Desayuno jurídico empresarial: «Nuevas Tecnologías y la Sociedad de la Información»

El próximo 13 de setiembre a las 8 am se llevará a cabo el «Quinto desayuno jurídico empresarial» organizado por la Universidad Pacífico y Telefónica del Perú denominado «Nuevas Tecnologías y la Sociedad de la Información» en celebración de sus cincuenta años de fundación y donde participarán miembros del equipo de Blawyer.org. La cita es The Westin Lima Hotel and Convention Center. Para mayor información consultar aquí.

Hologramas y Derecho

Los primeros registros que tengo la palabra «holograma» (y la denominada técnica de la holografía) son muy vagos y quizás los más coloquiales que vienen a mi mente son los de esa famosa serie animada ochentera «Jem and the Holograms» cuya trama, según Wikipedia, es relatada de la siguiente manera:

«Una noche, Jerrica recibe un regalo que su padre le tenía reservado antes de morir, un par de  pendientes en forma de estrellas que esconden un mágico secreto. Nada más ponérselos, aparece ante ella una mujer holográfica que la conduce a ella y a sus amigas a la bodega de un autocinema clausurado, donde se oculta la computadora central llamada Synergy, un artefacto capaz de generar hologramas de gran realismo, cambiar la forma de los objetos y crear imágenes mágicas, artísticas e irreales. Jerrica comprende al momento que su padre le ha dejado el más poderoso y peligroso artefacto de multimedia jamás creado». (Ver video)

Sin embargo en abril del presente año un hecho singular dio la vuelta al mundo durante el ya famoso festival musical de Coachella en Estados Unidos, evento que me trajo nuevamente a la mente el concepto de «holograma», más allá del uso ficcional de la serie antes mencionada. Se trataba nada más y nada menos que del reconocido rapero Tupac Shakur dando un concierto post mortem a través de un holograma con su imagen. Es más, se unieron al escenario de Tupac, Dr. Dre y Snoop Doggy Dog haciendo un espectáculo lleno de nostalgia para los fans del fallecido cantante. Durante los días siguientes la prensa informó que lo propio se haría con Freddie Mercury y Marilyn Monroe.

Sin embargo la tecnología utilizada para reproducir hologramas no ha funcionado únicamente para resucitar artistas. La famosa cantante Mariah Carey brindó el año pasado un show en simultaneo en cinco ciudades europeas en el marco de una campaña de Deutsche Telekom.

En el ámbito político el gobierno colombiano destaca en el uso de este formato. Tanto el Presidente Santos como el Ministro de Tecnologías de la Información y Comunicaciones, Diego Molano, han utilizado el formato de holograma para transmitir sus mensajes políticos cuando físicamente les fue imposible asistir a una ubicación específica.

En el ámbito de la televisión CNN utilizó el holograma de la conductora Jessica Yellin durante las elecciones presidenciales pasadas. En el Perú, America Televisión y Canal N hicieron lo propio en la jornada electoral pasada.

Como se puede apreciar el caso de Tupac Shakur no ha sido el primero en el uso de hologramas pero definitivamente conmocionó al mundo por el realismo mostrado en su presentación. Sin embargo, la tecnología utilizada no habría partido de algo tan sofisticado  sino que estaría basada en una vieja técnica del siglo XIX que combina principios físicos con el juego de luces y espejos denominada Pepper’s Ghost (1862) (más información aquí) y que habría sido utilizada por la misma empresa que montó el show de Shakur para proyectar un concierto de Madonna con Gorillaz en la premiación de los Grammys del año 2005.

La alta tecnología, sin duda, nos deslumbra pero ¿qué sucede con los aspectos legales vinculados a la explotación comercial de hologramas en relación con los derechos de imagen y de propiedad intelectual?

Nick Smith, representante de la empresa AV Concepts que proyectó el holograma de Shakur indicó en una entrevista posterior «Uno puede tomar las semejanzas y la voz del personaje…y llevar gente que nunca ha realizado conciertos en el pasado ó hacerlos tocar musica que nunca han cantado y recrearla digitalmente«.

En el terreno de los derechos de autor tenemos, en primer lugar, los aspectos vinculados al licenciamiento de la música. Así, para utilizar cualquier obra musical protegida por derechos de autor se tiene que contar con la autorización previa y expresa del titular. Si el titular ha confiado la administración de algunos de sus derechos patrimoniales a una entidad de gestión colectiva, el usuario tendrá que solicitarla a ésta. Lo mismo aplicaría a cualquier elemento protegido por derechos de autor tales como fotografías, artes del album  y cualquier otro derecho conexo vinculado a la difusión del holograma.

En el caso del derecho marcario el usuario de un holograma deberá asegurarse de no infringir ninguna marca asociada al personaje. Si el uso del mismo involucra una marca ajena se deberán adoptar tambien los resguardos respectivos.

