the goal of the shareholders is to take the entity public or keep the exchange
private. The corporate structure of an exchange can be extremely complex,
or an organization may simply call out the B2B initiative as part of its normal
business processes without any additional legal structural issues. To date, however, most public exchanges have involved multiple shareholders from diverse
backgrounds, many of whom will provide employees to the exchange, particularly during the start-up phase. (See Employee Agreements below). Related to
shareholder agreements are the associated governance issues.


Governance Issues include general joint venture and consideration issues,
as well as antitrust concerns. Special challenges include getting competitors to
work together and share information, dis-intermediation of traditional third
party channels, capitalizing on the network effect where size increases the
competitive advantage of the B2B and maintaining independence from key
shareholders, and well as the sharing of aggregated user data. It is important
that the parties involved have openly communicated their concerns about such
things and have considered the special issue of cultivating the exchange culture.
Will it be a highbred of the various owners, or is it best to adopt an entirely
different mode of relating to a customer base? It is particularly important here
to not alienate the governing entities’ traditional customers in their attempt to
revitalize relationships through the new venture.
GE is instructive as an example of the issues at play in this area. Jack Welch,
former ceo of GE, decided to keep GE B2B initiatives in-house, including the
development of the architecture of the B2B. Mr. Welch made B2B or e-business the top company priority in 1999. Such high level direction and support
is essential to overcome the inertia of “business as usual” and is integral to the
creation of a corporate culture that embraces the continuous change of e-business. Mr. Welch felt that he could best manage the cultural component of GE’s
e-business initiatives if it was managed solely be GE executives. This type of
cultural cultivation of e-business is difficult to create if the B2B entity involves
industry leaders, venture capitalists, and technology partners, because there
is often a great degree of varying interests that may be difficult to bridge. The
governance structure and the attendant leadership skills of management (often
former executives or former consultants of the equity shareholders in the B2B)
are key ingredients in the success or failure of the venture.
Membership Agreements are agreements between B2B market participants
that may include advisory board agreements, terms of use and privacy agreements for users of the B2B, and membership agreements for end users of the
B2B in order to gain access to the trading functionality of the B2B Web site.
Data ownership, credit issues, service level guaranties (similar to asp service
level agreements) and privacy issues are all areas of prime concern for both
end users of the exchange and the exchange itself. As the exchange works to
incorporate more and more of its users’ enterprise IT needs into the exchange
through a variety of horizontal offerings (see asp and Content Offerings below), these issues gain increasing importance to both sides of the membership
 Ídem.
agreement. As noted in the Introduction regarding the demise of EnronOnline,
credit issues in an auction exchange or futures exchange can be of paramount
importance to all of the exchange participants, since trust that the market
transaction will take place as bargained for is vital to the exchange being seen
as a viable market force.
Employment/Contractor Agreements are agreements between employees or
contractors and the B2B. This is often a multifaceted area because many of the
first employees of a B2B are loaned or contributed by a shareholder entity. It is a
particularly complex issue in situations I involving entrenched single-industry
competitors who contribute employees or independent contractors who possess
knowledge or information considered highly confidential or proprietary to their
respective companies. In some cases, due to personal or business considerations,
that same employee may later re-join the shareholder entity creating additional
enmity among the B2B shareholders. Yet it is often of vital importance to the
successful deployment of the B2B that individuals or teams of individuals with
inside knowledge of the IT and cultural organization of the equity members of
the exchange be closely involved throughout the build-out and maintenance of
the B2B engine. As with ElecTrade noted above, at a minimum the developers
should have a deep understanding of the complexities of the particular industry
or industries in which the exchange will operate.
A somewhat related point, further discussed in the section on infrastructure
agreements, is the issue of ownership of the technology of the exchange. Will
the work performed by employees or contractors be a “work for hire” or assigned under the copyright laws? Will the equity holders of the exchange have
additional license interests in the technology? Will the employees be required
to sign non-compete agreements that may bar them from working in industries
in which they have their greatest experience? Winning this type of concession
from a potential employee or contractor has become much more difficult since
the disappearance of the cornucopia that was Internet stock accretion. Regardless of where an exchange entity comes down in its assessment of employee and
contractor issues, it is an area that must be properly documented in order to
assure the intended legal effect.
Joint Venture or Strategic Partnership Agreements have become an increasingly common way for exchanges to build out functionality and marketing
initiatives while mitigating the risk of the effort through limiting the exchange
entity’s exposure to the investment and opportunity costs inherent in the proposed venture. Building an alliance between exchange participants is critical to
creating the critical mass necessary to win the efficiencies that are the promised
consequences of a B2B. As used herein, the notion of exchange participants


must be read in the broadest possible way. Participants in the exchange include
technology providers, financial investors, marketing organizations, horizontal
distribution or logistics offerings, strategic planners and infrastructure providers, to name but a few.
The exchange entity would do well to consider whether it is best served
by outsourcing any or all of these relationships, either through typical service
agreements or through strategic partnership arrangements with “best of breed”
providers. As the numbers bear out, B2B exchanges can be extremely expensive
enterprises, both in their development and in their ongoing operation. This
decision will be based largely on the strategic vision of the exchange. If the exchange is intended to be a corporate portal with e-commerce and collaborative
functionality, it may be deemed best (as in the case of GE) to keep all aspects
of the exchange in-house. On the other hand, if the exchange is intended to
be an industry-leading public platform, it may most productive to promote
the attraction of a critical mass to the site by providing “sticky” horizontal
offerings, including engaging content. This is often accomplished through
strategic alliance agreements that drastically reduce the cost associated with
the development and time-to-market concerns attendant upon the creation of
such assets in house.
Often, alliance relationships are financed through revenue sharing schemes
and/or set down in the corporate books as a marketing expense, as the aligning
company hopes to generate additional business through the buzz associated
with the exchange as a whole. As will be further discussed below, an asp offering may be charged to an exchange’s end users as a value-added component,
with separate or integrated billing passed on from the exchange to the asp.
Co-branding is usually a big incentive for both the exchange and the alliance
provider. As with most issues regarding trademarks and branding, close attention to mark integrity and associated goodwill should be carefully monitored
by both entities. Exclusivity or industry carve-outs in the licensing agreements
should also be considered by both sides in the relationship to provide potential
differentiation between exchanges in an industry or market. Licensing and
ownership issues will again be of crucial concern, as joint materials may be
developed and confidential information or other intellectual property is likely
to be communicated.
As is evident from the breadth of relationships articulated above, member or
stakeholder interests in the B2B are numerous and complex. Conflicts of interest
abound and lay in wait for the careless and the overly aggressive (see comments
in the Introduction regarding EnronOnline). It is typical for the B2B to change
over time as its architecture matures and the markets make evident their com-
fort level with the proffered exchange platform. Consequently, an eye toward
flexibility and reinvention in the definition of these relationships may make the
difference between and ultimately successful venture and a “dot bomb”.
B. infrastructure agreements
The Internet makes B2B possible by providing the infrastructure for the exchange of information based (at least at present) in large part upon extensible
mark-up language (“xml”). xml is the universal e-commerce alphabet that
allows different computer platforms to communicate via the Internet. B2Bs
typically interact in conjunction with a company’s “back-office” legacy system
that allows the flow and tracking of information between a company’s legacy
systemand the B2B Web site. B2B enablers provide the market exchange
software and other architectural features of the B2B that power the electronic
marketplace that facilitates the actual transactions that occur on the B2B. Vendors of B2B marketplace software include VerticalNet, Commerce One, Oracle,
FreeMarkets, Ariba, I2, and GE Global Exchange Services.
Most entities that make the decision to migrate legacy software functionality to the B2B share a variety of common goals, which include moving internal
support functions outside of the enterprise, standardizing the internal interface
system with external B2B interfaces, conforming heterogeneous legacy systems
to industry-wide standards, outsourcing supply acquisitions, and reallocating
the risk associated with material acquisition outside of the enterprise. The
much-touted efficiencies of the B2B often rely upon successfully actualizing
these standards, many of which are not wholly within the internal control of
the migrating entity.

xml is a pared-down version of Standard Generalized Mark-up Language (sgml– it specifies the rules
for tagging elements), designed especially for web documents. It allows designers to create their own
customized tags, enabling the definition, transmission, validation, and interpretation of data between
applications and between organizations.
 An application in which a company or organization has already invested considerable time and money.
Typically, legacy applications are database management systems (dbmss) running on mainframes or
minicomputers. An important feature of a B2Bs applications is the ability to work with a company’s
legacy applications, or at least import data.
 A word of caution – “Nothing off the shelf works perfectly,” noted Tim Clark. an analyst at Jupiter
Research Inc. in New York. “I think a lot of people are doing a Version 1 of a marketplace out of the
box, then customizing in Version 2 to make it more appropriate for their industry”. Increasingly, B2Bs
are incorporating hosted software applications into their service offerings on the B2B web site and
consequently are adding Application Service Provider (asp) or Vertical Service Provider (vsp) to their
portfolio of offerings.


Supplier Contracts are agreements with hardware and software vendors,
including Web site and technology developers, as well as consultants and
content providers. Integration and interoperability with all elements of the
exchange architecture are of vital concern to the build out of the exchange.
Development agreements with detailed statements of work and well-structured
warranties may be a hard fought negotiating process, but will more then likely
be well worth the struggle and the legal investment. This may be particularly
important where start-up software companies are concerned. The last two
years are replete with stories about revolutionary new software programs with
tremendous differentiation potential that become developmental and resource
black holes. If a start-up is to be engaged to provide critical systems, the hiring exchange must factor in the risks of bankruptcy, merger or acquisition of
the supplier and compatibility with related platforms and programs, such as
internal and customer IT systems.
The reverse is also true in cases where the supplier is one of the founding
entities of the exchange. Many of the advances made in this space have come
from the licensing of trade secret information of the exchange’s traditional
founding companies to create horizontal functionality offerings, such as coupling logistics management with ‘just in time’ strategies for ordering inventory,
streamlining administrative tasks, and connecting suppliers”. To this end,
often times the license agreement associated with the creation of a horizontal
offering, such as the one described above, will involve patent, copyright and
trade secret elements that must be specifically identified and parsed out in appropriate licensing terms.
If the B2B owner is planning its deployment as an internal operation (e.g.,
linking e-procurement with its enterprise system, then a tête-à-têtes must occur between the various departments affected by the creation of the e-business
offering. This may include examining the relationship between the e-procurement system and the logistics, operations, sales and marketing, and accounting
systems to name but a few. As any IT manager will tell you, this task is anything
but simple, and if you throw into the mix some sort of interface with a third
party exchange site, the task can become a significant resource drain. Again, as
GE discovered, this all must be done with an appreciation of the cultural and
other relationships between the deploying entity and its customers. If any link
in the chain feels week and/or disadvantaged by the new system, its failure is
only a matter of time.
 See Michael Rustad and Cyrus Daftary. E-Business Legal Handbook, Aspen Law & Business, 2001,
at p. 329.
In short, the B2B proprietor must focus on a number of considerations in
developing the B2B, including: exclusivity agreements involving both developers and B2B participants; ownership of software and other intellectual property;
the treatment of trade secret information that may provide a competitive advantage over other industry players or suppliers; branding issues regarding the
B2B itself or various software or content providers; and capture valuation that
results from the increased efficiencies that may eliminate third party suppliers.
It cannot be overstated, particularly were consortium exchanges are involved,
that changing one’s stripes in a challenging enterprise. Existing competitors
suddenly cooperating with one another by disclosing such sensitive information
as price lists, discount policies, and historical selling information is a remarkable statement about the belief these companies have in the advantages to be
gained from B2B initiatives.
C . a p p l i c at i o n s e r v i c e p r o v i d e r a g r e e m e n t s
Application Service Providers (asp) are becoming an ever more important mode
for distributing software, particularly where that software is to be integrated
with other managed services or enterprise solutions. asp agreements usually
involve at least two primary components. The first is the claimed functionality
or performance metrics of the software program itself. The second involves the
hosting of the software, including security, data storage, privacy and other related
issues. The asp model has the same benefits and many of the same concerns as
other technology outsourcing agreements. Benefits of the asp model include
allowing the B2B to focus on the core business rather then spending valuable IT
resources on software development and maintenance. Another benefit includes
the rapid deployment of the software application. The asp model eliminates the
need to evaluate, purchase, deploy and test hardware and software configurations, which reduces deployment times exponentially.
Often key for the B2B is the scalability and flexibility that an asp can provide. Whether adding new customers or expanding functionality offerings,
the asp model shifts the burden to the asp, whose core business is providing
this service, rather than the expanded software offering being merely a necessary side project for the in-house IT department. Arguably, the asp will be in
a better position to respond to or even lead changes in market conditions, as
leveraging a fluid software service is the core function of the asp entity. The
asp entity should be able to pass on reduced costs for security protections,
since the asp can amortize its security expenditures over its entire customer
base. Assuming high connectivity between the asp and the B2B, the software


performance will likely be superior, since the asp devotes its full time and attention to its software product. Certainly one of the most important aspects of
the asp model is the cost savings it can provide by alleviating the need for the
B2B to purchase a license and assume the associated hardware, personnel and
other infrastructure costs.
The potential advantages, many though they are, may still not outweigh
the inherent risks associated with the asp model. The ability to customize the
software application is often relinquished with the asp model. The Internet still
presents security and connectivity concerns that can be guarded against in a
service level agreement with the asp. However, discounted user fees (a usual
remedy in slas) may be no substitute for the loss of customer confidence in the
exchange, particularly where the B2B is operating in a competitive marketplace
or an industry that is slow to adapt e-business solutions. Another disadvantage
involves the flip side to the advantage of a faster autonomous product development cycle. The B2B may have no or very little control over the product mapping
plan. Consequently, the exchange could be hindered in its own development
cycle or could lose differentiation by granting control over the management of
its functionality to an outside entity.
The location of customer or internal data is also an important issue for the B2B
to address. While many asps will concede that ownership of the data lies with the
generator of the data, the fact is that the data will reside on the computer systems
owned or controlled by the asp. The asp will often take a license to use aggregated
versions of the data for internal and marketing purposes that do not utilize personally identifiable information. Both sides of the asp transaction need to understand
that personally identifiable information presents a minefield of potential privacy
implications. This is particularly the case where information is flowing between
companies outside the U.S. (consider the EU Directive on Data Privacy). The
B2B may need to contract for access to its own data generation, or it may wish to
contractually prohibit the asp from using the data in a way that would enhance
or even embolden the B2B’s competitors through disclosure of traffic patterns or
market penetration reports. The fact also remains that by definition, an asp requires
online access to utilize the proffered functionality of the asp. This, too, may create
unplanned for consequences for the B2B consumer of asp services.
Belief in the viability of the asp model is evidenced by the fact that Microsoft
itself is shifting its focus to just this type of deployment method in licensing one
of the worlds greatest blocks of assets. In addition, one of the most recent hot
areas in e-business is the concept of Web services, whereby companies such as
ibm seek to migrate an entity’s entire enterprise operations to a Web environment
managed, hosted and maintained by ibm. Web services are a natural extension of
B2B and hold promise as the next step along the evolutionary trail. Again, with
economies of scale that can be leveraged by Web services, the notion of custom
tailored programming will likely gain ever more favor with companies seeking
the potential savings such services offer. With companies such as Microsoft, Sun,
Hewlett-Packard, Oracle and ibm all advancing significant resources toward the
development and promotion of Web services as their core software strategies for
the foreseeable future, it is the closest thing to a foregone conclusion that every
business will need to seriously consider the prospect of utilizing Web services
in its organization in some way.
D. content distribution agreements
Frequently, content and cross branding will work in tandem to further augment
the intended synergies in the commercial relationship between the parties.
The content may include promotional material, links to Web-based software
functionality, or access to a database, such as digital catalogues, inventory levels
and purchasing history. In addition, promotional or marketing materials are
also usually included in cross-branding agreements as well as the procedures
and actual content of a joint press release announcing the marketing effort.
Caution must be exercised, however, so as to avoid the inference or creation of
a partnership or joint venture if one is not intended.
Many B2B exchanges will attempt to offer topical industry content, such
as the now defunct Rooster.com’s (an consortium of agricultural players who
created a B2B commodity exchange) offering of weather reports, farm forecasts, yield calculators and other pertinent add-ons to the core functioning of
the site, whose mission which was to trade agricultural commodities. Some
content providers will charge a straight fee for their service, while others will
attempt to create synergies for their own core offerings in cross-branding
agreements. One thing is certain; content is expensive to produce because it
needs to be continually refreshed. Content drives user traffic, and compelling
content creates “sticky” sites, which in turn often generate dollars for their
owners. Because many B2Bs have as one of their prime goals the desire to be
an industry crossroads for all participants in the marketplace, the inclusion of
compelling content is crucial.
 See “Web services; The next big thing?” Barb Gomolski. (Infoworld), ComputerWorld, October 1,
2001.


If content pushes traffic on the Internet, it is advertising and cross-branding
agreements that create the intersections of commercial interest that spring up
like boomtowns in the old west. “Cross-branding agreements effectuate ‘front
end’ integration of the product or service offerings of two or more companies,
employing the brand names of the parties to the transaction in a manner designed to draw each party’s customers to the other party’s goods and services”.
Advertising and cross-branding agreements attempt to create synergies between
commercial ventures that capitalize on complimentary product or service offerings. Just as technology and content licensing agreements often involve
reciprocal licensing rights to further the respective commercial interests of
both parties, so too do advertising and cross-branding agreements.
Advertising and cross-branding agreements typically require that each
party grant the other party the right to use its trade or service marks in accordance with specific rules for their use. Most large companies have trademark
guidelines for use of their marks, both internally and by third party licensees,
which are often incorporated into the license agreement. The guidelines may
be attached as an exhibit to the licensing agreement and may include color and
font specifications, as well as a digital image of the mark in the electronic version of the agreement that can be digitally pasted onto the appropriate place
in the licensee’s Web site. The important concern here for the B2B is that the
exchange have a consistent marketing message and that it not end up looking
like a professional race care, with sponsor decals pasted all over the pages.
An important common denominator between content, technology and
cross-branding agreements involves the identification of the specific intellectual
property rights in play and the attempt to keep ownership and license rights
clearly delineated throughout the term of the relationship and beyond. Since
the branded product or service becomes part of the content of the Web site
in a co-branded marketing agreement, the intellectual property rights of both
the advertiser and the Web site proprietor become somewhat more difficult to
separate.
Accordingly, in such an agreement, the parties are cautioned to explicitly
state what intellectual property rights, whether they be trademarks, copyrights
or even patents, are intended to be part of the co-branded marketing strategy
and who will own these properties, both during agreement and post-termination.
“[Additionally], since the intellectual property of both parties will necessarily be
 T. Williams Alvey. iii, Esq., Business to Business E-Commerce, Strategic Alliances, Co-Branding and
Joint Ventures, Twenty-First University of Southern California Computer and Internet Law Institute,
May 11, 2000.
used by the other, a limited license to use these properties is typically granted
in such agreements”. The license grant should most likely be non-exclusive
and non-transferable in order for the licensor to maintain requisite control over
the intellectual properties being licensed.
III. p o rt e n t s o f t h e f u t u r e
What does the future hold for B2B exchanges? We can be certain that it will
continue to evolve and respond to market and technological forces and opportunities. We can also be certain that it will not go away. Considering that edi
has been in use since the 1970s, B2B can hardly be labeled a fad. In addition,
some of the largest companies in the world continue to pour millions of dollars
into various iterations of the B2B concept. B2B is a fact of business and is one
that will be with us for the foreseeable future.
That said, what new forms might B2B take? Web service models based on
integration with existing legacy systems and asp and B2B offerings have been
claimed as the new new wave of the future by many analysts. Wireless application integration with wired B2B is also a seemingly inevitable outcome. As pda
and cell phone technology merge to become even more useful devices, business
enterprises will look for ways to return productivity gains to their late 1990 levels.
We can be certain that the technology will evolve far faster then our personal
and business cultures can integrate it into the daily patterns of interacting with
others and conducting business. If the focus remains on the incremental gains
that technology can bring and on real roi measurements, then the rise of B2B’s
acceptance may be steep. But if businesses allow unfettered opportunism and
a love of technology for its own sake to rule the day, we may see an extremely
bumpy road ahead for the prodigal son of technology and commerce.
 See Gregory J. Battersby and Charles W. Grimes. Drafting Internet Agreements, Aspen Law &
Business, 2000, pp. 2-23.

g u i l l e r m o ta m ay o
El internet y en especial el comercio electrónico han provocado que el consumidor medio entre en contacto con productos o servicios ofrecidos en el mercado
a través de un medio de comercialización distinto al tradicional. El comercio se
enfrenta a la desmaterialización, a la migración del concepto de lo tangible hacia
el comercio vía electrónica, en el que el consumidor, lenta pero seguramente,
está depositando su confianza en este nuevo sistema de intercambio, altera su
paradigma de apego a lo material o al medio físico.
En este momento de transición del medio utilizado por el consumidor para
adquirir productos o servicios, es importante que se brinden las garantías para
que el comercio realizado por esta vía siga manteniendo el incremento sustancial
que ha venido mostrando. Sin embargo, se han presentado prácticas desleales
por parte de algunos comerciantes y, en algunos casos, hechos fraudulentos por
parte de delincuentes que alteran y minan la confianza de los consumidores y
ponen en riesgo este sistema de comercialización.
Es común oír hablar de los “spams” o “pup-ups”, de los “spyware” y recientemente de los “scams” del “phishing”, “pretexting” y del “spoofing”, temas
que abordaremos al analizar cómo estas prácticas afectan o alteran la decisión
de compra de los consumidores y sirven como instrumento para el fraude en
internet, afectando a los consumidores, pues generan el robo de identidad,
el fraude en subastas en internet, compra de loterías inexistentes, fraude en
inversiones y fraude en operaciones transfronterizas.
Empecemos por analizar algunas de estas prácticas con hechos, para luego
estudiarlas respecto a nuestro sistema legal de protección al consumidor.
El fraude en internet se refiere en sentido amplio a cualquier tipo de esquema
de engaño que use como medio cualquier componente de la internet, como los
chat rooms, los correos electrónicos, las message boards, o páginas de internet en
las que se presentan invitaciones a los usuarios de la red para hacer algún tipo
de transacción que resulta siendo engañosa para él.
Por el funcionamiento mismo de la red, las cosas van muy rápido. Las
decisiones de negocios son tomadas on line, y es mucho más fácil y rápida la
búsqueda de información o la interacción con personas, con posibilidad de enviar
correos electrónicos a todo el mundo en segundos u hospedar una página de
internet con información que puede ser leída por personas de diferentes lugares
del planeta. Uno de los grandes inconvenientes para luchar contra el fraude en
internet es que el consumidor, al realizar algún tipo de transacción que implica
un fraude, lo hace casi de forma inmediata y no da lugar a un mayor análisis de
la situación en la que se encuentra involucrado.
[www.usdoj.gov].


Los fraudes que se presentan actualmente en internet no surgieron con
este sistema. Este tipo de conductas ya se presentaban off-line. Lo que ocurre
ahora es que también se presentan on-line, y afectan no sólo a consumidores
sino también a inversionistas.
En la década de 1990 apareció un nuevo tipo de estafador llamado ladrón de
identidad, que sigue las transacciones cotidianas de su víctima. Busca obtener la
información personal de terceras personas, como su número de cuenta bancaria,
tarjeta de crédito, ingresos, número de seguro social (ssn), domicilio y número
de teléfono. Una vez obtiene esta información se la apropia, haciéndose pasar
por el tercero para cometer fraude o robo, por ejemplo abriendo una cuenta de
tarjeta de crédito a nombre de la víctima, suscribiendo cuentas con almacenes
para retiro de mercancía, compra de automóviles, cuentas de teléfonos celulares,
etc.; la víctima perderá meses o años y mucho dinero reparando los perjuicios
que le han causado a su historia crediticia, con la consecuencia de verse expuesto a rechazos de préstamos de dinero, pérdida de empleos e inclusive de
ser arrestado por delitos no cometidos.
Internet se ha convertido en otro vehículo para realizar el robo de identidad,
y en ella se utilizan diferentes formas para obtener la información personal de las
víctimas. De un lado tenemos el pretexting, que es una práctica para conseguir
información personal bajo falsas pretensiones; o el phishing, que es el término
usado para designar a la creación y uso, por parte de criminales, de correos
electrónicos o páginas de internet, que hacen parecer similares o idénticas a los
correos electrónicos o páginas de internet de verdaderas empresas, instituciones
financieras o entidades gubernamentales ampliamente conocidas, con el fin de
obtener la información personal de potenciales víctimas.
En una primera mirada, los phishing e-mails o páginas de internet asociadas
con estos e-mails pueden dar la apariencia de ser completamente legítimas, por
cuanto usan los logotipos, marcas y, en general, la imagen de la corporación o
entidad por la cual se hacen pasar.
Usualmente el phishing e-mail alerta a la víctima sobre un falso riesgo o
amenaza relacionada con su cuenta financiera o tarjeta de crédito, y le pide
información personal con urgencia invitándolo a responder haciendo clic sobre
un link incluido en el e-mail, el cual contiene o parece contener el verdadero
url de un legítimo negocio o institución financiera, encontrándose que algunos
[www.ftc.gov].
[www. usdoj.gov].
Uniform Resource Locator (url) es la dirección única global de un recusor, archivo o página web. Cada
Guillermo Tamayo
de estos esquemas de phishing han explotado una vulnerabilidad del servidor
Internet Explorer.
La práctica de esta conducta fraudulenta ha ido creciendo, de acuerdo con
el informe de la organización The Anti-Phishing Working Group, cuyo reporte mostró que en enero de 2004 hubo 176 casos de phishing reportados a esta
entidad, cifra 50% mayor que la reportada en diciembre de 2003.
El Departamento de Justicia de Estados Unidos de América y la Federal
Trade Commission iniciaron acciones legales en diciembre de 2003 contra
Zachary Keith Hill por enviar correos electrónicos no solicitados (spams)
a consumidores de Estados Unidos, dando a entender que provenían del proveedor del servicio de internet del consumidor, American On Line (aol), o del
proveedor de servicio de pago en línea del consumidor, Paypal Inc.(Paypal).
En el aol Phishing Spam se solicitaba a los consumidores actualizar o corregir la información concerniente a la facturación sobre las cuentas que tenían
los consumidores con aol, y se incluía como referencia del mensaje aol Billing
Error Please Read Enclosed Email, Please Update Account Information Urgent,
Account Services o aol Billing Department Assistance. Adicionalmente se hacía la
advertencia de que si el consumidor no respondía suministrando la información
se exponía a la posible terminación o cancelación de sus cuentas con aol.
El e-mail contenía de forma resaltada el texto Billing Service o On line Billing Service, que funcionaba como hiperlink. El spam conducía al consumidor
a hacer clic en el link o hipervínculo donde el software del browser lo trasladaba
a una página de internet ubicada en la red por el demandado, dando a entender
que era la página del Centro de Facturación de aol, en la que usaban además
las marcas, logotipos, nombre de la compañía así como verdaderos links que
transportaban a la real página de internet de aol.
página web tiene un distintivo url como [www.acpi.org.co] que sirve como dirección en internet para
la página web.
[www. usdoj.gov].
[www.antiphishing.org].
Spam es un mensaje de correo no solicitado que contiene una comunicación publicitaria, promocionando u ofreciendo cualquier producto o servicio, o solicitando información financiera personal a
los consumidores, la cual no ha sido requerida por el destinatario o receptor o enviada siguiendo una
preexistente relación personal o comercial entre el originador y el destinatario o receptor del correo
electrónico.
Un browser es una aplicación de software usada para ver, descargar, cargar, navegar o de otro modo
entrar en contacto con documentos en la red. El browser lee documentos codificados que residen en
los servidores e interpreta el código de lo que los usuarios ven como página de internet en sus computadores. Un usuario puede recuperar y ver una página de internet ingresando el url de la página
web en la barra de dirección de el browser o haciendo clic sobre un texto de un documento que ha sido
codificado para vincularse (link) al url asignado a esa página de internet.


Todo lo anterior llevaba al consumidor a creer equivocadamente que la
solicitud era legítima, ante lo cual contestaba el requerimiento y entregaba la
información de sus tarjetas de crédito, incluyendo sus límites y números de seguridad y claves secretas, su nombre y el de sus familiares, dirección de negocios,
número de seguro social, fechas de nacimiento y otra información financiera;
el demandado aseguraba al consumidor que esa información sería enviada de
forma segura a través del sistema de seguridad de encriptación de aol.
Esta información privilegiada en realidad era enviada como correo electrónico sin sistema de seguridad a las páginas de internet del demandado y era usada
por éste para hacer órdenes de compra de productos o servicios creando nuevas
tarjetas de crédito a nombre del consumidor pero sin su autorización.
De otro lado, el Paypal phishing spam enviado por el demandado también
hacía creer al consumidor que provenía de Paypal y requería también enviar
información financiera para mantener sus cuentas con Paypal.
El e-mail también contenía como link o hipervínculo el texto “Online Reactivation Site” y, al hacer clic sobre el mismo, trasladaba al consumidor a otra página
del demandado que incluía la imagen de Paypal, los logotipos, marcas y links que
vinculaban la página fraudulenta con la real página de internet de Paypal.
En este caso también fueron varios los consumidores engañados que enviaron
su información financiera, que no era entregada a Paypal sino enviada a la página de
internet del demandado, que la usaba para crear nuevas tarjetas de crédito y comprar artículos a nombre de su víctima y obviamente sin su consentimiento.
Por cuarto año consecutivo el robo de identidad encabezó la lista de las quejas
por fraude a los consumidores. Durante 2003, la Federal Trade Commission
reportó 214.905 quejas por robo de identidad, cifra que corresponde al 42%
del total de quejas, que ascendió a 516.740. Las quejas relacionadas con internet
representaron el 55% del total de fraudes reportados, con lo cual sobrepasaron
el 45% registrado en 2002.
Aunque este caso muestra una de las formas en que los delincuentes obtienen
información personal para robar identidad, existen otros mecanismos que también ponen en riesgo al consumidor y que pueden ser usados por delincuentes
con ese fin. En efecto, otro caso fue el ocurrido en la página de internet de Tower
Direct, llc, en el que la Federal Trade Commission elevó cargos por considerar que en la página de internet de Tower [www.towerrecords.com] se expuso
información personal de sus consumidores a otros usuarios de internet.
[www.ftc.gov/opa/2004/03/phishinghilljoint.htm].
 [www.ftc.gov/opa/2004/01/top10span.htm].
Guillermo Tamayo
En la página de internet de Tower se indicaba que usaban tecnología con un
nivel de estado del arte para proteger la información personal de sus consumidores, resaltando que el consumidor, y sólo él, tenía acceso a esa información.
Sin embargo, la página de internet era vulnerable porque permitía a los usuarios
de la red acceder a los archivos y ver información personal de sus consumidores como nombres, direcciones de envío de facturación, correos electrónicos,
números de teléfono y el histórico de compras.
En este caso se llegó a un arreglo entre la Federal Trade Commission y
Tower Direct llc en el que este último se obligó a mantener bajo reserva la
información confidencial y a adoptar un sistema de seguridad certificado que
reuniera o excediera los estándares, revisado por un experto cada seis meses
durante un período de 10 años.
Es importante resaltar que la información que se suministra a una página
legítima va acompañada de la confianza del consumidor sobre un adecuado
manejo de esa información, y que efectivamente va a ser guardada y vigilada
celosamente y no se va a ver expuesta a un mal uso por parte de la compañía o
de terceros. Las empresas deben adoptar los procedimientos necesarios para asegurar que sus páginas de internet no van a ser vulnerables y que la información
que les es confiada va estar protegida y sometida a controles periódicos, sobre
todo en aquellas páginas que son permanentemente actualizadas, y a entrenar
periódicamente a los empleados que manejan esta información. De la misma
manera, habrá que adoptar medidas por las cuales el Estado exija a través de
normas el cumplimiento de estándares de seguridad para las empresas que son
depositarias de información privilegiada de sus consumidores.
Encontramos en internet otro tipo de fraude. En las subastas ha ocurrido
que los consumidores alegan haber ganado la subasta de productos, por lo cual
proceden a enviar el dinero aunque nunca reciben luego la mercancía. En un caso
por ejemplo, donde actuó como demandante la Federal Trade Commission, los
demandados por fraude en subasta cambiaron sus nombres y se hicieron pasar
por terceros para esconder el hecho de que habían prometido enviar la mercancía.
Realizaron entonces una serie de robos de identidad haciendo creer a los proponentes afectados que el oferente era un tercero, quien no tenía relación alguna con
la oferta, tratando de inculpar a las víctimas del robo de identidad. En este caso se
obtuvo como decisión que los demandados debían devolver a los consumidores
cerca de US$100.000,oo, y adicionalmente se siguió contra ellos un proceso por
la Fiscalía de Estados Unidos delegada para el Distrito de Illinois.
 ftc vs. James D. Thompson et. ál., n.o 03-C-2451 (N.D.I 11. August 21,2003) (Final Order).
 US vs. Thompson et. ál., n.o 03-CR-745-all (N.D. I 11. filed July 31, 2003).


Los fraudes en subastas en internet son responsables de cerca de la mitad
de todas las quejas relacionadas con fraude que fueron reportadas a Consumer
Sentinel, específicamente el 48% u 80.000 de un total de 166.617 denuncias
durante 2003, lo que demuestra de forma significativa la práctica de esta conducta en la red.
Otra forma de fraude que se presenta en la red son los scams o inversiones
sobre esquemas de negocios fraudulentos. Entre ellos se destaca los nigerian
scams, que son correos electrónicos enviados por un supuesto funcionario u
hombre de negocios de ese país, ofreciendo compartir la fortuna de su familia
con el destinatario del e-mail, como contraprestación a su ayuda para engañar
las actuales restricciones de ese país para trasladar su dinero y asilarlo en otra
nación. La promesa de compartir la fortuna se haría, pero sólo después de que el
destinatario del e-mail abra una cuenta bancaria a nombre de un tercero haciendo
un depósito de buena fe, el cual pronto se desvanecía sin volver a saber de él.
Respecto a conductas como los nigerian scams u otras ofertas engañosas en
moneda extranjera, fue reportado durante 2003 un total de 6.241 denuncias
ante Consumer Sentinel, lo que implica un importante índice de este tipo de
conductas.
Una de las grandes características del internet es que no existen fronteras
territoriales. El desarrollo del internet y de las comunicaciones ha generado
beneficios significativos a los consumidores en términos de precio y variedad de
elección, y la red se ha constituido en un instrumento que facilita la globalización
de los mercados a través de las operaciones transfronterizas. Sin embargo, estas
importantes cualidades también conllevan oportunidades para que personas
comprometidas con prácticas fraudulentas y engañosas afecten a consumidores
de diferentes jurisdicciones y puedan evadir el poder de las autoridades.
El principal inconveniente para atacar el fraude y el engaño al consumidor
en operaciones transfronterizas lo constituye el que los delincuentes, víctimas,
testigos, documentos y terceras personas involucradas en la operación están
dispersas en muchos lugares y territorios. Los delincuentes pueden actuar en
complicidad en diferentes países a través de empresas de fachada y pueden
movilizarse a otro territorio después de haber realizado una importante operación engañosa.
 Consumer Sentinel es una base de datos sobre denuncias del consumidor creada por la Federal Trade
Commission con la colaboración de 100 importantes agencias de los Estados Unidos de América,
Canadá y Australia. [www.consumer.gov/sentinel/pubs/Top10Fraud2003.pdf].
 www.oecd.org/document 53/0,2340,en_2649_201185_2516469_1_1_1_1,00.html.
Guillermo Tamayo
Se ha encontrado que a través de internet se han ofrecido de forma fraudulenta promociones en precios, ofertas de inversión en moneda extranjera,
préstamos de dinero pero con pago por adelantado de la comisión, loterías extranjeras y venta de productos que prometen tratar o curar serias enfermedades,
todos estos en un esquema de operaciones transfronterizas que produjeron un
engaño al consumidor.
De todas las denuncias por fraude en operaciones transfronterizas reportadas
a Consumer Sentinel en el año 2002 (en total 32.792), el 33% fueron denuncias relacionadas con internet, cifra que se incrementó notablemente en el año
2003, cuando de un total de 45.066 denuncias, el 47% estuvieron directamente
vinculadas con internet.
En junio de 2003, la oecd expidió un documento denominado oedc Guidelines For Protecting Consumers From Fraudulent and Deceptive Commercial Practices
Across Borders, en el cual se sugieren directrices o principios para coordinar,
desde el punto de vista del derecho internacional, la forma como los países
pueden trabajar y llevar a cabo investigaciones conjuntamente sobre fraude en
operaciones transfronterizas. Los países miembros del icpen se reunieron el
22 de marzo de 2004 en Finlandia y advirtieron con preocupación el incremento
del fraude en operaciones transfronterizas y la necesidad de hacer viables las
recomendaciones sugeridas por la oecd para combatir esta forma de delitos.
Colombia no debería ser ajena a estas recomendaciones y a esos esfuerzos
conjuntos, teniendo en cuenta la importancia del internet, el cual sin duda será
un instrumento de negociación frente al nuevo escenario de libre comercio al
que nos enfrentará a los colombianos.
Otro punto que vale la pena resaltar frente a los riesgos del consumidor por
ciertas prácticas en la red lo constituye el uso rápido y creciente de spyware,
que puede ser un tipo de software que ingresa al computador sin el consentimiento de su propietario, para obtener información y enviarla a otra entidad sin
su autorización, lo cual se constituye en una conducta digna de regulación. El
uso de los spyware puede constituir abuso por invasión a la privacidad, riesgo
 Organization for Economic Co-operation and Development.
 International Consumer Protection and Enforcement Network (icpen) está conformado por distintas
agencias de protección del consumidor de 31 países: Australia, Austria, Bélgica, Canadá, República Checa,
Dinamarca, Estonia, Unión Europea, Finlandia, Francia, Alemania, Grecia, Hungría, Irlanda, Italia,
Japón, República de Corea, Lituania, Luxemburgo, Malta, México, Holanda, Nueva Zelandia, Noruega,
oecd, Polonia, Portugal, Eslovaquia, España, Suecia, Suiza, Reino Unido y Estados Unidos.
 Spyware es un tipo de software que permite la recolección de información sobre personas u organizaciones
sin su consentimiento, el cual puede enviar dicha información a otra entidad sin el consentimiento del
consumidor, y hospedarse en un computador sin el consentimiento de su propietario.


de seguridad y problemas para los consumidores, ya que puede promover el
robo de identidad al usurpar información de los computadores de los usuarios
y afectar también a las compañías, las cuales tendrán que incurrir en costos para
bloquear y remover de los computadores de sus empleados los spyware.
Una forma de spyware es el denominado adware, que es un software que se
instala en los computadores y permite que se abran ventanas en la pantalla del
computador con anuncios publicitarios mientras el usuario navega en la red. El
adware se descarga normalmente con programas para compartir música o con
servidores de internet gratuitos, sin que el dueño del computador se entere y,
una vez instalado en el disco duro del computador, comienza a generar anuncios
publicitarios en pequeñas ventanas relacionadas con palabras clave cuando el
usuario está utilizando motores de búsqueda o visita páginas de internet relacionadas con la publicidad. El adware puede sin duda ser un mecanismo efectivo
de publicidad dirigida, pero igualmente molesta para el consumidor al recibir
información no solicitada.
El internet permite que las compañías puedan dirigir de forma más efectiva
su publicidad y, como veíamos, uno de los métodos para hacerlo es a través de
los pup-ups o ventanas con contenido publicitario, que se abren en la pantalla
del computador del cibernauta después de que el usuario escribe una palabra
clave en un motor de búsqueda o escribe el nombre de dominio de una página
de internet en un browser en el que la publicidad de pup-up está relacionada
con la palabra clave.
Recibir este tipo de información publicitaria no solicitada afecta los intereses
de los cibernautas, máxime si se tiene en cuenta que la mayoría de los casos de
scams o publicidad engañosa o información de contenido sexual se canaliza a
través de este mecanismo de los pup-ups.
El consumidor se ha visto afectado en diferentes ocasiones con spams o
pup-ups que lo inducen a adquirir productos con publicidad engañosa, con lo
cual crean expectativas sobre calidades del producto que en realidad no tiene.
En un caso ocurrido hace pocos años la Federal Trade Commission, invocando
la aplicación del can-spam Act, que entró a regir el 1.º de enero de 2004 en
Estados Unidos de América, elevó cargos contra la empresa Phoenix Avatar,
con domicilio en Detroit, la cual enviaba spams publicitando parches para hacer
dieta, que en realidad no cumplían esa función y engañaban al consumidor.
 Michel Totty. “Los molestos anuncios en línea ganan terreno entre las grandes empresas”, The Wall
Street Journal.
 Controlling the Assault of Non-Solicited Pornography and Marketing Act of 2003.
 [www.ftc.gov/opa/2004/03/040429canspam.htm].
Guillermo Tamayo
Los consumidores que deseaban adquirir estos parches hacían clic sobre
un hipervínculo que estaba dentro del mensaje y estaba conectado a una de las
varias páginas de internet del demandado.
El demandado que enviaba los spam buscaba ocultar su verdadera identidad
usando correos electrónicos de terceras personas, con lo cual hacía creer a los
destinatarios de los mensajes que estas personas eran los originadores ya que
figuraban dentro del e-mail en el campo correspondiente a “from” como remitentes. Esta práctica es conocida como spoofing. Cuando el spam no es entregable
al destinatario y se devuelve, el correo electrónico, la notificación de no haber
sido entregado se dirige al e-mail del remitente, por lo que en los casos de spoofing, decenas de miles de notificaciones de mensajes no entregados inundan los
computadores de estas terceras personas a las que se les usó sin autorización su
correo electrónico. Actualmente contra Phoenix Avatar se decretaron medidas
cautelares que le impiden ejercer el comercio.
Un caso similar ocurrió con una empresa australiana denominada Global
Web Promotions Pty. Ltd. contra la cual la Federal Trade Commission también presentó cargos acusándola de ser responsable de enviar de forma masiva
spams a consumidores dentro de Estados Unidos de América. Esta empresa
no sólo publicitaba un parche para dieta similar al de Phoenix Avatar sino que
afirmaba que este parche tenía como función adicional mantener la apariencia y
edad biológica actuales del usuario por 10 ó 20 años, lo cual, después de varios
estudios, se pudo comprobar que no era cierto.
Todos estos comentarios sobre los principales fraudes y engaños a consumidores, que se presentan principalmente en Estados Unidos y Canadá,
donde existe un flujo considerable de transacciones en comercio electrónico
de empresa a consumidor, se constituyen en un testimonio claro sobre lo
que también están enfrentando los usuarios de internet en nuestro país. De
acuerdo con las estadísticas del Banco Mundial, Colombia pasó, entre el año
1998 y el 2001, de 433.000 a 1'200.000 usuarios de internet, y en 2002 reportó
2'000.000 de usuarios. En el año 2003, según las estadísticas reveladas el 8 de
julio de 2004 por la Comisión de Regulación de Telecomunicaciones (crt), el
país registró 3,08 millones de usuarios de internet conmutado y dedicado,
lo cual demuestra la forma rápida como se expande el uso de este sistema de
comunicación en nuestro país.
 [www.devdata.worldbank.org/external/cpp Profile.asp? SelectedCountry=col& ccode= col&cname=
Colombia & ptype=CP].
 Cfr. Portafolio, Bogotá, 9 de julio de 2004, p. 11.


No se debe subestimar esta realidad por el hecho de que en Colombia el
comercio electrónico de empresa a consumidor no tenga mayor participación.
Es claro que los negocios a través de la red son una realidad a la cual nuestros
consumidores se están adaptando y que los posibles fraudes o conductas abusivas
contra el consumidor en internet igualmente seguirán surgiendo de la mano de
los nuevos desarrollos tecnológicos.
De acuerdo con información del Departamento Administrativo de Seguridad, das, cada mes se reciben en promedio 20 denuncias por delitos cometidos a
través de internet. En nuestro país existe ya un antecedente claro de fraude, en el
cual la Fiscalía profirió recientemente una orden de captura contra un joven de
19 años residente en Villavicencio, quien ofrecía en internet computadores con
precios inferiores a los del mercado, y que, luego de recibir el dinero, enviaba
cajas vacías a sus clientes. El joven de 19 años se registraba con otro nombre
al hacer las ofertas y transacciones para ocultar su identidad. Sin embargo, los
cotejos dactilares y un seguimiento a la página y a las cuentas bancarias permitieron su captura. Las cuentas bancarias demostraron transacciones por más
de 30 millones de pesos colombianos, lo que indicaba que no era la primera vez
que realizaba esta conducta.
Podemos adelantarnos para enfrentar estas conductas en nuestro país y cuando nuestro consumidor acuda de forma masiva a internet, como está ocurriendo
en Estados Unidos y Canadá, no sólo tenga una previa educación orientada por
el Estado, para evitar ser víctima de fraudes y conductas desleales, sino que se
encuentre respaldado por una legislación eficaz que permita de forma rápida
atacar este tipo de conductas ante autoridades con procedimientos expeditos y
fortalecidas en sus funciones.
Nuestro estatuto de protección al consumidor –el Decreto 3466 de
1982– puede quedarse corto frente a esta realidad del comercio electrónico y
el consumidor, así como los entes o funcionarios encargados de aplicarlo: la
Superintendencia de Industria y Comercio o nuestros jueces pueden verse en
apuros al intentar corregir eficaz y oportunamente algunas de estas prácticas en
el comercio, aplicar sanciones o condenar al pago de indemnización de perjuicios.
Nuestro Código Penal podría aplicarse a algunas de las conductas señaladas
en este escrito intentando ajustarlas a los supuestos de hecho descritos en el
tipo penal; sin embargo se dejaría el camino abierto para que los delincuentes,
en algunos casos, puedan evadir la justicia valiéndose de la atipicidad de sus
conductas.
 “Ojo a las Ofertas en internet”, en El Tiempo, Bogotá, 6 de septiembre de 2004, pp. 1 a 4.
Guillermo Tamayo
Vale la pena resaltar el intento que se hizo para actualizar nuestro estatuto de
protección al consumidor a través del proyecto de Ley 081 de 2003 de Cámara
de Representantes; sin embargo, su contenido respecto al comercio electrónico y
sus implicaciones frente al consumidor podrían no ser suficientes para enfrentar
con acierto esta realidad.
Es conveniente discutir la conveniencia de ajustar nuestra legislación estableciendo prohibiciones contra correos electrónicos abusivos, fraude relacionado con correos electrónicos, la prohibición en la red de envío de información
engañosa o falsa, la obligación de incluir un mecanismo que permita al receptor
del mensaje notificar al originador solicitando no volver a recibir mensajes, así
como la prohibición de transmitir correos electrónicos comerciales después de
haber sido objetados, el brindar información clara y cierta de quién es el originador del mensaje con indicación de su correo electrónico, la prohibición de
enviar mensajes electrónicos comerciales no solicitados con contenido sexual y
la obligación de incluir como requisito para recibir un mensaje con contenido
sexual el que se advierta la calidad de su contenido, los límites en el uso de los
spyware, la adopción de medidas bajo estándares internacionales homogéneos
para la cooperación entre naciones en la investigación del fraude en internet, la
facultad de los organismos de control y vigilancia para estar legitimados para
sancionar y presentar denuncias ante las autoridades competentes, así como
para obtener evidencia y establecer nuevas funciones específicas en los entes
de control para vigilar las denuncias relacionadas con el fraude y engaño al
consumidor en internet.
Es importante que las anteriores sugerencias sean analizadas responsablemente frente al derecho en nuestro país, determinando la posición que se
debe adoptar, ya sea de indiferencia o relevancia, y proceder a su regulación
y/o reproche de ser el caso, e involucrar algunas conductas como tipos penales
y/o susceptibles de sanciones administrativas. Igualmente, la modificación a
las funciones de los entes de control y normas de protección al consumidor
son necesarias para enfrentar oportuna y efectivamente estos nuevos actos en
el comercio.

s o l b e at r i z c a l l e d ‘a l e m a n
Protección de datos de carácter personal
en el comercio electrónico
introduccin
El 12 de junio de 2003 se publicó la noticia de que, por parte del Gobierno
colombiano, se había “transferido” a la firma Choise Point los datos personales
de 31 millones de colombianos, empresa ésta que llevaba 18 meses adquiriendo
bases de datos de ciudadanos americanos, de países que incluían Colombia,
Argentina, México, Venezuela, Costa Rica, Guatemala, Honduras, El Salvador
y Nicaragua, para luego revenderlas a diversas agencias del Gobierno de los
Estados Unidos.
Aparte de una protesta general sobre el tema, nada más se escuchó en los
medios académicos del país. El derecho a la intimidad y, como consecuencia
de tal derecho, a la protección de los datos de carácter personal, no ha sido un
tema de gran preocupación para los ciudadanos, salvo en lo que tiene que ver
con las bases de datos de morosos frente al sector financiero.
Por otro lado, la informatización y aplicación de la tecnología a las bases que
contienen datos de carácter personal conllevan la facilidad de su transferencia a
través de redes de comunicación nacionales e internacionales, sin que el titular
de los datos conozca el destino y la utilización que se hace de los mismos.
Una transferencia de datos de tal naturaleza solamente es posible hacerla
mediante la digitalización de los mismos y sobre una estructura como la de
internet, la World Wide Web, en la que se puede encontrar información de cualquier género, relacionarla y remitirla a cualquier parte del mundo en cuestión
de segundos.
La aplicación de la tecnología al tratamiento de datos personales es lo que
ha justificado en muchos países la adopción de leyes que regulen el tema y que
determinen, para el ciudadano, la forma de ejercer sus derechos, y para terceros
(incluido el Estado), los límites en el tratamiento de los mismos.
Al mismo tiempo, es fundamental la promoción del comercio electrónico
como un nuevo servicio de la sociedad de la información, a través del cual puede darse el intercambio de bienes y servicios entre particulares de diferentes
Estados, con el aprovechamiento de las ventajas que reporta esta forma de
comunicación: rapidez en las transacciones, bajos costos de publicidad, oferta
simultánea de bienes y servicios en diversos países del mundo, entre otras.
Llegado a este punto, el tema que al derecho le interesa resolver es el de saber
cómo propender por el equilibrio entre el ejercicio del comercio y desarrollo
de la economía en la sociedad de la información, y, al mismo tiempo, proteger
El Tiempo, Bogotá,12 de junio de 2003.


al consumidor, al ciudadano común, que a través de la red adquiere bienes y
servicios, y que debe otorgar sus datos personales para tal efecto.
Además de la adecuada protección del consumidor a través de normas
consagradas en la gran mayoría de países del mundo, hoy se plantean nuevos
“derechos” del ciudadano en el entorno de internet: el derecho a acceder a los
medios de comunicación y conocer su uso; el derecho a tener una identidad en
la red a través de la firma digital o dirección de correo electrónico; el derecho
a conocer los datos personales que circulan en la red y para qué se emplean; el
derecho a ser dejado en paz (the right to be let along) y a no recibir la información
que no se desea; y el derecho al anonimato, utilizando mecanismos criptográficos
o filtros en la red, para la seguridad de sus comunicaciones.
Uno de los problemas que genera para el derecho el ejercicio del comercio
electrónico frente a los consumidores, y que pretendemos abordar a través de este
trabajo, es el de la protección de los datos de carácter personal y su transferencia
a países que carecen de normas en tal sentido, como es el caso de Colombia.
En nuestro país, con la reforma constitucional del año 1991 se hizo una
consagración expresa, en la Constitución, de la intimidad como un derecho
fundamental (art. 15), y aunque se ha tratado de desarrollar este derecho a
través de una norma estatutaria, la precariedad y evidente parcialidad en su
tratamiento por el Congreso de la República hacen imperiosa la necesidad de
que se ponga en evidencia en los medios académicos la situación actual del tema
y se promueva la adopción de una norma seria e integral que lo regule, con el fin
de evitar que hechos como el mencionado inicialmente se realicen sin sujeción
a ninguna norma que, por lo menos, garantice a los colombianos la reserva y
seguridad en el tratamiento de sus datos.
Bajo tal perspectiva, es la pretensión de este trabajo esbozar de manera general pero completa, cuál es la relación que existe entre el ejercicio del comercio
electrónico a través de internet y su incidencia en la transferencia de datos de
carácter personal; cuál ha sido la respuesta que otros países han dado a esta
“El Consejo de la Unión Europea, a través de la resolución de 19 de enero de 1999 sobre la dimensión
relativa a los consumidores de la sociedad de la información, ha considerado que las nuevas tecnologías de la información y de la comunicación, y el desarrollo de la sociedad de la información con ellas
asociada pueden ofrecer numerosas ventajas a los consumidores, pero dan también lugar a nuevos
contextos comerciales con los que no están familiarizados y que pueden poner en peligro sus intereses”.
Gema Botana García. “Noción de comercio electrónico”, en Comercio electrónico y protección de los
consumidores, Madrid, La Ley, 2001, p. 20.
En tal sentido: María de los Reyes Corripio Gil-delgado. Regulación jurídica de los tratamientos de
datos personales realizados por el sector privado en internet, 4.ª ed., Madrid, Agencia Española de Protección de Datos, 2000.
situación a través de las normas de protección de datos; y cuál la situación en la
que se encuentra nuestro país frente al tema.
Por la brevedad que exigen estas páginas, no se tratará de manera exhaustiva cada uno de los componentes de las referidas normas, pero sí su núcleo
fundamental, para comparar posteriormente estos desarrollos internacionales
con el último proyecto presentado al Congreso colombiano y la valoración que
el mismo nos merece.
I . la p ro t e c c i  n j u r  d i c a d e l d e r e c h o a la i n t i m i da d
a t rav  s d e la s n o r m a s d e p ro t e c c i  n
d e d at o s p e r s o n a l e s
El derecho a la intimidad tiene su génesis en las ideas liberales que inspiraron
el individualismo del siglo xviii. Pensadores como Locke y Mill plantearon
en sus obras el reconocimiento de una libertad, entendida como la facultad del
individuo de disponer de todo cuanto le pertenece, de organizar la vida siguiendo
el propio modo de ser, sin injerencia de la sociedad o del Estado, aunque bajo
el sometimiento de sus reglas.
No obstante, coincide la doctrina en afirmar que la concepción del derecho a
la intimidad desligada de la idea de libertad y de otros derechos de la personalidad se debe a la obra de dos autores norteamericanos, Samuel Dennis Warren
y Louis Dembitz Brandais, que publicaron el 15 de diciembre de 1890, en la
Harvard Law Review (n.º5), un artículo que titularon “The right of privacy”,
es decir, el derecho a la privacidad, a estar solo. De acuerdo con estos autores,
los cambios en el sistema de vida de las personas, especialmente debido a la
influencia de la tecnología, hacen necesario que el ser humano se vuelva más
sensible frente al perfeccionamiento de la cultura y por ende se percate de que
su soledad e intimidad cobran cada vez mayor importancia.
En consecuencia, la intimidad habrá de aparecer como un derecho autónomo e independiente en importantes instrumentos internacionales, como la
Declaración Universal de Derechos Humanos, de 1948; la Convención Europea
para la Protección de los Derechos Humanos y de las Libertades Fundamentales, de 1950; el Pacto Internacional de Derechos Civiles y Políticos, de 1966;
entre otros.
Pablo Lucas Murillo. El derecho a la autodeterminación informativa, Madrid, Tecnos, 1990, p.51.
Emilio Suñé Llinás. Tratado de derecho informático, vol. 1, Introducción y protección de datos personales,
Madrid, Universidad Complutense de Madrid, 2000, cap. 2.º, p. 31
Pacto Internacional de Derechos Civiles y Políticos (Ley 74 de 1968, artículo 17.1): “Nadie será ob-


Pero como todas las declaraciones de derechos, la verdadera importancia
de los mismos estriba en la posibilidad de que sus titulares puedan hacerlos
efectivos, puedan ejercerlos y exigir su reconocimiento. Tratándose del derecho a la intimidad, el desenvolvimiento de las sociedades ha conllevado una
transformación en este derecho de la persona, y ha pasado del determinismo
individual a la autodeterminación informática, como consecuencia del fenómeno
teleinformático que va invadiendo todas las esferas de la vida moderna.
En efecto, la tecnología y su aplicación a sistemas de comunicación cada
vez más avanzados ponen en evidencia la necesidad de controlar y regular el
movimiento creciente de bases de datos de contenido personal en algunas áreas
sensibles de la sociedad, como la salud, el sistema financiero, la educación, la
judicial, entre otras.
La respuesta que gran parte de los Estados ha dado a esa necesidad de
regulación se encuentra en las normas denominadas de “protección de datos
de carácter personal” y, con esta perspectiva jurídica, el derecho a la intimidad
cobra una inusitada importancia en el mundo de hoy, bajo la conocida expresión
del derecho al habeas data.
La protección de datos de carácter personal se considera hoy, en la mayoría
de legislaciones de corte positivista, como la forma a través de la cual se hace
exigible el derecho a la intimidad y se pone freno a los abusos que, desde la
perspectiva tecnológica, puede significar el tratamiento de bases de datos personales. De igual forma lo ha reconocido nuestra Corte Constitucional.
jeto de injerencias arbitrarias o ilegales en su vida privada”. Convención Americana sobre Derechos
Humanos, Pacto San José de Costa Rica (Ley 16 de 1972), artículo 5.1: “Toda persona tiene derecho
a que se respete su integridad física, psíquica y moral”; artículo 11.1: “Toda persona tiene derecho al
respeto de su honra y al reconocimiento de su dignidad”; artículo 11.2: “Nadie puede ser objeto de
[…] ataques ilegales a su honra o reputación”, Resolución de Asamblea General de la onu n.º 2.450
de 19 de diciembre de 1968 sobre “derechos del hombre y progresos de la ciencia y de la técnica”.
Documento e/cn 4/1142 1974, Informe del secretario general de la Comisión de Derechos Humanos
sobre “aplicaciones de la electrónica que pueden afectar los derechos de la persona y límites que se
deberían fijar para estas aplicaciones en una sociedad democrática”.
En igual sentido: Antonio Pérez Luño. Derechos humanos, Estado de derecho y Constitución, Madrid,
Tecnos, 1996, p. 317: “Es notorio que las legislaciones más sensibles a la defensa de las libertades han
intentado ofrecer una respuesta jurídica eficaz a una de las exigencias más acuciantes que hoy gravita
sobre la sociedad tecnológicamente avanzada: el respeto a la intimidad”.
“Con las posibilidades que ofrecen hoy las modernas tecnologías de información y, en particular,
los bancos de datos computarizados, ello equivaldría también a autorizar a la persona o entidad que
recibe el dato a encarcelar ‘virtualmente’ en el banco de datos al sujeto concernido en los mismos. Lo
cual, en países que carecen de una legislación específica protectora de la intimidad frente al fenómeno
informático, favorecería abiertamente su cotidiana vulneración”. Corte Constitucional. Sentencia de
Tutela del 29 de enero de 1993, M. P.: Ciro Angarita Barón.
En España se tiende a reconocer en el derecho a la intimidad un verdadero
derecho fundamental, independientemente incluso de la intimidad consagrada
en el artículo 18.1 de la Carta Fundamental de ese país; otros consideran que se
trata solamente de un instrumento, de una técnica a través de la cual se combina
una serie de poderes y prohibiciones que finalmente desarrollan el derecho a la
intimidad consagrado constitucionalmente.
Cualquiera que sea la tendencia adoptada, lo cierto es que las normas de
protección de datos ya no tienen por objeto la intimidad entendida como autonomía física del individuo, sino la intimidad informativa, la autodeterminación
informática, de donde deviene precisamente su carácter fundamental.
A . e l c a r  c t e r f u n d a m e n ta l
d e l d e r e c h o a la i n t i m i da d
La primera aparición constitucional del derecho a la intimidad se hace en
Portugal en 1976, y posteriormente en la Constitución Española en 1978, con
la invaluable consecuencia de tratarlo como un derecho autónomo y de rango
fundamental, dadas sus raíces en la dignidad humana, eje y motor de todos los
derechos de la persona.
Los derechos fundamentales aparecen sin duda como una gran conquista
de las actuales Constituciones, máxime si se les concibe como “derechos humanos positivizados”. Desde tal perspectiva su gran importancia estriba en la
posibilidad de que se apliquen de manera inmediata como un control efectivo
del individuo frente al Estado y frente a los demás individuos.
La intimidad, entonces, no puede ser abordada solamente de manera pasiva,
como una garantía estática frente a la invasión de ese espacio solitario que se
atribuye al individuo, producto de su individualidad, sino como un derecho
En una famosa sentencia del Tribunal Constitucional Español, la n.º 292 del 30 de noviembre de 2000,
la alta Corporación reconoció en la “protección de datos” un derecho fundamental diferente al de la
intimidad que consagra el artículo 18.1 de la Constitución española. En efecto, expresó el Tribunal:
“Este derecho fundamental a la protección de datos, a diferencia del derecho a la intimidad del artículo
18.1 ce, con quien comparte el objetivo de ofrecer una eficaz protección constitucional a la vida privada
personal y familiar, atribuye a su titular un haz de facultades que consiste en su mayor parte en el poder
jurídico de imponer a terceros la realización u omisión de determinados comportamientos cuya concreta
regulación debe establecer la ley […] La peculiaridad de este derecho fundamental a la protección de
datos respecto de aquel derecho fundamental tan afín como es el de la intimidad radica, pues, en su
distinta función, lo que apareja, por consiguiente, que también su objeto y contenido difieran”.
 Murillo. Ob. cit., pp. 111 y ss.
 Robert Alexy. Tres escritos sobre los derechos fundamentales y la teoría de los principios, Bogotá, Universidad Externado de Colombia, Serie de teoría jurídica y filosofía del derecho, n.º 28, 2003, p. 26.


activo de control sobre toda la dinámica que implica el tratamiento y circulación
de sus datos.
Como consecuencia de lo anterior, se pone de relieve la importancia de
saber si el desarrollo legal que debe tener el derecho a la intimidad debe hacerse desde la perspectiva individual de la libertad, sin tener en cuenta los
derechos sociales y colectivos, o si por el contrario debe también preverse el
ejercicio de la intimidad en el contexto social, en consonancia con estos otros
derechos. La respuesta a este interrogante está directamente relacionada con
la transformación que han padecido las sociedades tras la implementación de
la informática como herramienta en el tratamiento de datos personales, lo que
hace imperativa la referencia a este tema cuando se desarrollan leyes sobre la
protección de datos.
B . au to n o m  a d e l d e r e c h o a la i n t i m i da d
f r e n t e a o t ro s d e r e c h o s d e la p e r s o na l i da d
Por tratarse de un derecho cuya génesis se encuentra en la dignidad humana, y
cuyo desarrollo se ha planteado por la doctrina internacional a través del derecho
a la autodeterminación informática, el derecho a la intimidad es con frecuencia
confundido con otros derechos que también devienen de la dignidad.
La descripción conjunta del derecho a la intimidad y de otros derechos de la
personalidad ha llevado a plantear la unidad que existe entre ellos como derivados de lo que se entiende como privacy (intimidad). Esta descripción conjunta
es clara en el artículo 15 de nuestra Constitución Política, que consagra tres
derechos en la misma norma: la intimidad, el buen nombre y el habeas data.
Es posible, como lo afirma Pérez Luño a propósito del artículo 18 de la
Constitución Española, que la no alusión de derechos autónomos en su redacción
parece obedecer al propósito deliberado de seguir la tendencia, hoy dominante en
la jurisprudencia y doctrina extranjeras, de englobar, en un derecho único y omnicomprensivo, los distintos instrumentos de tutela jurídica de la vida privada.
Respecto de este tema en nuestro país, es inequívoco el hecho de que las
categorías de derechos que se refieren al honor, al buen nombre, a la imagen,
entre otras, tienen una protección jurídica concreta, lo que no ha sucedido con
el derecho a la intimidad como categoría autónoma.
 Cfr. Delia Matilde Rubio Ferreira. El derecho a la intimidad, Buenos Aires, Edit. Universidad, 1982,
p. 113; Miguel Carlos Ruiz. La configuración constitucional del derecho a la intimidad, Madrid, Tecnos,
1995; Luis María Matoni Fariñas. El derecho a la intimidad, Madrid, Trivium, p. 303.
 Pérez Luño. Ob. cit., p. 331.
En efecto, en la legislación colombiana diversas normas protegen estos derechos a través de reglamentaciones especiales. Algunas de ellas son de carácter
penal, relativas a la injuria, calumnia, violación de correspondencia, violación al
domicilio, entre otras. Otras se encuentran en el derecho de autor, que protegen
la imagen de una persona, así como las del derecho industrial, que protegen los
secretos industriales; las relativas a la reserva profesional en salud, la abogacía,
e incluso las normas protectoras en el Código de Comercio sobre los papeles
del comerciante.
Si bien inicialmente no se hacía diferencia entre estos derechos, la Corte
Constitucional colombiana ha concluido que el derecho a la intimidad es un
derecho autónomo, incluso del derecho al habeas data, entendido este último
como la facultad del individuo para rectificar, modificar, actualizar y, en términos
generales, acceder a la información que sobre él se trate en una base de datos.
En la Sentencia su-082 de 1995, la Corte comenzó a deslindar estos derechos y a plantear la autodeterminación informativa, entendida ésta como la
facultad del titular de los datos para autorizar su conservación, uso y circulación,
de conformidad con las directrices legales. A partir de la Sentencia T-552 de
1997, la Corte deslindó definitivamente los derechos a la intimidad y al hábeas
data, al afirmar
El derecho al hábeas data es, entonces, un derecho claramente diferenciado del derecho
a la intimidad, cuyo núcleo esencial está integrado por el derecho a la autodeterminación informativa…
C. i n t i m i da d v e r s u s i n f o r m ac i  n :
c o l i s i  n y d e l i m i ta c i  n
El derecho a la información constituye también un derecho constitucionalmente
consagrado en el artículo 20 de nuestra Carta Política. Es necesario partir de
la premisa de que la información es un bien intangible que requieren los parti-
 En tal sentido, Corte Constitucional. Sentencia del 9 de junio de 1993, M. P.: Antonio Barrera Carbonell: “En un sentido amplio se admite que al vulnerarse el derecho a la intimidad se quebrantan otros
derechos, los cuales por alguna parte de la doctrina se consideran como modalidades del derecho mencionado, pero que por voluntad de la Constitución tienen su propia individualidad, como son el derecho
al ‘buen nombre’, el habeas data y la ‘inviolabilidad de la correspondencia’. Ciertamente la infracción al
habeas data supone, en la mayoría de los casos, la violación del derecho a la intimidad. Sin embargo, no
siempre, pues por vía de ejemplo, el no permitir a una persona que conozca las informaciones que sobre
él se hayan recogido en un banco de datos y en archivos de entidades públicas y privadas, quebranta el
derecho del habeas data, pero no el de intimidad”.


culares, así como el Estado, para el ejercicio de sus actividades y cumplimiento
de sus fines.
La cuestión que se plantea es de límite: hasta dónde el uso y comunicación
de esa información es pertinente a los fines que se pretende cumplir, y cuándo viola la intimidad del individuo, partiendo de la afirmación de que no son
incompatibles, y de que, bajo una concepción pluralista como la de la Constitución colombiana, en la cual también se encuentran plasmados derechos de
corte liberal, de proteccionismo y bienestar social, se hace imperioso conocer y
plantear el ejercicio de un derecho colectivo como la información y un derecho
de corte individualista como la intimidad.
En diversas sentencias la Corte ha planteado la colisión que se presenta
entre ambos derechos: intimidad e información. El contexto en el que quizás
cobra más importancia la planteada colisión tiene que ver con la información
de los datos crediticios o de solvencia patrimonial de una persona, a través de
las centrales de riesgo. En este escenario, no obstante que la Corte ha reconocido en el interés general una razón que justifica la limitación a la intimidad,
cada caso concreto plantea la necesidad de estudiar si puede limitarse o no la
intimidad del individuo so pretexto del interés general. Este estudio debe
llevar a determinar lo que la Corte denomina el núcleo esencial del derecho, es
decir, aquella parte de su contenido que es absolutamente necesaria para que
los intereses jurídicamente protegidos resulten real, concreta y efectivamente
tutelados.
 Al respecto Pérez Luño plantea: “Lo cierto es que la información es poder y que sin ella cualquier
gobierno moderno sería incapaz de cumplir sus fines. Pero con un uso indebido o abusivo de la tecnología informática por parte del ejecutivo o de determinados grupos privados se amenazaría de muerte al
desarrollo de las instituciones democráticas; de ahí que se impongan fórmulas que garanticen su control
social [...] En todo caso sería muy provechoso para el estatuto de los derechos fundamentales una actitud
del legislador, la judicatura y la doctrina tendiente a extraer la mayor virtualidad posible de aquellos
postulados de la norma constitucional que sitúan en la noción de persona humana, en la integridad de
sus necesidades y experiencias, el criterio hermenéutico básico para una práctica superadora de la fractura entre libertades individuales y derechos sociales. Entendiéndolo así, será posible un planteamiento
correcto de las relaciones informática-intimidad, asentado sobre el principio de que libertad e igualdad,
individuo y colectividad, no constituyen opciones excluyentes”, Ob. cit., pp. 339 y 343.
 Corte Constitucional. Sentencia de tutela del 29 de enero de 1993. M. P.: Ciro Angarita Barón.
 Corte Constitucional. Sentencia del 26 de abril de 1993. M. P.: Eduardo Cifuentes Muñoz: “El ejercicio
de los derechos a informar (arts. 15 y 20 cp) y a la intimidad (art. 15 cp) plantea en la práctica constantes controversias entre sus titulares. Mientras que los centros de información buscan hacer públicos
ciertos datos en función de diversas necesidades –transparencia, seguridad, previsibilidad, etc.–, las
personas, en un mundo altamente sistematizado, procuran mantener un ámbito mínimo de privacidad.
Desde una perspectiva jurídica, la solución a este conflicto depende de la existencia de claros límites
constitucionales y de criterios objetivos que permitan sopesar el alcance de los derechos fundamentales
en un caso concreto”.
El interés general parece ser entonces el denominador común que acoge la
doctrina sobre el tema para fijar los límites del derecho a la intimidad. La cuestión que secundariamente se suscita es la determinación de lo que una sociedad
en particular entiende por interés general. Un aspecto más que legitima la
necesidad de que el derecho a la intimidad sea autónomamente desarrollado a
través de la norma respectiva.
I I . c  m o a f e c ta l a r e d d e i n t e r n e t
l a i n t i m i da d d e l o s i n d i v i d u o s
La red de internet, dadas sus especiales características, permite el acceso de
millones de usuarios al mismo tiempo a la información que está contenida en
los diferentes sitios web que en ella se alojan. De allí que se afirme que es una
red abierta y universal, que nace de la convergencia de equipos, redes y servicios
interconectados al mismo tiempo, con una organización propia y una tecnología
específica. Esta convergencia de personas, a través de un espacio virtual compartido y de tecnologías como la informática y las telecomunicaciones, ha puesto de
manifiesto una serie de problemas con relación a la intimidad de los individuos.
Miremos algunos de ellos.
A . e l c o r r e o e l e c t r  n i c o y s u a d e c ua d o u s o
El correo electrónico consiste en una dirección electrónica provista por el
proveedor de servicios de internet a un usuario, con el fin de que éste pueda
comunicarse a través de la misma, enviar mensajes de datos y recibirlos, a bajos costos y sin demora de tiempo real. Este servicio de la red tiene una doble
 Al respecto Manuel A Iturralde. “La libertad de información frente al derecho a la intimidad: el
dilema entre una sociedad informada y el derecho a la soledad”, Revista Tutela, Acciones Populares y
de Cumplimiento, n.º 7, julio de 2000, pp. 1525 y ss.: “De lo anterior se concluye que un conflicto entre
libertad de información y el derecho a la intimidad se traduce en gran medida en un enfrentamiento
entre lo privado y lo público y en lo que cada sociedad entienda por cada uno de esos términos a partir
de su tradición y cultura. La discusión depende también del énfasis y la importancia que cada sociedad
y cada ordenamiento jurídico den a valores y principios como la dignidad humana y la democracia [...]
El ejercicio simultáneo de los derechos a la información y a la intimidad puede hacerlos incompatibles
a tal punto, que el sacrificio de uno es necesario para resolver la colisión. El criterio fundamental para
decidir cuál derecho debe ceder frente a otro parece ser el interés público de la información que se
pretende publicar: si se evidencia que la información es realmente importante para la opinión pública
y para la formación de criterio de los ciudadanos en garantía del bien común, el derecho que primaría
sería el de la información; pero si se demuestra que la información que se pretende publicar no reviste
un verdadero interés público y que se hace exclusivamente referencia a hechos de la vida privada de un
individuo que sólo a él conciernen, el derecho que se impondría sería el de la intimidad”.


naturaleza: al mismo tiempo que sirve como correspondencia, constituye un
conjunto de datos personales.
La posibilidad de comunicación que brinda el correo electrónico, sin necesidad del desplazamiento físico, ha abierto la puerta a que sean numerosas sus
aplicaciones, incluso en el ámbito estatal, como sucede con las notificaciones
judiciales o la solicitud respetuosa de derechos de petición frente al Estado a
través de este medio.
En Colombia, la entrada en vigencia de la Ley 527 de 1999 abrió la posibilidad
de desplegar actuaciones y hacer uso de los mensajes de datos enviados a través
de internet, con la misma fuerza legal que tienen dichos mensajes y actuaciones
a través de los documentos físicos en papel. Para tal efecto la norma introduce
una serie de regulaciones sobre las entidades que participan en la red (de certificación) con el fin de dar seguridad a las transacciones que pueden realizarse
utilizando los medios electrónicos; en igual sentido regula lo relacionado con
la firma digital, la fuerza probatoria de los mensajes de datos, la formación de
contratos a través de internet y su validez frente a las partes y terceros, entre
otros temas.
Puede afirmarse entonces que esta regulación, pionera frente a muchos
otros países del mundo, admitió la equivalencia funcional y legal de los medios
electrónicos con los medios físicos en papel, y con ello abrió una puerta a la
seguridad del comercio electrónico, en consonancia con el desarrollo de la
sociedad de la información en Colombia y, por ende, una forma adicional de
comunicación entre particulares a través del correo electrónico.
Ahora bien, la posibilidad de transferencia de datos, incluyendo imágenes y
sonidos, a través del correo electrónico, trae como consecuencia la transmisión de
datos de carácter personal, además de la información que contiene el mensaje, lo
que pone en evidencia la dificultad de enviar un mensaje sin que se conozca su
destinatario, situación que, por el contrario, resulta factible a través del correo
físico. De allí que la Recomendación n.º R (99) 5 del Consejo de Europa señale
que la dirección electrónica constituya un dato personal y en consecuencia su
recolección debe incluir la pregunta al usuario de si desea que ella quede incluida
 Llama la atención, al respecto de este tema, el Decreto 1335 de 1999, emitido en la República Argentina, por el cual se facultó al correo oficial de ese país para que implementase todos los mecanismos
pertinentes con el fin de otorgar a cada habitante una dirección de correo electrónico que lo identifique
de manera clara, segura, fiable e inequívoca, asignación que se haría, además, con carácter gratuito.
De igual manera en Perú, la Ley 27.419, del 7 de febrero de 2001, regula las notificaciones por correo
electrónico, modificación hecha al Código de Procedimiento Civil. Cfr. Horacio Fernández Delpech.
Internet: su problemática jurídica, Buenos Aires, Abeledo-Perrot, pp. 23 a 25.
en una base de datos y cómo puede ejercitar su derecho de acceso a la misma,
en el evento de que él no quiera dejar este dato en dicha base.
Respecto al uso adecuado o no del correo electrónico, se ha generado en
algunos países la necesidad de control del e-mail en las empresas. El problema
que se plantea es el de ejercer la vigilancia e inspección laboral del e-mail de los
empleados de la compañía, lo que cuestiona sin duda la legalidad de tal práctica
a la luz del derecho a la intimidad.
La respuesta y solución legislativa que al respecto se ha dado en los diferentes países no es uniforme. Para algunos, la potestad del empleador implica que
pueda efectuar control sobre los bienes que pone a disposición del trabajador
para el cabal desarrollo de sus funciones, entre ellos los equipos, el software y
el correo electrónico. Para otros, esta intromisión implica violar el secreto de
las comunicaciones y la intimidad del trabajador.
En Colombia no existe una regulación concreta sobre el monitoreo laboral
del e-mail. Cualquiera que sea la forma de regulación que se adopte, pensamos
que la misma puede hacer parte de las normas laborales convencionales que se
celebran entre patronos y trabajadores, normas que regulan el justo medio al
que debe llegar la solución a esta situación.
B. la i d e n t i f i c ac i  n d e la p e r s o na
a t rav  s d e s u d i r e c c i  n i p
La llamada dirección ip es un identificador del computador que se encuentra
conectado a la red. Esta dirección permite identificar cuál es la máquina que
está remitiendo un mensaje (emisor) o a cuál se está remitiendo (destinatario).
El titular del software operativo con el que funciona la máquina podría ser
identificado a través de la dirección ip, pues esa información debe mantenerla el
proveedor de servicios de acceso a la red con la cual ha contratado la persona.
Existe gran discusión en la doctrina sobre este tema, en cuanto a saber si esa
dirección ip puede o no considerarse un dato de carácter personal. Para algunos
se trata simplemente de un número que identifica una dirección en la red, no
a una persona física. Para otros, esta dirección, si bien identifica una máquina,
indirectamente puede llevar también a la identificación de su titular, lo que lo
convertiría en un dato personal.
Sea cual sea la tendencia adoptada, no les compete a las normas de protección de datos regular la dirección ip de una persona como un dato aislado. Lo
que sí puede ser objeto de regulación por este tipo de normas son las conductas tendientes a interrelacionar direcciones ip, con el fin de crear perfiles del
individuo. En efecto, a través de programas informáticos es posible saber, por


ejemplo, el proveedor del servicio de internet, el país en que reside, el titular
del servicio, la hora, fecha y día en el cual hizo conexión, la máquina desde la
cual accedió y, en fin, toda una serie de datos para formar bases a partir de las
cuales se puede hacer un uso inadecuado o violatorio de la intimidad. Desde
este punto de vista, la tendencia generalizada es a considerar la dirección ip
como un dato personal.
C. los grupos de noticias o “newsgroups”
Éste constituye otro de los servicios que ofrece internet y consiste en la aparición
virtual de foros de debate a través de los cuales se expresan e intercambian opiniones acerca de un tema. Cada newsgroup está localizado en un computador en
alguna parte del mundo y tal sitio web dispone de un moderador que controla
las informaciones enviadas.
Para participar en estos sitios de conversación virtual es necesario formar
parte de las listas que para el efecto se ponen a disposición en el sitio web que
promueve el grupo de discusión. Cualquier usuario envía un mensaje que
se distribuye automáticamente a los miembros del grupo a través del correo
electrónico.
La ausencia de medios de seguridad idóneos puede generar riesgos en el uso
de los datos personales de los sujetos que participan de estos foros de discusión
virtual: en primer lugar, en cuanto a la recopilación de datos que permitan identificar al individuo, para lo cual es necesario adoptar mecanismos informáticos
que impidan el ser identificado en los grupos de discusión; y en segundo lugar,
en cuanto a la elaboración de perfiles del individuo, basados en los datos sobre
las preferencias de las personas, sus gustos y apetencias, con el agravante de que
puede tratarse de información que permanezca durante muchos años en la red
y por ende sea tratada indiscriminadamente por personas no autorizadas.
D. e l e n v  o m a s i v o d e c o r r e o e l e c t r  n i c o
Hace parte de la intimidad, concretamente en el ejercicio del derecho de habeas
data, la posibilidad de recibir o no comunicaciones o mensajes de una persona.
Este derecho ha llevado a la configuración de lo que se conoce como las “listas
Robinson”, en las cuales están las personas que no desean recibir información,
especialmente la publicitaria de bienes y servicios.
La red de internet permite el envío masivo y a bajos costos de variada
información, una vez conocida la dirección o e-mail del destinatario. El envío
indiscriminado y no solicitado de e-mail, generalmente con fines publicitarios,
se denomina spam y sin duda constituye una conducta violatoria del derecho
a la intimidad.
Por otro lado, el envío de este tipo de correo de manera indiscriminada
apareja como consecuencia que los costos del correo electrónico se trasladen al
destinatario del mismo, no sólo desde el punto de vista del tiempo de conexión
que invierte en acceder a todos los mensajes remitidos, sino también desde la
perspectiva del riesgo que asume frente a programas desconocidos o que contengan virus que puedan afectar su computador.
No existe una política uniforme de tratamiento del spam. Las normas de
protección al consumidor han sido las encargadas de dar respuesta a estas situaciones; la tendencia actual de su manejo tiene dos vertientes: la de los que
se inclinan por permitir el envío de este correo pero exigiendo al remitente su
identificación completa frente al usuario y la posibilidad de que éste pueda
expresar su deseo de no recibir este tipo de correo; tambien está la solución
contraria, es decir, la de los que quieren prohibir el envío masivo de e-mails, y
solamente permitirlo en aquellos casos en los que, de manera expresa, el usuario
quiera recibir información o publicidad de cualquier tipo.
E . s o f t wa r e pa r a e l r a s t r e o d e i n f o r m a c i  n
Con el fin de conocer y acceder a la mayor cantidad posible de direcciones de
correo electrónico, y por ende a los usuarios de internet en todo el mundo, se
han desarrollado algunos programas de rastreo de esa información a través de
técnicas que permiten registrar el paso virtual de un usuario por una determinada página web. Son las denominadas cookies y los programas sniffers.
Estos programas son instalados en el computador del usuario la mayoría
de las veces sin su conocimiento y permiten personalizar las páginas que más
visita éste. Desde una sana perspectiva, estos programas –las cookies–, ayudan
al usuario a facilitar su navegación, pues le dejan acceder más fácilmente a
los sitios web de común uso. Sin embargo, al mismo tiempo, esos programas
permiten recolectar una serie de informaciones sobre el individuo, concreta-
 En la Directiva Europea 2000/31/ce, sobre comercio electrónico, en lo relacionado con el spam se
exige para los proveedores de bienes y servicios a través de la red un contenido mínimo en sus envíos
masivos de publicidad: datos del emisor, productos, forma de contacto. Además se les exige consultar
las “listas Robinson” antes de efectuar el envío masivo de mensajes.
 Esta tendencia se verifica en Estados Unidos de Norteamérica, por ejemplo en Washington, donde se
dictó una ley desde el año de 1998, por la cual se prohibió el spam y se sometió su violación a elevadas
multas. En igual sentido cursaron diversos proyectos de ley tramitados en el Congreso de los Estados
Unidos.


mente sobre sus gustos, preferencias y demás datos atinentes a sus hábitos de
consumo, que hacen que se puedan construir perfiles a través de los programas
de “minería de datos” o data mining, bases de datos de gran interés para las
compañías publicitarias.
Por su parte, los llamados sniffers son programas que monitorean las comunicaciones a través de la red para capturar el tráfico que circula a través de
ella. Tales dispositivos permiten entrar al disco duro del computador, recoger
los correos electrónicos almacenados, leerlos y ejercer control sobre la información allí contenida. Inicialmente podría pensarse que un seguimiento de tal
naturaleza resulta inocuo.
Sin embargo, el rastreo que se hace en diversos sitios puede combinarse, y
con un software es posible hacer un cruce de datos que permita identificar plenamente a una persona y construir un perfil completo de su personalidad. Dentro
de las herramientas más sofisticadas de búsqueda en la red se encuentran hoy
los llamados netbots, que consisten en dispositivos con principios de inteligencia
artificial, destinados a buscar ofertas de productos, comparar precios y ofrecer
información clasificada según el interés y las preferencias del usuario.
También respecto de este tema han sido reformadas, en lo pertinente, las
normas de protección al consumidor en algunos países, con el propósito de dar
a conocer al usuario la existencia de estos programas, obtener su consentimiento
para la instalación de los mismos e informar claramente cuál es la finalidad del
registro de los datos, qué se pretende hacer con ellos (p. ej., transferirlos a terceros o enviarle información publicitaria sobre lo que le interesa). Solamente bajo
estos supuestos podría admitirse que las cookies y los programas sniffers no violan
el derecho a la intimidad de los individuos. En todos los demás casos, no cabe
duda de que se hace una intromisión indebida en este derecho fundamental.
Finalmente cabe afirmar que, si bien existe la tendencia de regular la intromisión de estos programas de rastreo de datos de carácter personal a través
de la adecuación de normas o expedición de otras nuevas, las leyes que existen
de protección de datos personales en los países darían una respuesta adecuada
a las conductas provenientes del indebido uso de estos programas y que, por
ende, pusieran en riesgo el derecho a la intimidad que desarrollan, sin que ello
signifique que constituyen la única herramienta para la defensa de los derechos
de los ciudadanos en cuanto a su privacidad en internet.
Por el contrario, las mismas normas de protección de datos prevén la
adopción de sistemas adicionales, como los códigos de conducta gremial, que
pretenden establecer normas de buena práctica comercial en la red, de tal forma
que exista una autorregulación de las conductas que puedan resultar lesivas
para los actores del comercio electrónico; las garantías contractuales pactadas
en cláusulas de contratos efectuados a través de la red, especialmente cuando se
trata de transferencias entre diversos países con un nivel de protección de datos
diferente; las certificaciones o stamps, otorgadas por instituciones encargadas
de verificar, por parte del usuario, si una empresa cumple o no con políticas de
privacidad a través de la red, avalando con un signo dicho comportamiento, lo
que a su vez trasmite confianza al usuario que ingresa a determinado sitio web;
también se encuentran en la práctica las netiquette o normas de etiqueta a través
de la red, normas de buenas maneras y comportamiento moral respetuoso en
la red, entre otros.
III. e l c o m e rc i o e l e c t r  n i c o y la s t ra n s f e r e n c i a s
d e d at o s d e c a r  c t e r p e r s o n a l : u n a m i r a d a
d e s d e l a s n o r m a s d e p r o t e c c i  n d e d at o s
Ya descrito el contexto de lo que significa el derecho a la intimidad y cómo se
le ha amparado a través de la adopción de normas de protección de datos de
carácter personal frente al uso de las tecnologías digitales, es preciso ahora detenernos en la incidencia que tienen estas tendencias legislativas en el comercio
electrónico.
A . l a t r a n s f e r e n c i a d e d at o s e n e j e r c i c i o
del comercio electrnico
Hemos visto cómo la presencia del individuo en internet conlleva una serie de
riesgos respecto de la conculcación de su intimidad, proveniente de las especiales
características que posee esta red. Pero más allá de la presencia de datos en la
red, el contexto del comercio a través de este medio implica no sólo la presencia
estática de datos, sino también la movilidad de los mismos a través de la red, su
transferencia inmediata y en grandes volúmenes a cualquier parte del mundo.
Tal como sucede en el comercio tradicional, la actividad de demanda y
oferta de bienes, así como la concreción de contratos en el mundo mercantil,
exige del intercambio de datos de carácter personal. Cuando el intercambio se
produce a través de la red de internet, el uso de las tecnologías conlleva una
serie de implicaciones diferentes respecto del uso y la transferencia de esos
datos, como pueden serlo:
– El hecho de que esos datos puedan libremente circular por la red, lo que
hace difícil para el titular de los mismos ejercer un control efectivo sobre ellos.
– La posibilidad de que los datos lleguen a manos de terceros que no hagan
bueno uso de los mismos.


– El riesgo de que los datos puedan ser objeto de manipulación y tratamiento informático, que permitan, por ejemplo, crear perfiles de la persona
(data mining).
Estas circunstancias ponen en evidencia la necesidad de proteger la intimidad del consumidor, cuando se trata del ejercicio del comercio por vías
electrónicas a través de redes de comunicación, especialmente en lo que tiene
que ver con el control que puede aquél ejercer sobre sus datos. Esta necesidad
se ha visto planteada incluso por los consumidores mismos, en diversos estudios
y encuestas efectuadas en varios países, a través de las cuales se ha puesto en
evidencia el temor que las personas tienen de acceder a internet y de que sus
datos sean rastreados y usados para fines no autorizados.
Estas investigaciones demuestran sin duda que, tal como sucedió al principio, el derecho a la intimidad viene evolucionando hacia otros campos, como
consecuencia del cada vez más avanzado desarrollo de la teleinformática, lo
que conduce ciertamente a que, en el desarrollo del comercio electrónico, sea
imperiosa la necesidad por parte de la empresa privada de pensar sobre este
tema. En las encuestas mencionadas se demostró, verbigracia, que los consumidores prefieren acceder a páginas que les generen confiabilidad y confianza
en el manejo de sus datos personales, circunstancia que además resulta fundamental para el desarrollo del comercio electrónico y la fluidez de la economía
a través de la red.
El planteamiento que surge es el siguiente: cuando una persona accede a la
adquisición de bienes y servicios a través de contratos efectuados por vía electrónica, concretamente a través de internet, su principal objetivo es la satisfacción
de una necesidad cuya concreción será la conclusión del acto negocial y por ende
la adquisición de lo requerido. Sus datos e información contractual (nombre,
domicilio, identificación, clave de su tarjeta de crédito para el pago, entre otros,
bien se trate de lo que se conoce como comercio directo o indirecto a través de
la red), formarán parte de una base de datos de la empresa o comerciante que
ofrece sus bienes y servicios, cuyo uso inicial es el cumplimiento de la obligación
adquirida con el consumidor.
 Nelson Remolina Angarita. Data protection: panorama nacional e internacional en internet, comercio
electrónico y telecomunicaciones, Bogotá, Universidad de los Andes, Legis, 2002, p. 112. Pone de presente el autor la dificultad que representa para el desarrollo del comercio electrónico la preocupación
expresada por los consumidores en los Estados Unidos, Inglaterra, Alemania y Japón, en relación con el
tratamiento indiscriminado de sus datos a través de la red, especialmente por el inadecuado uso de sus
datos personales, la dificultad de acceso y control sobre los mismos, así como por el uso y distribución
a terceros no autorizados de su información privada.
¿Qué sucede con dichos datos después de concluido el acto negocial? ¿Será
pertinente su permanencia en la base de datos de la empresa? ¿Qué sucede si se
les otorga un fin diferente al anteriormente planteado? La respuesta dada a estos
interrogantes se ha dado, principalmente, a través de las normas de protección
de datos y su adecuación a las prácticas del comercio electrónico.
De otro lado, existe en internet la tendencia de su autorregulación, es decir,
la posibilidad de que sus actores adopten medidas que ellos mismos se obliguen
a cumplir sin que exista una norma estatal que les constriña a respetar estos
derechos. Dentro de los mecanismos de autorregulación que hoy se impulsan
para las empresas que ejercen el comercio a través de la red, se han venido haciendo cada vez más comunes las llamadas políticas de privacidad, que consisten
en una serie de afirmaciones que el usuario conoce al momento de ingresar al
sitio web, en las cuales se le explica que el tratamiento de sus datos será lícito
y leal; cuáles son las finalidades respecto de los datos que van a ser recabados;
qué medidas de seguridad existen en los sistemas informáticos que ofrezcan
tranquilidad para los usuarios sobre el tratamiento de sus datos, y, finalmente,
incluir la posibilidad de elección del usuario de suministrar o no sus datos, o
de determinar la finalidad específica con la cual los suministra.
Estas políticas de privacidad adoptadas por una empresa en su sitio web,
deben contar con los sistemas informáticos que permitan la obtención del
consentimiento y el acceso a la información de privacidad, de una manera clara
y con fácil posibilidad de acceso, por ejemplo, en la primera página a la que
accede el usuario (homepage) o a través de enlaces que lleven directamente a
dicha información.
B. la au to d e t e r m i nac i  n i n f o r m  t i c a
No se agota sin embargo el tema de los riesgos asumidos por los consumidores,
al ingresar a internet con el fin de celebrar actos negociales, en la transferencia
y movilidad de sus datos sin su conocimiento: el ejercicio de sus derechos también exige de los protagonistas, dentro de la red, el deber de asumir conductas
y acciones concretas que respondan a esta necesidad.
El término autodeterminación informática tuvo su origen en una sentencia del
Tribunal Federal alemán. En aquella oportunidad, esa corporación se pronunció
sobre la Ley del Censo del 31 de marzo de 1982, frente a la cual –afirmaba el
demandante– existía la posibilidad de que los datos exigidos por el Estado para
el censo, razonables desde la perspectiva del Estado, pudieran ser utilizados de
manera incontrolada en desmedro del ciudadano.
El tribunal consideró que la protección a la intimidad era un corolario del
derecho general de la personalidad, que se expresa en la dignidad inviolable del


ser humano y en el libre desarrollo de su personalidad. La inviolabilidad de la
persona es la otra cara de la libertad, o su libre autodeterminación, y, dentro
de esta facultad, la autodeterminación informática significa que el individuo
puede decidir básicamente por sí mismo cuándo y dentro de qué límites procede revelar situaciones referentes a la propia vida. Si bien los datos del censo
podrían verse como inocuos, concluye el tribunal alemán que sería ilícito –incluso en el anonimato de las encuestas estadísticas– todo registro y catalogación
omnicomprensiva de la personalidad, mediante la reunión de datos singulares
sobre el modo de vida de la persona, que permitan componer así un perfil de
la personalidad del ciudadano.
La importancia de la sentencia estriba sin duda en la evolución que, a partir
de la intimidad, se otorga a este derecho en la práctica del tratamiento de datos,
aun por el Estado en ejercicio de sus funciones.
Este concepto de autodeterminación informática es el contenido del denominado habeas data. Implica la posibilidad del sujeto de tener autonomía y
control sobre la información de carácter personal que de él se recoge y usa en
el tráfico comercial. El desarrollo y la forma de ejercerla se han plasmado en
las leyes de protección de datos personales en los países que las han acogido.
Veamos pues en qué consisten dichas normas, cuál es el contenido general y
qué consagran respecto del ejercicio del habeas data.
C. c o n t e n i d o g e n e ra l d e la s n o r m a s d e p rot e c c i  n
d e d at o s d e c a r  c t e r p e r s o n a l .
p e r s p e c t i va i n t e r n a c i o n a l
Tal como lo hemos esbozado, son las normas de protección de datos de carácter
personal las que han abanderado el desarrollo del derecho fundamental da la
intimidad.
Especialmente en Europa Occidental, y siguiendo los derroteros del Consejo de Ministros de la Unión Europea, surge la primera norma directriz para
la protección de datos personales, con el fin de proteger a las personas físicas
en lo que respecta a sus datos personales y a la libre circulación de los mismos.
 Al respecto, cfr. sobre esta sentencia: Emilio Suñé Llinás. Tratado de derecho informático, vol. i, Introducción y protección de datos personales, Madrid, Universidad Complutense de Madrid, 2000, p. 59.
 Murillo. Ob. cit., p. 173: “El derecho a la autodeterminación informativa, en cuanto posición jurídica
subjetiva correspondiente al status de habeas data, pretende satisfacer la necesidad, sentida por las
personas en las condiciones actuales de vida social, de preservar su identidad controlando la revelación
y el uso de los datos que les conciernen y protegiéndose frente a la ilimitada capacidad de archivarlos,
relacionarlos y transmitirlos propia de la informática y de los peligros que esto supone”.
Se trata de la Directiva 95/46/ce del Parlamento Europeo y del Consejo, a la
cual debían sujetarse todos los miembros de la Unión, adoptando, al interior
de sus respectivos ordenamientos, normas en tal sentido.
La directiva señala como parámetros para la expedición de estas normas los
siguientes: comienza por adoptar una serie de definiciones sobre los términos
recurridos y que constituyen el eje fundamental de la norma: dato personal,
tratamiento de datos, ficheros de datos personales, encargado del tratamiento,
titular de los datos, consentimiento del interesado, entre otros.
La norma tiene aplicación a todo tratamiento de datos personales, definiendo éste como cualquier operación o conjunto de operaciones, efectuado o no
mediante procedimientos automatizados, y aplicado a datos personales, como
la recolección, registro, organización, conservación, elaboración o modificación,
extracción, consulta, utilización, comunicación por transmisión, difusión o
cualquier otra forma que facilite el acceso a los mismos, cotejo o interconexión,
así como su bloqueo, supresión o destrucción (art. 2.º, Directiva 95/46/ce).
En el contexto del comercio electrónico y partiendo de la definición planteada, no cabe duda de que el almacenamiento de datos en una página web
constituye una forma de tratamiento, que además facilita el acceso, el cotejo e
interconexión de los datos almacenados.
Posteriormente, la directiva describe las condiciones necesarias para que el
tratamiento de datos personales en cualquier país de la Unión sea considerado
lícito: determinación específica de la finalidad para la cual se recoge el dato;
exactitud y actualización del dato; conservación adecuada y segura para el titular,
entre otras. Igualmente se consagran los principios que legitiman a cualquier
entidad para el tratamiento del dato, sobre los cuales nos detendremos en el
acápite siguiente.
Se clasifican así mismo las categorías de tratamientos de datos y la información
que debe ser otorgada al titular del dato para que pueda ejercer su derecho de
habeas data o de autodeterminación informativa, diferenciando el caso en el que
los datos no son recolectados del propio interesado sino de un tercero, circunstancia que implica un trato diferente pues entre uno y otro media la obtención
o ausencia del consentimiento del titular del dato, y por ende, del derecho a la
intimidad que de tal forma se pretende proteger.
Posteriormente se describe en la Directiva 95/46/ce todo lo referente al
control de la aplicación que la norma debe tener en cada país: la conformación
 Complementaria a esta Directiva se encuentra la 97/66/ce relativa al tratamiento de los datos personales y la protección de la intimidad en el sector de las telecomunicaciones, que, por desbordar el
alcance de este trabajo, no será objeto de estudio.


de una entidad que reciba las quejas de los ciudadanos, ordene corregir las
anomalías y pueda imponer las sanciones cuando se lesionen los mandatos
impuestos; se menciona la necesidad de adoptar códigos de conducta y algunas
medidas de protección a cargo de esta entidad. Llama la atención la necesidad
que se plasma de que esta entidad de control sea independiente de los órganos de
gobierno del Estado, pues ellos mismos son sujetos de control en el tratamiento
de datos que hacen. Finalmente la directiva regula lo relativo a la transferencia
de datos de un país a otro, en cuanto a los requerimientos de seguridad que
deben garantizarse para el efecto.
Veamos en detalle algunas de las directrices fundamentales en ella planteadas, justamente las que luego tendrán que ver con el ejercicio del comercio
electrónico a través de internet.
1 . l o s p r i n c i p i o s f u n d a m e n ta l e s
e n e l t r ata m i e n t o d e d at o s
El Convenio 108 Europeo consagra como principios en el tratamiento de datos los
siguientes: lealtad, exactitud, finalidad, publicidad, acceso individual y seguridad.
Estos principios fueron luego tomados por la Directiva 95/46/ce y son quizás
la directriz más importante que la norma antes referida contempla, pues tienen
que ver con las formas que deben inspirar el tratamiento de datos personales,
ejes alrededor de los cuales todas las legislaciones de la Unión deben desarrollar
sus normas, por responder a ese derecho fundamental que protegen.
Los principios a los cuales se refiere la directiva pueden describirse de
manera general como sigue:
Información al interesado. Finalidad. El titular de los datos debe ser previamente informado, de manera expresa, precisa e inequívoca, del tratamiento de
los mismos y de la finalidad de dicho tratamiento.
Calidad de los datos. Los datos tratados deben ser pertinentes, adecuados y
no excesivos con relación al fin para el cual han sido recabados.
Consentimiento del afectado. Condición necesaria para el tratamiento de
datos, además revocable en cualquier momento por el titular.
Datos sensibles. Se debe otorgar una protección especial a los datos considerados
sensibles como: religión, ideología, salud, vida sexual, origen racial, entre otros.
Seguridad de los datos. Los datos recabados deben estar sujetos en su tratamiento a una serie de medidas de seguridad que impidan su mal uso o indebida
conservación.
Deber de secreto. El secreto profesional debe rodear el tratamiento de datos
en cabeza de los responsables de los ficheros.
Comunicación de los datos. Cumpliendo con la necesidad de atender igualmente al derecho de información que el interés general reclama respecto de algunos
tipos de datos, se consagra este principio y las directrices de su ejecución.
El compendio de estos principios, adoptado en todas las legislaciones de la
Unión Europea, implica su desarrollo y regulación detallada con el fin de que
efectivamente se respeten y cumplan, pues constituyen precisamente la garantía
de que no se vulnere el derecho a la intimidad de los ciudadanos europeos.
Finalmente llama la atención en la Directiva 95/46/CE la prescripción formulada y exigida a los Estados miembros de la Unión en cuanto a la transferencia
internacional de datos, para lo cual sólo podrán hacerse dichas transferencias
a países que tengan normas que garanticen a sus ciudadanos el mismo nivel de
seguridad que las europeas.
2. el consentimiento informado
Dentro de los principios enunciados, la columna vertebral de toda la regulación
de las normas de protección de datos la constituye el consentimiento informado
del titular de los mismos.
Bajo esta premisa, y como regla general, todo tratamiento de datos de carácter personal exige del consentimiento inequívoco del afectado o titular de
los datos. Por excepción, tal consentimiento no es necesario, y en consecuencia,
podrá realizarse el tratamiento aun sin conocimiento del titular. Estos eventos
son restrictivos, deben ser objeto de regulación en la legislación de cada Estado,
y se refieren generalmente a los supuestos en los cuales se trate del ejercicio de
labores por parte de la Administración Pública, o cuando se trate de datos que
figuren en fuentes públicas y accesibles a todo el público, o el tratamiento esté
enmarcado en un contrato que supone como necesario dicho tratamiento para
su cabal cumplimiento.
En cualquiera de estos eventos, las circunstancias deben estar completamente determinadas con el fin de no vulnerar, so pretexto de una excepción,
el derecho protegido.
3 . lo s d e r e c h o s d e lo s t i t u la r e s d e la i n f o r m ac i  n
Otro de los aspectos de mayor relevancia en este tipo de normas estriba en los derechos de los titulares de la información. Estos derechos conforman lo que en términos generales se denomina el habeas data o autodeterminación informática.
En efecto, el titular de los datos tratados en ficheros públicos o privados
tiene derecho a:


– Impugnar las valoraciones que sustenten decisiones con efectos jurídicos
y que tengan como base tratamientos de datos de carácter personal. La valoración del comportamiento de los ciudadanos no tendrá validez como medio
probatorio cuando esté basada en tratamientos de bases de datos, del tipo data
mining o data warehouse, programas informáticos que permiten construir perfiles del individuo.
– Consulta en los registros de bases de datos, con el fin de saber la finalidad
de las mismas, conocer al responsable del fichero y las medidas de seguridad
que se han adoptado para la protección de los datos.
– Acceso, consistente en la posibilidad de obtener de manera gratuita información sobre los datos que sobre él se tienen en una base de datos, el origen
de los mismos y las comunicaciones que se pretenden hacer o se han hecho
con ellos.
– Rectificación y cancelación de los datos que no se ajusten a las directrices
de las normas sobre protección de los mismos, especialmente cuando no son
fidedignos ni cumplen los principios que deben inspirar el tratamiento.
– Finalmente se consagran los mecanismos a través de los cuales se puede
ejercer la oposición, acceso, rectificación y cancelación de los datos, así como
el derecho general de indemnización a favor del afectado como consecuencia
de la trasgresión de estos derechos.
4 . r  g i m e n d e s a n c i o n e s y au to r i da d d e c o n t ro l
La aplicación y control de la ley resulta fundamental en los países que la han
adoptado. De allí que se exija, desde las normas europeas comunitarias, la
creación de un ente independiente que dentro de sus funciones organice un
registro general de bases de datos de carácter personal, tanto públicas como
privadas; que ejerza una inspección permanente sobre la forma como se tratan
tales datos y las medidas de seguridad que se deben adoptar.
Pero tal vez la más importante función de este organismo sea la de llevar
a cabo un procedimiento sumario a través del cual impute responsabilidad a
quienes manejan los ficheros de datos de carácter personal por la violación de
las normas protectoras, imponiendo sanciones que, la mayoría de las veces,
comprenden multas pecuniarias de gran envergadura.
Las sanciones están determinadas por la gravedad de la conducta, tipificadas
como leves, graves o muy graves, dependiendo del tipo de falta cometida. Dentro
de las muy graves están las relativas a la violación de los principios que inspiran
el tratamiento de datos personales y la violación a los derechos del ciudadano.
D. i m pa c t o d e l a s n o r m a s d e p r o t e c c i  n d e d at o s
en el ejercicio del comercio electrnico
Esbozados de manera general los principales contenidos de la normatividad
sobre protección de datos personales, veamos ahora cuál es el impacto que esas
normas generan cuando se enmarcan en el ejercicio del comercio electrónico,
teniendo como referencia las recomendaciones efectuadas por el grupo de
trabajo conformado por diversas autoridades de los Estados miembros de la
Unión Europea, conocido como el grupo del artículo 29 de la Directiva 45/96/
CE, sobre los requisitos mínimos para la recolección de datos en línea. Estas
recomendaciones se circunscriben a nueve: el otorgamiento de información al
momento de la recolección de datos; obtención del consentimiento del afectado;
determinación de los usos y finalidades; cancelación de los datos cuando no
sean pertinentes para la finalidad inicial de recolección; normas especiales en
la recolección de los datos de salud y vida sexual; acceso a los datos por cuenta
de terceros; previsiones para la comunicación de datos a terceros diferentes del
recolector; previsiones sobre el movimiento internacional de datos; y premisas
para la seguridad de los datos.
Siguiendo estas directrices, miremos algunos de los aspectos más importantes relacionadas con el ejercicio del comercio electrónico.
1 . l o s s u j e t o s r e s p o n s a b l e s d e l t r ata m i e n t o
Las personas que se encargan del tratamiento de datos, y por ende responsables
sobre los mismos, son aquellas que, por regla general, deciden sobre la finalidad,
contenido y uso de los datos que se recolectan. Dada su especial función, los responsables del tratamiento de los datos deben así mismo adoptar todas las medidas
técnicas y organizativas necesarias que garanticen la seguridad sobre los datos y
la posibilidad de que el titular pueda ejercer su derecho al habeas data.
En la red existen diversos sujetos que intervienen de conformidad con su
rol y tipo de servicios: en primer lugar encontramos los operadores de redes,
cuyo negocio es la conexión de los puntos de comunicación entre máquinas para
que éstas puedan acceder al servicio; también se encuentran los proveedores de
acceso a internet, cuyo negocio es permitir el acceso de los usuarios a la red. En
algunos casos pueden también ser los titulares de las redes y entonces gozarán
de ambas calidades. Los proveedores de acceso pueden ser proveedores de servicios (isp), proveedores comerciales de servicios en línea (osp) o proveedores
de tablones de anuncios (bbs).
Hasta aquí, los proveedores de estos servicios tangencialmente estarían
relacionados con los datos que los usuarios ponen en circulación a través de la


red, pues su función está contextualizada en el acceso mismo al servicio. Ellos
no tienen un control efectivo sobre las transferencias que se hacen en internet,
aunque sí manipulan bases de datos de su clientela y desde esta perspectiva
deben ser acuciosos en el manejo de tal información, pues son ellos los que
suministran la dirección ip de cada usuario.
Por otro lado se encuentran los editores de programas para internet, es decir, las empresas dedicadas a crear el software que permite al usuario “navegar”
por la red; ellas proporcionan la herramienta tecnológica que permite lograr la
navegabilidad en internet y por ende están involucradas más directamente en la
protección de datos personales, dado que sus programas permiten la constitución
de ficheros de datos, el establecimiento de la página de acogida o página inicial a la
cual accede el usuario cuando comienza su sesión y proporciona las herramientas
de seguridad. Estos programas permiten el “rastreo” del usuario en el curso de las
páginas web que visita; por ello su desarrollo exige que implementen mecanismos
de seguridad para los datos que circulan a través de sus portales.
Finalmente encontramos a los titulares de los sitios web, las personas naturales y jurídicas que se “alojan” en un sitio virtual, y desde el mismo ofrecen sus
bienes y servicios, publicitan y ejercen su actividad comercial, para el caso que
en este trabajo nos interesa. Estas personas deciden el contenido de sus páginas
y la política de privacidad que va a adoptarse en relación con la protección de
los datos personales.
Bajo las directrices europeas, generalmente serán considerados como responsables del tratamiento, y por ende responsables de la protección de los datos,
los titulares de sitios web. En consecuencia, serán las empresas que ofrecen y
ejercen el comercio a través de medios electrónicos las que, a la luz de las normas
de protección de datos, asuman la mayor carga de responsabilidad en el cumplimiento de las mismas, así como en la auditoría que deben implementar en su
sitio web, con el fin de que se cumplan las medidas informáticas que la ley exige
para la protección de los datos recabados. Dichas medidas dependerán del tipo
de información recolectada y del nivel en el que se encuentre el comerciante.
No ostenta la calidad de responsable del tratamiento el prestador de los
servicios de telecomunicaciones, titular de la red, ni tampoco el proveedor de
acceso a la red o de aplicaciones en red, respecto de los datos que sus usuarios
recolectan o manejan a través de la misma. Tal como lo expresamos, sí lo serán
respecto de los datos que recaban para su propio negocio, es decir, sobre los
datos que les proporcionan sus clientes cuando hospedan páginas en la red, o
cuando ingresan a un portal de comercio virtual, por ejemplo.
Ahora bien, es posible que el responsable del tratamiento de los datos, a su
vez, encargue a un tercero el manejo de los mismos. Este caso plantea lo que se
ha llamado, en las normas de protección de datos, el encargado del tratamiento.
En tal evento la responsabilidad es conjunta y para ambos se exige la adopción
de las medidas de seguridad sobre los datos recabados.
2 . e l r e s p e to a lo s p r i n c i pi o s d e la p rot e c c i  n
d e d at o s e n l a r e d
Ya hemos dicho que los principios que rigen el tratamiento de datos personales, en términos generales son la columna vertebral de todo este sistema legal.
Resulta entonces evidente concluir que los mensajes y transferencias de datos
personales que se hacen a través de la red en ejercicio del comercio también
deben cumplir y aplicar dichos principios.
El sistema generalizado de protección de datos, tal como se ha planteado en el
mundo, pone de relieve la particularidad que alcanzan algunos de los principios
consagrados y antes mencionados, cuando se aplica dicho sistema al contexto de
internet. En efecto, allí toman mayor relevancia el derecho a la información, la
necesidad de obtener el consentimiento informado y la seguridad que se exige
a las bases de datos, dado el carácter abierto y universal que tiene la red. No
significa ello que no se deba dar aplicación y estricto cumplimiento a los demás
principios del debido tratamiento de datos.
3 . la i n f o r m ac i  n o to rg a da a l i n t e r e s a d o
Como se ha visto, la información que se otorga al interesado cuando accede a
un sitio web resulta vital para que el comercio electrónico progrese y se desarrolle con la confianza de los usuarios (política de privacidad). En términos
generales, la tendencia normativa de los países que desarrollan el comercio por
vías electrónicas exige, a las páginas web que recolectan datos personales identificables de consumidores, cumplir con algunas prácticas leales de información
generalmente aceptadas, como lo es el poner en conocimiento del titular de los
datos noticias o menciones sobre la información que recolectan.
Así, cuando la fuente de información es la persona misma que accede al
sitio web, el responsable y/o encargado del tratamiento deberá informarle
por lo menos: la identidad del responsable del tratamiento y, en su caso, de su
representante; los fines del tratamiento y cualquier otra información relevante
respecto de los destinatarios de los datos; las consecuencias de su consentimiento
afirmativo o negativo en el tratamiento de datos; y la existencia del derecho de
acceso, rectificación y cancelación respecto de los datos que le conciernen, así
como la manera de ejercer estas posibilidades.


Ahora bien, es posible que los datos no sean recabados directamente del
titular de los mismos, sino de otra persona o de una fuente accesible al público.
En estos casos la conducta leal exigida al responsable será la de informar y comunicar al interesado sobre los ítems antes relacionados. En nuestro país, el caso
frecuente se presenta con las centrales de riesgo crediticias, que no informan
al usuario sobre su reporte en estas bases de datos, e impiden por consiguiente
que el mismo pueda ejercer los derechos de acceso y rectificación que le son
reconocidos constitucionalmente a través del derecho al habeas data.
En segundo lugar, los websites deberán ofrecer a los consumidores opciones
relacionadas con el tratamiento de su información personal, por ejemplo, las
de mercadeo directo al titular de los datos, o revelación de los datos a otras
entidades. Esto implica igualmente la opción tecnológica en la página web para
que, por poner varios casos, el consumidor pueda elegir si desea que se le envíe
publicidad, o si no autoriza la remisión de su información a otras empresas, o
si la desea pero para una finalidad concreta.
En un tercer aspecto, los websites deben ofrecer de forma razonable a los
consumidores los mecanismos para que éstos puedan acceder a la información
que de ellos se ha recolectado, así como la forma de revisar dicha información,
de corregir las inexactitudes que se presenten, o de extraerla o borrarla de la
base de datos.
Finalmente se exige a los websites adoptar todas las medidas de seguridad pertinentes que permitan preservar los datos recolectados de los consumidores.
4 . l a f i n a l i d a d d e l t r ata m i e n t o
Tratándose del principio de finalidad, el titular del dato debe conocer, desde el
momento en que otorga el mismo, cuál es la finalidad de dicha recolección y el
uso que se hará de sus datos, que sin duda tiene un objetivo inicial: la ejecución
de un acto negocial por el cual se pretende adquirir bienes y servicios. Dicha
información debe aparecer claramente en la página web que ofrece la realización
de la operación comercial.
La inclusión de las llamadas cookies implica una posible violación de este
principio. En efecto, el “rastreo” del usuario en internet, que permite recolectar
sus gustos y aficiones a espaldas del titular de los datos, viola el principio que
analizamos. Es lo que se ha denominado por algunos los tratamientos “invisibles”
de datos, que a la vez vulneran las normas de protección de datos en los países
que éstas existen y pueden, al mismo tiempo, resultar violatorios del secreto
de las telecomunicaciones.
Igualmente, y dentro del principio de finalidad en el contexto de comercio
electrónico, resulta de gran importancia la adecuación de la facturación y pagos
electrónicos al mismo. Cuando se trata del ejercicio del llamado comercio electrónico directo, el pago y la facturación también se realizan a través de medios
electrónicos, lo que implicará la obtención para la empresa de una serie de datos
adicionales a los relativos a la persona, como su número de tarjeta de crédito,
claves bancarias, entre otros. Las normas europeas al respecto tienden a exigir, de
manera taxativa, el otorgamiento de una serie de datos específicos para el efecto,
sin exceder de los estrictamente necesarios para la operación, y a rodearlos de
dispositivos informáticos como los que ofrece la criptología.
También resulta importante resolver, una vez efectuado el acto jurídico
negocial, el tiempo durante el cual debe permanecer en la base de datos de la
empresa este tipo de información económica, aspecto que atañe al principio de
la calidad y exactitud de los datos.
5 . c a l i d a d y e x a c t i t u d d e l o s d at o s r e c a b a d o s
Relacionado con la finalidad de los datos, el principio de calidad y exactitud de
los datos recolectados a través de la red debe igualmente ser atendido por las
empresas que ejercen operaciones comerciales a través de su página web. En
otras palabras, en primer lugar, los datos que se recaban deben ser adecuados a
la finalidad pretendida con ellos. Si se trata de una operación de renovación de
un contrato bancario de préstamo, por ejemplo, ninguna relevancia tendrían los
datos de salud. Por el contrario, si acompaña a dicho préstamo un seguro de vida,
entonces serán pertinentes los datos relacionados con la salud del tomador.
En un segundo aspecto, los datos que se recolectan deben ser exactos,
completos, ciertos y su conservación debe obedecer a un tiempo prefijado. Con
relación a este tema, es importante para las empresas que ejercitan el comercio
a través de la red determinar, con anterioridad a la recolección de los datos, que
efectivamente se pueda dar cumplimiento a este principio a través de aplicaciones
que les permitan hacer las preguntas pertinentes y mantener actualizadas, es
decir, exactas, sus bases de datos de carácter personal.
Cuando los datos han dejado de ser pertinentes para la finalidad para la
cual fueron recolectados por las empresas, éstas deben hacerlos anónimos o
proceder a su destrucción. En el evento antes planteado sobre la facturación y
 La Directiva Europea 97/66/CE enumera los siguientes: número e identificación del abonado; dirección del abonado y tipo de equipo de cómputo utilizado; número de unidades por facturarse durante
el ejercicio contable; número del abonado que recibe la llamada; tipo, hora y duración de las llamadas
efectuadas o volumen de los datos transmitidos; fecha de la llamada o del servicio; pagos efectuados,
plazos, desconexión y notificaciones.


el pago electrónico en el ejercicio del comercio a través de internet, la cuestión
por resolver es el tiempo durante el cual deben permanecer en la base de datos
de la empresa las facturas relacionadas con la transacción comercial. El artículo
6.2 de la Directiva Europea 97/66/CE permite la conservación de los datos
relacionados con el tráfico únicamente durante el término o plazo durante el
cual pueda impugnarse legalmente la factura o exigirse el pago. Aquí será necesaria la remisión al derecho común para determinar en cada caso el plazo de
prescripción o caducidad según el derecho de que se trate.
6 . e l c o n s e n t i m i e n t o i n f o r m a d o a t rav  s d e i n t e r n e t
Atado a estos principios encontramos el consentimiento informado del titular de
los datos. En el ejercicio del comercio electrónico, éste constituye uno de los
más difíciles problemas por resolver para adecuar las prácticas comerciales en la
red a las normas de protección de datos, dado que en la red no solamente hacen
presencia los adultos, sino también menores de edad, a quienes muchas veces
van dirigidos algunos sitios web. Sobre el tema se ha concluido la necesidad de
que los padres de los menores otorguen el consentiminento, cuando se pretenda
almacenar información de los mismos en una página web.
Sabemos que el otorgar dicho consentimiento no tiene ninguna exigencia
de solemnidad; es decir, puede ser otorgado por escrito o de manera verbal,
de tal suerte que, en el momento en el cual el consumidor a través de la red
deja plasmados sus datos, estaría brindando su consentimiento para realizar la
operación deseada.
Tal otorgamiento es libre; en consecuencia, el hecho de no otorgar o consentir, por ejemplo, la intromisión de cookies en la operación comercial que se realiza
no debe ser considerado como un obstáculo para que el consumidor adquiera el
servicio o los bienes solicitados. De igual manera, el consentimiento se otorga
con una finalidad concreta, por ejemplo, la adquisición de un bien o servicio;
de tal suerte, un cambio en la finalidad de los datos, por ejemplo para envío de
publicidad, deberá contar con un nuevo consentimiento por parte del titular.
Finalmente, se dice que se trata de un consentimiento informado, lo que
supondría para los consumidores a través de la red conocer de los riesgos que
pueden presentarse respecto de sus datos en una transacción concreta, por ejemplo, si se trata de un envío a otro país diferente al de origen.
Es preciso tener en cuenta que de acuerdo con las normas europeas, en algunos
casos excepcionales no se requiere del consentimiento del titular de los datos,
como cuando éstos aparecen en fuentes accesibles al público, o los que recaba la
Administración Pública para el ejercicio de sus funciones, o cuando media un
contrato, verbigracia laboral, entre las partes.
Por otro lado, excepcionalmente el consentimiento del titular de los datos debe
ser expreso y por ende cualificadamente otorgado, cuando se trata de los denominados datos sensibles, dentro de los cuales las directivas europeas consideran
los relativos a origen racial y étnico, opiniones políticas, convicciones religiosas,
pertenencia a sindicatos, salud o sexualidad.
En algunos eventos se prohíbe totalmente el tratamiento de este tipo de datos;
en otros casos se permite pero sujeto a un consentimiento expreso y muy calificado que sustente el tratamiento de los mismos. Circunscribiéndonos a la red,
actualmente cobran gran importancia los datos relativos a la salud de las personas,
dadas las múltiples aplicaciones para internet que se vienen desarrollando y que
buscan optimizar la prestación de servicios de salud a la comunidad. En estos
casos existen directrices precisas para saber cómo se recolectan estos datos y cómo
deben ser tratados para no vulnerar la intimidad de los pacientes.
7 . e l e j e r c i c i o d e l h a b e a s d ata
Otro aspecto que se debe tener en cuenta cuando se tratan bases de datos personales a través de la red, y que se ha venido mencionando, es el de dar al usuario
la posibilidad de que ejerza sus derechos de acceso a la misma para corroborar
qué datos se tienen sobre su persona, rectificar aquellos que no resulten exactos y
solicitar la cancelación de los mismos cuando no desee que sean tratados. En estos
derechos se concreta el denominado habeas data, consagrado constitucionalmente
en la mayoría de países de corte positivista, tal como se analizó anteriormente, y
cuya garantía a través de la red exigirá de software o aplicaciones para web que
verdaderamente permitan al titular ejercitar sus derechos, frente a la posibilidad
de que la empresa que ejerce el comercio, a través de medios electrónicos, desaparezca de un día para otro e impida al usuario conocer el destino de sus datos.
Esta reflexión igualmente lleva a plantear el control que las empresas de
telecomunicaciones podrían hacer, en el momento de celebrar los contratos
de alojamiento de páginas a través de las cuales se ejerza el comercio, respecto
de la seriedad, existencia legal y demás aspectos atinentes, con las personas
que contratan con ellas sus sitios web, control que podría morigerar el riesgo
de violación a la intimidad de los terceros que confían en la seguridad de las
transacciones que por la red se realizan.
8 . l a s e g u r i d a d d e l o s d at o s
Finalmente, el principio de seguridad exige al responsable del tratamiento de los
datos que, en el marco que nos interesa, corresponde al titular del sitio web que


realiza operaciones comerciales a través de la red, tomar las medidas técnicas y
organizativas adecuadas para la seguridad de los datos personales, de tal suerte
que se evite su alteración, pérdida, tratamiento o acceso no autorizado.
Respecto de la seguridad en la red, las comunicaciones en general plantean
la necesidad de salvaguardar cuatro principios: la confidencialidad, que procura
el secreto de las comunicaciones y protege los datos de accesos no autorizados;
la autenticidad, que consiste en la correcta atribución de la identidad del emisor
del mensaje; la integridad, que se entiende como la fiabilidad en el contenido del
mensaje, de tal suerte que sea un fiel reflejo del dato que se ha querido transmitir
por el emisor; el no repudio y el control de acceso, que implica la posibilidad
del titular de acceder a su información y aceptar o rechazar el tratamiento que
del mismo se haya efectuado sin su consentimiento.
En el ejercicio del comercio electrónico, el respeto y cumplimiento de estas
directrices de seguridad resultan fundamentales para alentar la confianza de
los usuarios en la red; de allí el desarrollo paralelo no sólo de las normas que
desarrollan estos principios sino también de dispositivos informáticos que
permitan cumplir cabalmente con lo dispuesto en la ley.
Dentro de tales dispositivos informáticos se encuentran los siguientes, así
descritos por las normas que desarrollan las leyes de protección de datos: la
firma digital y los certificados digitales, que permiten conocer la autenticidad
de un documento y de su emisor a través de la red, aspectos cuyo manejo y
regulación se encomienda a las denominadas entidades de certificación; como
medios complementarios para la identificación y autentificación en la red, se
han creado los cortafuegos o firewall, que consisten en programas a través de
los cuales se controlan las entradas de información al servidor, y que realizan
una especie de auditoría sobre el origen del mensaje, el destino y el contenido
del mismo, permitiendo o prohibiendo posteriormente el paso del usuario.
Por otro lado, también se exige la adopción de contraseñas y claves, así
como los reglamentos de uso y guarda de las mismas. Esta asignación de claves
se hace generalmente por las empresas proveedoras del servicio de acceso a
internet. De igual manera, la encriptación de la información a través de claves
cifradas constituirá una seguridad para las comunicaciones a través de la red,
especialmente cuando se trata de la transferencia de datos económicos para
efectos de realizar pagos.
Realizado el tratamiento de datos conforme a los principios que rigen el
tema, el asunto que se plantea posteriormente es el de la comunicación o transferencia de datos a través de la red, sea que se trate de transferencias nacionales
o internacionales. En este punto las normas europeas de protección de datos son
exigentes en el cumplimiento de estos principios, y cuando se trata de trans-
ferencias internacionales existe la exigencia de que el país destino de los datos
tenga un nivel similar de protección al que se tiene en el país de origen.
Para un país como el nuestro, y teniendo en cuenta la posibilidad negocial
económica que representa la transferencia de información y “venta” de datos,
la ausencia de norma de protección de datos nos pone sin duda en desventaja
respecto a países que sí la han adoptado y que pueden ofrecer un nivel de protección similar al que se brinda en la mayoría de países europeos, tratándose por
ejemplo de relaciones comerciales entre Colombia y la Unión Europea.
La diferencia legislativa entre los distintos países que participan en la gran
red de internet, cuando las empresas privadas de dichos países se encuentran en
un mismo espacio virtual para el ejercicio del comercio, ha generado la necesidad de buscar otras alternativas de protección de los datos de carácter personal
que circulan por la red. En algunos casos se ha llevado a cabo la aprobación y
celebración de protocolos de privacidad a través de los cuales se pretende que los
usuarios y los titulares de sitios web negocien las condiciones de protección de
sus datos, en el momento de contactarse para celebrar negocios comerciales.
En este contexto cabe mencionar el “acuerdo de puerto seguro” al que
llegaron la Unión Europea y los Estados Unidos de Norteamérica, como una
opción para la transferencia de datos entre ambas entidades económicas, dada la
diferencia de normas y la disimilitud en la regulación legal y jurídica del tema
entre unos y otros, lo que demuestra una vez más la trascendencia del tema y
la necesidad de abordarlo desde la perspectiva legal.
 Mediante este instrumento de carácter privado, cuyas negociaciones culminaron en junio de 2000, las
empresas norteamericanas se comprometieron a desplegar una serie de acciones, así como a cumplir
una serie de requisitos, con el fin de que la Unión Europea pudiera considerar a Estados Unidos como
un “país seguro”, en términos de la Directiva 95/46/ce. Este instrumento comienza por determinar
las características que deben tener las empresas que pueden ser objeto del acuerdo, entre las cuales se
exige que estén domiciliadas en Estados Unidos y no sus filiales en otros países, y que estén bajo la
jurisdicción de la Federal Trade Commission (ftc o Comisión General de Comercio). Se consagran
como principios para el tratamiento de datos, por parte de las empresas que se acojan al acuerdo, los
siguientes: 1. Información a los titulares de los datos sobre la finalidad de la recolección, cesionarios,
responsabilidades del titular del fichero, entre otros; 2. El consentimiento expreso, exigido a los
responsables del tratamiento de datos y la posibilidad de que el titular de los datos tratados ejerza su
derecho de oposición al tratamiento; 3. El requerimiento de efectuar un acuerdo cuando se pretenda
transferir los datos a un agente o tercero, diferente a las partes que suscriben el acuerdo, por el cual
la empresa titular inicial de los mismos garantice todas las seguridades que deben adoptarse por el
tercero so pena de responder por los actos perjudiciales que causen; 4. El principio de seguridad e
integridad de los datos, conforme al cual se debe respetar la finalidad de la recolección de los datos.
Así mismo se consagran los derechos de los titulares de los datos de acceso y los procedimientos para
hacer efectivos estos derechos. Después de un largo período de negociaciones, el 27 de julio de 2000 la
Comisión de las Comunidades Europeas publicó su decisión en cuanto a considerar el puerto seguro


V. p e r s p e c t i va d e l a p r o t e c c i  n d e d at o s e n c o l o m b i a
Bajo la vigencia de la Constitución de 1886, el derecho a la intimidad no estuvo
consagrado en nuestro país como un derecho autónomo. Solamente a través de
algunos fallos de la Corte Suprema de Justicia y del Consejo de Estado (más de
aquélla que de éste), sobre materias aledañas al derecho a la intimidad (intercepción de comunicaciones, violación del domicilio), se concluye por algunos
autores la defensa en Colombia de este aspecto del individuo.
Pero en la Constitución de 1991 vino a consagrarse de manera expresa e
independiente el derecho a la intimidad y el habeas data, después de las diversas
discusiones y modificaciones que el artículo tuvo en las comisiones al interior de
la Asamblea Constituyente. Su justificación estuvo fincada, precisamente, en la
existencia de bases de datos de morosos o crediticias que, aunadas a los avances
de la tecnología, ponían en riesgo la intimidad y derechos de los individuos.
A . e l d e r e c h o a l a i n t i m i da d
e n la c o n s t i t u c i  n p o l  t i c a d e 1 9 9 1
Durante el período presidencial de Virgilio Barco (1986-1990) se presentó
un proyecto de reforma constitucional que, en su artículo 9.º, numerales 10,11
y 12, hacía referencia a diversos derechos provenientes de la personalidad del
individuo: su imagen, honra y el reconocimiento a su dignidad.
Se establecía allí, desde una perspectiva negativa, la prohibición de intervenir el domicilio, la correspondencia y las comunicaciones del ciudadano y
de su familia; y desde una perspectiva positiva, se consagraba el derecho de la
persona a conocer las bases de datos en las cuales fueran tratados sus datos, y
la facultad de rectificarlos y actualizarlos.
Cabe destacar, del proyecto citado, la alusión que hacía a la necesidad de que
el Congreso reglamentara el uso de la informática en el tratamiento de datos
de carácter político y religioso que pudieran vulnerar el derecho a la intimidad
del individuo.
El artículo fue considerado por el Congreso como una regulación de los
derechos a la honra y a la dignidad, ya consagrados en la Constitución en los
como un instrumento que proporciona la protección adecuada al tratamiento de datos de los ciudadanos
europeos. El 8 de abril de 2002, 180 organizaciones ya habían suscrito este acuerdo.
 Manuel José Cepeda. Los derechos fundamentales en la Constitución de 1991, Bogotá, Temis, 1992, p.
122.
 Ibíd., pp. 117 a 119.
artículos 16 y 38, así como en el Código Penal. En consecuencia, no fue objeto
de discusión.
Posteriormente, el ex presidente Alfonso López Michelsen presentó a la
Asamblea Nacional Constituyente un proyecto de articulado sobre el tema que
nos ocupa, que expresaba en una de sus normas:
Artículo 42. Las leyes determinarán la utilización pública y privada de cualquier instrumento que se destine a registrar datos personales, con el fin de armonizar el interés
público y los derechos individuales. En dichas leyes se tomarán medidas enderezadas a
proteger la intimidad, la honra y la libertad de las personas, contra el eventual empleo
abusivo de los medios e instrumentos de información.
Después de las diversas discusiones que se hicieron al interior de las comisiones nombradas para el efecto, se aprobó el artículo 15 de nuestra actual Carta
Política, así:
Artículo 15. Derecho a la intimidad –habeas data – inviolabilidad de documentos
privados. Todas las personas tienen derecho a su intimidad personal y familiar y a su
buen nombre, y el Estado debe respetarlos y hacerlos respetar. De igual modo, tienen
derecho a conocer, actualizar y rectificar las informaciones que hayan recogido sobre
ellas en bancos de datos y en archivos de entidades públicas y privadas.
En la recolección, tratamiento y circulación de datos se respetarán la libertad y demás
garantías consagradas en la constitución.
La correspondencia y demás formas de comunicación privadas son inviolables. Sólo
pueden ser interceptadas o registradas mediante orden judicial, en los casos y con las
formalidades que establezca la ley.
Para efectos tributarios o judiciales y para los casos de inspección, vigilancia e intervención del Estado, podrá exigirse la presentación de libros de contabilidad y demás
documentos privados, en los términos que señale la ley.
Del proyecto de norma inicialmente presentada cabe destacar la referencia que
se hacía a la informática como instrumento en el tratamiento de datos, previsión
hecha en las Constituciones en las cuales se consagró por vez primera el derecho
a la intimidad de manera autónoma y cuya importancia estriba en la necesidad de
adoptar normas que, más que el desarrollo abstracto de un derecho, propugnen
Luis Carlos Sáchica. Constitución Política de Colombia de 1991. Comentada y titulada, Bogotá, Edit.
Diké, 1991, p. 12.


por la forma de protegerlo, respuesta dada en el derecho comparado a través de
las normas de protección de datos, tal como se ha venido analizando.
La consagración de la intimidad como derecho fundamental, en la forma
en que quedó fijada en el actual texto constitucional, estuvo sin duda inspirada
en las normas internacionales y su redacción pareciese haberse inspirado en el
artículo 15 de la Carta Política. Aunque en la norma no se hizo mención sobre la
informática y su necesidad de regulación (lo que directamente lleva a consagrar
la autodeterminación informática), sí se expresó el derecho al habeas data relativo
al acceso, rectificación y supresión de los datos por parte del ciudadano.
Al igual que en otros países, y producto quizás de las consagraciones internacionales sobre el tema, el artículo 15 de la C. P. también consagró otros
derechos de la personalidad, como la honra, el buen nombre y la inviolabilidad
del domicilio, lo que no en pocas ocasiones provocó confusión, incluso en la
misma Corte Constitucional, en el momento de determinar cuándo se entendía
vulnerado el derecho a la intimidad y cuándo los otros derechos que a su lado
se consagraron.
Como derecho fundamental, la custodia del derecho a la intimidad ha estado
a cargo de la Corte Constitucional. En diversas sentencias la Corte ha definido y
se ha referido a la protección de datos personales, y no en pocas sentencias esta
corporación ha insistido en la necesidad de una reglamentación del artículo 15
de la Constitución, especialmente por la nueva perspectiva desde la cual se viene
tratando la intimidad en otros países, que responde, de modo fundamental, a
los avances de la teleinformática.
En nuestro criterio, la sentencia más importante en materia de protección
de datos personales es la de revisión de tutela T-414 del 16 de junio de 1992,
M. P.: Ciro Angarita Barón, sentencia a través de la cual la Corte sentó importantes lineamientos sobre la intimidad como objeto de regulación a través
de la protección de datos personales, dado su pretendido carácter de sentencia
unificadora.
En sus pronunciamientos, la Corporación plantea la intimidad como el
supuesto necesario para que el individuo pueda “lograr la tranquilidad de su
espíritu y la paz interior”, idea de corte individualista y liberal, que presenta
 “En todos aquellos casos similares al presente por sus hechos o circunstancias, siempre que hayan
ocurrido abusos o intromisiones arbitrarias o ilegales en la recolección, almacenamiento, tratamiento,
uso y divulgación no autorizada expresamente de datos personales, por cualquier medio o tecnología,
que amenacen vulnerar la intimidad y libertad informática de la persona, la doctrina constitucional
enunciada en esta sentencia tendrá carácter obligatorio para las autoridades, en los términos del Decreto
2067 de 1991”.
 Corte Constitucional. Sentencia de Tutela del 7 de julio de 1992. M. P.: Alejandro Martínez Caballero.
los derechos del individuo, entre ellos los que provienen de su dignidad como
ser humano, como el eje fundamental alrededor del cual debe legislar el Estado.
Al mismo tiempo, la Corte reconoce la existencia de una sociedad pluralista en
Colombia a partir de la Constitución de 1991, y por ende plantea la responsabilidad del individuo frente a la sociedad cuando ejerce sus derechos.
B. lo s i n t e n to s d e r e g u lac i  n d e l d e r e c h o
a la i n t i m i da d e n c o lo m b i a
En nuestro país se han presentado numerosos intentos de regulación del derecho
a la intimidad. Antes de la expedición de la Constitución Política de 1991, cabe
destacar el proyecto de ley 73 de 1986, por el cual se pretendía crear un estatuto
para proteger la intimidad de las personas frente a los sistemas de información
y los bancos de datos. Este proyecto tuvo como génesis el estudio realizado por
los centros de investigación de las facultades de Ingeniería y Administración
de la Universidad de Los Andes, investigación realizada con el patrocinio del
Centro Latinoamericano de Recursos Humanos e Informática de la Presidencia de la República. El proyecto, novedoso para su momento, contemplaba los
derechos de los titulares de los datos, las obligaciones de los responsables de
los bancos de datos, la existencia de un organismo de control y vigilancia, entre
otros temas.
Posteriormente a la expedición de la Constitución de 1991, se pueden
destacar los siguientes:
1 . r e g u l a c i  n d e l a s b a s e s d e d at o s d e s o lv e n c i a
pat r i m o n i a l e n e l p r oy e c t o d e l e y 1 2 d e 1 9 9 3
Es probable que este proyecto de ley haya sido presentado por el sector financiero
después de la Sentencia de Tutela T-414 del 16 de junio de 1992, de la Corte
Constitucional, por la cual se impuso multas a la central de riesgos crediticios
después de que la Corte concluyera la vulneración del derecho a la intimidad
de los actores.
Este proyecto de ley pretendió simplemente regular las bases de datos de
deudores morosos, y de allí su pasmoso silencio respecto de los aspectos más
trascendentales de las normas de protección de datos: el consentimiento del
 En igual sentido cfr. John Daniel Gutiérrez Boada. Los límites entre la intimidad y la información,
Bogotá, Universidad Externado de Colombia, 2001, pp. 30 y ss.


titular de los datos, los derechos de los mismos frente a sus datos, entre otros.
Fue sin duda una norma de sector, y no regulatoria del tema de manera consecuente con la Constitución Nacional.
Como resulta obvio de su lectura, la norma solamente se encaminó a la obtención de la información de tipo comercial, que, hablando llanamente, para el
sector bancario es la información de solvencia, con el fin de preservar la memoria
del incumplimiento, que es útil para que la comunidad pueda distinguir entre
“los buenos y los malos deudores”.
Por aspectos de forma, la Corte Constitucional archivó el proyecto al momento de efectuar el control de constitucionalidad que la Ley 5.ª de 1992 le
exige hacer sobre proyectos de ley estatutaria.
2 . la t e n d e n c i a a r e g u la r e l D e r e c h o c o n s t i t u c i o na l a
l a i n f o r m a c i  n e n l o s p r oy e c t o s d e l e y 7 1 y 7 5 d e 2 0 0 2
Aunque en sus aspectos de fondo estos dos proyectos de ley no difieren sustancialmente del anterior, su tendencia a regular el derecho a la información,
cuando entra en colisión con el derecho a la intimidad, parece ser lo característico
de los mismos. Ambas propuestas fueron unificadas para efecto de su trámite.
En efecto, la exposición de motivos del mismo esboza con preocupación la
necesidad de determinar los límites entre la intimidad y la información cuando
existe una colisión entre ambos derechos. De allí que su intención haya sido
reglamentar las bases de datos de solvencia patrimonial y proteger la información
recolectada en tales bases de datos, a través de la reglamentación del derecho
al habeas data.
Tal objetivo limita sin duda su naturaleza como ley estatutaria comprensiva
de todo el tema, pues ninguno de los dos propósitos justifica una ley estatutaria que desarrolle el derecho a la intimidad que consagra el artículo 15 de la
Constitución.
 A propósito de lo aquí expresado, conviene traer a colación lo dicho por la Corte Constitucional en sentencia de Tutela del 29 de enero de 1993, M. P.: Ciro Angarita Barón: “Por su manifiesta actualidad, esta
corte recuerda la premonición que a principios del siglo hacía el maestro Vivante acerca de los riesgos que
para la libertad e igualdad de los ciudadanos se derivaban del creciente sometimiento de la sociedad civil
a las pautas de conducta de un gremio: ‘Deploro que una ley de clase perturbe aquella solidaridad social
que debería ser el supremo intento de todo legislador’ [...] En estas circunstancias concretas, difícilmente
puede argüirse que la negación del servicio solicitado contribuya en modo alguno a dar protección contra
un riesgo eventual. Es, por el contrario, manifestación clara de los excesos o abusos de una justicia privada
de carácter gremial con sus obvias implicaciones en la libertad y dignidad del ciudadano medio. En la
sociedad pluralista que el Constituyente de 1991 proclama y protege, la libertad y dignidad humana no
pueden quedar al arbitrio de los intereses de una determinada clase social o económica –por respetables
que ellos sean–, sino que deben coordinarse con los de la sociedad civil”.
En efecto, el proyecto pretendió ser un tanto más exigente con los responsables de bases de datos, al introducir una serie de multas y sanciones a través
de la Superintendencia de Industria y Comercio, aspectos que parecieran
corresponder al Estatuto de Defensa del Consumidor más que al desarrollo
integral de la protección a la intimidad del ciudadano.
Cabe llamar la atención sobre la legitimación económica que el proyecto
consagra de sí mismo. Consideraron los ponentes fundamental, desde la perspectiva económica, que Colombia contara con una norma como la planteada,
pero no por las exigencias que otras comunidades han hecho (en el sentido de
exigir seguridad en el tratamiento de datos de extranjeros), sino porque consideraron vital para la economía el conocimiento de la información crediticia
que debían tener algunos agentes económicos con el fin de otorgar créditos y
apalancar con ello el desarrollo económico. Sin duda, ésta es una legítima razón
que justifica lo expuesto en el proyecto, pero muy corta y parcial para tratarse
de una ley estatutaria sobre la materia.
3 . la r e g u lac i  n i d  n e a d e l t e m a
e n e l p r oy e c t o 0 6 4 d e 2 0 0 3
La lectura y el análisis de este proyecto, después de observar los antecedentes
que se han dado en el país, deja una grata sensación de que por el Estado y sus
funcionarios se haya finalmente acogido el llamado de la Corte Constitucional
en el sentido de presentar una norma integral que haga de Colombia un país
seguro para la transferencia internacional de datos. Lamentable que, finalmente,
haya sido nuevamente archivado por aspectos de forma.
No es casual que este proyecto hubiese sido presentado por el Defensor del
Pueblo en cabeza del doctor Eduardo Cifuentes Muñoz y que, por ende, el
resultado del mismo lo haga ver como una norma más completa que las europeas
sobre el tema, pues recoge en buena parte la experiencia negativa y los vacíos
que el tiempo ha mostrado en estos países con la aplicación de sus normas.
En su contenido general, el proyecto recoge las normas de las directivas
europeas sobre protección de datos, y de especial manera se asemeja a la ley
orgánica española de protección de datos. Toma de ella sus definiciones, principios, derechos, ejercicio del habeas data, la referencia a los datos sensibles,
autoridades de control y sanciones, entre otros temas.
Es novedosa en este proyecto la inclusión de normas sectoriales específicas
para determinados tipos de datos, así como la regulación de la recolección de
datos por el Estado mismo.
El proyecto, sin embargo, merece algunos comentarios que suscitan alguna
preocupación. Algunos de estos asuntos son los siguientes:


– Se consagra un procedimiento denominado de amparo informático, que
es excluyente con la acción de tutela, pero sin precisar si esas decisiones, provenientes del procedimiento mencionado y emitidas por la Defensoría del Pueblo
como ente de control de todo el tema, tienen o no efecto de cosa juzgada, o si
cabe predicarse de ellas tal efecto.
– Llaman la atención las facultades amplias y extendidas que se otorgan a la
Defensoría del Pueblo, en algunos casos excesivas para el objeto pretendido.
– Igualmente, el proyecto va mas allá del desarrollo del habeas data y trata el
derecho al acceso como un derecho autónomo e independiente del habeas data,
tratamiento éste que difiere respecto a la doctrina general sobre el tema y que
podría generar discusiones en torno a su existencia como derecho constitucional
también de rango fundamental.
El análisis pormenorizado de este proyecto frente a las regulaciones internacionales sobre el tema, y los comentarios que el mismo nos merezcan, exceden
el objetivo de este trabajo y harán parte de otro estudio sobre la materia.
Bástenos finalmente afirmar que a la fecha de terminación de este estudio, el
proyecto fue archivado y fue presentado uno nuevo, que pretende ser el resultado
del consenso entre la Defensoría del Pueblo y los representantes de los grupos
de interés en las normas sobre protección de datos en el sector financiero. En
efecto, el proyecto 027 de 2006, que cursa en el Senado de la República, no
constituye una regulación íntegra y completa del artículo 15 de la Constitución
Política. Por el contrario, de manera parcial y poco clara, introduce algunos temas
generales sobre el habeas data y se concentra en el manejo de la información
financiera y crediticia, sin lograr su cometido como ley estatutaria.
Habrá que esperar el desenlace del proyecto en el Congreso de la República
y el pronunciamiento que la Corte Constitucional debe hacer al respecto, sin que
la premura por adoptar una ley de protección de datos conlleve a que el país nuevamente quede a la zaga de las regulaciones internacionales sobre este tema.
conclusiones
Al reflexionar sobre el individualismo, concebido bajo el pensamiento liberal
del siglo xviii, que sustenta desde entonces el derecho a la intimidad y su confrontación con lo público, y se le suma a esta reflexión la ausencia de interés por
parte del Estado en una regulación seria sobre el tema, se llega a la conclusión
de la crítica situación en la que se encuentran los ciudadanos colombianos,
desprovistos de todo conocimiento sobre el manejo y protección de los datos
personales, que solamente cobra vigencia e importancia en la medida en que
el advenimiento de la informática genera mayores riesgos en el tratamiento de
sus datos y su ilícita circulación por el mundo.
Desde la perspectiva económica global en la que, independientemente
de cualquier consideración sobre su conveniencia o no, se encuentra inmersa
Colombia, es fundamental determinar una norma integral de protección de
datos, especialmente cuando las directrices de los países con mayor desarrollo
económico incluyen la exigencia de un nivel de protección por lo menos igual
para los ciudadanos cuyos datos son “importados” al país. Las implicaciones
de este intercambio internacional de datos han pasado desapercibidas incluso
para el Gobierno colombiano cuando transfiere los datos de 30 millones de
colombianos a una empresa “comercializadora” de los mismos.
En el contexto del comercio electrónico, como una opción importante
para los empresarios colombianos de participar con bajos costos en el mercado
mundial, inquieta aún más el tema de la protección de los datos de carácter
personal, frente a la vulnerabilidad, el carácter abierto de la red y la facilidad
para el tratamiento “invisible” de tales datos que representa el ejercicio del
comercio a través de los medios electrónicos.
Por otro lado, ese carácter abierto y global de la red dificulta la sujeción
de los tratamientos de datos de carácter personal a una normativa uniforme y
generalmente aceptada por todos los países, lo que obliga a que, al interior de
cada Estado, se adopten regulaciones nacionales que, aunadas con los desarrollos
de dispositivos tecnológicos para internet, propicien un marco legal de protección a la intimidad y, por ende, al tratamiento de datos de carácter personal,
denominador común de la mayoría de los países del orbe, como derecho de la
personalidad y consecuencia de la dignidad humana.
Bajo tal perspectiva, creemos que dichas normas pueden dar respuesta a
los tratamientos de datos que actualmente se realizan a través de la red, norma
que está en mora de ser adoptada por el Estado colombiano.
 Al respecto resulta pertinente traer a colación lo afirmado por Pérez Luño sobre este tema: “La necesidad de tutelar la vida privada de los individuos ha rebasado, en los últimos años, la esfera estricta del
derecho interno para plantearse como una exigenc ia del orden jurídico internacional [...] Uno de los
aspectos de mayor interés en la reglamentación jurídica de la informática a escala internacional es el que
se refiere a la transmisión de datos personales entre diversos países. El problema del flujo transnacional
o internacional de datos ha suscitado un abierto conflicto de intereses entre los países productores y
los países consumidores de datos informáticos. Los países tecnológicamente avanzados se hallan en
condiciones de recoger informaciones, almacenarlas y distribuirlas con la utilización de la informática.
Por el contrario los países subdesarrollados sólo pueden recibir y consumir informaciones; es más, en
determinados casos ni tan siquiera pueden servirse de ellas por carecer de los medios técnicos necesarios
para aprovecharlas. Esta circunstancia ha determinado que los países desarrollados mantengan una
posición decidida a favor de una libertad ilimitada de intercambios de informaciones entre todos los
países, mientras que los países subdesarrollados, que carecen de una tecnología informática propia,
exigen que se reconozca la facultad de ejercer un control sobre los datos que puedan recogerse en su
territorio”. Ob. cit., p. 354.


bibliografa
sentencias
Corte Constitucional. Sala Plena, sentencia C-008 de 1995.
Corte Constitucional. Sala Primera de Revisión. Sentencia del 16 de junio de 1992.
Corte Constitucional. Sentencia de Tutela del 7 de julio de 1992, M. P.: Alejandro Martínez Caballero.
Corte Constitucional. Sentencia de Tutela del 29 de enero de 1993, M. P.: Ciro Angarita
Barón.
Corte Constitucional. Sentencia de Tutela del 26 de abril de 1993, M. P.:Eduardo Cifuentes Muñoz.
Corte Constitucional. Sentencia de Tutela del 9 de junio de 1993, M. P.: Antonio Barrera
Carbonell.
Corte Constitucional, Sala Plena. Sentencia de control constitucional de noviembre de
1993, M. P.: José Gregorio Hernández Galindo.
Corte Constitucional. Sala Primera de Revisión. Sentencia de Revisión de Tutela T-414
del 16 de junio de 1992, M. P.: Ciro Angarita Barón.
Corte Constitucional. Sentencia de Tutela t-11 del 22 de mayo de 1992.
Tribunal Constitucional español. Sentencia tc– 292 del 30 de noviembre de 2000.
normas jurídicas
Sáchica, Luis Carlos. Constitución Política de Colombia de 1991, comentada y titulada,
Bogotá, Edit. Diké.
Convenio 108 del 28 de enero de 1981 de los Estados miembros del Consejo de Europa,
para la protección de las personas con respecto al tratamiento automatizado de datos
de carácter personal.
Directiva 95/46/ce del Parlamento Europeo, relativa a la protección de las personas
físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de
esos datos.
Directiva Europea 2000/31/ce, sobre Comercio Electrónico.
Proyecto de ley estatutaria n.º 12/93, Senado, 127 de 1993,Colombia.
Proyectos de ley estatutaria n.º 71 y 75, Senado de 2002, Colombia.
Proyecto de ley estatutaria 064 de agosto de 2003, Colombia.
Ley 527 de 1999 sobre comercio electrónico.
doctrinas
Agencia de Protección de Datos Española. Memorias 2001, Madrid.
Botana García, Gema. “Noción de Comercio Electrónico”, en Comercio electrónico y
protección de los consumidores, Madrid, La Ley, 2001.
Cepeda, Manuel José. Los derechos fundamentales en la Constitución de 1991, Bogotá, Temis,
1992.
Corripio Gil-delgado, María de los Reyes. Regulación jurídica de los tratamientos de
datos personales realizados en el sector privado en internet, 4.ª ed., Madrid, Agencia de
Protección de Datos Española, 2000.
Cremades, Javier et. ál. Régimen jurídico de internet, La Ley, Madrid, 2002.
Davara Rodríguez, Miguel Ángel. Anuario de derecho de las tecnologías de la información
y las comunicaciones, Madrid, Davara & Davara – Asesores Jurídicos. Fundación Airtel-Vodafone, 2002.
Delpiano Ascencio, Héctor Miguel. Protección de datos personales. Bancos de datos de
información crediticia, Montevideo, Fundación de Cultura Universitaria-fcu, 1997.
Escobar López, Édgar y Luz Fabiola Marulanda Otálvaro. El derecho a la intimidad en
Colombia, Medellín, Quirama Ltda., 1995.
Fariñas Matoni, Luis María. El derecho a la intimidad, Madrid, Trivium
Fernández Delpech, Horacio. Internet: su problemática jurídica, Buenos Aires, Abeledo
Perrot, 2001.
Ferreira Rubio, Delia Matilde. El derecho a la intimidad, Buenos Aires, Edit. Universidad, 1982.
Gutiérrez Boada, John Daniel. Los límites entre la intimidad y la información, Bogotá,
Universidad Externado de Colombia, 2001.


Murillo, Pablo Lucas. El derecho a la autodeterminación informativa, Madrid, Tecnos,
1990.
Grupo de Estudios en Internet, Comercio Electrónico y Telecomunicaciones e Informática,
Universidad de Los Andes. Internet, comercio electrónico y telecomunicaciones, Bogotá,
Legis, 2002.
O’Callaghan, Xavier. Libertad de expresión y sus límites: honor, intimidad e imagen, Madrid,
Edit. de Derecho Reunidas, Madrid, 1991.
Peña Castrillón, Gilberto. Informática, derecho bancario y derecho a la intimidad, Bogotá,
Fundación Jurídica Colombiana-Universidad de Los Andes, 1984.
Pérez Luño, Antonio. Derechos humanos, Estado de derecho y Constitución, Madrid, Tecnos,
1995.
Ruiz Miguel, Carlos. La configuración constitucional del derecho a la intimidad, Madrid,
Tecnos, 1995.
Suñé Llinás, Emilio. Marco jurídico del tratamiento de datos personales en la Unión Europea
y en España, cessj Ramón Carande, Madrid, Universidad Complutense.
r e v i s ta s
Álvarez Jiménez, Alberto. “Los comerciantes y la Constitución de 1991. proyecciones
sobre la actividad mercantil del derecho a la intimidad y el derecho de asociación”,
Revista de Derecho Privado, n.º 13, pp. 83 y ss.
Angarita Barón, Ciro. “Hacia la regulación de los bancos de datos personales: una experiencia colombiana”, Derecho y Tecnología Informática, n.º 4, Bogotá, mayo de 1990,
pp. 9 a 42.
Cancino Moreno, Antonio José. “La informática y el derecho a la intimidad”, Revista
de la Academia Colombiana de Jurisprudencia, n.º 290-291, agosto-febrero 1990-1991,
pp. 109 y ss.
Iturralde, Manuel A. “La libertad de información frente al derecho a la intimidad: el
dilema entre una sociedad informada y el derecho a la soledad”, Revista Tutela, Acciones
populares y de cumplimiento, n.º 7, julio de 2000, pp. 1525 y ss.
Madrid-Malo Garizábal, Mario. “Derecho a la intimidad”, Su Defensor, n.º 9, abril
1994, pp. 9 y ss.
Rivera Llano, Abelardo. “La libertad, el derecho a la intimidad y la informática”, Prisiones,
n.º 11, noviembre de 1985, pp. 19 y ss.
“Derecho a la intimidad”, Foro Colombiano, año 24, vol. 47, n.º 278, pp. 139 y ss.
gr u p o
de
investigación
en
comercio
electrónico
*
Las tecnologías de la información ofrecen beneficios sociales y económicos tales
como el fomento del intercambio de información, el aumento de la posibilidad de
elección del consumidor, el estímulo de la expansión del mercado y la innovación
de los productos. Así mismo, facilitan la expansión del comercio electrónico
y aceleran el crecimiento de las comunicaciones y transacciones electrónicas
transfronterizas entre gobiernos, empresas, usuarios y consumidores. Ciertos
temas, como la protección de la intimidad, debido a las facilidades derivadas de
la implementación de dichas tecnologías en cuanto el acopio, almacenamiento y
circulación nacional e internacional, y al poder del procesamiento informatizado
de datos personales –circunstancias que le hacen surgir como un valor social
fundamental–, deben ser abordados con especial cuidado por los gobiernos,
temerosos de su uso indebido.
Tanto la actividad privada como la del sector público deben tener la capacidad de responder oportunamente a los requerimientos necesarios para el
éxito de las actividades que en ellos se desarrollan. Se ha puesto de presente
por la ocde la necesidad de cooperación global, así como que la industria y las
empresas desempeñen un papel clave, en colaboración con los gobiernos y los
consumidores, para conseguir la eficaz puesta en práctica de principios de protección a la intimidad, tanto en el ambiente tradicional, como en el que surge
de las redes globales. Adicional a la expedición de leyes y políticas nacionales,
existe el interés común a escala global de proteger la intimidad y las libertades
individuales, de compatibilizar valores en pugna, como lo son la intimidad y el
libre flujo de información. El concepto de dato personal se refiere a cualquier
* Trabajo desarrollado por el Grupo de Investigación en Comercio Electrónico, Departamento de
Derecho de los Negocios, Universidad Externado de Colombia. Director: Daniel Peña Valenzuela;
Coordinadora: Adriana Castro Pinzón.
Organización para la Cooperación y el Desarrollo Económico (ocde). Declaración relativa a la protección
de la intimidad en las redes globales, Ottawa, 1998.
“… no permitiendo que los demás conozcan de uno aquello que no deseamos que se conozca y en
último caso, si esto llega a ocurrir, que podamos saber quién tiene nuestros datos, qué datos tiene,
cómo los ha obtenido y para qué los quiere. Todos estos elementos conforman el principio que se
conoce como autodeterminación informática o liberalidad informática”, Emilio Del Peso Navarro.
“La protección de datos y la privacidad en internet”, Informática y Derecho, Revista Iberoamericana de
Derecho Informático, n.º 33, año 2000.
Tercer Foro Mundial sobre la promoción de la democracia y el desarrollo mediante el gobierno electrónico, Nápoles, 15 al 17 de marzo de 2001. Documento anexo a la carta del 1.º de junio de 2001,
dirigida al Secretario General por el Representante Permanente de Italia ante las Naciones Unidas,
Documento de las Naciones Unidas A/56/86-E72001/79, en [www.uncitral.org].
Organización para la Cooperación y el Desarrollo Económico (ocde). Declaración relativa a la protección de la intimidad, cit.
Organización para la Cooperación y el Desarrollo Económico (ocde). Directrices relativas a la protección de la intimidad y los flujos transfronterizos de datos personales, 23 de septiembre de 1980.


información relacionada con un individuo, identificado o identificable, sujeto
“propietario” de los datos, identificado o identificable.
Como instrumento de regulación se ha implementado la actividad legislativa
local, nacional, por un lado, y por otro, la autorregulación, tanto en el sector
público como en el privado. Se evidencia el contraste de las garantías que deban
ofrecerse a los ciudadanos, entre sistemas jurídicos, en los diferentes sectores
regulatorios –como el sector financiero, frente a la protección al consumidor– a
nivel nacional como internacional. En razón al efecto de las limitaciones al
flujo transfronterizo de datos en sectores de la economía –como la banca, los
Ídem.
Parlamento Europeo y Consejo de la Unión Europea. Directiva 95/43/CE, relativa a la protección
de las personas físicas, en lo que respecta al tratamiento de datos personales y a la libre circulación de
estos datos, 24 de octubre de 1995: “Artículo 2. Definiciones. A efectos de la presente Directiva, se
entenderá por: a. datos personales: toda información sobre una persona física identificada o identificable;
el interesado: se considerará identificable toda persona cuya identidad pueda determinarse, directa o
indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos, característicos de su identidad física, fisiológica, psíquica, económica, cultural o social…”.
8 Datos tomados del cuadro comparativo de desarrollos normativos nacionales en materia de protección
de datos, iii Encuentro Iberoamericano de Protección de Datos, Cartagena de Indias, Colombia, 24 al
28 de mayo de 2004.
País
Argentina
Norma General
Ley n.º 25.326 del 4 de agosto de 2000, Ley de Protección de Datos Personales.
Chile
Ley n.º 19.628 del 18 de agosto de 1999, sobre protección de la vida privada
(modificada por Ley n.º 19.812 del 13 de junio de 2002). Reglamentada por Decreto
779/2000, del Ministerio de Justicia, sobre registro de Bancos de Datos Personales
a cargo de los organismos públicos.
España
Ley Orgánica 15 del 13 de diciembre de 1999, sobre Protección de Datos de Carácter
Personal.
México
Ley Federal de Transparencia y Acceso a la Información Pública.
Portugal
Ley n.º 67 del 26 de octubre de 1998. Ley de Protección de Datos Personales.
La Comunidad Europea ha desarrollado el tema de manera considerable. Podemos enunciar las siguientes
directivas como parte de su esfuerzo de propender por la protección de datos personales: Directiva
95/46/CE del 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta
al tratamiento de datos personales y a la libre circulación de estos datos; Directiva 97/66/CE del 15
de diciembre de 1997, relativa al tratamiento de los datos personales y a la protección de la intimidad
en el sector de las telecomunicaciones; y Directiva 2002/58/CE del 12 de julio de 2002, relativa al
tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones
electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas).
El tema está regulado de manera dispareja alrededor del mundo. Mientras hay países con un régimen
unificado y general, otros se identifican por reglamentar la materia por medio de normas sectoriales,
según se trate del sector público o privado, por ejemplo. Identificando únicamente las normas generales
aprobadas sobre la materia, pasamos a señalar la situación, para el mes de mayo de 2004, de los sistemas
iberoamericanos en los que existe una regulación general.
seguros y las telecomunicaciones‒ se ha puesto de presente la necesidad de
evaluar dichas disparidades, en búsqueda de un consenso en la protección de
datos personales y así promover la libre circulación de éstos.
El proceso automático y los flujos transfronterizos de datos personales
crean nuevas formas de relación entre países y exigen la elaboración de normas
y prácticas compatibles, dado que estos flujos contribuyen al desarrollo económico y social. Sin embargo, la legislación interna relativa a la protección
de la intimidad y flujo transfronterizo de datos personales puede obstaculizar
su circulación y, así, el comercio internacional. Se pasa entonces a la búsqueda
del equilibrio entre las exigencias de protección de datos y las limitaciones a su
acopio, procesamiento y divulgación.
Las diferencias entre regímenes que tienen influencia internacional, como
es el caso de Estados Unidos y la Unión Europea, podrían ser un obstáculo para
el desarrollo de los mercados internacionales tradicionales, e incluso frenar los
mercados del comercio electrónico internacional. Entre otros factores, la desconfianza en el manejo de los datos personales iría en detrimento del desarrollo
de las actividades y transacciones en línea, en general, en las redes globales.
Una vez identificados los problemas, las recomendaciones internacionales
apuntan a la libre circulación de datos personales, de manera ininterrumpida
y segura; sin embargo, los posibles obstáculos que para ello presente la normatividad nacional tendrán que ser revisados por la comunidad internacional, en
búsqueda de unificar criterios y plantear soluciones armónicas con los sistemas
jurídicos. En el presente ensayo se expondrá, en primer lugar, una evaluación de
los principios para el manejo transnacional de datos personales, predicados por
organizaciones internacionales, regionales y un país en concreto, para identificar
controversias que el mismo tema ya suscitó, y detectar nuevas problemáticas
del tema en búsqueda de soluciones. En segundo lugar, se estudiará la labor de
unificación como solución a las mismas.
 Parlamento Europeo y Consejo de la Unión Europea. Directiva 97/66/CE, relativa al tratamiento
de los datos personales y a la protección de la intimidad en el sector de las telecomunicaciones. “…
(8) Considerando que las disposiciones legales, reglamentarias y técnicas adoptadas por los Estados
miembros para proteger los datos personales, la intimidad y los intereses legítimos de las personas
jurídicas, en el sector de la telecomunicación, deben armonizarse a fin de evitar obstáculos para el
mercado interior de las telecomunicaciones […] que una armonización se limitará a los requisitos
necesarios para garantizar que no se obstaculice la promoción y el desarrollo de nuevos servicios de
telecomunicación y nuevas redes entre Estados miembros…”.
 Organización para la Cooperación y el Desarrollo Económico (ocde). Directrices relativas a la protección de la intimidad…, cit.


I . p r i n c i p i o s pa r a e l m a n e j o t r a n s n a c i o n a l
d e d at o s p e r s o n a l e s
A . nac i o n e s u n i da s
Naciones Unidas reconoció que el progreso científico y tecnológico, a pesar de
ser uno de los factores más relevantes para el desarrollo de la sociedad humana,
puede dar lugar a problemas sociales, amenazar derechos humanos y libertades
fundamentales de las personas. Como consecuencia, la “Declaración sobre la
utilización del progreso científico y tecnológico en interés de la paz y en beneficio de la humanidad” proclama la actividad para todos los Estados respecto
de medidas necesarias y eficaces que eviten que tales riesgos provoquen daños
reales. Se pone de presente que el problema no es la tecnología sino el uso que
de ella se haga.
A partir de 1990, la Asamblea General de las Naciones Unidas incluyó en
su agenda el tema de los datos personales. La Asamblea aprobó los Principios
rectores sobre la reglamentación de los ficheros computarizados de datos personales,
aplicables a todos los archivos manuales o informatizados públicos y privados,
con lo cual deja abierta la posibilidad de que sean aplicados a personas jurídicas;
aplicables a los archivos de datos personales que mantengan las organizaciones
internacionales gubernamentales, permitidos los ajustes pertinentes para diferenciar los archivos para fines internos (p. ej., gestión personal) y para fines
externos (terceros relacionados con la organización). Por otro lado, la Asamblea
General pide a las organizaciones gubernamentales, intergubernamentales y no
gubernamentales, que observen dichos principios.
Dentro de los principios la Asamblea señala los siguientes: legalidad, lealtad,
exactitud, especificación de finalidad, acceso de la persona interesada, no discriminación, facultad para hacer excepciones, seguridad, supervisión y sanciones,
y flujo transfronterizo de datos. Según este último, cuando la legislación de dos
o más países afectados por un flujo transfronterizo de datos ofrezca salvaguardas
similares para la protección de la intimidad, la información debe poder circular tan
libremente como dentro de cada uno de los territorios afectados; en caso de que
no existan salvaguardas recíprocas, no deberán imponerse limitaciones indebidas a
tal circulación sino en la medida en que lo exija la protección de la intimidad.
 Naciones Unidas. Asamblea General, Resolución 3384 (xxx), del 10 de noviembre de 1975.
 Naciones Unidas. Asamblea General, 68.ª sesión plenaria, Resolución 45/95 del 14 de diciembre de
1990.
 Naciones Unidas. Asamblea General, Resolución 45/95 del 14 de diciembre de 1995. Principios rectores
sobre la reglamentación de los ficheros computarizados de datos personales.
B . o r g a n i z a c i  n pa r a l a c o o p e r a c i  n
y el desarrollo econmico (ocde)
Mediante recomendaciones y declaraciones la ocde ha planteado, desde 1980,
principios sobre el tratamiento de datos personales. A partir de la aprobación de
las directrices sobre intimidad y flujos transfronterizos de datos personales,
esta Organización ha promovido la protección del derecho a la intimidad en lo
que respecta al tratamiento de los datos personales, con el objetivo de fomentar la
confianza en las redes globales y evitar restricciones o prohibiciones innecesarias
a los flujos transfronterizos de datos personales. Es interés de esta organización
mantener la vigencia de esas directrices en el presente siglo, y así asegurar el
respeto a la privacidad y la protección de los datos personales en línea.
La existencia de normas y reglamentos transparentes que rijan la protección
de la intimidad y de los datos personales, y su efectiva puesta en práctica en las
redes de información, constituyen elementos esenciales para aumentar la confianza
en las redes globales. La actividad de la ocde se ha orientado a tal fin.
1 . d i r e c t r i c e s s o b r e p r o t e c c i  n d e l a p r i va c i d a d
y f l u j o s t r a n s f r o n t e r i z o s d e d at o s p e r s o n a l e s
En 1980, la ocde decidió elaborar unas líneas directrices sobre la política internacional de protección de la privacidad y los flujos transfronterizos de datos
personales. Las “Directrices sobre protección de la privacidad y flujos transfronterizos de datos personales”, 1980, conocidas como las Directrices de privacidad,
fueron adoptadas mediante una recomendación del Consejo, con fundamento
en los principios de la Organización, como lo son la democracia pluralista, el
respeto de los derechos humanos y las economías de mercado abiertas.
Las directrices suponen la unanimidad internacional sobre las guías generales para el acopio y gestión de información personal. Los principios buscan
ser claros, flexibles en su aplicación y de formulación general –que permitan
su adaptación a los cambios tecnológicos–. Las directrices abarcan todos los
medios del procesamiento informático de datos sobre individuos, todos los tipos
de procesamiento de datos personales y todas las categorías de datos (de tráfico
y de contenidos).
 Organización para la Cooperación y el Desarrollo Económico (ocde). Directrices sobre protección…,
cit.
 Organización para la Cooperación y el Desarrollo Económico (ocde). Resumen directrices de la ocde
sobre protección de la privacidad y flujos transfronterizos de datos personales, en [www.oecd.org].


En su tercera parte, las Directrices de privacidad abordan el tema relacionado
con los principios básicos de aplicación internacional: libre flujo y limitaciones
legítimas. Las implicaciones del procesamiento nacional y la reexportación
de datos personales presentan el beneficio de adoptar medidas razonables o
apropiadas para asegurar que el flujo transfronterizo de datos personales se
realice de forma ininterrumpida y segura. El documento predica la abstención
de restringir el intercambio transfronterizo de datos personales –tanto a nivel
nacional como internacional–, excepto cuando el país receptor no observe de
forma sustancial estas directrices, o cuando la exportación burle la legislación
nacional sobre intimidad, permitiendo restricciones a categorías de datos personales por su naturaleza. Así mismo, dentro de las Directrices se estipula evitar
la elaboración de leyes, políticas y prácticas destinadas a proteger la privacidad y
las libertades individuales, que puedan crear obstáculos al flujo transfronterizo
de datos personales superiores a los requisitos para tal protección.
Identificada la necesidad de la cooperación internacional, la ocde señala el
deber de los países miembros de dar a conocer los detalles de la observancia de
los principios de las Directrices, así como de garantizar que los procedimientos
relativos a los flujos transfronterizos de datos personales y a la protección de
la intimidad y de las libertades individuales sean sencillos y compatibles con
los otros países miembros que respetan las directrices. Los países miembros
deben establecer procedimientos que faciliten el intercambio de información
relacionada con las presentes directrices, como la asistencia mutua en materias
de procedimiento e investigación de que se trate.
Además, la Directiva recomienda que los países miembros tengan en cuenta
en su legislación interna los principios relativos a la protección de la intimidad
y de las libertades individuales que señala; que se esfuercen por retirar o evitar
crear, en nombre de la protección de la intimidad, obstáculos injustificados a
los flujos transfronterizos de datos personales; y, por último, que pacten, a la
mayor brevedad posible, procedimientos específicos de consulta y cooperación
para la aplicación de las Directrices.
2 . d e c la rac i  n m i n i s t e r i a l s o b r e f lu j o s
d e d at o s t r a n s f r o n t e r i z o s
El 11 de abril de 1985, los ministros de la ocde aprobaron la “Declaración sobre
los flujos de datos transfronterizos”. Este documento aborda cuestiones políticas
 Organización para la Cooperación y el Desarrollo Económico (ocde). “Directrices relativas a la protección de la privacidad…, cit.
que surgen del flujo transfronterizo de datos personales, entre ellas, los flujos
de datos e información sobre actividades comerciales, flujos intraempresariales,
servicios de información informatizada, e intercambios científicos y tecnológicos. El logro de la Declaración fue la reafirmación del compromiso de los
Estados miembros por desarrollar enfoques comunes y soluciones armonizadas
frente al tema.
3 . d e c la rac i  n m i n i s t e r i a l s o b r e la p rot e c c i  n
d e l a p r i va c i d a d d e l a s r e d e s g l o b a l e s
En la conferencia ministerial de la ocde “Un mundo sin fronteras: determinación del potencial del comercio electrónico” (Ottawa, 1998), los ministros
adoptaron la Declaración ministerial sobre la protección de la privacidad en las redes
globales, luego de reafirmar su compromiso de protección a la privacidad de las
redes globales para garantizar el respeto de derechos, generar confianza en las
redes globales y evitar las restricciones innecesarias en los flujos transfronterizos
de datos personales.
En el documento, los ministros de la ocde reafirman los objetivos establecidos en las Directrices de privacidad de 1980 y en la Declaración de 1985. Por
otro lado, el nuevo documento declara la realización de trabajos tendientes a
crear puentes entre los diferentes enfoques, para garantizar la protección a la
intimidad en las redes globales basándose en las directrices de la ocde; la toma
de las medidas necesarias para garantizar que se lleven a la realidad las mismas, de forma eficaz en relación con las redes globales, por medios jurídicos,
de autorregulación, administrativos o tecnológicos, así como las medidas que
garanticen la existencia de mecanismos eficaces de ejecución frente al incumplimiento de los principios y políticas relativas a la intimidad; y, por último,
garantizar el acceso a la reparación.
Bajo la consideración de que los diferentes enfoques eficaces de protección
de la intimidad desarrollados por los Estados miembros, así como la cooperación
global y la interactividad de la industria, empresas, consumidores y gobiernos
pueden ser útiles para conseguir una protección eficaz de la intimidad en las
redes globales, el documento ministerial señaló que la ocde debe apoyar a los
 Organización para la Cooperación y el Desarrollo Económico (ocde). Resumen Directrices de la ocde
sobre protección de la privacidad…, cit.
 Organización para la Cooperación y el Desarrollo Económico (ocde). Declaración de los ministros relativa
a la protección de la intimidad en las redes globales, Ottawa, 1998. Mediante Resolución del 19 de octubre
de 1998, el Consejo integró esta Declaración a los instrumentos de la Organización.
 Organización para la Cooperación y Desarrollo Económico (ocde). Declaración relativa a la protección
de la intimidad en las redes globales, cit.


Estados miembros para que intercambien información sobre métodos eficaces
para proteger la intimidad en las redes globales, y sobre sus esfuerzos y experiencia en cuanto al cumplimiento de los objetivos de la Declaración; debe examinar
cuestiones específicas suscitadas por la puesta en práctica de las Directrices de
privacidad de la ocde en relación con las redes globales y facilitar orientaciones
prácticas a los Estados miembros sobre la puesta en práctica de las mismas en
entornos digitales. Por último, la ocde debe cooperar con la industria, empresas
y organizaciones regionales e internacionales, en sus esfuerzos por proporcionar
la protección de la intimidad en las redes globales.
C. unin europea
Mediante la Directiva 95/46/CE se reglamentó lo relativo a la protección de las
libertades y los derechos fundamentales de las personas físicas por medio del
tratamiento y circulación de datos personales. Es objeto de esta directiva que
los Estados no restrinjan ni prohíban la libre circulación de datos personales
entre los Estados miembros por motivos relacionados con las protecciones
garantizadas conforme las disposiciones de esta directiva.
En el Capítulo iv de la Directiva, que versa sobre transferencia de datos
personales a terceros países (art. 25), se impone a los Estados miembros el deber de prever que la transferencia de datos personales, a un tercer país, pueda
efectuarse únicamente cuando ese tercer país garantice este nivel de protección
adecuado. Sin embargo, de no existir el nivel de protección requerido, queda
 Parlamento Europeo y Consejo de la Unión Europea. Directiva 95/46/CE, relativa a la protección
de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de
estos datos, del 24 de octubre de 1995: “Artículo 1.º Objeto de la Directiva: 1. Los Estados miembros
garantizarán, con arreglo a las disposiciones de la presente Directiva, la protección de las libertades y
de los derechos fundamentales de las personas físicas, y, en particular, del derecho a la intimidad, en lo
que respecta al tratamiento de los datos personales y 2. Los Estados miembros no podrán restringir ni
prohibir la libre circulación de datos personales entre los Estados miembros por motivos relacionados
con la protección garantizada en virtud del apartado 1”.
 Directiva 95/45/CE, artículo 25: “Principios. 1. Los Estados miembros dispondrán que la transferencia
a un país tercero de datos personales que sean objeto de tratamiento o destinados a ser objeto de tratamiento con posterioridad a su transferencia, únicamente pueda efectuarse cuando, sin perjuicio del
cumplimiento de las disposiciones de Derecho nacional adoptadas con arreglo a las demás disposiciones
de la presente Directiva, el país tercero de que se trate garantice un nivel de protección adecuado; 2.
El carácter adecuado del nivel de protección que ofrece un país tercero se evaluará atendiendo a todas
las circunstancias que concurran en una transferencia o en una categoría de transferencias de datos;
en particular, se tomará en consideración la naturaleza de los datos, la finalidad y la duración del
tratamiento o de los tratamientos previstos, el país de origen y el país de destino final, las normas de
Derecho, generales o sectoriales, vigentes en el país tercero de que se trate, así como las normas profesionales y las medidas de seguridad en vigor en dichos países; 3. Los Estados miembros y la Comisión
abierta la posibilidad de negociar, con el objetivo de no impedir tal flujo de datos
personales, y remediar las situaciones que puedan presentarse. El nivel será valorado según la naturaleza de los datos, la finalidad y duración del tratamiento,
el país de origen y el país de destino final, las normas de derecho, generales o
sectoriales, vigentes en el país tercero, las normas profesionales, y las medidas
de seguridad en vigor en dichos países.
Se disponen al respecto excepciones, que permiten el flujo de datos transfronterizo sin las garantías exigidas en el artículo 25 de la Directiva 95/46/CE.
se informarán recíprocamente de los casos en que consideren que un tercer país no garantiza un nivel
de protección adecuado con arreglo al apartado 2; 4. Cuando la Comisión compruebe, con arreglo al
procedimiento establecido en el apartado 2 del artículo 31, que un tercer país no garantiza un nivel de
protección adecuado con arreglo al apartado 2 del presente artículo, los Estados miembros adoptarán
las medidas necesarias para impedir cualquier transferencia de datos personales al tercer país de que
se trate; 5. La Comisión iniciará en el momento oportuno las negociaciones destinadas a remediar la
situación que se produzca cuando se compruebe este hecho en aplicación del apartado 4; 6. La Comisión
podrá hacer constar, de conformidad con el procedimiento previsto en el apartado 2 del artículo 31,
que un país tercero garantiza un nivel de protección adecuado de conformidad con el apartado 2 del
presente artículo, a la vista de su legislación interna o de sus compromisos internacionales, suscritos
especialmente al término de las negociaciones mencionadas en el apartado 5, a efectos de protección
de la vida privada o de las libertades o de los derechos fundamentales de las personas. Los Estados
miembros adoptarán las medidas necesarias para ajustarse a la decisión de la Comisión”.
 Artículo 26. “Excepciones. 1. No obstante lo dispuesto en el artículo 25 y salvo disposición contraria
del Derecho nacional que regule los casos particulares, los Estados miembros dispondrán que pueda
efectuarse una transferencia de datos personales a un país tercero que no garantice un nivel de protección
adecuado con arreglo a lo establecido en el apartado 2 del artículo 25, siempre y cuando: a. el interesado haya dado su consentimiento inequívocamente a la transferencia prevista, o b. la transferencia sea
necesaria para la ejecución de un contrato entre el interesado y el responsable del tratamiento o para la
ejecución de medidas precontractuales tomadas a petición del interesado, o c. la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar en interés del interesado,
entre el responsable del tratamiento y un tercero, o d. la transferencia sea necesaria o legalmente exigida
para la salvaguardia de un interés público importante, o para el reconocimiento, ejercicio o defensa de
un derecho en un procedimiento judicial, o e. la transferencia sea necesaria para la salvaguardia del
interés vital del interesado, o f. la transferencia tenga lugar desde un registro público que, en virtud
de disposiciones legales o reglamentarias, esté concebido para facilitar información al público y esté
abierto a la consulta por el público en general o por cualquier persona que pueda demostrar un interés
legítimo, siempre que se cumplan, en cada caso particular, las condiciones que establece la ley para
la consulta. 2. Sin perjuicio de lo dispuesto en el apartado 1, los Estados miembros podrán autorizar
una transferencia o una serie de transferencias de datos personales a un tercer país que no garantice
un nivel de protección adecuado con arreglo al apartado 2 del artículo 25, cuando el responsable del
tratamiento ofrezca garantías suficientes respecto de la protección de la vida privada, de los derechos
y libertades fundamentales de las personas, así como respecto al ejercicio de los respectivos derechos;
dichas garantías podrán derivarse, en particular, de cláusulas contractuales apropiadas. 3. Los Estados
miembros informarán a la Comisión y a los demás Estados miembros acerca de las autorizaciones
que concedan con arreglo al apartado 2. En el supuesto de que otro Estado miembro o la Comisión
expresaren su oposición y la justificaren debidamente por motivos derivados de la protección de la vida
privada y de los derechos y libertades fundamentales de las personas, la Comisión adoptará las medidas adecuadas con arreglo al procedimiento establecido en el apartado 2 del artículo 31. Los Estados


La intervención de entidades especializadas en el marco internacional, que
presenta relevancia en la Comisión de la Unión Europea, o de entidades de índole
nacional, como la Agencia de Protección de Datos, para el caso español, se hace
inminente para la valoración de las condiciones o garantías adecuadas.
La protección de datos y el contenido de la Directiva de 1995 han tenido
eco en las Directivas que regulan las telecomunicaciones en la Comunidad
Europea. La Directiva 97/66/CE complementa la Directiva de 1995 mediante
la armonización de las disposiciones de los Estados miembros, necesarias para
garantizar un nivel equivalente de protección de las libertades y de los derechos
fundamentales y, en particular, del derecho a la intimidad, en lo que respecta
al tratamiento de los datos personales en el sector de las telecomunicaciones,
así como a la libre circulación de tales datos y de los equipos y servicios de
telecomunicación en la Comunidad.
D . s i s t e m a s j u r  d i c o s l at i n o a m e r i c a n o s
En búsqueda de protección de los datos personales, en Latinoamérica se ha
iniciado, a partir del año 1999, la regulación positiva, con influencia de los países con sistema jurídicos tanto continentales como anglosajones. Sin embargo,
la definición de estándares o políticas de protección de datos personales no ha
sido clara dentro de los países a nivel regional.
En cierto modo se ha seguido el ejemplo de la Unión Europea, relativo a
prohibir el intercambio de datos a nivel internacional con “puertos” en los que
no sea apta la protección de los mismos; sin embargo, no es claro el significado
de “niveles de protección adecuados”.
miembros adoptarán las medidas necesarias para ajustarse a la decisión de la Comisión. 4. Cuando la
Comisión decida, según el procedimiento establecido en el apartado 2 del artículo 31, que determinadas
cláusulas contractuales tipo ofrecen las garantías suficientes establecidas en el apartado 2, los Estados
miembros adoptarán las medidas necesarias para ajustarse a la decisión de la Comisión”.
 Toma en consideración la aparición de nuevas redes digitales públicas avanzadas de telecomunicación
–en especial, la red digital de servicios integrados (rdsi) y las redes móviles digitales–, las cuales crean
necesidades específicas en materia de protección de datos personales y de intimidad de los usuarios.
Entre otros, señala que la introducción de nuevos servicios de telecomunicaciones caracteriza el desarrollo de la sociedad de la información. El desarrollo transfronterizo de estos servicios, como el video
por pedido o la televisión interactiva, depende en parte de la confianza de los usuarios de que no se
pondrá en peligro su intimidad. Parlamento Europeo y Consejo de Europa, Directiva 97/66/CE,
Considerando n.º 3, artículo 1.
 Congreso argentino, Ley 25.326 del 4 de octubre de 2000, Ley de Protección de los Datos Personales:
“Artículo 12. Transferencia internacional. 1. Es prohibida la transferencia de datos personales de
cualquier tipo con países u organismos internacionales o supranacionales que no proporcionen niveles de protección adecuados. 2. La prohibición no regirá en los siguientes supuestos: a. Colaboración
El caso argentino se presenta como una de las iniciativas dirigidas a consolidar relaciones con la Unión Europea en la materia de protección de datos
personales. La ley argentina 25326 de 2000 establece como principios esenciales
por los que debe regirse un tratamiento de datos personales para ser lícito y
legítimo, los siguientes: proporcionalidad, finalidad, información al interesado, calidad, especial protección a ciertas categorías de datos, confidencialidad,
seguridad y derechos de acceso, rectificación y supresión para los interesados.
Adicional a ello, la citada ley estableció una autoridad indepediente de control:
la Dirección Nacional de Protección de Datos Personales, a través de la cual
los interesados tienen la posibilidad de presentar sus reclamaciones y hacer
valer sus derechos con rapidez y eficacia. Las garantías ofrecidas por el marco
legislativo y de control argentino fueron reconocidas por la Comisión Europea
al considerar que la legislación argentina ofrecía un nivel de protección de datos
adecuado (Decisión 2003/490/CE del 30 de junio de 2003).
En el marco iberoamericano igualmente se han presentado actividades de
cooperación mutua y promoción, lideradas por la Agencia Española de Protección de Datos, entidad que promueve anualmente un Encuentro Iberoamericano
de Protección de Datos. En la declaración final del encuentro celebrado en el
año 2003 (Antigua, Guatemala) se creó la Red Iberoamericana de Protección de
Datos con el objetivo de promover la difusión de los resultados obtenidos en el
desarrollo de sus actividades. Los miembros de la red otorgan un papel esencial
a la difusión de información y a la colaboración permanente entre todos ellos, al
tratamiento común de problemas, con ánimo de buscar y sugerir soluciones armonizadas, y al apoyo de iniciativas de sus miembros para difundir y desarrollar
la cultura de protección de los datos personales en los países iberoamericanos en
un contexto democratico. En la declaración del iii Encuentro Iberoamericano
de Proteccción de Datos, realizado en mayo de 2004, los participantes se pronunciaron sobre la transferencia internacional de datos personales, en el sentido
de apoyar, en los países iberoamericanos, la promulgación de regulaciones sobre
protección de datos y el establecimiento de mecanismos de control indepen-
judicial internacional; b. Intercambio de datos de carácter médico, cuando así lo exija el tratamiento
del afectado, o una investigación epidemiológica, en tanto se realice en los términos del inciso e. del
artículo anterior; c. Transferencias bancarias o bursátiles, en lo relativo a las transacciones respectivas
y conforme la legislación que les resulte aplicable; d. Cuando la transferencia se hubiera acordado
en el marco de tratados internacionales en los cuales la República Argentina sea parte y e. Cuando la
transferencia tenga por objeto la cooperación internacional entre organismos de inteligencia para la
lucha contra el crimen organizado, el terrorismo y el narcotráfico”.
 Declaración de La Antigua (Guatemala) con motivo del ii Encuentro Iberoamericano de Protección de Datos Personales, La Antigua, Guatemala, 2 al 6 de junio de 2003, en [www.agpd.es/index.
php?idSeccion=348].


dientes que promuevan una efectiva implantación del derecho fundamental a
la protección de datos personales y que, al mismo tiempo, faciliten el libre flujo
de datos personales entre los países.
En el caso colombiano queda mucho por hacer. La mayoría de las discusiones relativas a la reglamentación de la protección de datos se ha centrado en los
datos financieros. En el año 2003 se presentó una iniciativa que proponía una
regulación más amplia del derecho fundamental, mediante la identificación de
principios ya reconocidos por la Corte Constitucional, institución que adicionalmente ha exhortado a los entes gubernamentales a promover la presentación
de proyectos de ley que otorguen a los ciudadanos los mecanismos apropiados
para la protección de derechos fundamentales como el habeas data, autodeterminación informática, intimidad, entre otros. Esta propuesta fue archivada.
Los proyectos radicados en el Senado en julio de 2006, por su lado, padecen
del mismo defecto de las primeras iniciativas: se centran en el sector financiero;
adicionalmente, los proyectos que se discuten en el Congreso colombiano no
abordan en su articulado la transferencia internacional de datos personales.
II. r e g u la r y a r m o n i za r
La ocde señala que frente a la movilidad internacional de las personas, mercancías
y actividades comerciales y científicas, unas prácticas comúnmente aceptadas en
relación con el proceso de datos pueden resultar ventajosas, incluso cuando no
esté directamente implicado un tráfico transfronterizo de datos.
Como experiencia en el tema puede presentarse el caso Estados Unidos
– Unión Europea. En Estados Unidos, dado el carácter autorregulador del co-
 Declaración de Cartagena de Indias, con ocasión al iii Encuentro Iberoamericano de Protección de
Datos. Cartagena de Indias, del 25 al 28 de 2004, en [www.agpd.es/index.php?idSeccion=408].
 Cfr. Proyecto de Ley Estatutaria 74 de 2003 Cámara, 64 de 2003 Senado. Por la cual se regula integralmente el derecho fundamental al hábeas data y demás libertades y derechos fundamentales de las
personas en lo que respecta al tratamiento de sus datos personales a través de bases de datos públicas y
privadas, y se dictan otras disposiciones; Proyecto de Ley Estatutaria 143 de 2003 Senado, por la cual
se dictan disposiciones para la protección de datos personales y se regula la actividad de recolección,
tratamiento y circulación de los mismos.
 Cfr., entre otros, Sentencia T-729 del 5 de septiembre de 2002, M. P.: Eduardo Montealegre Lynett.
 Proyecto de Ley Estatutaria n.º 27 de 2006, Senado. Por el cual se dictan disposiciones generales de
hábeas data y se regula el manejo de la información contenida en bases de datos personales, en especial
la financiera y crediticia y se dictan otras disposiciones. Proyecto de Ley Estatutaria 5 de 2006, por
el cual se reglamenta el hábeas data y el derecho de petición ante entidades financieras, bancarias y
centrales o bancos de datos.
 Organización para la Cooperación y el Desarrollo Económico (ocde).
mercio, no existe una normativa sobre protección de datos personales aplicable
en todo el territorio o a todos los sectores económicos: sí hay en cambio normas
dispersas aplicables a sectores muy concretos. La protección de la intimidad
y de los datos se enmarca en un entramado de autorregulación industrial y
regulación sectorial.
A. p r i n c i pi o s d e p u e rto s e g u ro
Con el objetivo de conseguir una declaración, por parte de la Unión Europea,
de adecuación del nivel de protección de datos personales, el Departamento
de Comercio de los Estados Unidos presentó como documento de discusión
un borrador de “principios de puerto seguro”, para permitir la libre transferencia internacional de datos personales. El documento pretendía garantizar a
los operadores que se adhieran a los principios, la presunción de adecuación al
nivel de protección exigido por la Directiva, con el objetivo de complementar
los esquemas de autorregulación existentes y prevalecer frente a las diversas
regulaciones estatales sobre el tema.
La Directiva 95/46/CE, artículo 25, en el numeral 5, señala que la Comisión puede iniciar, en el momento que considere, negociaciones destinadas a
remediar la situación que se produce cuando un tercer país no garantiza un nivel
de protección adecuado. El nivel adecuado de protección de la transferencia de
datos desde la Comunidad a los Estados Unidos de América, reconocido por
la Decisión 2000/520/CE, debe alcanzarse si las entidades cumplen los principios de puerto seguro para la protección de la vida privada, con el objeto de
proteger los datos personales transferidos de un Estado miembro a los Estados
Unidos de América.
El acuerdo de puerto seguro consta de siete principios básicos: notificación
(información a los afectados), opción (posibilidad de opción de los afectados),
transferencia ulterior a terceras empresas, seguridad, integridad de los datos
(principios de finalidad y proporcionalidad), derecho de acceso y aplicación
(procedimientos para la satisfacción de los derechos de los afectados).
No es clara la aplicación de la Directiva, es decir, el concepto de datos
vulnerables o la preocupación de afección de los diferentes datos todavía no es
general. La Decisión 2000/520/CE no es aplicable ni a los sectores, ni a los
tratamientos de datos que no estén sujetos a la jurisdicción de los organismos
 Agencia Española de Protección de Datos, Acuerdo de Puerto Seguro con los Estados Unidos de
Norteamérica, en [www.agpd.es/index.php?idSeccion=255].


federales estadounidenses; por ejemplo, no será aplicable a los datos de bancos,
cooperativas de ahorro y crédito, compañías de servicio público de telecomunicaciones y de transporte, etc.
Los estándares europeos están siendo adoptados de manera predominante,
bien sea como estándares de protección o como mecanismos de safe harbor de
facto.
B . p r o t e c c i  n d e d at o s y s e g u r i d a d n a c i o n a l
La situación de conflicto entre los sistemas de protección de datos personales
sigue vigente. A raíz de los atentados del 11 de septiembre de 2001, la tendencia
mundial, en concreto en los Estados Unidos, es la autorización sin límite, a los
organismos de seguridad, para rastrear e interceptar las comunicaciones. Así por
ejemplo, con la aprobación del Patriot Act en el año 2001, se permite la vigilancia
de los correos electrónicos que pasen por plataformas ubicadas en los Estados
Unidos, con las implicaciones e interrogantes pendientes de respuesta.
En igual sentido, Estados Unidos aprobó la Ley sobre Seguridad en el
Transporte y la Aviación, que exige a aquellas compañías aéreas que operen
en territorio norteamericano, la entrega de los datos relativos a los pasajeros y
la tripulación (las transferencias de datos se realizan en un medio electrónico
y deben ser completadas, como máximo, quince minutos después del despegue
del avión). El Comisionado de Aduanas (Commissioner of Customs) es el receptor de los datos enviados a los Estados Unidos; sin embargo, las autoridades
federales de dicho país también dispondrán de los mismos. La transmisión
tiene fundamento en la seguridad de la aviación y constituye asunto de orden
público en los Estados Unidos.
En 2002, en Estados Unidos se aprobó otra ley para reforzar la seguridad
fronteriza: ésta exige a las compañías aéreas, cuyos vuelos entren o salgan del
país, la transmisión de los datos relativos a los pasajeros y la tripulación al Servicio de Inmigración y Nacionalización de los Estados Unidos. La transferencia
 Comunidad Europea, Decisión 2000/520/CE, anexo vii.
 “New privacy laws have eye on E. U. data privacy Directive”, World Internet Law Report, vol. 1, Issue
14, London, bna, november 2000.
 Aviation and Transportation Security Act, November 19, 2001.
 Passenger Manifest Information.
 Agencia Española de Protección de Datos, Memoria Anual, 2002, p. 348, en [www.agpd.es/index.
php?idSeccion=68].
 Daniel Peña Valenzuela. “La propiedad de los datos y las nuevas tecnologías: del big brother al control
biométrico”, Revista Propiedad Inmaterial, Universidad Externado de Colombia, n.º 5, 2.º semestre
2002.
de datos de los pasajeros y la tripulación que salgan de Estados Unidos, debe
realizarse en medio electrónico, y completarse 15 minutos antes del despegue
del avión, para que sea posible actualizar o corregir la lista de pasajeros en un
espacio máximo de 15 minutos después de la salida. En todo caso, el Servicio
de Inmigración estadounidense podrá exigir, si lo considera necesario, que el
vuelo regrese al aeropuerto de los Estados Unidos en el plazo de una hora desde
su salida. Todos los datos deben transmitirse a una base de datos centralizada
conjunta del Servicio de Aduanas (US Customs) y el Servicio de Inmigración
(Inmigration and Naturalization Service); una vez transmitidos, estos datos se
compartirán con otras agencias federales.
Para el caso de Estados Unidos se ha incrementado tanto la solicitud de
datos personales, como las agencias que tendrán acceso a ellos. Por ejemplo, el
Advanced Passenger Information System (apis) ha experimentado numerosos
cambios, en concreto, la ampliación de su lista de datos, de igual manera, la
información sobre el registro de pasajeros obligatoria para los pasajeros de vuelos
de matrícula extranjera, el Passenger Name Record (pnr). De otro lado, para
garantizar el cumplimiento de la normatividad referida, frente a la no facilitación de la información o su presentación incorrecta o incompleta, se imponen
sanciones de pérdida de derechos de aterrizaje o pago de multas.
Visto el panorama, el Grupo de Protección de las Personas. Respecto al Tratamiento de Datos Personales, de la Unión Europea, creado por el artículo 29 de la
Directiva 95/46/CE, ha considerado que la mayoría de las cuestiones en juego se
encuentra fuera de la competencia de las compañías aéreas y deberían ser los Estados
miembros y la Comisión los responsables de las mismas. Presuponiendo la existencia
de motivos de alto interés público para Estados Unidos, las garantías adecuadas y el
cumplimiento de la legislación nacional, las autoridades estadounidenses deberán
comprometerse a garantizar el respeto a la Directiva en su totalidad.
 Agencia Española de Protección de Datos, Memoria Anual, 2002, p. 349, en [www.agpd.es/index.
php?idSeccion=68].
 Advanced Passenger Information System (apis). En primera instancia, los datos se relacionaban con
el vuelo en el que se viajaba, el visado o el permiso de residencia y la información identificativa –como
la de los pasaportes–. A partir de la expedición de la ley sobre seguridad fronteriza, se exige, para los
vuelos que entren y salgan de Estados Unidos, que se transmitan los datos a la Oficina de Inmigración,
entre los cuales se señala el nombre, fecha de nacimiento, nacionalidad, sexo, número de pasaporte
y lugar de expedición, país de residencia, número de visado en los Estados Unidos, lugar y fecha de
expedición, número de registro extranjero, domicilio en los Estados Unidos durante la estancia, y
cualquier otro dato que se considere necesario para identificar a los viajeros y aplicar las normativas
sobre inmigración y proteger la seguridad nacional.
 El grupo de trabajo se reunió por primera vez en febrero de 1997 y se expresa mediante documentos,
en forma de decisiones, dictámenes, documentos de trabajo, informes o recomendaciones.


conclusiones
La protección de datos personales no sólo es de interés del individuo; también
lo es de los comerciantes, que se verán beneficiados en la medida en que haya
confianza en los fines y uso de las bases de datos personales. Así entonces, vale
la pena verificar si, por ejemplo, una política de liberalidad de circulación de
datos personales planteada en las relaciones internacionales, o en los tratados de
comercio, atendiendo los comentarios de la onu y la ocde, aportará al desarrollo
del comercio internacional, y obrar en consecuencia, sin olvidar las garantías
mínimas y necesarias para la protección del derecho fundamental. Dicho aporte
será relevante, entre otros, para el desarrollo del comercio electrónico y las
relaciones transnacionales que se están gestando a través de medios digitales.
Por sus implicaciones en las negociaciones internacionales (entre ellas,
las contrataciones) y por las implicaciones comerciales de igual naturaleza,
la protección de los datos personales es un tema que debe tenerse en cuenta
en los acuerdos internacionales relacionados con el comercio o transacciones
internacionales.
stephen j. davidson
introduction
It is the “computer age”. Information of all types is increasingly taking the form
of computerized data, often appearing as magnetically or optically encoded images and sometimes never reduced to “hard copy” form at all. It is becoming
important, therefore, to look to magnetically or optically encoded writings and
recordings (or the lack thereof) as potential direct or circumstantial evidence in
litigation of all kinds. The very act of preserving or failing to preserve computerbased evidence can be seriously prejudicial to a litigant. Even erased, deleted or
destroyed computer-generated evidence can come back to embarrass, impeach
or otherwise haunt your clients or their adversaries.
I . fa i l u r e t o p r e s e r v e c o m p u t e r - b a s e d e v i d e n c e
For example, in Integrated Cash Management Services, Inc. v. Digital Transactions, Inc., the court made the following observations in reaching its conclusion
that the defendants had misappropriated trade secret aspects of the plaintiffs’
software system:
When Newlin left icm, he copied certain files in the machine he was using there onto
diskettes, took those diskettes with him, and did not inform icm that he had done so.
Vafa, too, brought with him source code implementing a certain algorithm which he
had written for icm, but later destroyed that file because of questions in his mind about
the propriety of using such source code at dti. Although plaintiffs have not demonstrated that any of the source code taken from icm by defendants was in fact used by
them in creating the programs at issue in this lawsuit, and although the court believes
Vafa’s testimony that he did not directly make use of any such code, the removal of
the code, and the subsequent failure to produce it during discovery, is quite troubling.
(Emphasis supplied.)
A more recent and more extreme example is the case of Computer Associates
International, Inc. v. American Fundware Inc., where the court entered a default
judgment on the issue of liability against the defendant for failing to preserve
evolving versions of its source code as potential evidence of whether or not it
had copied aspects of the plaintiff ’s software. The court found that it is was a
common software industry practice to preserve only current versions of source
code and to destroy previous versions as the program was revised. The court
732 F. Supp. 370 (s.d.n.y. 1989).
732 F. Supp. at 374-75.
133 f.r.d. 166 (D. Colo. 1990).


noted that there was nothing inherently wrongful in that. However, the court
had no sympathy for the defendant’s breach of its legal duty to preserve historical versions of the source code once on notice that it probably would be critical
evidence in pending or imminent litigation. Quoting from Wm. T. Thompson
Co. v. General Nutrition Corp., the court pointed out that:
While a litigant is under no duty to keep or retain every document in its possession
once a complaint is filed, it is under a duty to preserve what it knows, or reasonably
should know, is relevant in the action, is reasonably calculated to lead to the discovery
of admissible evidence, is reasonably likely to be requested during discovery, and/or
is the subject of a pending discovery request.
After noting that the defendant “[m]ost probably […] would have been meticulously careful to preserve evidence that could have demonstrated lack of merit
in [the plaintiff ’s] case” and that, where a party destroys evidence with notice
that it is important to a lawsuit “the compelling inference is that the evidence
would have supported the opposing party’s case,” the court concluded:
In this post Iran-gate era of widely publicized evidence destruction by document
shredding, it is well to remind litigants that such conduct will not be tolerated in judicial proceedings. Destruction of evidence cannot be countenanced in a justice system
whose goal is to find the truth through honest and orderly production of evidence
under established discovery rules.
I I . r e t r i e va l o f e r a s e d o r d e l e t e d d o c u m e n t s
The Colorado court’s allusion to “Iran-gate” brings to mind yet another intriguing possibility – i.e., discovering “documents” which have been electronically
recorded and later “erased” or “deleted,” but images of which still remain on
the media on which they were initially encoded or on media on which they have
been backed up or archived. Such media might include floppy disks, hard disks,
optical disks, magnetic tape, and any other medium in or on which information
can be electronically encoded or otherwise fixed.
Someone once mused that since the invention of the photocopy machine,
it is impossible to destroy a document. The underlying notion is that physical
documents tend to be photocopied for any number of reasons and that photocopying is so easy and inexpensive that copies tend to proliferate. Once a
593 F. Supp. 1443, 1445 (C.D. Cal. 1984).
133 f.r.d. at 169.
133 f.r.d. at 170.
Stephen J. Davidson
document is created, it is virtually impossible to be certain that all copies have
been destroyed. The same holds true for “documents” created and stored, even
temporarily, on computer systems utilizing floppy or hard disks. The problem
is exacerbated if the computer on which the document is created is connected
to a network and is further aggravated if the files on the network are automatically backed up or archived periodically.
Recall, for example, Oliver North’s experience with electronic mail. As
reported in Lotus magazine:
In his headlong attempt to destroy evidence, North shredded documents and erased
electronic files. Or so he thought. North didn’t realize that his E-mail had been stored
on the system’s backup files until investigators unearthed the documents.
An article in Time magazine elaborated:
At the White House, those running the nsc computer –unbeknownst to North and
his colleagues– were keeping backup tapes of each file in the system, a routine practice.
These backups, which are typically made on a daily or weekly basis, included copies
of files containing the private notes of every nsc officer with a password. In response
to requests from the Tower commission, White House Communications Agency programmers searched their storage tapes for nsc memos and eventually turned over a
stack of printouts nearly 4 ft. high.
Backup or archival copies are not the only possible source of documents that
have been deleted or erased. Consider the case of Commonwealth of Pennsylvania v. Copenhefer. Copenhefer was convicted of kidnapping and murder and
sentenced to death after the seizure of his personal computer and an analysis
of the computer’s hard disk revealed drafts of the ransom note and instructions
which Copenhefer had deleted. The Pennsylvania Supreme Court’s opinion
contains the following description of how that evidence was found:
Appellant, after using his computer to draft documents related to the kidnapping
and ransom of Mrs. Weiner, attempted to erase or delete them from his computer’s
memory. In fact, what he accomplished was to delete the names of the documents from
the directory or index of files contained in the computer’s memory. But employing
the “delete” function on his computer did not actually eliminate the files from his
computer’s internal “hard drive”. The files remained in the computer’s memory until
subsequent usage might have required the hard-drive storage space occupied by the
“deleted” files, at which time the files would have been written over by new data and
Andrew Feinberg. “Netiquette,” Lotus 6 (September 1990): 66.
Philip Elmer-DeWitt. “Can a System Keep a Secret?” Time (April 6, 1987): 68.
587 A.2d 1353 (p. 1991).


thereby displaced. In appellant’s case, however, subsequent usage never displaced the
files in question and they remained in the memory of his computer.
There are software programs designed to retrieve such documents from a computer’s
hard drive after they have been deleted from directories of files in storage. fbi agent
Al Johnson, a computer expert, employed such a software program to delve into
appellant’s computer and retrieve the files which appellant mistakenly believed he
had destroyed.
The following discussion of file erasure and recovery on dos-based computer
systems (i.e., the vast majority of PC compatible computers) appears in one of
the manuals that accompanied the author’s copy of The Norton Utilities:
. . . dos is pretty lazy when it comes to erasing a file. Rather than erasing the actual file
data, it simply marks the first [character] of the filename [in the file directory] with
an E5 [hexadecimal], to indicate that the file has been erased, then clears (zeros) the
file’s entries in the [File Allocation Table] […] Since it doesn’t erase the actual data,
or even the starting cluster number in the directory, we can find and recover the first
cluster very easily, provided it hasn’t been overwritten by another file.
The Norton Utilities Quick UnErase program can often recover the rest of the clusters
of an erased file automatically […] Working with what you know about your file and
what UnErase knows about your disk, you can frequently recover even badly fragmented
and partially overwritten files.
III. computer encoded “writings and recordings”
Under Rule 1001(1) of the Federal Rules of Evidence, “writings and recordings” are defined as:
… letters, words, or numbers, or their equivalent, set down by handwriting, typewriting, printing, photostating, photographing, magnetic impulse, mechanical or electronic
recording, or other form of data compilation.
To prove the content of a writing or recording, the “original” of the writing or
recording is generally required, except as otherwise provided in the Rules of
Evidence. A duplicate is admissible to the same extent as an original unless:
(1) a genuine question is raised as to the authenticity of the original; or (2)
in the circumstances, it would be unfair to admit the duplicate in lieu of the
original. However,
 587 A.2d at 1355-56.
 The Norton Disk Companion (1988): 29-30.
 Fed. R. Evid. 1002.
 Fed. R. Evid. 1003.
Stephen J. Davidson
[i]f data are stored in a computer or similar device, any printout or other output readable by sight, shown to reflect the data accurately, is an “original”.
The requirement of authentication or identification as a condition precedent
to admissibility is satisfied by evidence sufficient to support a finding that the
matter in question is what the proponent claims. Evidence describing a process or system used to produce a result and showing that the process or system
produces an accurate result conforms to the requirements of this rule.
I V . e l e c t r o n i c m e d i a d i s c o v e ry
As time goes by, it is increasingly likely that virtually all litigation investigation
and discovery should include searching for important, potentially prejudicial,
and even “smoking gun” documents created on computers utilizing magnetic
or optical disks. It is also increasingly likely that such systems will have been
backed up periodically on floppy disks, magnetic tapes or other media. Discovery
of “documents,” therefore, should encompass copies of documents which may
not surface in paper form, including copies on backup or archival media and
copies which have been logically but not physically erased or deleted.
A . w h at d o t h e d i s c o v e ry r u l e s p e r m i t ?
Rule 34 of the Federal Rules of Civil Procedure generally permits a requesting
party, or someone acting on the requestor’s behalf,
to inspect and copy, any designated documents (including writings, drawings, graphs,
charts, photographs, phono records, and other data compilations from which information can be obtained, translated, if necessary, by the respondent through detection
devices into reasonably usable form), or to inspect and copy, test, or sample any tangible
things which constitute or contain matters within the scope of Rule 26(b).
According to the Notes of the Advisory Committee on Rules, “The inclusive
description of ‘documents’ [was revised by amendment in 1970] to accord with
changing technology”. It is certainly broad enough to encompass the types of
electronically encoded documents discussed here, including those which have
been logically but not physically erased or deleted.
 Fed. R. Evid. 1001(3).
 Fed. R. Evid. 901(a).
 Fed. R. Evid. 901(b)(9).


B. possibilities for the document request
The inclusive description of “documents” contained in Rule 34 ought by itself
to be sufficient to bring these types on materials within the scope of a properly
drawn request. For those unable to resist prefacing their document requests with
definitions and instructions including a definition of “documents,” consider
including language such as:
The term “document(s)” also includes information stored on, or which can be reproduced from, any magnetic, optical, or other tangible medium of expression, regardless
of how encoded or otherwise fixed.
Currently, many lawyers (and clients) who receive and respond to requests for
production of “documents” do not automatically think beyond what exists in
paper form. Even those who do may not be aware that there could exist “copies”
of documents not reflected in the directories of floppy or hard disks. Some of
them also do not bother to read the definitions or instructions which precede
the requested categories of documents or, when those definitions and instructions are unduly onerous, object to them and then ignore them.
Accordingly, it might be worth considering including among the categories
of documents requested a specific category something like the following:
All magnetically or optically recorded documents within any of the foregoing categories,
including archival copies and documents which have been logically but not physically
erased or deleted.
Since Rule 34 expressly permits a party to request the ability to “inspect and
copy, test, or sample any tangible things which constitute or contain matters
within the scope of Rule 26(b),” the proponent of such a request might also
want to ask for the physical production of:
All magnetic, optical and other media which have ever been used to create, store, record,
back up or archive documents within any of the foregoing categories.
C . h ow to r e s p o n d
In most cases, the appropriate way to respond to a proper request for electronically encoded documents is to seek out and produce them to the same extent
as would be appropriate for paper documents within the same categories. With
the help of properly trained legal assistants and possibly the aid of a qualified
consultant, the task will be no more onerous (and often much easier, faster, and
Stephen J. Davidson
less expensive) than it is for paper copies. In other cases, the proper response
might be to object to the request on the grounds that it would subject the responding party to annoyance, oppression and undue burden and expense and/or
to seek a protective order on the same grounds. Ultimately, the decision how
to respond should include careful consideration of many factors, including the
responding party’s overall litigation strategy.
V . s o m e o f t h e h a r d d i s c o v e ry i s s u e s
Electronic media discovery raises some unique and difficult issues. The following are but a few examples.
1. Should the discovering party even propound such a request? Bear in mind that
if opposing counsel has not independently thought of making such a request, he
or she will probably respond in kind. In most cases, the burden of responding
to an electronic media discovery request will be substantially more onerous for
one party than for the other.
2. Should the media itself be produced? There may be a temptation in some
cases for the responding party to attempt to shift the burden to the requestor
by gathering the proverbial “boxcar” of responsive media and saying, in effect,
“Here, you look”. That, however, could be a very risky proposition. Although
the media might well contain vast amounts of irrelevant and innocuous material
which would make the inspection and review burdensome for an unsophisticated
inspector, it might contain not only confidential, irrelevant material, but also
prejudicial privileged material pertinent to the litigation.
In the author’s view, such media rarely should be produced voluntarily
without first conducting such analysis as is necessary to ensure that information
not properly discoverable is not disclosed, and the responding party should, in
most cases, vigorously resist any effort by the requesting party to conduct its
own inspection and analysis of the media.
3. Who Should Conduct the Inspection? While the producing party will
generally want to resist a request by the opposing party to inspect and test all
of the media ever used by the producing party during the relevant period of
time, the requesting party may not want to rely on the producing party to do
so. This could be for a variety of reasons, including a lack of confidence in the
producing party’s sophistication or commitment to the effort.
A few examples of possible solutions include: a. the producing party
conducts the examination and reports to the requesting party on the specific
procedures followed and the results obtained; b. an independent expert engaged
by the requesting party conducts the examination and makes a similar report


to both parties before the substance of discovered material is disclosed to the
requesting party; or c. an independent expert appointed by the court conducts
the examination and submits such a report to the court, which then rules on
what materials are to be disclosed to the requesting party.
conclusion
The cases discussed at the beginning of this paper will come as a surprise to
many lawyers and litigants. The duty to preserve not only “hard copies” of
documents but also media containing information which could lead to the discovery of admissible evidence is a broad and potentially onerous one indeed.
Taken to its extreme, it could be construed to require that all the hard disks of
a litigant’s (or potential litigant’s) computers be “frozen” at the point when the
threat of litigation becomes real, so as not to overwrite erased or deleted files.
It could also be construed to require that no documents thereafter be erased
or deleted without permission of the court.
As time goes on, computer system users and administrators will become
more sophisticated, and electronic media discovery will be increasingly less
likely to turn up “smoking guns” that someone has sought to destroy. Even
today, most material discovered by examination of electronic media will be of
a nature similar to paper documents. It is interesting, however, to ponder the
implications of discovering the remains of “erased” or “deleted” documents.
Such “documents” may never have been printed, may never have been communicated to anyone, and may reflect nothing more than the author’s momentary
and fleeting thoughts.
The Pennsylvania Supreme Court has already held that there is no legally
protected right of privacy with respect to erased or deleted documents. Some
day, a court may be called upon to decide whether a statement briefly considered but never made can be introduced in evidence as an admission against its
author by virtue of the mere fact that the author’s word processing system’s
automatic timed backup feature saved it to disk before the author decided to
abandon the thought. As the songwriter once said, “You can’t go to jail for what
you’re thinking”. Or can you?
 Copenhefer, supra.
da n i e l p e ña va l e n z u e la
Responsabilidad de la Administración
Pública en la era del gobierno digital
introduccin
La sociedad del conocimiento y de la información privilegia a las tecnologías
de la información como el vehículo por excelencia para la transformación del
Estado en un ente más eficiente y menos costoso. Todo cambio social trae consigo
modificaciones al modelo de Estado. De hecho, el Estado simplemente es el
reflejo de una construcción social determinada en un tiempo específico. La era
tecnológica en que vivimos actualmente, y que promete ser aún más avanzada
a corto plazo, lleva consigo la mayor dependencia de las actividades del Estado
y de sus servidores respecto de programas de ordenador, redes informáticas,
bases de datos, infraestructura y equipos.
La responsabilidad del Estado y de sus funcionarios constituye uno de los pilares del Estado de derecho y en esa noción los ciudadanos encuentran un principio
de garantía que se materializa en la medida en que el propio Estado respete las
reglas, y los jueces, llegado el caso, sancionen cualquier desviación de competencias,
funciones o abuso de poderes en desmedro de los derechos de los ciudadanos.
No por usar nuevas tecnologías se debe entender a priori que el incumplimiento de sus deberes exonere al Estado y a los servidores públicos de responsabilidad.
Por el contrario, la tecnología permite que el Estado desarrolle mejores formas
y maneras de control de la función pública. Además, el Estado puede ganar
para sí los beneficios de una contratación pública, en línea, más transparente y
con mayor participación nacional e internacional. Las barreras provenientes de
regulaciones nacionales proteccionistas se borran en las compras públicas, por
ejemplo en los tratados de libre comercio, pero también los servidores públicos
tienen a su disposición mejores herramientas para desarrollar sus funciones.
En el presente ensayo examinaremos algunas de las nociones tradicionales de la
responsabilidad del Estado desde la perspectiva de la sociedad de la información.
En particular, el cambio de paradigma de la responsabilidad, como consecuencia
del riesgo inherente del uso de sistemas de información por parte del Gobierno.
Evaluaremos también los retos del porvenir en materia de responsabilidad de la
Administración Pública por el uso de sistemas de gestión e información, así como
la consecuencia de un nuevo paradigma en el comercio internacional de servicios
que privilegia lo internacional en relación con lo local en la contratación estatal.
I . s u p u e s t o s d e l n u e v o e n t o r n o d i g i ta l
e n la s p o l  t i c a s p  b l i c a s
A. sistemas de informacin y gobierno
El “gobierno electrónico” es una noción vaga y abstracta de reciente aparición,
que engloba las diversas iniciativas de los gobiernos para responder al avance del


sector privado en el comercio por medios electrónicos. En efecto, las empresas,
con el fin de ahorrar costos, obtener mayor eficiencia en sus procedimientos
internos y mejorar su interacción con los clientes, han propiciado la aparición
del comercio electrónico. Siendo el comercio electrónico un conjunto de actividades privadas, ha impulsado la aparición del consumidor virtual, que a la vez
es ciudadano y demanda una mayor eficiencia y menos costos en el Estado.
A escala global, el Estado ha venido transformándose y perdiendo paulatinamente muchas de sus funciones y actividades. Sin embargo, el Estado
continúa ejerciendo funciones regulatorias en diversas actividades, como los
servicios públicos, y mantiene en la mayoría de los casos el monopolio de la
fuerza pública. En todas estas actividades el Estado depende de sistemas de
información en la forma de bases de datos, programas de ordenador y, más
recientemente, páginas de internet y plataformas tecnológicas de transacciones
electrónicas. En la noción de sistemas de información incluimos, por ende, los
aparatos, mecanismos y procedimientos que sirven para almacenar, procesar y
transformar la información de los bienes, los servicios y los ciudadanos.
El Estado no se puede ver como un ente aislado y con total autonomía respecto de sus pares. Las relaciones internacionales, desde la óptica comercial,
participan de criterios como la competitividad, que interrelacionan a los Estados
más desde la perspectiva de rivalidad que de propósito común.
El Estado se transforma en su interior al buscar aplicar los avances en las
tecnologías de la información y esa transformación es impulsada en los países
en desarrollo por progresos significativos en el gobierno electrónico de los
países más avanzados.
B . i n f o r m a c i  n y e s ta d o
El Estado tiene privilegios en cuanto al conocimiento de la información de los
ciudadanos. La información financiera de ciudadanos y sociedades comerciales
es obtenida por las administraciones tributarias periódicamente.
El censo de ciudadanos permite conocer las cifras y las características de
la población de un país. Los servicios de migración y de seguridad conocen y
recopilan información privilegiada de nacionales y extranjeros. Con autorización
judicial, las autoridades pueden interceptar las comunicaciones privadas. La
Malkia E. Matti. Transformation in Governance: New Directions in Government, New Haven, Idea
Group Publishing, 2003, pp. 56 y ss.
Ibíd., pp. 115 y ss.
Gregory Curtain. The World of E-Government, New York, Havorth Press, 2004.
información que se difunde por los medios de comunicación puede –incluso en
las democracias más desarrolladas y con mayor respeto a los derechos civiles–,
en ciertas circunstancias, ser controlada transitoriamente por el Gobierno. Los
servicios estatales de salud y protección social procesan diariamente información
sobre enfermedades y predisposición a las mismas e incluso perfiles genéticos
de los ciudadanos. El límite al uso y procesamiento de la información es una
garantía fundamental para los ciudadanos en el Estado contemporáneo. La
neutralidad y objetividad de la información es base de una sociedad democrática
y el Estado es garante de la misma.
La utilización conjunta y simultánea de las bases de datos recopiladas por
el Estado en diversas circunstancias, como la tributaria y la de seguridad nacional, debe tener reglas claras para evitar el autoritarismo. Es bien diferente
el manejo y el acceso que pueden existir frente a una información personal que
tenga fines de recaudo tributario, por ejemplo, de otra que sea necesaria para
preservar la seguridad nacional.
La venta de datos de las bases públicas de información a entidades privadas
debe ser prohibida. Para cumplir con estándares de control de estas actividades,
deben definirse claramente cuáles son los funcionarios con competencia para
recaudar, almacenar y procesar la información. Al ciudadano se le vincula como
consumidor de las tecnologías de la información, pero debe reivindicarse su
condición de “ciudadano digital”, es decir, que no solamente es el último eslabón
de la cadena productiva del comercio electrónico sino que también debe tener
pleno disfrute de sus derechos políticos, económicos y sociales en internet,
en las redes de información, en las bases de datos y en todas las aplicaciones
prácticas de la sociedad de la información.
El Estado tecnológico debe estar al servicio del ciudadano y debe permitir
a éste tener mayor escrutinio sobre la pulcritud y transparencia en la función
pública. No es difícil de imaginar que toda la actual parafernalia del gobierno
en línea sólo logrará su verdadero alcance cuando las características principales y los pesos y contrapesos del “gobierno digital” tengan consagración en la
Constitución. De hecho, ejemplo de la necesidad de derechos “abstractos” con
un contenido general son los principios que sirvieron para la discusión en la
reciente Cumbre Mundial de la Sociedad de la Información bajo los auspicios
de la Organización Mundial de Telecomunicaciones.
Alexei Pavlishev. Digital Government Principles and Best Practices, New Haven, Idea Group Publishing, 2003.
Joe Katz. “The digital citizen”, Wired, diciembre de 1997.
Cfr. resumen de documentos en [www.itu.int/wsis/documents/index.asp].


Tecnología y sociedad más que nunca deben ser integradas en iniciativas
privadas con apoyo gubernamental, que tiendan a cerrar la brecha digital con la
creación de nuevas alternativas, a la vez creativas y pragmáticas, que permitan la
construcción de un “nuevo ciudadano” que se aparte de la anomia característica
de nuestras democracias en construcción.
C . g l o b a l i z a c i  n , t e c n o l o g  a y e s ta d o
Como el comercio electrónico refleja la globalización de las empresas así como
las estrategias de colaboración de grupos económicos multinacionales, el gobierno en línea debe abandonar el parroquianismo que acompaña algunos de
los programas estatales que se han instaurado para estimular la aplicación de
tecnologías de la información en los Estados.
Las parcelas territoriales defendidas por los Estados Nacionales también
se “virtualizan” por el ciberespacio. El regulador nacional es sobrepasado por
la realidad del intercambio de bits. La regulación de bienes digitales, tal como
se ha planteado en el Tratado de Libre Comercio (tlc), favorece únicamente
a los intereses de los productores de contenidos y los dueños de la infraestructura y no a países como el nuestro, en los que las industrias culturales son
incipientes. No existe coherencia entre las políticas de negociación en la omc
y la tendencia de los tratados bilaterales de privilegiar aranceles bajos a todo
tipo de producto digital sin discriminar y, por ende, sin proteger industrias
nacionales en crecimiento.
El ciudadano colombiano podría beneficiarse si se defendieran adecuadamente sus intereses de acciones y políticas regulatorias que han sido expedidas
por entidades como la ftc (Federal Trade Commission) o la fcc (Federal
Communication Commission) para proteger a los consumidores virtuales, bien
sea en cooperación con las autoridades colombianas o quizás aprovechando los
tratados de libre comercio para establecer por esa vía acceso privilegiado en
caso de ser víctimas de fraudes o cualquier otra incorrección. El ciberdelito,
caracterizado por afectar a sujetos y bienes jurídicos en distintas jurisdicciones,
es otra expresión de la necesidad de un ajuste en la estructura estatal, en este
caso de la administración de justicia y la Administración Pública.
Documento cafta y alca. Riesgos de subordinación para Centroamérica en [www.google.com.co/
search?q=cache:gvau5E6unqej:www.ceinicaragua.org.ni/integracioneco/capítulo_catafinal.pdf+cri
ticas+cafta&hl=es].
Las iniciativas de protección al consumidor digital se pueden consultar en [www.econsumer.gov/english/].
Regiones, comunidades de países y bloques económicos deben empezar a
reflexionar sobre la unificación de plataformas tecnológicas y, sobre todo acerca
de la visión política y social del gobierno digital. El gobierno digital es, por y
para los ciudadanos, el elemento forjador de una democracia más abierta y transparente y no solamente un mecanismo para que la tecnocracia muestre cifras
alentadoras muchas veces sin parámetros técnicos y estadísticos probados.
En suma, el entorno actual del Estado obliga a pasar de la teoría a la práctica
en sistemas de información con garantías jurídicas para que los ciudadanos
puedan acceder a la información recopilada sobre ellos, pedir su modificación
y exigir la responsabilidad legal de los encargados en las entidades estatales.
ii . p r e s u p u e s t o s d e r e s p o n s a b i l i d a d
d e r i va d a d e l g o b i e r n o d i g i ta l
La anterior sección describe cómo el Estado, por influencia de las tecnologías
de la información y haciendo uso de éstas, se transforma paulatinamente. La
información, su uso y almacenamiento, convierten al Estado en guardián y
custodio de la información privada. Igualmente, su función general de garante
de derechos y obligaciones ciudadanos obliga al Estado a establecer reglas excepcionales para, por ejemplo, interceptar comunicaciones o cruzar bases de
datos con otros países.
Ese nuevo entorno nos lleva a considerar supuestos específicos de responsabilidad en los que el Estado y sus servidores deben responder frente a los
ciudadanos afectados. Definitivamente no estamos en presencia de una nueva
teoría de la responsabilidad estatal sino ante el reconocimiento simple de que
el Estado tecnológico responde, y debe responder, por sus actividades y ante la
pregunta de cómo los criterios de responsabilidad deben ser ajustados para que
las víctimas –individuales o colectivas– de daños obtengan recompensa justa.
A . w e b s i t e s e i n f o r m a c i  n e s tata l
Como expresión del gobierno en línea, la primera manifestación que ha aparecido en la práctica es la presentación de información en sitios de internet de
las entidades estatales. El sitio de internet cumple la función de repositorio de
documentos públicos presentados a los ciudadanos para su consulta, discusión y
divulgación. La certeza e idoneidad de la información presentada por el Estado
representan mucho más que una mera acumulación de datos: son el contenido
de reglas de juego democráticas, supuesto del ejercicio de derechos ciudadanos
y, por ende, sus inexactitudes pueden generar responsabilidad al Estado o a los
funcionarios encargados de la información del sitio.


El Estado tiene la obligación de adoptar políticas específicas para determinar
qué información debe presentarse en el sitio web, cuánto tiempo y por cuáles
causas debe removerse. Deben establecerse controles internos sobre la veracidad
de la información, los formatos de presentación y las herramientas informáticas
usadas. La publicación de actos administrativos y la notificación por medios
digitales traen consigo la responsabilidad adicional de los funcionarios, en caso
de error, sobre la persona destinataria de la notificación o sobre el contenido
publicado del acto.
En este caso, los sistemas de información siempre están bajo la custodia y
control del Estado y sus servidores, y no se les podrá exculpar de responsabilidad por fallas abstractas del sistema. La prestación de ese tipo de servicios no
se podría justificar a priori por un alegato de fuerza mayor por daños técnicos
como exigente de responsabilidad, por cuanto es de la esencia del sistema el
riesgo que se crea y produce.
El Gobierno colombiano, en este período de ajuste al gobierno en línea,
debe liderar la reforma del Código Contencioso Administrativo para incluir de
manera clara la posibilidad de expedir actos administrativos por medios electrónicos, así como la posibilidad de impugnarlos por la misma vía. El principio de
equivalencia funcional entre actos administrativos “en papel” y los elaborados
en medios electrónicos debe ser el fundamento del cambio de paradigma. No
basta solamente la referencia al uso de los medios tecnológicos en la reforma
a la ley de contratación administrativa, por cuanto la actividad contractual es
sólo una de las funciones que cumple el Estado.
La presentación de información por medios electrónicos amerita una ley
que trascienda la materia estrictamente procesal y se constituya en la aplicación
de garantías para los ciudadanos en temas de habeas data respecto de entidades
públicas. Además, dicha ley debe establecer los criterios de responsabilidad
jurídica bajo los nuevos supuestos de la sociedad de la información.
En Colombia hemos observado varios intentos fallidos de permitir el uso
de medios técnicos en la Administración Pública, por sucesivas declaraciones
de inconstitucionalidad. Sin embargo la Ley Estatutaria de la Administración
de Justicia permite que la rama judicial disponga de los elementos tecnológicos
necesarios para la adecuada gestión de la función judicial.
La teoría del acto administrativo por medios electrónicos genera inquietud
en Colombia respecto de vacíos jurídicos en su formación, forma, notificación y
El primer antecedente de estas iniciativas se encuentra en el artículo 26 del Decreto 2150 de 1995.
 La Corte Constitucional (C-923/99) declaró inexequible el Decreto 1122 de 1999; también se declaró
inconstitucional el Decreto 266 de 2000. Sentencia C-456/00.
garantía al derecho de defensa. Tales vacíos y el temor de los funcionarios a ser
declarados responsables por la promulgación errónea de actos administrativos
han retrasado el uso masivo de tecnologías de la información en la Administración Pública. Para los ciudadanos, el acto administrativo por medios electrónicos
debe ser prueba plena de sus derechos adquiridos, así como debe servir de prueba
en un proceso en el que se discutan sus efectos o se pretenda la nulidad.
Desde la óptica del ciudadano, debe haber certeza respecto del emisor del
acto administrativo –funcionario y entidad– por la confianza necesaria en la
relación Administración-administrado. En este aspecto hay similitudes con el
comercio electrónico, en el cual la confianza entre las partes que usualmente
contratan en ausencia y a distancia se “recobra” por la utilización de mecanismos
de seguridad informática como las firmas y certificados digitales.
Teniendo en cuenta la función distintiva de las url (direcciones de internet/nombres de dominio), las páginas de internet estatales deben distinguirse
con nombres de dominio que contengan la expresión [.gov.co] para evitar
confusiones entre los ciudadanos. Respecto de las entidades territoriales sería
pertinente pensar en una extensión de dominio que las identifique plenamente
así como a las entidades de control. Se deberían distinguir las ramas del poder
público por cuanto gobierno se refiere principalmente a la rama ejecutiva y la
administración de justicia debería tener una extensión de dominio propia.
Los servidores en los cuales estén colocadas las páginas del Gobierno deben
estar dotados de certificados digitales de servidor seguro. Las comunicaciones
entre los funcionarios y entre éstos y los ciudadanos deben contar con firma
digital. Varias entidades estatales se han convertido en entidades de certificación
cerrada con el fin de tener un sistema de seguridad interno que permita certeza, autenticidad y no repudiación de los mensajes de datos entre funcionarios
y usuarios del sistema. Esta tendencia de crecimiento del uso de tecnologías
seguras debe aumentar conforme los ciudadanos sean más activos en sus exigencias al Gobierno sobre este tema. El peso de la seguridad tecnológica debe
ser equilibrado entre el Estado prestador de servicios y el ciudadano.
De todo lo anterior se puede concluir que la presentación de la información digital por parte del Estado amerita una regulación específica en la que
se determinen los parámetros de presentación de la información, qué tipo de
información va a ser presentada, con cuáles criterios de actualización y cómo se
va a acceder a ella. También debe desarrollarse el derecho ciudadano a revisar
la información y corregirla, así como la responsabilidad de los funcionarios
públicos frente al ciudadano por los errores y por la omisión de corregirlos.


B. e n t i da d e s d e c e rt i f i c ac i  n,
e s ta d o y r e s p o n s a b i l i d a d
Como forma de mitigar la desconfianza entre los consumidores en el comercio
electrónico se desarrolla la presencia de terceros de confianza con función de
“notarios virtuales”, denominados con el término genérico de entidades de certificación. Las entidades de certificación cumplen la misma función de garantía
en el gobierno electrónico. Las políticas de certificación deben ser estrictas en
cuanto a estándares de seguridad y la responsabilidad de la entidad en caso de
fallas en los certificados.
El Estado, al igual que la empresa privada, debe ser consciente de la seguridad de la que deben estar revestidas las comunicaciones electrónicas con
los ciudadanos. La violación que un tercero haga de la confidencialidad de un
mensaje puede conllevar la responsabilidad estatal. En el caso de la Administración de Justicia, por ejemplo, existe autonomía en cabeza del Consejo Superior
de la Judicatura para adoptar las medidas tecnológicas necesarias. Tal facultad
tiene raigambre constitucional y ha sido desarrollada por la Ley Estatutaria de
la Administración de Justicia.
Las medidas tecnológicas que se adopten en la administración de justicia deben, en consecuencia, estar dotadas de las mismas características de la
firma digital, propia de los comerciantes, es decir, autenticidad, originalidad
y no repudiación. Estas cualidades de los mensajes de datos deben permitir
la identificación unívoca del emisor. Las entidades de certificación cerradas,
modalidad que han adoptado algunas entidades estatales colombianas, tienen
deberes de cuidado y seguridad respecto de la veracidad y requisitos técnicos
de los certificados frente a los usuarios del sistema.
En general se puede afirmar que si el Estado asume la función de certificar
electrónicamente a los ciudadanos, lo haga como parte de su rol de identificación, es decir, para que los ciudadanos cumplan obligaciones o trámites, y esto
ocasiona que el Estado tenga que asumir los riesgos informáticos relacionados
con esa actividad.
C . s i s t e m a s d e pa g o e l e c t r  n i c o e s tata l y r i e s g o
Con el gobierno en línea, en especial la fase transaccional del mismo, los Estados
han asumido la función de prestadores de servicios de pago electrónico.
 Ley 270 de 1996, estatutaria de la Administración de Justicia, artículo 5.º.
Como ejemplo del tipo de actividades estatales que justifican el pago electrónico están el recaudo de los tributos, tasas y contribuciones, el de multas y
en general el de obligaciones de los ciudadanos con el Estado. Por otra parte,
el pago electrónico permite al Estado liquidar obligaciones con contratistas,
hacer operaciones de tesorería y, en general, pagar bienes y servicios que sean
prestados al Estado.
Las iniciativas de gobierno en línea incluyen la prestación de servicios de
pago electrónico como prioridad en la fase de transacciones entre el Estado y
el ciudadano, con lo cual el primero asume la obligación de garantía en relación con la seguridad y eficacia de las transacciones. En el caso de Colombia,
no existe multiplicidad de medios de pago activos para internet. El avance de
sistemas de pago electrónico en el sector privado es más evidente y ha sido impulsado por Asobancaria y ach Colombia. Los sistemas de Depósito Central de
Valores sebra y de pago del Banco de la República son ejemplos del desarrollo
tecnológico impulsado en el sector público con la colaboración o asistencia del
sector privado. Es evidente que sistemas automatizados como los reseñados
presentan a un Estado que asume el riesgo tecnológico inherente al manejo y
responsabilidad de sistemas complejos de información.
La automatización es una característica distintiva de este tipo de servicios
y, por lo tanto, la intervención humana no sobrepasa el diseño e instalación de
estos sistemas. Frente a tales desarrollos, el daño como elemento objetivo de la
responsabilidad y el riesgo como alternativa a la culpa-falla del servicio se deben
convertir en garantías de defensa del ciudadano frente a perjuicios sufridos, por
ejemplo, por fraudes, equivocaciones o errores en los pagos electrónicos.
D. a c t i v i d a d e s p e l i g r o s a s
y p r e s u n c i  n d e r e s p o n s a b i l i da d
El reconocimiento de las actividades peligrosas, como una categoría específica que
determina un cambio en el paradigma de la regulación de la responsabilidad, encaja adecuadamente en el papel del gobierno electrónico. Como avance cualitativo
de la protección del sujeto, el hecho de determinar que una actividad peligrosa
genera una presunción de responsabilidad configura, en la construcción de una
sociedad de la información justa y equitativa, una herramienta fundamental. En
efecto, son actividades peligrosas el manejo de datos personales, la transmisión
y almacenamiento de información de gran volumen y la “intermediación” de
servicios digitales que realiza el Estado en ciertas circunstancias.
La medición del riesgo informático, así como la introducción de guías de
prevención bajo la égida de varias entidades internacionales, especialmente


en el campo de la seguridad digital, permiten apreciar una reacción frente a
lo inevitable del riesgo. Frente a tal realidad se plantea un criterio de responsabilidad subjetivo difícilmente aplicable en la práctica por la participación
colectiva de muchos funcionarios –como ocurre en los sistemas de información
privados–.
La elaboración, almacenamiento, acumulación, selección y administración de
la información estatal en cada una de las entidades administrativas no es exclusiva
de los departamentos de informática y sistemas. Dichas actividades hacen parte
del direccionamiento de la política institucional, que debe ser presidida por el
mismo gerente o director. En general, en lo que se refiere a la Administración
Pública, el manejo de la información debe responder a una política clara del
Estado colombiano, que sea evidente para todo funcionario público, que, en
última instancia, será quien tiene bajo su cuidado el manejo de la misma.
En las resoluciones reglamentarias, en los manuales de funciones o en las
instrucciones administrativas debe, por ejemplo, definirse claramente la función de los departamentos de tecnología respecto de la seguridad informática,
disposición/arquitectura de las bases de datos, configuración de acceso. Debe
existir armonía entre las políticas internas de las entidades administrativas y el
portal único del gobierno central.
Departamentos y municipios, salvo contadas excepciones, aparecen rezagados en la presentación y adecuación de sus sistemas de información. Un
verdadero modelo de gobierno en línea debe servir de instrumento de inclusión,
en particular de la población más alejada de los centros tradicionales de la Administración Pública. Lo anterior sería un desarrollo del principio de igualdad
previsto en el artículo 13 de la Constitución Nacional, aplicado a la sociedad
de la información.
Como garantía de cumplimiento de sus obligaciones por parte de los servidores públicos, los ciudadanos deben conocer el contenido específico de las
funciones de los empleados estatales, con el fin de determinar el primer supuesto
de la falla del servicio, es decir, la violación dañina de sus funciones.
E . r e s p o n s a b i l i da d d e lo s s e rv i d o r e s p  b l i c o s
e n l o s p r oy e c t o s t e c n o l  g i c o s d e l e s ta d o
El Estado se ha convertido en consumidor de bienes y servicios digitales, como
parte del intento de mejorar su eficiencia. Mediante contratación directa o
licitaciones, el Estado dispone los términos de referencia para la adquisición y
desarrollo de herramientas informáticas.
La mayor dificultad en los proyectos de tecnología aparece en la fase de
planeación, en la cual se deben identificar los problemas principales que se
pretenden resolver. Ya en esa etapa aparecen consultores privados que pueden
diagnosticar correctamente el problema.
En la contratación estatal de proyectos de gobierno en línea es usual el trabajo
conjunto de consultores internacionales y otros venidos de la banca de inversión,
para determinar el alcance del proyecto y las fases de ejecución, incluyendo los
pliegos de contratación o las condiciones para la contratación directa.
Es probable que los gobiernos deban acudir primero a un diagnóstico sobre el
estado actual de las tecnologías de la información aplicadas a la Administración,
por ejemplo para definir cuántas bases de datos existen y si son compatibles e
interoperables.
Un cuestionamiento fundamental a la noción tradicional de responsabilidad
es la del posible juicio a las equivocaciones –y sus consecuentes perjuicios– que
puedan cometer los funcionarios públicos encargados de la función de planeación
y estrategia, que, por dolo o negligencia manifiesta, definan lineamientos erróneos, adquieran tecnología inadecuada para los proyectos o adopten soluciones
en beneficio de determinados proveedores.
Ante la dificultad de plantear un caso en el que se cuestionen decisiones
de altos funcionarios encargados de las estrategias macro, se hace manifiesta la
necesidad de estandarizar y establecer normas técnicas internacionales sobre
los procesos y procedimientos del gobierno en línea.
Parece que, por lo menos en Colombia, los organismos de control no están
suficientemente preparados para fiscalizar las actuaciones y decisiones de cierta
importancia en el campo tecnológico y, en particular, si éstas se relacionan con
decisiones estratégicas de uso, adquisición o diseño de planes vinculados con
tecnologías de la información.
F. e l e s ta d o :  m  s o m e n o s r e s p o n s a b l e
e n l a e r a d i g i ta l ?
La responsabilidad del Estado es uno de los pilares del Estado de derecho.
De su correcta aplicación depende la estabilidad del sistema democrático. Los
servidores del Estado tienen que cumplir a cabalidad la ley; cualquier falta
debe tener sanciones y debe existir la obligación de resarcimiento a favor del
ciudadano afectado.
Con la era digital, los cambios en la noción de Estado son aún impredecibles.
La mayor influencia de las telecomunicaciones podría afectar la estructura del
Estado. El gobierno digital acercaría a los ciudadanos a la democracia directa:
probablemente los ciudadanos más informados sean más críticos, puedan ejercer mayor control sobre los servidores públicos y sus actividades. El Gobierno


rendiría cuentas en tiempo real sobre los ingresos derivados del sector privado;
éste participaría activamente en las elecciones en rubros de gastos.
La adjudicación de justicia con flujos de información pondría en entredicho
la noción actual de aparatos de justicia lentos y paquidérmicos. En Colombia,
por ejemplo, el avance hacia un sistema de firma y certificación digital ha sido
lento y aún no se conocen resultados concretos.
El tan anunciado voto electrónico ha tenido tropiezos que amenazan su
operatividad.
Los procesos legislativos y regulatorios también pueden ser objeto de avances significativos en transparencia y participación ciudadana. Desde el inicio y
concepción de un proyecto legislativo o regulatorio, la publicación del mismo
en la página web de las entidades públicas permite, mediante foros virtuales,
los comentarios del público que se considere afectado o beneficiado.
Hacia el futuro, las tecnologías de la información continuarán en su tarea
de hacer que los procesos de creación y aplicación de leyes sean más cercanos
a los procesos de decisión en el sector privado y el balance de la gestión de los
servidores públicos será evaluado más de cerca.
El caso e-procurement, o compras públicas en línea, sugiere la apertura de
los sistemas de contratación estatal a los medios electrónicos. Recientemente la
cnudmi ha emprendido un trabajo específico sobre el tema con el fin de lograr
modelos regulatorios uniformes para las plataformas tecnológicas de compras
públicas.
Estos esquemas, en los cuales el Estado y sus proveedores establecen términos y condiciones de contratación y participan en subastas inversas por la
adjudicación de contratos estatales, permiten certeza sobre la favorabilidad de
precios para el Gobierno.
Desde el punto de vista de la responsabilidad de los funcionarios involucrados, este esquema aleja el fantasma (¡tentación!) de la corrupción, pero la
traslada a los sistemas de información y a sus responsables en las entidades o en
el sector central por cualquier error en la presentación de dicha información.
Las reglas tradicionales de falla del servicio deben tener un alcance amplio,
definido por las leyes propuestas de presentación y manejo de la información,
con el fin de adaptar nociones generales a la sociedad de la información. Con
el avance tecnológico, dejar a la construcción jurisprudencial todo el peso de la
 Para el 2003 fueron autorizadas por la Superintendencia de Industria y Comercio.
 Documento uncitral A/CN.9/WG.I/WP.31 –“Recent developments in the area of public procurement
issues arising from the increased use of electronic communications in public procurement”, publicado
en [www.uncitral.org/en-index.htm].
adecuación de figuras tradicionales puede dificultar a los ciudadanos el ejercicio
de acciones encaminadas a que se respeten sus derechos y que el Estado y los
servidores públicos puedan ser objeto de juicios de responsabilidad.
La jurisprudencia que defina los criterios de responsabilidad del Estado en
la era digital debe propender por el reconocimiento del riesgo inherente a las
actividades públicas que utilizan nuevas tecnologías de la información, y generar
teorías jurídicas que permitan la adecuada compensación.
conclusiones
El Estado tecnológico debe permitir mayor transparencia y participación ciudadana en los procesos legislativos y regulatorios.
El servidor público cada vez utiliza más herramientas tecnológicas para
cumplir sus funciones, lo que redunda en la necesidad de mayor entrenamiento
y conocimiento del potencial de la informática y las tecnologías de la información.
Algunos de los funcionarios públicos cumplen tareas específicas al interior
de las instituciones estatales, relacionadas con sistemas de información, tales
como jefatura de sistemas, gerencia de proyectos tecnológicos, web-master y
administración de bases de datos.
Las labores de los funcionarios públicos especializados así como las de todos
los funcionarios que tengan relación con el uso de tecnologías de la información
se encuentran regidas por las obligaciones y consecuente responsabilidad que
les competen al Estado y sus servidores.
El régimen actual predominante de responsabilidad administrativa basada
en falla de servicio no se adecua a la nueva realidad del Estado tecnológico, en
el que el ciudadano debe estar protegido frente al riesgo tecnológico, la divulgación indebida de datos personales, la publicación de información errónea o
cualquier daño que se produzca en su contra.
La existencia y correcto desarrollo del gobierno digital así como de la influencia de las tecnologías de la información en procesos legislativos, regulatorios y en la administración de justicia requieren de la aplicación de un régimen
de responsabilidad adecuado a los riesgos y daños derivados de la tecnología
y no a los tradicionales criterios de responsabilidad subjetiva con prueba de la
intención dañina.

alberto jimnez rozo
Régimen de iva para no establecidos
en la Comunidad Económica Europea
introduccin
A diario se realizan miles de transacciones en internet relacionadas con la adquisición y entrega de software, cursos de capacitación o asesorías profesionales
suministrados por la red, o fuera de ella (cd), vendidas en páginas web dedicadas
al comercio electrónico.
Tanto al interior de los países como en organismos multilaterales se analiza
la carga tributaria a que deben ser sometidos los “artículos” (bienes y servicios)
objeto de transacción por el nuevo canal de internet. Por ejemplo, en relación
con los programas que se bajan directamente de la web (servicios de naturaleza electrónica) no se paga por parte de nacionales colombianos en los Estados
Unidos y no pagaban o retenían ellos tampoco a la Comunidad Económica
Europea, hasta hace muy corto tiempo, ninguna clase de impuesto o arancel,
por lo difícil que resultaba controlar este tipo de transacciones.
Ahora bien, el anterior es un tema que apenas se discute en las negociaciones tlc entre los países andinos y Estados Unidos, pero que ya obtuvo una
regulación en la Comunidad Económica Europea.
En Colombia, la Dirección de Impuestos y Aduanas Nacionales (dian) da
por sentado que el servicio de comunicación por internet se encuentra gravado,
al no estar expresamente excluido por el artículo 476 del Estatuto Tributario y
demás disposiciones concordantes.
Por lo tanto, si se tiene acceso a un programa de un propietario de la licencia,
o de quien tiene derecho a explotarla por internet, en virtud de lo cual cobra
un valor, dicha actividad encuadra dentro de la noción de servicio del artículo
1.º del Decreto 1372 / 92, en principio gravado con iva, aunque este hecho tiene
sus matices como se expondrá más adelante.
I . f i s c a l i da d e n i n t e r n e t y e l d u e lo
n o r m at i v o e n t r e l a s n a c i o n e s
Con la expansión del comercio electrónico, los países industrializados habían
comenzado a discutir sobre temas relacionados con el mantenimiento de sus
niveles de ingresos (impuestos directos o indirectos al tráfico mercantil y el
consumo), sin que ello implicara paralizar o, mejor, frenar la nueva tendencia
económica. Tales debates, como ya se enunció al comienzo, han tenido que ver
En Colombia, el artículo 2.º literal a. de la Ley 527 de 1999 establece que el comercio electrónico “abarca
las cuestiones suscitadas por toda relación de índole comercial, sea o no contractual, estructurada a
partir de la utilización de uno o más mensajes de datos o de cualquier otro medio similar”.


fundamentalmente con la conveniencia de someter a tributación esta nueva forma
de comercio.
Con ello es deducible que los Estados continúan aún en una disyuntiva de
complicada solución: por un lado, este comercio genera un volumen importante
y creciente de riqueza que representa unos recursos tributarios potenciales que
difícilmente se quieren dejar de someter a gravamen pero, por otro, se sienten
obligados a impulsarlo e incentivarlo.
En ese contexto se habían presentado también unas propuestas de solución a
dicho dilema, particularmente relacionadas con: 1. Defender la autorregulación
y competencia abierta (Estados Unidos). 2. Crear un nuevo sistema de impuestos
aplicable al nuevo medio (Bit-Tax), incluyendo una autoridad supranacional
de supervisión. 3. Adaptar los presentes sistemas al nuevo orden electrónico y
telemático (Comunidad Económica Europea, en lo sucesivo: cee).
La última de las mencionadas soluciones había sido exteriorizada como la
predominante. Así, tanto la ocde como la cee defendían ajustarse a una solución
práctica de modificación de los sistemas ya existentes, con algunas variaciones.
Parece, no obstante, como si cada cual siguiera su propio camino y las soluciones hubieran quedado, de una parte, en el extremo de la liberalización total,
declarando a internet como una zona duty free (libre de impuestos), y de otra,
propugnando gravar los productos y servicios on line con el iva.
Por su parte, la cee estableció una normativa que comenzó a regir a partir
del 1.º de julio de 2003, la cual normalizó,el tema desde su perspectiva y en lo
tocante al comercio de servicios electrónicos por medios electrónicos, dirigido a
los países que conforman la región, generando conflicto con la medida adoptada
por Estados Unidos.
¿Cómo afecta esta situación a las empresas y profesionales colombianos
frente a la cee?
La industria colombiana de software ha comenzado a demostrar que puede
competir en el negocio global del offshoring; esto es, que en nuestro país cada vez
Organización para la Cooperación y el Desarrollo Económico (ocde). Es el más relevante de los órganos
de coordinación legislativa de todos los aspectos tributarios de la explotación en la red.
Puede afirmarse que nuestra doctrina en la materia se inclina por la misma solución; cfr. Luis Miguel
Gómez Sjörberg. “Aspectos tributarios del comercio electrónico”, en Internet, comercio electrónico y
telecomunicaciones, Edit. Legis y Uniandes.
Pero sus retos son mayores que sus logros. Cfr. artículos en las ediciones 205 del 15 de mayo de 2004 y
253 de mayo de 2006 de la revista Dinero sobre los denominados “exportadores invisibles”, en los que
se reconoce por todos los analistas de tecnología en el mundo (Gartner, idc, sei, bsa…) la alta calidad
de los ingenieros y técnicos de Colombia. Según cifras del idc y fedesoft, Colombia tiene un núcleo
de desarrolladoras que oscila entre 650 y 800 empresas (2004); estas pymes emplean hasta 13.000
profesionales del área tecnológica y son la base exportadora del país en esta industria. Los mayores
hay más compañías que, con sus desarrollos y aplicaciones, exploran los mercados
de Latinoamérica, Estados Unidos y la cee para aprovechar el buen momento
por el que atraviesa la transformación de la economía del conocimiento. De
otra parte, alcanzar los máximos niveles de ingeniería internacional supone
para Colombia la posibilidad de competir en igualdad de condiciones con las
naciones líderes en este mercado, a precios que sólo puede ofrecer un país en vía
de desarrollo; finalmente, que las tendencias del mercado son los denominados
servicios web, o lo que es igual, el software está evolucionando hacia la creación
y comercialización de servicios utilizando tecnología internet.
En realidad, la expectativa sobre este tema, que presenta con modestia el
régimen especial que regula el iva en el comercio electrónico propuesto por países que, como el nuestro, no hacen parte de la cee, no surge por una inquietud
académica (aunque a la postre lo fuera) sino por una experiencia personal que
quiero compartir con ustedes.
Mi historia tiene como entorno uno de los más duros veranos que se hayan
padecido en Europa en los últimos diez años, cuando sus habitantes contratan
servicios turísticos y también la atención a sus padres, abuelos y bisabuelos, a
quienes dejaban “confinados” en centros asistenciales (mediados de junio de
2003).
Pues bien, disfrutando dicho clima en España, buscando el mejor precio
para estudiante y aprovechando el hecho de estar de visita en casa de un familiar, cuyo domicilio señalé para recibir la mercancía y ahorrarme los costos
de traslado a Europa, intenté adquirir un par de pantalones cortos en [www.
kohls.com] de Chicago. No obstante, a pesar de haber agotado todo el proceso
de compra en la web, de acuerdo con las propias instrucciones de la compañía
y, después de haberles suministrado el número de la tarjeta de crédito, la operación resultó infructuosa.
En un primer instante no alcancé a definir si la razón por la cual no se hacían
ventas a residentes en Europa era por una política de la mencionada tienda que
se reorientaba sólo al consumo interno, por asuntos de logística, o por fallas en
la interoperabilidad de medios de pago o por seguridad. Lo cierto es que, aparte
de unas breves explicaciones de uno de sus gerentes, me quedé sin pantalones
y con la tarjeta de crédito bloqueada.
problemas que afectan su objetivo exportador son: 1. Falta de normatividad para exportar software y
servicios; 2. Carencia de programas de crédito, y 3. Escasez de programas de desarrrollo empresarial.
Las desarrolladoras facturan US$ 150 millones en software, con exportaciones por US$ 10,3 millones
y aportan al fisco US$ 7,3 millones.
iso 9000 y cmm 5.


A . p ro b l e m  t i c a p la n t e a da
Aquella experiencia de compra a través de la web no tiene nada que ver con
otras personales muy satisfactorias ni mucho menos con las cifras que arroja
el comercio electrónico, las cuales defienden por sí solas el auge de este tipo
de transacciones en determinados países y muestran el potencial que puede
significar para otros.
El 1.º de julio de 2003 comenzó a regir en cada uno de los países miembros
de la cee la normativa expedida con fundamento en la Directiva 38 de 2002, que
crea un régimen especial para facilitar el cumplimiento de las obligaciones fiscales de los operadores económicos que suministren servicios por vía electrónica
no establecidos ni obligados a identificarse a efectos fiscales en la cee (como es
el caso de algunos empresarios y profesionales colombianos), en consideración
a que tales servicios deberían estar gravados en el lugar de establecimiento del
destinatario de los mismos, garantizando que lo sean dentro de la Comunidad
y no si se consumen fuera de ella.
En ese momento fue más claro que el administrador de la mencionada tienda
de internet [www.kohls.com] me estaba dando, entre otras cosas, explicaciones
basadas en la diversidad y discordancia normativa de un país a otro, lo cual fue
algo más que una invitación para escudriñar la situación desde el punto de vista
del emprendedor colombiano.
B. conclusin preliminar
En casos como el descrito, el citado fenómeno de conflictos normativos entre
países industrializados continúa limitando el uso de la red sólo a “contactos”,
a la obtención de información, y no aporta al finiquito de la transacción por el
La Comisión del Mercado de las Telecomunicaciones en España concluyó que en 2003 se movieron en
dicho país, a través de la red, 445 millones de euros, un 90% más que en 2002. La mayor parte de las
transacciones corresponden a adquisiciones de residentes en España a establecimientos de comercio
electrónico situados en el exterior. Según reporte de mayo de 2006, en el 2005 se movilizaron recursos
cercanos a los 1.547 millones de euros. La mayor parte de las compras se dirige a la Unión Europea
y Estados Unidos. Cfr.también [www.economist.com/displaystory.cfm?story id=2646107. “A perfect
market”, The Economist, 13 de mayo de 2004.
De acuerdo con [www.agenda.gov.co], la Agenda de Conectividad ha reorientado su accionar, para
convertir a Colombia, en el año 2010, en líder regional en la utilización de tics en los sectores de gobierno, educación y productividad. Se cuenta para ello con varios programas institucionales, públicos
y privados dirigidos a las empresas (Prymeros, Expopyme, Mipyme, Acopi, Fundes, Cinset, entre
otros), para apoyar el mejoramiento competitivo de las pymes, promoviendo la masificación del uso
de internet como herramienta de gestión de negocios y de desarrollo del e-commerce.
mismo medio internet, que es lo ideal y, para algunos, verdaderamente constituye
comercio electrónico. A ello se suma la falta de conectividad y la inseguridad
percibida por los usuarios.
Pues bien, guardadas las proporciones, si ajustamos la situación a los empresarios y profesionales colombianos que pretendan ofrecer servicios de naturaleza
electrónica por internet, deben ellos, en su propósito de internacionalización,
comenzar por otro objetivo inadmisible: conocer las normas internas (unilateralidad) y, no tan impropiamente, el cúmulo de acuerdos bilaterales o plurilaterales
que les permitan “llegar” al país que aloja a su público “objetivo”, respetando
las normas aplicables a la respectiva transacción por medio de la red.
Es precisamente lo que corresponde hacer, por lo pronto, a los proveedores de servicios electrónicos con sede extracomunitaria, por razón de la citada
Directiva 38/2002.
Estados Unidos había aprobado (con mucha anterioridad a 2002, y así lo
mantiene) el texto final de la Internet Tax Freedom Act, que estableció un plazo
de moratoria durante el cual ningún Estado, ni el gobierno federal, podrán
crear nuevos impuestos que graven las transacciones de comercio electrónico en
internet. La finalidad de la medida propuesta por Estados Unidos es impedir
la generación de obstáculos que frenen el crecimiento de esta nueva forma de
comercio.
Por su lado, y a partir de la mencionada Directiva 38/2002, los Estados
que conforman la cee han expedido un régimen especial aplicable a los servicios prestados por vía electrónica, a efectos del iva, el cual asigna una carga
u obligación a las empresas y profesionales de nuestro territorio que vayan a
prestar servicios de naturaleza electrónica y por vía electrónica a personas que
no tengan la condición de empresarios o profesionales y que tienen establecimiento, domicilio o residencia habitual en la cee. La finalidad de la medida es
Se encuentran referencias de que los impuestos a las ventas On Line están prohibidos en Estados
Unidos desde 1992, bajo la decisión del Tribunal Supremo. No existen, por lo tanto, en ninguno de
los Estados, gravámenes a las ventas internacionales a distancia, sea por catálogo, teléfono o internet
(Editorial semanal de Microsoft, B-Central, 6 de junio de 2003).
También es obvio que se busca facilitar la exportación de su enorme inventario de nuevas tecnologías.
Desde esta perspectiva, Estados Unidos. ha decidido actuar apartándose de las medidas consensuadas
con el resto de países desarrollados, declarando la exención temporal en los impuestos indirectos
sobre el comercio electrónico hasta 2006. Opinan algunos autores (F. J. Sánchez Gallardo. Carta
tributaria monografías, p. 26) que la mencionada moratoria se debe a la tibieza en el tratamiento del
denominado principio de la “no discriminación”. En efecto, lo que en dicho principio se consagra no
es la no tributación, sino la no tributación no querida, con lo cual se posibilitaron estrategias como la
asumida por los Estados Unidos.


proteger a la pequeña y mediana empresa europea y, sobre todo, satisfacer el
afán recaudatorio de la cee.
Si bien es cierto que la actitud de algunos empresarios hace que se disipen
el potencial de las alianzas, la seguridad del software y las bondades del comercio
electrónico, también lo es que existen medidas gubernamentales que resultan
desatinadas en la decantación y frenan su potencial.
Tales calificaciones acerca de las medidas pueden resultar injustas si tenemos en cuenta razonamientos fundados en que aún existen sistemas tributarios
basados en la soberanía nacional, que hay distintos enfoques interpretativos
que responden a múltiples intereses de las partes, que el avance tecnológico ha
llevado a que unos Estados seamos consumidores de tecnología y otros sean
los proveedores y, más recientemente, que los países industrializados necesitan
atenuar los riesgos de la creciente deslocalización de servicios (offshoring) prestados en remoto desde el llamado Tercer Mundo y a precios muy competitivos.
Por ello, en últimas, a pesar de semejante complejidad de intereses, y con cierto
optimismo, la finalidad de los debates en la materia en los organismos supranacionales debe ser la de lograr la coordinación y armonización de la mayor parte
de las legislaciones nacionales.
Además de la desarticulación normativa, también hay que tener en cuenta
que los intercambios comerciales entre la cee y Latinoamérica debieron verse
aumentados a partir del 1.º de mayo de 2004 como resultado del ingreso en la
Unión de 10 nuevos países, lo que supone renovadas posibilidades de acceso a su
mercado; además, porque la cee es el segundo socio comercial de la Comunidad
Andina (Colombia) y que es el segundo inversionista extranjero.
Las relaciones entre la Comunidad Andina y la cee se han visto fortalecidas
en los últimos años por el establecimiento de una alianza estratégica birregional
y hasta por un régimen especial (sgp Andino), que permite a aquélla el acceso
preferencial de sus productos al mercado europeo, todo lo cual deberá conducir
 Los principales problemas tributarios del comercio electrónico pueden reducirse a uno solo: la disminución de la recaudación (R. Oliver Cuelló. Rede, n.o 106, 2000, p. 24, cit. por Ángeles García
Frías en “La tributación del comercio electrónico en el iva: status questionis”). Ésta es la explicación
que justifica determinados cambios normativos que carecen, aparentemente, de lógica jurídica, como
es el caso de un régimen especial unilateral.
 Polonia ha asumido una posición similar al Internet Tax Freedom Act de Estados Unidos, por lo menos
en sus efectos, al aplicar tipo cero al iva en los servicios prestados vía internet (Tax Notes International,
6/10/2003, vol. 32, n.o 1).
 El Reglamento (CE) n.º 980/2005 del Consejo Europeo adoptó un nuevo sistema de preferencias arancelarias (sgp-plus) para el período 2006-2015, el cual entró en vigencia el 1.º de julio de 2005 [www.
comunidadandina.org/exterior/ue.htm].
a la suscripción de un acuerdo de asociación entre ambos bloques, incluido un
acuerdo de libre comercio.
Con semejante potencial, es conveniente que nuestros empresarios estén
atentos al cumplimiento de las distintas normativas, mientras se decanta la
legislación del comercio electrónico entre las naciones, situación que reclama
urgentemente un acuerdo de orden mundial vinculante para los Estados.
Retomando mi historia personal, debo decir que la entidad financiera colombiana emisora de la tarjeta de crédito utilizada en la transacción con [www.
kohls.com], exigía mi presentación personal o ante notario, apostillar y remitir
el documento original mediante el cual solicitaba la reactivación de la misma, lo
cual no se compadecía con mi situación. Tampoco fue admitida una propuesta
más acorde con mi presupuesto y a la distancia: un mensaje de datos para la
entrega a una tercera persona del nuevo plástico, de acuerdo con lo previsto en
los artículos 5.⁰ y 15 de la Ley 527 de 1999, razón por la cual, de hecho, renuncié
a ella y, de paso, a la compra de pantalones.
Sin embargo, antes de narrar el desenlace del asunto y el destino de gran
parte de los abuelos internados, continúo con una breve reseña sobre tributación (perspectivas en el ámbito internacional), para seguir luego refiriéndome
con cierto detalle al régimen especial al que podrán acogerse los empresarios y
profesionales no establecidos en la Unión Europea.
I I . c r i t e r i o s d e t r i b u ta c i  n e n c o l o m b i a , l a o c d e y c e e
Salvo con España, en materia de impuesto sobre la renta y el patrimonio (Ley
1082 de 2006), Colombia no ha suscrito un convenio para evitar la doble tributación con ningún otro país. Sobre este tema existe una norma de la Comunidad
Andina (can), expedida el 4 de mayo de 2004, la Decisión 578, Régimen para
evitar la Doble Tributación y Prevenir la Evasión Fiscal, pero en ésta no se hacen
precisiones sobre la tributación en materia de comercio electrónico.
Por parte de nuestro ordenamiento interno, señala el artículo 420 del Estatuto
Tributario (E. T.) que considera prestados en la sede del destinatario o beneficiario
los servicios de arrendamiento o licencias de uso y explotación de incorporales o
intangibles que tengan producción nacional, según lo determine el reglamento,
así como los servicios de profesionales de consultoría, asesoría y auditoría.
 Convención sobre abolición del requisito de legislación para documentos públicos extranjeros (entre
los que se considera el acto notarial), suscrito en La Haya el 5 de octubre de 1961 y en vigor para
Colombia desde el 30 de enero de 2001 [www.hcch.net].


Por lo tanto, si en estos casos el servicio lo toma un usuario en el exterior,
se entiende prestado allí para efectos del iva, razón por la que, atendiendo al
principio de territorialidad de las normas tributarias en lo que respecta a los
servicios para efectos del impuesto sobre las ventas (art. 420 literal b. E. T.), se
aplica únicamente a los prestados en territorio nacional.
En cambio, si se trata del servicio referido a las licencias y autorizaciones
para el uso y explotación, a cualquier título, de bienes incorporales o intangibles,
ejecutados desde el exterior, se les considera prestados en Colombia.
De lo anterior colige la Dirección de Impuestos y Aduanas Nacionales
(dian), que esta clase de servicios (entre los cuales menciona periódicos, revistas
y demás publicaciones realizadas por medios electrónicos), desde el exterior a
favor de usuarios ubicados en el territorio nacional, se entienden prestados en
Colombia y por lo tanto causan el impuesto sobre las ventas.
En este aspecto, cabe preguntar acerca del régimen o mecanismo legal establecido en nuestro país para el recaudo de dicho impuesto.
A . p e r s p e c t i va i n t e r n a c i o n a l ( o c d e )
La ocde es un órgano de coordinación legislativa que ha llegado a consensuar los
principios que deben informar la fiscalidad en el comercio electrónico, a saber:
neutralidad, eficiencia, seguridad jurídica, simplicidad, equidad y flexibilidad.
Estas características están expuestas en su programa de trabajo para el desarrollo
de las condiciones marco de tributación del comercio electrónico creadas por
la Conferencia Ministerial de Ottawa (Canadá, 1998).
Igualmente, la ocde ha ido perfilando algunos asuntos propios del problema
de la tributación en el comercio electrónico, como la mejora de los servicios
al contribuyente, la imposición sobre el consumo, evitación de la doble o nula
tributación, delimitación de las transacciones (tangibles, intangibles, servicios),
preeminencia del principio de tributación en el lugar de consumo, problemas
de inversión del sujeto tributario (en transacciones de servicios y bienes intangibles), revisión de las exenciones en transacciones de escaso valor, cooperación
y normas tributarias internacionales relacionadas con la adaptación del modelo
de convenio para evitar la doble imposición y, en especial, el concepto de establecimiento permanente.
 Algunos autores han reformado tales principios e incluso cambiado su denominación (A. Agulló
Agüero. “El marco internacional de la fiscalidad del comercio electrónico”, Actualidad Informática
Aranzadi, n.o 33, 1999, p. 9). La guía de aplicación práctica de estos principios no ha sido aprobada
por la Conferencia de Ministros de Estado de la ocde. Aun después de su aprobación serían discutibles
sus efectos vinculantes.
B . p e r s p e c t i va c e e
Muy cerca de la ocde, la Unión Europea ha perseguido tres fines en el ámbito
tributario relacionados con: seguridad jurídica, prevención de pérdidas recaudatorias y aseguramiento de la neutralidad.
La postura de la cee en la Conferencia Ministerial de Ottawa fue realizada
con base en los principios de adaptación al comercio electrónico de los impuestos
existentes; ausencia de nuevos impuestos; la transmisión electrónica es asumida
como prestación de servicios a efectos de la imposición sobre el consumo (en
especial del iva); la neutralidad del iva en el ámbito comunitario se asegura con
la gravación de servicios únicamente en el lugar de consumo; establecimiento
de mecanismos de control y verificación del cumplimiento de las obligaciones
fiscales de los contribuyentes; permiso de facturación electrónica y cumplimiento de obligaciones fiscales a través de medios electrónicos.
I I I . f u e n t e s y c o n t e x t o d e l c o m e r c i o e l e c t r  n i c o e i va
A . d e s a r r o l l o d e l p u n t o d e v i s ta d e l a c e e 
Conviene anotar que las propuestas sobre la regulación tributaria del comercio
electrónico han tenido dos fuentes distintas:
– Respecto a la imposición indirecta se ha elaborado una normativa básica
a través de tres directivas y un reglamento.
– En cuanto a los impuestos directos sobre la renta, ha sido la ocde la que
ha abordado el tema modificando los comentarios a su Modelo de Convenio
sobre los Impuestos de Renta y Patrimonio.
La doctrina europea no duda en creer que su preocupación por una adecuada
tributación indirecta va a ser tomada como pauta por otros Estados y organiza-
 La complejidad de la tributación de las operaciones en la red abarca tanto impuestos directos sobre la
renta a cargo de la empresa on line como los impuestos indirectos que gravan la capacidad de consumo
del usuario. El asunto se complica aún más cuando se considera la existencia de otra clase de impuestos que todavía no se han sometido a adecuación. Tales son el impuesto de actividades económicas,
impuestos aduaneros, impuesto sobre transmisiones patrimoniales onerosas (subastas o ventas on line
C2C de bienes usados), impuesto de actos jurídicos documentados y las tasas sobre el juego (bingo y
loterías), en los cuales se conjuga la titularidad sobre tales tributos en cabeza del Estado central y los
Estados federados autónomos.
 Sexta Directiva en materia de iva (77/388/cee), con sus respectivas modificaciones y adiciones, así:
Directiva 1999/59/cee, sobre servicios de telecomunicaciones; Directiva 2001/115/cee sobre condiciones y contenidos de la facturación; y Directiva 2002/38/cee, sobre comercio electrónico y otros
servicios, cuyos apartes de interés se comentan en este escrito; Reglamento cee n.º 792/2002 del 7 de
mayo de 2002, que modifica temporalmente al Reglamento 218 de 1992.


ciones. El diseño de esta tributación tiene fundamento en las dos ideas básicas a
partir de las cuales ha girado el desarrollo normativo: 1. Localizar el gravamen
en el lugar de destino o consumo; y 2. No tratar a los productos digitalizados
como entrega de bienes.
En cuanto al contexto tributario, vale decir que las operaciones que aborda
la tributación del comercio electrónico se distinguen en off y on line y se hacen extensibles tanto a la entrega de bienes como a la prestación de servicios.
Sus características hacen que las consecuencias tributarias sean diversas. Sin
embargo, tratándose de productos digitales, tal distinción no opera, pues van
a ser calificados como “servicios”, pero frente a otros productos o servicios la
calificación de los mismos continúa siendo discutida.
B. off line
Por definición, en las operaciones off line la contratación de bienes o servicios
y la publicidad de los mismos se realizan por vía telemática, pero el perfeccionamiento del contrato y la prestación misma de la obligación (pago, entrega)
se realiza por los cauces tradicionales o habituales, pues se trata de un bien
material o que requiere la presencia física de prestador y prestatario. Como
ejemplos tenemos la compra de cámaras fotográficas, periféricos y repuestos
de computación, productos de supermercados, boletas para conciertos, billetes
de avión o viajes turísticos, etc.
La tributación por iva de estas operaciones es por completo asimilable al
comercio tradicional y por ello se distingue entre prestaciones de servicio y
entrega de bienes, sin olvidar que también operarían reglas sobre adquisiciones
intracomunitarias, importaciones, e incluso regímenes especiales, como pasa
a verse.
Para la prestación de servicios como los enunciados (billetes, boletas, turísticos), por tratarse de eventos de transporte, culturales o deportivos, el iva
aplicable es el del lugar en que radique el prestador del servicio, del mismo modo
que si fueren adquiridas personalmente en el propio establecimiento.
En las operaciones off line, la entrega de bienes con movimiento de mercancías presenta la mayor problemática, pues se recalificarán de bienes o servicios
atendiendo a los caracteres de dicha transferencia, independientemente de si
 En 2002, la cee ratificó las propuestas procedentes de diversas organizaciones y comités de expertos
introduciendo las modificaciones a la denominada Sexta Directiva del iva (77/388/cee), para dar respuesta a la tributación del comercio electrónico (2002/38/cee) (Hortalá I. Vallvé, F. Roccatagliata,
P. Valente, J. López Martínez y Jesús Martos J., citado por Ángeles García Frías. Ob. cit.
el perfeccionamiento del contrato o su pago hace uso de cauces tradicionales o
se realiza exclusivamente por medios electrónicos.
Las ventas que se realicen en este tipo de operaciones a países extracomunitarios están exentas de iva pero sujetas a tal gravamen en el lugar de destino,
así como al régimen aduanero del respectivo país.
A su turno, las ventas realizadas dentro de la cee y dirigidas a consumidores
residentes comunitarios (B2C) se sujetarán al iva de cada uno de los países
miembros. En este supuesto, y como los porcentajes del impuesto varían de
uno a otro país, el iva aplicable será, en principio, el del país del empresario
que vende el bien (el impuesto se localiza en el origen). Excepcionalmente se
aplicará el iva del país de destino (lugar en que se consume el bien) cuando se
superen por el empresario los límites cuantitativos de franquicia, los cuales
varían en los países de la cee (€35.000,00 en España).
Estos criterios de tributación en las operaciones off line, y que aquí se han
enunciado someramente, corresponden a las reglas generales ya vigentes y no
han merecido mayor crítica a la luz de los principios ya consensuados que rigen
el comercio electrónico.
Se comienzan a identificar entonces las reformas introducidas en forma
diferente a tales principios y que han hecho que se vayan al traste, parcial y
temporalmente, algunos de ellos y que han provocado mayor conflicto en la
diversidad normativa.
Desde este punto de vista, para tranquilidad de [www.kohls.com] y de
nuestra pyme que así lo pretenda, la doctrina identifica entonces que los aspectos generadores de conflicto radican no en todas las operaciones on line
sino exclusivamente en aquellas on line referidas a los servicios prestados por
vía electrónica (que es donde se ha centrado la reforma legal de la cee, objeto
del presente escrito).
C. on line
Con referencia a las operaciones on line, que se caracterizan por su total perfeccionamiento a través de la red (contratación, pago y entrega del producto o
servicio), se resalta la utilidad de distinguir las entregas de bienes de las pres-
 Pues también se involucran los medios de pago, la logística y otros regímenes especiales cuyo análisis
es recomendable para cada caso.
 Esto es también discutible, pues los denominados prestadores de servicios de la sociedad de la información
(pssi), con establecimiento permanente en Europa, también estarán sometidos a la legislación en materia
de protección de derechos del consumidor.


taciones de servicios por vía electrónica, por no encontrarse en la regulación
normativa.
Tal diferenciación resulta de importancia para la cee por cuanto la calificación de servicios que se le otorga a la mayoría de operaciones on line permite
evitar pérdidas recaudatorias, tal como lo ponen de manifiesto I. Hortalá, F.
Vallvé, P. Roccatagliata y Valente cuando afirman:
Existen razones más pragmáticas que justifican este tratamiento y es que atraer hacia la
UE la realización del hecho imponible, en el caso de prestaciones de servicios, es más
sencillo que en el caso de entrega de bienes. Para las prestaciones de servicios basta una
ligera modificación del artículo 9.º de la vi Directiva, mientras que en el caso de calificarse entrega de bienes y pretender someter a imposición esta operación en sede del
destinatario, será necesario discutir acerca del lugar de “puesta a disposición”, concepto
de difícil concreción en el ciberespacio.
No de otra forma se explica que en algunos Estados de la Unión Europea se haya
contemplado una excepción a la regla general de calificación de servicios aunque
sea de la misma naturaleza y soporte: el suministro de productos informáticos
normalizados, que es calificado como prestación de bienes, hecho que da argumentos para que la doctrina construya la citada diferenciación y que se considere, en España, como entrega de bienes por vía electrónica a todas aquellas
operaciones que no encajen dentro de la definición de servicios prestados por
vía electrónica.
Dichos presupuestos han generado igualmente discusión en torno al tratamiento de ciertos intangibles (entrega de bienes en su mayoría y no de entrega
de servicios), lo cual induce a pensar que la doctrina debe abrir puertas a la
recomendación de posibles modificaciones legislativas, considerando que utilizar
el mero soporte para otorgar un régimen tributario diferenciado no parece un
criterio jurídicamente sólido y que, finalmente, la simple lógica indica que los
productos digitalizados homologables a los corporales deberían tener la misma
calificación, y ello es predicable no solamente de productos informáticos sino
también de libros, música, películas, etc.
 La fiscalidad del comercio electrónico, Edit. Cisspraxis, 2000.
 Son aquellos que no precisan de modificación sustancial alguna para ser utilizados por cualquier usuario
(segundo párrafo del artículo 8.º numeral 7 liva).
 El artículo 60.4.B de la denominada “liva” (España) define que es “toda transmisión enviada inicialmente y recibida en destino por medio de equipos de procesamiento, incluida la compresión numérica
y el almacenamiento de datos, y enteramente transmitida, transportada y recibida por cable, radio,
sistema óptico u otros medios electrónicos”.
IV. impuestos directos e indirectos
e n e l c a s o e s pa  o l  
A. impuestos directos
Los impuestos directos recaen sobre las rentas netas que obtienen los agentes
económicos por las operaciones que realizan a través de las redes informáticas
(con algunas excepciones), y cuando los contribuyentes actúan sin establecimiento permanente.
En el caso del comercio electrónico, por su propia naturaleza –relacionada
con su fácil deslocalización, relativo anonimato y movilidad de los sujetos intervinientes– se resquebrajan los sistemas tradicionalmente usados, para efectos de
determinar el lugar o país donde se ha producido el hecho gravable, es decir, a
cuál de las administraciones fiscales –entre las diversas que pueden tener algún
tipo de legitimidad para imponerse– es la que ha de proceder para ello. En caso
contrario, habría una doble tributación o la ausencia indebida de gravamen.
En atención a tales circunstancias, se propugna entonces la idea de considerar la existencia de un establecimiento permanente de la empresa operadora de
comercio electrónico en todos aquellos países donde se realicen efectivamente
operaciones, esto es, el correspondiente a la residencia del adquirente de los
bienes o servicios (Comisión para el Estudio del Impacto del Comercio Electrónico en la Fiscalidad Española).
La esencia de la cuestión estaría no en la permanencia física continuada
de la actividad en un Estado, sino en que se entienda que se hace presencia en
forma operativa, comercial, es decir, con un contenido eminentemente económico. Además, tal presencia debe ser regular, continua y estable, debe tener en
cuenta un volumen mínimo de operaciones en un determinado ejercicio y otros
requisitos de vinculación, guiados principalmente por los siguientes criterios
orientadores:
– La posibilidad de perfeccionar el contrato en la red.
– Utilizar publicidad, específicamente objetiva, dirigida a un colectivo que
sólo pueda residir en un país concreto.
– La contratación de servicios posventa con carácter de permanencia.
– La tenencia o alquiler de depósitos de mercancía.
 Notas provenientes de exposiciones y ponencias sobre “Fiscalidad en Internet” de Socorro Barrero
C. y “Aspectos fiscales del comercio electrónico” por M. Ángeles García F., Universidad de Salamanca.
 Principio de origen o de la fuente, principio de la residencia y el de establecimiento permanente.


– La vinculación estable con instituciones financieras.
– La vinculación estable con empresas de mensajería.
En la Directiva de Comercio Electrónico 2000/31/cee, se fijan algunos criterios para integrar el concepto de establecimiento permanente, aunque no resuelve
los problemas fiscales.
B. impuestos indirectos
Se encuentra ubicado aquí el denominado Régimen Especial, tema central del
presente escrito.
La finalidad de la normativa en esta materia es la de acabar con las desventajas competitivas de las empresas cee en un mercado abierto, lo cual ha sido
muy discutible en la práctica.
Esta regulación europea ya se encuentra incorporada en las legislaciones de
cada uno de los países miembros, pero es una modificación temporal que ha sido
extendida hasta diciembre de 2006 y recomendada para que se establezca como
legislación permanente con disposiciones más amplias; también podrá dar lugar
a la adopción de medidas adecuadas a los nuevos avances tecnológicos.
Para comenzar, enuncio los términos más representativos:
– La normativa europea garantiza que los Estados miembros obtendrán
los ingresos tributarios correspondientes a los consumos de estos servicios
realizados dentro de la UE.
– Las operaciones realizadas con destino extracomunitario estarán exentas
de impuestos.
– Las operaciones realizadas por agentes extracomunitarios, con destino a
consumidores comunitarios, estarán sometidas al iva.
– Las agencias tributarias de los Estados miembros permitirán a los contribuyentes usar medios electrónicos para el cumplimiento de sus obligaciones
tributarias.
– El nuevo régimen prevé que el tipo de iva aplicable al comercio electrónico
será el tipo general del Estado miembro donde se realice el hecho impositivo
o se localice la operación.
– De forma permanente se autoriza a los Estados miembros a exigir la
presentación telemática de las declaraciones de iva.
 El Consejo de la Unión Europea ha manifestado en Directiva 58 de junio de 2006: 1. Que las disposiciones del artículo 1.º de la Directiva 2002/38/CE han funcionado de manera satisfactoria y han logrado
su objetivo; 2. Que algunos servicios prestados por vía electrónica tributarán en el lugar de consumo;
3. Que proporcionará un mecanismo electrónico más general que el de la Directiva 2002/38/CE para
facilitar el cumplimiento de obligaciones fiscales respecto a servicios transfronterizos. Alberto Jiménez Rozo
V . c o m e n ta r i o s a l r  g i m e n e s p e c i a l
A . s u j e t o s pa s i v o s d e l i m p u e s t o
( a g e n t e s r e t e n e d o r e s d e l i va c o m u n i ta r i o )
En principio el prestador de los servicios es quien está obligado a la retención
del iva. No obstante, el sujeto retenedor será el cliente receptor de los mismos
cuando el prestador sea una empresa no establecida a los efectos del iva en alguno
de los Estados de la cee, y el destinatario de éstos sea una empresa o profesional
establecido en territorio comunitario. En este caso, quien percibe los servicios
deberá liquidar, él mismo, la cuota del iva devengada en la transmisión, por
aplicación del principio de inversión del sujeto pasivo.
En la práctica, las pymes y los profesionales colombianos sólo serán retenedores de iva comunitario cuando su cliente comunitario sea un consumidor final.
Por tal razón, y para poder cumplir con “sus obligaciones tributarias con
la cee” derivadas del comercio electrónico, se crea un régimen de declaración
específico para este tipo de empresas y profesionales extracomunitarios que
contemplen dentro de su público objetivo al consumidor final residente en
alguno de los países miembros de la cee.
Con este fin se ha establecido un registro del agente retenedor extracomunitario por medios electrónicos en el Estado miembro de su elección, el cual le
asignará un número de identificación que será válido para todas las operaciones
comunitarias y al que deberá comunicar cualquier modificación.
No obstante, la empresa de comercio electrónico deberá repercutir el porcentaje de iva correspondiente a cada uno de los países miembros donde residan
sus clientes, pero hará la remisión al exterior de lo retenido a aquella administración impositiva del Estado que haya escogido inicialmente para realizar su
registro y validación de operaciones.
El agente retenedor ya registrado deberá presentar por medios electrónicos
una declaración trimestral obligatoria a la administración de impuestos del
Estado escogido para su identificación, dentro de los primeros veinte días de
enero, abril, julio y octubre. En esa declaración informará de las transacciones
que, en su caso, haya efectuado en ese período para cada uno de los Estados
miembro, indicando la base imponible, el tipo impositivo (que varía en cada uno
de los países), la cuota por pagar en euros (€) y el pago del importe total.
La administración de impuestos del Estado de identificación procederá a
reasignar las diferentes cuotas a los distintos Estados donde la empresa haya
realizado operaciones, según el procedimiento señalado en el reglamento de
cooperación de la cee.
Se ha verificado así una de las posturas planteadas en la cee respecto al registro de operadores extracomunitarios, es decir, el registro único, postura que fue


defendida por España, frente a la otra postura que impulsaba el registro múltiple,
consistente en que el operador extracomunitario debía obtener tantos registros
el número de Estados miembros donde tuviera actividad económica.
La empresa extracomunitaria está obligada también a conservar la información relativa a las liquidaciones efectuadas durante 10 años, a efectos de facilitar
la información, si es requerida para ello por las administraciones tanto del Estado
de identificación como del Estado donde se han realizado operaciones.
B . r e s u m e n d e l a s r e g l a s d e l o c a l i z a c i  n d e l i va
Este cuadro comprende las reglas que afectan en forma directa al empresario
colombiano. En el caso inverso (consumidores finales o empresas intermediarias
colombianas comprando en la cee), las transacciones no están sujetas a iva a
favor de la cee.
Prestador
(vendedor)
pyme Colombia
Destinatario
Localización
(comprador)
(liquidador)
Empresa cee (interme- cee
diaria, fabricante o prov- Agente retenedor y pagador de iva es
eedor)
la empresa cee.
Inversión del sujeto pasivo
pyme o profesional Consumidor final
Colombia
Colombia
La pyme o el profesional colombiano
cee (B2c)
retienen y pagan el iva al país de identificación en Europa.
VI. el rgimen especial de acuerdo
c o n l a n o r m at i v i d a d e s pa  o l a 
Considerando a España en materia de regulación del procedimiento por seguir,
es preciso hacer alusión a la Orden Ministerial de Hacienda n.o 1736 del 24 de
junio de 2003.
Con la expedición de la Ley 53 de 2002, que modifica la Ley 37 de 1992,
España realizó la transposición de la Directiva 2002/38/CE, mencionada al
inicio de este escrito, a su ordenamiento interno.
Dicha ley ha regulado el comercio electrónico en lo que se refiere al iva,
introduciendo el nuevo régimen especial de tributación al que pueden acogerse
 Regulado por los artículos 163 bis a 165 de la Ley 53 de 2002, y desarrollada por la mencionada Orden
de Hacienda.
 Si el operador extracomunitario no se acoge al régimen especial, deberá dar cumplimiento a lo dis-
los empresarios y profesionales no establecidos en la cee que vayan a prestar
determinados servicios por vía electrónica a personas que no tengan la condición de empresarios o profesionales y que estén establecidos en la cee o que
tengan en ella su domicilio o residencia habitual (entiéndase sólo consumidores
finales: B2C).
En este aspecto, es conveniente precisar el concepto de servicios prestados
por vía electrónica según la definición propuesta por la legislación española. Se
consideran como tales, aquellos servicios que consistan en la transmisión enviada inicialmente y recibida en destino por medio de equipos de procesamiento,
incluida la comprensión numérica y el almacenamiento de datos, y enteramente
transmitida, transportada y recibida por cable, radio, sistema óptico u otros
medios electrónicos.
Entre otros, son servicios prestados por vía electrónica los siguientes:
– Suministro y alojamiento de sitios informáticos.
– Mantenimiento a distancia de programas y equipos.
– Suministro de programas y su actualización.
– Suministro de imágenes, texto, información y la puesta a disposición de
bases de datos.
– Suministro de música, películas, juegos, incluidos los de azar o de dinero,
y de emisiones y manifestaciones políticas, culturales, artísticas, deportivas,
científicas o de ocio.
– Suministro de enseñanza a distancia.
El hecho de que el prestador de un servicio y su destinatario se comuniquen
por correo electrónico no implica, por sí mismo, que tenga la consideración de
servicio prestado por vía electrónica.




puesto en el artículo 164.1 liva (Ley 53 de 2002) como cualquier operador. Una tercera opción sería
la prestación de sus servicios de comercio electrónico desde un establecimiento abierto en cualquiera
de los Estados miembros de la UE y tributaría como cualquier operador comunitario repercutiendo el
iva correspondiente a dicho Estado en los servicios que preste a particulares comunitarios y generaría
posiblemente impuestos directos.
Los operadores extracomunitarios pueden obtener a través de los mismos medios electrónicos un indicio
sobre el estatus de su cliente solicitándole el Número de Identificación Censo vies, que hace parte del
sistema de intercambio de información intracomunitaria del iva.
La terminología empleada no procede de la Directiva 2002/38/cee sino que fue tomada de la propuesta
formulada por una comisión especializada (7 de junio de 2000-com, 349) (F. J. Sánchez Gallardo.
Novedades introducidas en la Ley del iva por la Ley 53 de 2002, cit.).
Estos servicios sí coinciden con los enunciados en el anexo a la Directiva 2002/38/cee. Hay doctrinantes
que llaman la atención sobre estos servicios, pues algunos gozan de exención cuando se prestan por
medios tradicionales (culturales, enseñanza y juegos). Ello puede ser evidencia de que, además de la
recaudación, los principales motivos para la enumeración de servicios es corresponderlos con aquellos
que son aptos para deslocalizar.
Anexo L, Sexta Directiva 77/388/cee.


Pues bien, en dicho marco, la Orden de Hacienda 1736 de 2003 señala que los
procedimientos vienen condicionados por los rasgos peculiares de este especial
régimen y resalta que aquéllos tienen un soporte sustancialmente electrónico,
consecuente con la naturaleza de los servicios prestados, se acoge en pleno a
la desmaterialización, y señala expresamente que no se requiere manejo de
documentación física.
V I I . r e g i s t r o d e l p r e s ta d o r d e s e r v i c i o s  
y cese del rgimen especial
Los empresarios y profesionales colombianos que elijan a España como Estado
miembro de identificación deberán presentar, ante la Agencia Estatal de Administración Tributaria (aeat) de dicho país comunitario, su declaración de alta en
el Régimen Especial, sin necesidad de firma electrónica, para lo cual deberán:
– Conectarse con la web ubicada en la dirección [www.agenciatributaria.es].
– Abrir el vínculo habilitado para el alta en el Régimen Especial
– Diligenciar el respectivo formulario y efectuar en el mismo una declaración manifestando que carece de identificación a efectos de la aplicación de un
impuesto análogo al impuesto sobre el valor añadido en un Estado miembro.
Una vez diligenciado el formulario, la aeat proporcionará un código de
usuario-clave, para realizar, si procede, la descarga del Número de Operador
Extracomunitario a que se refiere el apartado tercero de la misma Orden del
Ministerio de Hacienda, y efectuar las comunicaciones que se deriven del
régimen especial.
El prestador deberá, de igual forma, comunicar a la Agencia el cese de
sus actividades de prestación de servicios en el ámbito de la Unión Europea,
así como cualquier otro hecho que determine la inaplicabilidad del régimen
especial. Esta declaración se deberá efectuar en el plazo de un mes a partir del
día siguiente a aquel en que se produzca el cese de la actividad o el hecho que
motiva la inaplicabilidad del régimen.
Por su parte, si la Agencia Estatal de Administración Tributaria tuviera
conocimiento de que se produjo alguna circunstancia que determine esta
inaplicabilidad, iniciará de oficio el procedimiento para excluir al prestador de
servicios del régimen especial.
 Establecido en Colombia pero no dispone en España (Península y Baleares) ni en otro Estado miembro,
de ningún establecimiento permanente desde el que preste estos servicios y, además, no está obligado,
por otros motivos, a estar identificado en la Comunidad (en cuyo caso afirmativo estaría sujeto al régimen general de iva conforme a la legislación cee, y en particular a la Ley 37 de 1992 y a la Ley 53 de
2002 del Estado español).
Como causales de exclusión del régimen especial tenemos:
– La existencia de hechos que permitan presumir que sus operaciones
incluidas en el régimen especial han concluido.
– El incumplimiento de los requisitos necesarios para acogerse al régimen
especial.
– El incumplimiento reiterado de las obligaciones impuestas.
El inicio del procedimiento de exclusión del régimen será comunicado, por
vía telemática, al prestador no establecido, para que efectúe las alegaciones que
estime pertinentes en un plazo de quince días. Vistas las alegaciones, la aeat
resolverá lo que proceda.
V I I I . p r e s e n ta c i  n d e d e c l a r a c i o n e s - l i q u i d a c i o n e s
peridicas
La Orden de Hacienda española aprueba y presenta como anexo para ser
diligenciado por vía telemática el formato electrónico Modelo 367, Impuesto
sobre el Valor Añadido, Régimen especial, Servicios prestados por vía electrónica,
Declaración trimestral.
La periodicidad, plazos y moneda para la presentación de declaracionesliquidaciones e ingreso se han regulado, entre otros, de la siguiente manera:
Los prestadores de servicios deberán diligenciar y presentar, con arreglo al “Modelo
367” una declaración-liquidación del iva por cada trimestre natural, independientemente de que en el período de declaración hayan prestado o no servicios electrónicos.
La declaración se presentará en los primeros veinte días de los meses de enero,
abril, julio y octubre, y comprenderá, por cada Estado miembro de consumo en
que se haya devengado con iva el impuesto, el importe total, excluido el propio
impuesto sobre el valor añadido, de la contraprestación correspondiente a los
servicios prestados por vía electrónica durante el período al que se refiere la
declaración; la cantidad global del impuesto correspondiente a cada Estado
miembro; y el importe total, resultante de la suma de todas éstas, que debe ser
ingresado en España. La declaración-liquidación se realizará en euros. En caso de prestaciones de servicios
cuya contraprestación se hubiese fijado en otras divisas, se utilizará el tipo de cambio
válido que corresponda al último día del período de declaración. A estos efectos, se
considera tipo de cambio válido el publicado por el Banco Central Europeo para ese
día o, si no hubiera publicación correspondiente a ese día, el del día siguiente [www.
ecb.int].


I X . va r i a c i o n e s d e l m o d e l o 3 6 7
De acuerdo con la mencionada Orden de Hacienda, la aeat procederá a adaptar
el Modelo de Declaración 367 por la incorporación de nuevos Estados a la cee,
y además deberá hacerlo por las variaciones que se presenten en los porcentajes
de iva aplicables en los distintos Estados miembros.
X . e j e m p l o d e t r i b u ta c i  n  
Aprovechando el auge de la deslocalización y su consecuente beneficio sobre los
costos, un consumidor final, que es una persona particular residente en Bélgica, contrata vía internet un proveedor de servicios de aplicaciones establecido
exclusivamente en Colombia.
El mismo proveedor vende a dos empresas domiciliadas, en Hannover
(Alemania) la primera y Limoges (Francia) la segunda, la misma aplicación
Web Service.
Tributación. La prestación del servicio efectuada por la empresa colombiana
a los empresarios establecidos en Alemania y Francia hace que éstos tributen en
sus respectivos países y la empresa colombiana no debe retener el iva, ya que los
sujetos pasivos de estas operaciones son los propios empresarios domiciliados
en la cee, razón por la cual se invierte la carga sobre la empresa de destino del
servicio (son sujetos pasivos los empresarios europeos).
Los servicios prestados por la empresa colombiana a la persona natural
belga pueden tributar conforme al Régimen Especial. En tal caso, la empresa
colombiana proveedora de la aplicación, con independencia del Estado de la
Unión Europea en el que se identifique (hemos sugerido España), deberá retener
el iva a su cliente europeo aplicando el tipo porcentual correspondiente a ese
país, y debe entregarle factura.
conclusiones
– Existe cierto consenso doctrinario en que la fiscalidad en internet es un tema
que no afecta en forma exclusiva el derecho interno de los países y que las diferencias demandan retomar las anuencias logradas, adicionar más principios
generales y hacer que las naciones se sometan a los acuerdos logrados.
 Es una mención apenas ilustrativa, pues la novedad del Régimen Especial y la doctrina recomiendan
evaluaciones particularizadas.
– Una de las recomendaciones doctrinarias consiste en atenuar la rigurosidad de las soberanías tributarias, particularmente en aquellos Estados en los
que opera el llamado descentralismo fiscal (organización federal), exhortando
a que dichas competencias sean asumidas por un único nivel de gobierno que
permita allanar el camino hacia los acuerdos.
– La complejidad y variedad de matices en la regulación del iva comunitario
obliga a analizar, caso por caso, la aplicabilidad de las normas y consecuente
sujeción de los empresarios y profesionales no establecidos, quienes deben
enfrentar unos costos de cumplimiento crecientes.
– La regla de localizar el gravamen en el lugar de consumo (que sigue la
Directiva 2002/38/cee) produce consecuencias adversas a la “certeza y simplicidad”, que constituye uno de los principios doctrinarios alcanzados en los
distintos foros de discusión (ocde, Ottawa) y que contribuye a la demarcación
del futuro desarrollo del régimen tributario; en tal directiva se obliga a los prestadores de servicios extracomunitarios, como es el caso de Colombia, a conocer
los sistemas tributarios de los países miembros de la cee. En consecuencia, cabría
preguntarse: ¿sobrevendrá entonces un régimen punitivo para los eventos de
apropiación de dichos recursos?
– No obstante, nuestro profesional o empresario prestador de servicios por
vía electrónica cuenta, dentro de sus posibilidades de internacionalización de
negocios, con una especie de ventanilla única para la realización de los trámites
relacionados con el régimen especial aquí descrito, a través del denominado
registro único en el Estado de su elección, con lo cual simplifica el cumplimiento de “sus” obligaciones y deberes tributarios ante todos los países que
conforman la cee.
– Existe una especie de coordinación tácita (pero de una sola vía) entre el
régimen especial de recaudación de iva establecido por la cee y nuestras disposiciones tributarias. Esto es, a pesar de la asignación unilateral por parte de
la cee de unas cargas adicionales (consistentes en el recaudo del impuesto y
posterior remesa al exterior) a la empresa o profesional colombiano prestador
del servicio de naturaleza electrónica y por vía electrónica, para los eventos de
los servicios de arrendamiento o licencias de uso y explotación de incorporales o
intangibles que tengan producción nacional y que sean tomados por un usuario
ubicado en la Comunidad Económica Europea.
– No sucede igual en los eventos de servicios referidos a las licencias y
autorizaciones para el uso y explotación, a cualquier título, de bienes incorporales o intangibles ejecutados desde el exterior (cee) y tomados en Colombia,
pues, al parecer, no existe todavía un régimen o mecanismo legal que permita
a nuestro país el recaudo de dicho impuesto, para que se advierta reciprocidad
en la materia.


– Nuestro país debe asumir la defensa de sus intereses equilibrando las necesidades de recaudo de tributos con el potencial existente para la explotación
de servicios en la red, lo cual debe acompañarse de un incremento de los niveles
de productividad, a fin de impulsar la creación de servicios de valor añadido
y, también, aprestarse a la deslocalización, permitiendo la creación de empleo
en el sector e impulsar la constitución de nuevas empresas y el fortalecimiento
de otras, con lo que se materializaría el aporte del comercio electrónico a la
riqueza nacional.
Para finalizar, debo comentar que, terminando el verano y cuando algunos
se enteraban de los millares de adultos mayores fallecidos por los rigores del
calor, vestía unas bermudas de tela de jean y, a falta de tarjeta de crédito, hacía
mercado con un poco de dinero disponible. Mientras tanto, se intensificaron los
comentarios en los medios sobre el inicio de conversaciones frente al más grande
de los protagonistas del sector: Estados Unidos, con visos tributarios antagónicos
sobre el comercio electrónico, esto es, riesgos en materia de recaudación.
 En agosto de 2003, cerca de 15 mil personas, la mayoría ancianos, murieron, muchos de ellos debido
a hipertermia. Las autoridades francesas fueron acusadas de no haber sabido prever ni activar rápidamente los medios necesarios para evitar esta catástrofe sanitaria (afp).
 El 27 de febrero de 2006, Colombia concluyó las negociaciones del tlc con Estados Unidos y, de
acuerdo con el texto sujeto a revisión, se señala en su artículo 15,3 sobre productos digitales: “Ninguna
parte puede imponer derechos aduaneros, derechos u otras cargas relacionadas con la importación o
exportación de productos digitales mediante transmisión electrónica”. Previamente las partes han
acordado que el suministro de servicios electrónicos por medios electrónicos debe interpretarse, entre
otros, dentro del marco de comercio transfronterizo de servicios (cap. 11 del Tratado).
andrea burgos puyo
Mecanismos alternativos de resolución
de conflictos en internet
La experiencia en el uso de las tecnologías de la información en los diferentes
ámbitos de la actividad humana conlleva una serie de especiales cuestionamientos
a la hora de verificar, en primer lugar, la normatividad aplicable a este tipo de
relaciones y, en segundo lugar, la forma en la que se resolverán los conflictos
surgidos en el ámbito de un vínculo, en muchos casos de carácter internacional,
en el que existen grandes distancias y dificultades de carácter jurídico difíciles de
superar, en un espacio en donde el atractivo se centra en la rapidez, la facilidad
y la disminución de costes.
Estas dificultades se ven multiplicadas cuando de vínculos entre empresas
y consumidores se trata. El desequilibrio contractual inicial existente en este
tipo de actividad conlleva indagar acerca de cuáles son los medios que en una
relación de consumo deben existir para solventar los inconvenientes de manera
rápida, adecuada al medio en el cual se contrata y en condiciones que no afecten
los intereses de las partes que en la misma participan.
Por esta razón, en este estudio se evaluará la situación en la que se encuentran en la actualidad los mecanismos alternativos de resolución de conflictos
en internet, cuáles son los beneficios y dificultades que se han encontrado en
su aplicación y, especialmente, cuáles son los asuntos en los que se debe centrar
la evaluación jurídica.
I . l o s m e c a n i s m o s a lt e r n at i v o s d e r e s o l u c i  n
d e c o n f l i c to s y la c o n f i a n za d e l c o n s u m i d o r
El desarrollo de internet y el lento crecimiento de algunas áreas en las que se
centraban los principales intereses de la red han llevado a evaluar cuáles son
las dificultades que encuentran los actores al participar en la red mundial de
comunicaciones; muchos de esos estudios concluyen que una de las barreras
reside en la falta de confianza en los medios tecnológicos, en no percibir un
medio que ofrezca iguales o similares características a las que poseerían los
medios tradicionales.
Los instrumentos que a nivel mundial se han establecido para contrarrestar
esta dificultad se centran en el establecimiento de parámetros normativos, mecanismos de autorregulación, y, en lo que nos interesa en este escrito, en los mecanismos alternativos de resolución de conflictos (odr, por su sigla en inglés).
El advenimiento de internet y del comercio electrónico empresa-consumidor
incrementa el interés en el tema, puesto que a partir del momento en que se extiende el mercado potencial internacional al consumidor, se observa un aumento
de controversias de este tipo y, al mismo tiempo, surgen los cuestionamientos


acerca de cuáles serían los medios que harían efectivo y eficiente el acceso del
consumidor a la justicia.
El hecho de que las relaciones contractuales nazcan de los medios electrónicos agrega un ingrediente que debe ser estudiado al lado de la internacionalidad de la relación de consumo, cual es el hecho de que las partes, en muchos
casos, se encuentran distanciadas miles de kilómetros y requieren por tanto
de mecanismos que permitan acceder a una solución de conflictos, en caso de
presentarse en las mismas condiciones de eficiencia y agilidad que representa
el medio mismo.
Sin embargo, la circunstancia que genera el distanciamiento de las partes
encontraría de cierta manera salida, en la medida en que la cuantía de la pretensión justificara el traslado de las partes, sus representantes y los costos mismos
del litigio. En este tipo de actuaciones, casi siempre el valor patrimonial del
asunto es mínimo, y establecer altos costos tornaría inocuo el acceso a la justicia
del consumidor final de bienes y servicios.
Los obstáculos del consumidor, para el acceso a la justicia como lo enuncia
el profesor Rubén Stiglitz, parten de elementos sociológicos relacionados con
la falta de conciencia sobre los derechos del consumidor y sobre la posibilidad
de accionar mecanismos judiciales de defensa, así como sobre la ausencia de
conocimientos técnicos que contrastan con la complejidad de las cuestiones. Se
presenta un sentimiento de inferioridad que conduce al consumidor a abstenerse
de accionar. Esta debilidad se incrementa en la medida en que se unen factores
como la escasa importancia económica, la lentitud de la justicia y la magnitud
de los gastos generados en el acceso a ésta.
Los tribunales no son el mejor medio para resolver los conflictos en los que
participa el consumidor ya que:
– Los costos son desproporcionadamente elevados.
– El tiempo es demasiado largo.
– Los procedimientos son demasiado formales.
– No existe claridad acerca del derecho aplicable.
– Las distancias territoriales afectan las posibilidades.
Por esta razón ya son muchas las organizaciones que estudian, y muchas otras
las que ponen en práctica, los conocidos odr (On line dispute resolution), definidos
como los mecanismos alternativos de resolución de conflictos que operan por
Rubén Stiglitz. Contratos por adhesión, cláusulas abusivas y protección al consumidor, Buenos Aires,
Editorial De Palma, 1985, p. 253.
Para efectos de este trabajo serán denominados “masc en línea” (Mecanismos Alternativos de Solución
de Conflictos en línea).
Andrea Burgos Puyo
medios electrónicos (sea o no vía internet). Se usan así los medios electrónicos
para establecer la comunicación entre las partes, o entre las partes y un tercero;
para la remisión de documentos; y para el archivo y almacenamiento de los documentos del conflicto, sin que se requiera de presencia física alguna.
Organizaciones internacionales como la ocde establecen dentro de los
lineamientos para la protección al consumidor, en el contexto del comercio
electrónico, que
… se debe proporcionar a los consumidores un fácil acceso a mecanismos alternativos
para un justo y oportuno proceso de resarcimiento y resolución de disputas sin costos
y cargos onerosos.
A pesar de los beneficios, el estudio de Consumers International, presentado
por Louise Sylvan ante la ocde, demuestra que aún existen vacíos en ciertos
elementos, y que requieren, por tanto, de reglas claras que adecuen los sistemas de
resolución de disputas en línea a los parámetros de protección al consumidor, con
el fin de crear trámites claros y transparentes. El estudio clasificó 30 programas
de masc en línea frente a ocho criterios definidos, entre los que se encuentran:
independencia, imparcialidad, transparencia, disponibilidad, eficacia, legalidad,
y protección de terceros. Los resultados concluyeron que ninguno de los 30
programas cumplía con todos los principios definidos, aun cuando en la mayoría
de los casos los sistemas eran fáciles de encontrar para el consumidor, existían
facilidades de uso, la decisión era oportuna y se describía previa y detalladamente
el procedimiento por seguir. Las mayores limitaciones se encontraron en el idioma
usado, los costos desproporcionados, los problemas relacionados con la aplicación
de las decisiones y la escasa representación de los intereses del consumidor en
dichos organismos frente a la representación de los intereses de los comerciantes.
Existe también preocupación creciente en cuanto a la proliferación de programas
que pueden generar confusión en el consumidor.
La American Bar Association, en convenio con la Universidad de Washington, realiza en la actualidad
un estudio tendiente a identificar las dificultades de este tipo de mecanismos de solución de disputas
cuando interviene el consumidor, con el fin de plantear soluciones e identificar elementos que permitan
su desarrollo. Para esto, la Asociación ha celebrado diversas reuniones con organizaciones gubernamentales y no gubernamentales de proveedores de servicios de resolución de disputas y realiza cuatro
encuestas dirigidas a consumidores, organizaciones estatales, proveedores de servicios y entidades que
prestan servicios de resolución alternativa de disputas. Puede encontrar más información en [www.law.
washigton.edu/aba-eadr].
ocde. Recomendación del Consejo relativa a los lineamientos para la protección al consumidor en el
contexto del comercio electrónico, 9 de diciembre de 1999, en [www.ocde.org].
ocde, hcpil, icc. “Building trust in the on line environment: business to consumer dispute resolution”,
Report of the conference, The Hague, 11 y 12 de diciembre de 2000.


II. c a rac t e r  s t i c a s d e la a p l i c ac i  n
d e o d r a la r e lac i  n d e c o n s u m o
Con la incorporación de este tipo de procedimientos se busca explotar y dinamizar los beneficios y la experiencia alcanzada con el desarrollo de mecanismos extrajudiciales que, a nivel interno, benefician el acceso del consumidor a la justicia
y permiten así aplicar dicho concepto a los contratos internacionales. Con esto
no se quiere decir que no exista la opción de generar masc en línea nacionales,
pero uno de los factores que mayores problemas genera a la hora de acudir a
internet en compras minoristas es el de acceder a un mercado internacional.
Se enuncian como mecanismos alternativos de solución de disputas aplicadas
en línea la negociación, programas de ombudsman, conciliación, mediación y
arbitraje, los cuales deben cumplir ciertos principios si buscan ejecutar el objeto
para el cual se encuentran definidos frente al consumidor:
Transparencia. Se deben establecer los elementos que permitan un procedimiento fiable, que provea información a las partes sobre el trámite previsto.
Esto debe hacerse por un medio idóneo, que en el caso de internet podría ser
un mensaje de datos en el que se enumeren los litigios que pueden someterse
al órgano, la cobertura territorial de éste, las normas sobre las cuales decidirá el
órgano, las normas de procedimiento, el costo del procedimiento para las partes,
el idioma y el valor jurídico de la decisión (precisando si es obligatorio y, de serlo,
la sanción en caso de incumplimiento). Finalmente, se debe publicar por parte
del órgano competente un informe relativo a las decisiones adoptadas.
Imparcialidad. El órgano encargado debe tener la capacidad, la experiencia
y la idoneidad para el desarrollo de dicha función, además de garantizar la
independencia de la decisión. La imparcialidad debe existir no solamente en la
práctica, sino también en la percepción que el consumidor posee, pues, de no
ser así, éste perderá la confianza en el mecanismo y se tornará inocuo el servicio.
Esto fue experimentado en un proyecto piloto realizado por E-Bay, en el cual se
aplicaban mecanismos de solución de conflictos por parte de un proveedor cuyos
servicios siempre fueron relacionados con este portal de subastas: aún cuando
se dio claridad acerca del origen en cabeza de la Universidad de Massachusetts,
el programa no obtuvo los resultados de confianza esperados.
Existen ya en el mundo importantes organizaciones que aplican los masc en línea como son: la Asociación de Arbitraje Estadounidense, E-Resolution, Squaretrade, bbb, I Courthouse. En América Latina
se implementa en la actualidad el cibertribunal peruano.
ftc, Ministerio de Hacienda y Economía de Estados Unidos. Resumen del taller público en materia
de adr frente al consumidor, noviembre de 2000.
Andrea Burgos Puyo
Adicionalmente, en un espacio como internet se hace imperiosa la aplicación
de un procedimiento eficaz, que puede verse afectado, en aras de la imparcialidad,
con una errónea interpretación al acudir a la aplicación de exagerados requisitos
procedimentales que alteren su rápido curso. Para el efectivo cumplimiento de
este principio hay quienes incluso defienden la participación del Gobierno, que
fije reglas claras e incorpore un sello estatal sobre las páginas web que cumplan
con dichos elementos. Frente a esta opción existe un fuerte rechazo, puesto que
podría inhibir el desarrollo de programas innovadores.
Eficacia y exigencias del comercio electrónico. La efectividad ligada a la rapidez en los procedimientos alcanza en los negocios en internet una innegable
necesidad ligada a la continua evolución del medio y a los cambios constantes
que hacen parte de su esencia. La dilación del procedimiento de solución de
disputas en medios electrónicos generaría, más que nunca, la inoperancia de
las soluciones planteadas.
La eficacia se ve así beneficiada por la incorporación de las tecnologías
de la información, puesto que éstas ahorran tiempo en las comunicaciones; y
pueden así proporcionarse elementos como el envío y recepción de documentos
vía correo electrónico, audiencias vía comunicaciones digitales, bases de datos
organizadas y sistematizadas de resoluciones previamente adoptadas, chats para
comunicaciones en tiempo real, entre otros.
Accesibilidad. El acceso fácil y ágil a los servicios de resolución de disputas
se centra en dos características: la gratuidad o economía del medio y la facilidad
de encontrarlos y de usarlos.
En la mayoría de los casos en los que existen conflictos con los consumidores, la cuantía del asunto es muy baja. Por esta razón, el generar costes
elevados en el acceso a la solución de los conflictos volvería inocuo el sistema.
La solución de disputas por medios electrónicos con los consumidores debe
ser considerablemente menos costosa que el acceso a tribunales tradicionales y
al sistema de arbitraje entre empresarios. Se sugiere, al mismo tiempo, que el
acceso sea gratuito en asuntos de mínima cuantía. Por ejemplo, la organización
bbb, en su programa con la Universidad de New York, es de acceso gratuito, al
igual que el programa de mediación de [onlinediputes.org]. I Courthouse es
de acceso gratuito y recibe ingresos por otro tipo de programas. En Europa,
muchos sistemas son gratuitos, financiados por organismos gubernamentales o
independientes. Sin embargo, esta gratuidad encuentra contradictores, puesto
que se afirma que genera reclamaciones injustificadas.
ftc, Ministerio de Hacienda y Economía de Estados Unidos. Resumen del taller…, cit.
Ibíd.


Se cuestiona el hecho de que la gratuidad produce un impacto sobre la imparcialidad, ya que la financiación por entidades externas redunda en desconfianza
en el órgano. La posibilidad de que un organismo de resolución de conflictos
sea subvencionado por entidades que puedan hacer parte de un conflicto en un
momento dado genera en el consumidor la sensación de parcialidad que, como
vimos, debe ser sorteada en la medida en que no sólo debe tratarse de verdadera
imparcialidad sino además parecerlo frente al consumidor, que es especialmente
susceptible frente a este tipo de relaciones.
Otro elemento que puede ser incorporado a la accesibilidad es el de permitir
que el consumidor participe en este tipo de resolución sin recurrir necesariamente a un representante o apoderado que actúe en su nombre. Así lo establece
la Comunidad Económica al disponerlo en la Recomendación 98/257/CE
(num. 5), pero no se debe negar tampoco, si lo desea el consumidor, el acceso a
la representación jurídica, respetando el principio de la representación.
La legalidad. La Comunidad Económica Europea, al realizar las recomendaciones referentes a la resolución alternativa de conflictos en línea, parte del
principio de legalidad al establecer que la decisión del órgano no podrá tener
como resultado privar al consumidor de la protección que le garantizan las disposiciones imperativas de la ley del Estado en el que esté establecido el órgano.
En el caso de litigios internacionales, la decisión del órgano no podrá tener como
resultado privar al consumidor de la protección que le garantizan las disposiciones imperativas de la ley del Estado miembro en el cual el consumidor tenga
su residencia habitual. De esta forma se respetan los parámetros establecidos
por la Convención de Roma del 19 de junio de 1980 sobre ley aplicable a las
obligaciones contractuales, como fue analizado en su momento.
El sistema anglosajón no parte de una disposición de esta magnitud: al
contrario, aún se discute la legislación aplicable a dicho conflicto y se plantean
elementos alternos que permitan solucionar los conflictos sin hacer referencia
a legislaciones estatales. Algunos incluso plantearon la posibilidad de resolver
en equidad o mediante tribunales de conciencia.
Confidencialidad. Es un cuestionamiento que en internet genera polémicas
en la medida en que los datos suministrados por quien accede a esta tecnología
de la información han sido en muchas ocasiones equívocamente usados por los
proveedores de servicios.
Por esta razón, la confidencialidad se convierte nuevamente en un parámetro
que debe ser respetado, y mucho más en este tipo de mecanismos, puesto que
de no ser así pueden convertir el sistema en inocuo. Por esto, los órganos que
actúen como mediadores o que suministren el servicio de solución de conflictos
deben partir del respeto a los datos suministrados por las partes.
Andrea Burgos Puyo
Contradicción. El procedimiento debe respetar la posibilidad de que todas las
partes interesadas den a conocer su punto de vista a la institución competente, y
que tengan conocimiento de todas las posturas y de todos los hechos expuestos
por la otra parte, así como, en su caso, de las declaraciones de los expertos.
Libertad. Es claro que en la mayoría de los casos la cláusula por medio de la
cual la parte se obliga, en caso de surgir una disputa, a acudir a un órgano con
el fin de solucionar el conflicto por mecanismos alternativos, será parte de un
contrato de adhesión a condiciones generales de contratación.
Por esta razón, nuevamente desempeñan un papel fundamental las herramientas que permiten limitar la acción del proveedor, en caso de abuso, en
el uso de dichas cláusulas predispuestas. Al respecto, la recomendación de la
Comisión Europea a la cual se ha hecho referencia establece:
… la decisión del órgano sólo podrá ser obligatoria para las partes cuando éstas hayan
sido previamente informadas y la hayan aceptado expresamente. La adhesión del
consumidor al procedimiento extrajudicial no podrá ser resultado de un compromiso
anterior al surgimiento de un desacuerdo, cuando dicho compromiso tenga por efecto
privar al consumidor de su derecho a recurrir a los órganos jurisdiccionales competentes
para la solución del litigio.
Igualmente se fija como cláusula abusiva el someter este tipo de litigios a mecanismos alternos de solución de conflictos ajenos a la relación de consumo, o
diseñados para asuntos diversos.
I I I . d i f i c u lta d e s e n l a a p l i c a c i  n
d e o d r a la r e lac i  n d e c o n s u m o
La doctrina y los órganos encargados de estudiar los elementos inherentes a
los mecanismos alternativos de resolución de conflictos en internet, así como
la experiencia de quienes llevan a la práctica en la actualidad estos medios, se
cuestionan acerca de un no limitado número de dificultades, pues, como se
conoce, en internet nada está aún definido, y son más las preguntas que las
respuestas. Se observarán algunas de las soluciones planteadas y cómo han
buscado algunos mitigar los cuestionamientos.
El lenguaje y las barreras culturales. Es bien sabido que por medio de la
aplicación de estos mecanismos se superan las barreras geográficas, pero, ¿qué
 Comisión de las Comunidades Europeas. Recomendación 98/257/CE, del 30 de marzo, relativa a los
principios aplicables a los órganos responsables de la solución extrajudicial de los litigios en materia
de consumo, numeral iv: Principio de Libertad (D.O.L 115,17/4/1998).


sucede con las limitaciones tanto del lenguaje como culturales? Porque existirán
especiales restricciones en el acceso a los diferentes países en la medida en que
haya medios que resuelvan conflictos bajo sistemas y lenguas desconocidas para
el consumidor, lo cual generaría la aplicación solamente en el país de origen del
órgano que actúa como mediador, árbitro o conciliador… Ante esto, E-Resolution ofrece servicio en inglés y en francés; Squaretrade brinda estos servicios
en alemán y realiza mediaciones con traducción inglés-español; I Courthouse
ofrece módulos de traducción.
Desconocimiento y desconfianza. El órgano que participa en los masc, por
encontrarse en un país extranjero, en la mayoría de los casos es desconocido
para el consumidor, y se encuentra soportado en sistemas a los cuales el consumidor no tiene acceso con facilidad. bbb está buscando su reconocimiento
en los diferentes países, por lo cual tiene planeada la realización de acuerdos
internacionales con órganos de probada reputación en países extranjeros, de
forma que se permita la confianza y el conocimiento en otros Estados, para
lo cual ha firmado un contrato de colaboración en materia de privacidad con
programas japoneses de confianza con el consumidor.
Acceso de los gobiernos. En internet existen dos posiciones encontradas respecto
a la participación de los gobiernos estatales en el establecimiento de normas que
regulen la aplicación de ciertos parámetros, y el caso de los masc en línea no es la
excepción. Algunos se muestran reacios a cualquier intervención estatal, mientras
otros consideran que dicha participación aumenta la confianza del consumidor.
Existe una tendencia generalizada a aceptar acuerdos internacionales que
permitan dichos mecanismos, lo cual, como se ha visto, ya se encuentra en
curso; órganos como el alca aceptan la importancia de los masc en línea para
la resolución de conflictos con el consumidor.
Aplicación de las normas jurídicas sustanciales. Uno de los objetivos de la aplicación de los masc en línea es darles solución a cuestionamientos relacionados
con la ley aplicable a este tipo de conflictos, de forma tal que se permita resolver
los mismos conforme a los códigos de conducta adoptados. Así lo acepta la Comunidad Europea, siempre que no se incumplan los mínimos establecidos de
protección al consumidor del país en el cual el consumidor tiene su residencia.
De este modo, se plantean diferentes hipótesis que permitan evitar de alguna
manera recurrir a este cuestionamiento en los masc en línea, en la medida en
que se sometan los conflictos a mecanismos como la mediación, que, al contrario

alca/ftaa.
Comité Conjunto de Expertos del Sector Público y Privado en Comercio Electrónico.
Cuestiones relativas a la protección del consumidor en el comercio electrónico, nota temática informativa
del presidente, 25 de mayo de 1999. ftaa. ecom/inf/27. público.
Andrea Burgos Puyo
del arbitraje, decide el caso conforme a lo que las mismas partes acuerdan y no
respecto a normas estatales.
Otros afirman que debe desarrollarse un derecho consuetudinario internacional de protección al consumidor. Se aclara, sin embargo, que en materia
de nombre de dominio se han resuelto casos sin que haya existido necesidad
de acudir a sistemas normativos nacionales, experiencia que podría tenerse en
cuenta en materia de consumidor.
Divergencias entre los programas existentes. Existe en los procedimientos
vigentes disparidad entre los elementos empleados, lo que causa confusión,
inestabilidad e inseguridad para el consumidor. Debe existir uniformidad en los
sistemas utilizados, de forma tal que permita otorgar al consumidor parámetros
claros preestablecidos. E-resolution y Squaretrade establecen masc en los que se
desarrollan procesos caso por caso, con comunicaciones vía correo electrónico.
Al contrario, empresas como Clicksettle, o Cibersolution, desarrollan sistemas
completamente automatizados. I Courthouse fija un sistema de jurado en línea,
que permite a las partes escoger al tercero neutral y que decidirá el caso en una
sala totalmente virtual. Existen diferencias también en cuanto a los costos y las
reglas procesales.
Algunos afirman que las divergencias en cuanto a las formas son normales,
dadas las diferencias que existen en los tipos de discusiones: por ejemplo, el arbitraje ha funcionado para resolver conflictos en materia de nombres de dominio; el
proceso de negociación automatizado funciona para resolver conflictos en materia
de seguros; y en materia de subastas en línea funciona muy bien la mediación.
Existen además mecanismos de solución que prestan las mismas empresas
internamente. American On Line (aol) crea el programa de certificación de
mercado. En el caso de e-Music, se establece que los conflictos con el consumidor
se resolverán reembolsando el dinero al cliente o sustituyendo los productos
de manera gratuita.
Control a los órganos encargados de resolver conflictos. Existe algún grado de
incertidumbre sobre los elementos que permitan mantener un alto nivel de
calidad en los órganos, que, por cumplir una función de tal importancia, otorguen al consumidor la suficiente fiabilidad en el acceso a la justicia. Es por esto
que se habla de la posible participación de los gobiernos para que garanticen
ciertas calidades básicas, lo cual redundaría en imparcialidad y eficacia en todos
los programas de masc (por ejemplo, mediante el establecimiento de sellos en
la página web que demuestren que las calidades del programa se encuentran
certificadas por el Gobierno).
Algunos reaccionan contra esta posibilidad, al afirmar que esto produciría
restricción a programas innovadores, y que la mejor forma de abordar el problema es el desarrollo privado manejado por códigos de conducta.


Obligatoriedad o voluntariedad. La obligación para el consumidor de acudir
o no a los mecanismos alternativos de resolución de disputas, así como la posterior opción de recurrir a los tribunales judiciales una vez se haya proferido la
decisión, en el caso del arbitraje, es un asunto que se encuentra en discusión en
lo referente a los conflictos en los que una de las partes es consumidor.
En el derecho europeo, la opción de acudir posteriormente a los tribunales
se deriva del hecho de hacer obligatoria la cláusula predispuesta aceptada antes
del surgimiento del conflicto. De esta manera lo enuncia la recomendación
europea al decir que
… la cláusula por la cual el consumidor acepta recurrir al medio alternativo antes del
surgimiento del desacuerdo no será obligatoria, cuando éste tenga por efecto privarlo
de acudir a los órganos jurisdiccionales competentes.
En otros ámbitos, como en el de las políticas anglosajonas de medios alternativos
de resolución de conflictos en relaciones de consumo a nivel internacional,
existen aún tendencias encontradas. Un sector apoya las ventajas del arbitraje, en
cuanto otorga fuerza obligatoria, da el carácter definitivo y explota los beneficios
de los mecanismos alternativos de resolución de disputas. Otros, al contrario,
apoyan la necesidad de acudir a los mecanismos alternativos de resolución de
disputas, mas no al arbitraje en materia de consumidor, puesto que se debe
conservar la posibilidad de acudir ante los jueces ordinarios.
Se puede, de la misma manera, observar la experiencia adquirida en Europa en torno a la resolución extrajudicial de conflictos desarrollada desde hace
bastante tiempo, y que genera efectivos resultados a la hora de resolver disputas en materia de consumo. Algunos ejemplos se encuentran en el ombudsman
de Dinamarca, cuya decisión no puede ser sometida a ninguna otra instancia,
mientras que los acuerdos propiciados por los jueces conciliadores podrán ser
elevados ante el tribunal de instancia en orden a su ejecución; las decisiones de
los órganos de arbitraje sectorial de Alemania no tienen entre las partes efecto
de cosa juzgada, no son obligatorias y, por lo tanto, las partes podrán acudir ante
otras instancias en caso de no estar de acuerdo con la resolución del asunto; en
el Reino Unido los laudos proferidos por el Charted Institute of Arbitration no
son susceptibles de ser instados ante los órganos jurisdiccionales. Son diversas
las opciones adoptadas al determinar la obligatoriedad o no de las decisiones
proferidas por los órganos de arbitraje; sin embargo, en el caso de la experiencia
europea éstas se soportan en normas internas, bien sean estatales o comunitarias,
que determinan su carácter.

ftc,
Ministerio de Hacienda y Economía de los Estados Unidos, Resumen del taller…, cit.
Andrea Burgos Puyo
Por lo anterior cabe preguntarse qué sucede con la obligatoriedad de los
mecanismos alternativos de resolución de conflictos a nivel internacional, en
la relación de consumo. En efecto, la regulación del arbitraje en casi todos los
países occidentales sigue las pautas marcadas por la ley modelo sobre arbitraje
comercial internacional, que establece el requisito de la voluntariedad en la
adopción del arbitraje como opción para las partes, el cual, una vez adoptado,
será obligatorio y se admite en contra del mismo solamente el recurso de nulidad,
con exclusión de cualesquiera otros recursos establecidos en otra ley procesal
del Estado de que se trate. Esto no impide que una de las partes trate de obtener
el control judicial por vía de excepción en el procedimiento de ejecución.
Es de aclarar, sin embargo, que dicha ley modelo adopta en su artículo 1.º el
criterio extenso de arbitraje comercial, y aclara que debe darse una interpretación
amplia a la expresión comercial para que abarque las cuestiones que se plantean
en todas las relaciones de índole comercial, contractuales o no. Sin embargo, la
relación de consumo, por oposición, no hace parte de dicho concepto, lo cual no
impide que se tengan siempre como marco de referencia los innegables avances
que en la materia realizan los organismos internacionales, que fijan reglas y
sirven como instituciones de arbitramento a nivel internacional.
De otro lado, no debe perderse de vista que en materia de consumidor, desde
el punto de vista práctico y mucho más cuando se refiere a medios digitales,
el generar planteamientos que determinen para el consumidor acudir a estas
instancias judiciales estatales tornaría inaplicable la protección de sus derechos.
Por esta razón, las garantías del consumidor en el proceso deben ser aplicadas
directamente allí en donde éste se presenta, mediante el establecimiento de
códigos de conducta y de otro tipo de controles directos.
I V . s i s t e m a s a c t ua l e s d e o d r
A. arbitraje
El arbitraje no es el más común cuando se trata de resolución de conflictos de
consumo.
Existe un tipo de arbitraje que resultaría contrario a su esencia misma: el
denominado arbitraje no obligatorio. Tiene fundamento en una de las mayores
dificultades que ha surtido la aplicación del arbitraje, relacionada con la aceptación, dado que según las normas de consumo de algunos países, entre ellos
 Adoptada por la Comisión de las Naciones Unidas para el Derecho Mercantil Internacional, el 21 de
junio de 1985, con el fin de armonizar y unificar la legislación en este punto.


los europeos, se prohíbe la aplicación de la cláusula compromisoria cuando
fue aceptada de manera previa al surgimiento del conflicto y cuando ha sido
incorporada en condiciones generales de contratación.
Al contrario, en los Estados Unidos las cláusulas de arbitraje son generalmente obligatorias a menos que esto vulnere los derechos del consumidor, como
sucedería en el caso de que se le impusieran honorarios excesivos. Por esto, la
American Arbitration Association (aaa), establece precios especiales cuando se
refiere a un proceso en el que intervenga un consumidor.
Los costos de la intervención de un árbitro que dirima el conflicto generan
también dificultades a la hora de establecer el arbitraje de consumo.
El arbitraje presenta dificultades, además de la determinación de la ley
aplicable, lo cual se solventaría en el caso en el que se decidiera en equidad.
B. la m e d i ac i  n
Es el segundo tipo de odr. Se distingue del arbitraje porque la decisión no
viene impuesta por un tercero, sino que éste ayuda a las partes a encontrar una
solución a sus desavenencias. Tiene por inconveniente que su decisión no tiene
por qué ser vinculante para las partes y carece de mecanismos de ejecución.
Dentro de esta categoría surge, con el desarrollo de las tecnologías de la
información, el sistema de negociación automática. Se realiza sin intervención
humana y es una gran innovación de los odr; su ámbito es especialmente el de
las reclamaciones monetarias, en las que no se discute más que la compensación
que el consumidor debe recibir. Se trata de ofrecer el software necesario para
que las partes realicen ofertas sobre la cantidad, sin que conozcan las de la
otra parte en conflicto. Cuando las ofertas de ambas llegan a una determinada
relación porcentual, se establece el acuerdo de forma automática en la cantidad
promedio de ambas. Es un sistema muy ágil y poco costoso.
C. asistencia de quejas
Este sistema tiene la particularidad de servir como intermediario entre el empresario y el consumidor, buscando el acercamiento de ambos. Pretende ayudar al
consumidor a formular una queja concreta y pedir la consiguiente reparación.
D. mecanismos de devolucin
d e c a r g o s d e ta r j e ta d e c r  d i t o
Se trata de un procedimiento en el que el titular de la tarjeta puede dirigirse al
banco para rechazar el pago de una transacción pagada con la tarjeta.
Andrea Burgos Puyo
El banco considerará si la negativa al pago está justificada por existencia de
fraude en el uso de la tarjeta o de incumplimiento por parte del empresario. Por
esto, la entidad bancaria actúa de manera similar a un árbitro.
V. aplicacin de los odr junto a los
sistemas de sellos de confianza
Los sellos o símbolos de confianza, denominados trustmark, se relacionan directamente con los masc, en la medida en que para poseerlos el proveedor de
bienes o servicios requiere acogerse a un código de conducta determinado, en el
cual se obliga a resolver sus disputas por medio de los métodos alternativos.
Como fue estudiado en el capítulo referente a la autorregulación, existen
instrumentos implementados por asociaciones de empresarios, Gobierno y
consumidores, que buscan brindar la confianza requerida en internet, con lo
cual se llevan a los medios electrónicos las experiencias adquiridas en los medios
tradicionales.
La creación de los códigos de conducta puede ir acompañada de trustmark
o marcas de calidad. Esto significa que los empresarios que adhieren a un determinado código podrán incluir un sello de fiabilidad en su página web con
el fin de generar confianza en el consumidor hacia sus servicios. Dicho sello
puede servir además como enlace a la página web de la organización que redactó
el código de conducta, para que el consumidor pueda consultarlo, o incluso
presentar una reclamación ante el tercero de confianza que adopta una posición
neutral en dicho engranaje.
Este sistema de confianza se inicia cuando el comerciante solicita el sello
de confianza, el cual será otorgado solamente al comprobarse el cumplimiento
de los parámetros establecidos por el código de conducta. Una vez otorgado, la
entidad que certifica al comerciante vigila la conformidad y aplicación posterior
de dichos parámetros.
A su vez el comerciante deberá pagar al órgano por haberle otorgado el sello de calidad, lo cual da al consumidor fiabilidad a la hora de negociar con un
determinado comerciante que ofrece sus servicios en línea y, si lo desea, podrá
dirigirse directamente al tercero de confianza con el fin de complementar la
información requerida.
 Aurelio López Taruella. “La protección del consumidor comunitario en los contratos transfronterizos
celebrados en internet”, en Mecanismos alternativos de regulación, Universidad de Alicante, 2 de abril
de 2001, en [www.ualicante.edu.es].
 American Bar Association y Washington University, “Task force on e-commerce & alternative dispute


Los masc en línea en la mayoría de los casos sirven de complemento a los
códigos de conducta. Así, la asociación que propone el código puede poseer
un órgano encargado de conocer de las reclamaciones de los consumidores
sobre empresas adheridas al código. El empresario, al aceptar el código y colocar el trustmark en su página web, se somete a estos órganos para resolver sus
conflictos. La página que ofrece el sello de confianza permite al consumidor
la búsqueda de los portales afiliados al programa y que ofrecen los bienes o
servicios requeridos por éste.
Aun cuando son innegables las ventajas que para el consumidor y el empresario posee dicho mecanismo, surgen nuevas inquietudes a la hora de verificar
su aplicación, especialmente al referirse a entornos de carácter internacional,
relacionados con aspectos como: el libre acceso al mercado puede crear una
gran cantidad de trustmark que provoquen una confusión en el consumidor
sobre la utilidad de las mismas y sobre la función que están llamadas a cumplir.
Deben determinarse las responsabilidades y aclarar las relaciones contractuales
existentes en el uso de dichos sellos de confianza y cómo serán adicionalmente
vigilados los órganos que actúan como terceros de confianza, además de cómo
puede llegar a aplicarse efectivamente el fallo o el acuerdo logrado en este tipo
de tribunales.
Con miras a resolver estas inquietudes, la American Bar Association de
Estados Unidos propone la creación de un órgano central o trustmark global,
que respondería a los principios de cooperación, globalidad y unificación, por
los cuales propugnan las instituciones en internet. El objeto sería el de proporcionar un símbolo global sobre la base de principios unificados, el cual debe,
sin embargo, ser lo suficientemente flexible para permitir el acercamiento de
los diferentes métodos existentes.
Este trustmark central podría vigilar las actividades de los proveedores de
sellos de confianza y de métodos de solución de conflictos frente al consumidor, y revocar su participación en el programa al encontrar que alguno de ellos
incumple los parámetros adoptados. Este órgano central resolvería, al mismo
tiempo, los conflictos existentes con los proveedores de masc; proporcionaría
guías de consulta en las cuales se describan las formas óptimas de resolución
de conflictos de acceso y validez en cualquier parte del mundo, las cuales variarían en la medida en que se den los cambios en las tecnologías. El trustmark
propuesto representaría igualmente un símbolo de confiabilidad para quien
resolution, Draft preliminary report & concept paper”, May. 2001, en [www.law.washington.edu/abaeadr].
Andrea Burgos Puyo
adopte estándares comunes, y serviría como órgano central de información
referente a los proveedores de masc existentes en el mundo.
Este sistema de uniformidad ya había sido planteado por la doctrina, con
la propuesta de la creación del ombudsman europeo de los consumidores, o la
creación de una agencia europea del consumidor a nivel comunitario, en orden
a recoger la información sobre las reclamaciones de consumo y su tratamiento,
publicar la información necesaria para los consumidores sobre las reclamaciones
internacionales y ayudar a los centros de asesoramiento en materia de consumo
en el tratamiento de los litigios (direcciones de los asesores en otros Estados
miembros, intercambio de informaciones sobre las legislaciones y los principios
de derecho internacional privado, etc.), al igual que la creación de las condiciones
mínimas que deben reunirse para obtener la etiqueta de ombudsman.

los autores
Dan Bryant. Socio de la firma Leonard, Street y Deinard; miembro del Departamento de
Derecho de la Propiedad Intelectual y Tecnologías de la Información de la misma firma. Su
práctica se centra en propiedad intelectual, tecnologías de la información, licenciamiento
y derecho del comercio electrónico. [[email protected]].
Andrea Burgos Puyo. Abogada de la Universidad Externado de Colombia, especializada
en Derecho de los Negocios, Máster en Asesoría Jurídica de Empresas en el Instituto de
Empresa (Madrid-España). Se ha desemepeñado como Docente Investigadora en los temas de comercio electrónico y contratación internacional y ha publicado diversos estudios
relacionados con los temas de derecho y tecnologías de la información.
Sol Beatriz Calle D’Aleman. Abogada Universidad de Medellín. Doctorada en Derecho
de la Universidad Externado de Colombia. Magíster en Derecho de las Tecnologías de la
Información y las Comunicaciones, de la Universidad Complutense de Madrid. Docente e
investigadora del Departamento de Derecho de los Negocios de la Universidad Externado
de Colombia. Miembro de la firma Velasco, Calle & D’Aleman –abogados en Derecho de
las Tecnologías de la Información y Comunicaciones–.
Wilmar Arturo Castellanos Morales. Ingeniero de Sistemas de la Universidad Nacional.
Gerente de proyectos relacionados con gestión de seguridad de la información, evaluación
de vulnerabilidades, identificación de riesgos informáticos, diseño e implementación de
seguridad en infraestructuras de comunicaciones y en soluciones basadas en internet.
Auditor certificado de Sistemas de Información cisa –Certified Information Systems Auditor–, 2003; Administrador Certificado de Seguridad de la Información cism –Certified
Information Security Manager–, 2005; Certified BS7799-2 Lead Auditor, 2005; miembro
de isaca –Information Systems Audit and Control Association– Bogotá Chapter, 2002.
Gerente de Consultoría en Riesgos de la firma Deloitte.
Stephen Davidson. Chairman del Departamento de Derecho de la Propiedad Intelectual
y Tecnologías de Información, en Minneapolis, de la firma Leonard, Street y Deinard
(Minneapolis, Minnesota); dentro de sus funciones está la de representar a clientes de los
Estados Unidos en el desarrollo de proyectos, transacciones y litigios que tienen que ver
con tecnologías de la información. Es profesor adjunto de Derecho de la Universidad de
Minnesota. Conferencista en Estados Unidos, Canadá y Europa, autor de varios artículos
relacionados con los derechos de propiedad intelectual y temas de usuarios y vendedores
que involucran tecnologías y litigios relacionados. [[email protected]].
Carlos Mario Duque. Candidato a Doctor en Ingeniería de la Facultad de Minas de la
Universidad Nacional, Magíster en Administración, Ingeniero Geólogo e Ingeniero de
Sistemas. Entre otros cargos y actividades se ha desempeñado como Jefe de Sistemas del
Instituto de Valorización Municipal de Medellín, Jefe de Análisis y Desarollo de Sistemas
de Protección S.A., Gerente de Proyectos de Procibernética S.A., Gerente de Information
Risk Management de kpmg Advisory Services, Gerente de Consultoría de Business and


Risk Management de brm Group. Ha realizado numerosas ponencias sobre la materia de
su especialidad en eventos nacionales e internacionales: iii Encuentro de Competitividad
(Colombia), Convención Asobancaria (Colombia), ii Encuentro de la Escuela de Contadores
Públicos (Venezuela), Eventos Channel Planet (Colombia), Expo E-Commerce (Colombia),
Federación Latinoamericana de Bancos (felaban), La Habana, entre otros.
Róbinson Guerrero Clavijo. Abogado de la Universidad Externado de Colombia. Máster en Derecho de Empresa, Tecnologías de la Información y Propiedad Intelectual de la
Universidad Antonio de Nebrija (Madrid, España). Se ha desempeñado como abogado
en Landwell Price Waterhouse Coopers (Madrid, España) en el área de tecnologías de
la información. Actualmente es abogado asociado de dla Piper Rudnick Gray Carrie en
Madrid, en el área de propiedad intelectual.
Gabriel Holloway. Asociado del Departamento de Derecho de la Propiedad Intelectual y
Tecnologías de la Información de la firma Leonard, Street y Deinard. Representa clientes
en litigios que involucran tecnologías de la información. [[email protected]].
Alberto Jiménez Rozo. Abogado de la Universidad Externado de Colombia, especialista
en Derecho de Negocios de la misma Universidad. Máster en Tecnologías para la pyme,
énfasis jurídico, Universidad de Salamanca, España. Ha realizado cursos en Informática
Jurídica y Comercio Electrónico (usal-Carlos iii/España, 2004); Liderazgo en Mejores
Prácticas y Estrategias de Gobierno y Democracia Electrónica (Externado/Cooperación
Alemana gtz, junio 2006). Desarrolló como trabajo de investigación “Provisión del servicio de aplicaciones por internet para la pyme”, en usal/Nova Binary S.L., España. Se ha
desempeñado como profesional y asesor de la Secretaría General de la Alcaldía Mayor de
Bogotá, abogado ponente, intendente regional y coordinador en grupos de análisis jurídico,
inversión y deuda externa, reglamentación especial y control de sociedades mercantiles de
la Superintendencia de Sociedades. Actualmente es profesional independiente. [[email protected]].
Miki Kapsner. Asociada de la firma Leonard, Street y Deinard, miembro del Departamento
de Derecho de la Propiedad Intelectual y Tecnologías de la Información de la misma firma.
La práctica de esta abogada se centra en temas de propiedad intelectual, tecnologías de
información, licencias y derecho del comercio electrónico. [[email protected]].
Daniel Peña Valenzuela. Abogado de la Universidad Externado de Colombia, especialista en “Propriété Intellectuelle, Accords Industriels et Droit des Nouvelles Tecnologies”
(dess) de la Université Pierre Mendès-France (Grenoble ii) y Master en Leyes (llm) con
énfasis en “Information technology law and commercial law” de la Universidad de Londres
(University College London, ucl). Actualmente es docente de pregrado y posgrado de la
Universidad Externado de Colombia, Director del Grupo de Investigación en Comercio
Electrónico de la misma universidad, socio de la firma Cavelier Abogados y árbitro de la Organización Mundial de la Propiedad Intelectual y de la Cámara de Comercio de Bogotá.
Los autores
Milena Quijano Zapata. Abogada de la Universidad del Norte (Barranquilla), especialista
en Derecho Comercial de la Universidad Pontificia Bolivariana, en Derecho de los Negocios
de la Universidad Externado de Colombia, y en Contratos Telemáticos de la Universidad de
Buenos Aires, dentro del programa de Posgrado de Actualización en Derecho Informático.
Ganadora de la iii Convocatoria del Concurso de Investigación Jurídica Mercantil “Gastón
Abello” de la Cámara de Comercio de Barranquilla (2001-2002). Investigadora y autora de
artículos relativos al derecho del ciberespacio. Fundadora y directora de i-Uris.com.
Juan Carlos Samper Posada. Ingeniero Industrial de la Universidad de los Andes. mba
Training Technology Corporation (Bogotá, 1998); con estudios en 6th World Summit of
Young Entrepreneurs (Lyon, France, 1998), Developing a Brand Strategy for a Country
(Dipak Jain, marzo 2005); Getting Things Done (Bogotá, septiembre 2006), entre otros.
Profesor del Diplomado de Comercio Electrónico de la Universidad Externado de Colombia;
Conferencista en medios on line en universidades colombianas (Andes, Tadeo, Externado,
Central, Politécnico Grancolombiano, Incolda); Conferencista en congresos nacionales en
temas de mercadeo y publicidad; Columnista de la revista PyM acerca de internet como
medio; Conferencista Channel Planet (medición del impacto de la publicidad on line),
Bogotá, septiembre de 2006. Se ha desempeñado como gerente administrativo, financiero
y comercial de la ciudad.com, entre otros. Fundador y socio de empresas como I-Network
Hispanoamérica S.A. [www.i-network.com.co], The Net Design Ltda. [www.thenetdesign.
com] y Kryptonita Digital S.A. [www.kritponitadigital.com] [jcsamper@jcsampercom].
Actualmente es ceo de I-Network Hispanoamérica.
Emilio Suñé Llinás. Doctor cum laude en Derecho por la Universidad Complutense de
Madrid. En la actualidad es Profesor Titular de Filosofía del Derecho en la Facultad de
Derecho de la Universidad Complutense y desempeña el cargo académico de Director del
Servicio de Publicaciones de la referida Facultad. Está excedente en el Cuerpo Técnico
Superior de Administración General de la Comunidad. Desde 1983 fue Jefe de Proyecto
Informático en epimsa (actual icm) donde creó y asumió la dirección jurídica de las bases
de datos normativa y parlamentaria de la Comunidad de Madrid. En 1987 y 1988 fue Vocal Asesor en el Ministerio de Relaciones con las Cortes y de la Secretaría del Gobierno,
encargándose de dirigir el Área Funcional de Documentación Automatizada. Perteneció
a la Comisión de Informática del Ministerio y al Grupo de Apoyo para el Desarrollo de
la Base de Datos Iberlex (boe) Fue también Director de Informática del Consejo General
del Notariado. Actual Director del Máster en Informática y Derecho de la Universidad
Complutense de Madrid, Presidente del Comité Organizador del ii Congreso Mundial de
Derecho Informático que se celebró en Madrid en septiembre de 2002 y Presidente del
Centro Internacional de Informática y Derecho (ciid).
Guillermo Tamayo. Abogado egresado de la Universidad Externado de Colombia; especialista en Derecho Comercial de la Universidad de los Andes. Profesor de Derecho de los
Negocios de la Universidad Externado de Colombia. Presidente de la Asociación Colombiana de la Propiedad Industrial (acpi) (2004-2006). Se ha desempeñado como Abogado
Asociado de Brigard & Castro Abogados (1996-2004), Director Departamento Legal de
ebel International Limited en Colombia (Bel Star) 2005-julio 2006. Actualmente es Gerente
Legal Corporativo de American Assist International Ltd.

Editado por el Departamento de Publicaciones
de la Universidad Externado de Colombia
en septiembre de 2007
Se compuso en caracteres Ehrhardt mt de 11.5 puntos
y se imprimió sobre Propalbond de 70 gramos
Bogotá, Colombia
Post tenebras spero lucem

Untitled - Universidad Externado de Colombia

Transcription

Similar documents

PDF Link - Revista Latinoamericana de Metalurgia y Materiales

CLERO 3 abril 2016 - Our Lady of the Mountains

Perros RSG86 - entrevista

2015 -16 Dress Code Update

The 19 DE SEPTIEMBRE 2010 President of ARTS

Dibujos de Eduardo Arroyo Fotografía de Michal Novak

Tuesday mail 060215 - Alexander Valley Elementary

From the Principal`s Pen

Mass Schedule - Resurrection Catholic Church