Otro aspecto fundamental, y distinto al de propiedad intelectual, es el relacionado con los derechos de imagen y voz que en Estados Unidos se encuentran más próximos al concepto de «publicity rights«. Es importante determinar quien posee los derechos sobre la imagen de la persona sobre la que se basa el holograma. Al respecto cabe precisar que, según la tendencia mostrada por la jurisprudencia estadounidense, en muchos casos incluso las imitaciones o imagenes que evoquen características esenciales de un personaje y que sean explotadas comercialmente requieren el referido permiso (ver al respecto Midler v. Ford Motor Co., 1988)

En el Perú el derecho a la imagen se encuentra regulado en el artículo 2 inciso 7 de la Constitución Política de 1993 cautelando el «honor y (…) la buena reputación, (…) la intimidad personal y familiar así como a la voz y a la imagen propias«. El Código Civil de 1984 desarrolla este dispositivo en su artículo 15:

«La imagen y la voz de una persona no pueden ser aprovechadas sin autorizacion expresa de ella o, si ha muerto, sin el asentimiento de su conyuge, descendientes, ascendientes o hermanos, excluyentemente y en este orden.

Dicho asentimiento no es necesario cuando la utilizacion de la imagen y la voz se justifique por la notoriedad de la persona, por el cargo que desempeñe, por hechos de importancia o interes publico o por motivos de indole cientifica, didactica o cultural y siempre que se relacione con hechos o ceremonias de interes general que se celebren en publico.

No rigen estas excepciones cuando la utilizacion de la imagen o la voz atente contra el honor, el decoro o la reputación de la persona a quien corresponden«.

Nos encontramos ante viejas soluciones jurídicas para problemas novedosos que resultan siendo plenamente aplicables al margen de la tecnología utilizada.

Cuando tu equipo personal entre por la puerta, la información saldrá por la ventana

Qué fácil era cuando todos teníamos Blackberry, pero ahora vemos una larga variedad de equipos móviles en la oficina: smartphones, tablets, netbooks y las laptops de toda la vida. Bien por el consumidor, que ahora tenemos muchas opciones y mejores precios. Pero, cuando lo analizamos desde el punto de vista corporativo, la cosa ya toma otro matiz.

Desde hace un tiempo las empresas están aceptando que sus trabajadores usen sus equipos personales en la oficina. Es decir, que configuren el correo corporativo en el smartphone personal, que guarden documentos de clientes en sus laptops o accedan a aplicativos de la empresa desde sus iPads. Si no es política de la organización entregar estos equipos a sus empleados, la alternativa viene siendo que traigan los suyos propios para trabajar. Así nace una tendencia a nivel mundial llamada BYOD (Bring Your Own Device).

Muchos la vienen adoptando con entusiasmo. Sin embargo, hay un potencial riesgo de seguridad y privacidad que puede resultar siendo más costoso. ¿Se han preguntado qué sucede con la información que contiene un smartphone cuando se pierde o es robado?

The Lost Smartphone Problem fue estudio realizado en organizaciones pertenecientes a diferentes sectores de la economía estadounidense. El mismo señala que al año se pierden o roban más de 140 mil smartphones, de los cuales el 47% de casos se ha dado cuando el trabajador está fuera de la empresa, 29% mientras estuvieron de viaje, 13% en la oficina y el 11% restante no sabe ni dónde ni cómo.

Por su parte, The Symantec Smartphone Honey Stick Project fue un interesante experimento que consistió en abandonar 50 smartphones en diferentes ciudades de los EE.UU, con mecanismos para monitorear qué pasaba con ellos luego de ser encontrados por extraños (ver infografía). Los resultados mostraron que el 83% de quienes los encontraron accedieron a información personal y corporativa, y sólo el 50% se pusieron el contacto con el dueño para devolverlo. ¿Qué pasaría en el Perú en un ejercicio como este?

El punto es que los dispositivos pueden ser reemplazados, pero la información almacenada en ellos se encuentra en riesgo a menos que se tomen las precauciones necesarias para protegerla. Lo más grave es que las empresas no son conscientes de ello dejando muchas veces la seguridad en manos de los dueños de esos equipos.

Políticas de seguridad

Particularmente, considero un riesgo utilizar equipos personales para el trabajo, debido que la empresa tiene restricciones sobre ellos, con respecto a la ejecución de mecanismos de seguridad. Si los equipos son de la empresa se podrían implementar medidas como:

  • Contraseñas de bloqueo cada cierto tiempo de inactividad.
  • Mecanismo para formatear el equipo remotamente.
  • Encriptación de la información (correos, documentos, etc)
  • Instalar y mantener actualizado el antivirus y antispam.
  • Mantener actualizado el sistema operativo y otras aplicaciones (parches de seguridad)
  • Limitar o controlar la instalación de aplicaciones (evitar programas maliciosos)
  • Rastrear el equipo a través de un GPS.

BYOD

Si la tendencia va por el lado de permitir un esquema BYOD, mi recomendación es configurar una conexión remota a través de una VPN (Virtual Private Network). Esto aseguraría que en el equipo se conserve la menor cantidad de información de trabajo.

Paralelamente, antes de lanzar el proyecto sería saludable responder a las siguientes interrogantes:

  • ¿Se permitirían todo tipo de modelos de smartphones o tablets?.
  • ¿La conexión a los recursos de la empresa sería directa (correo, agendas, aplicativos) o a través de VPN?
  • ¿La empresa estará en la capacidad de implantar una configuración básica, exigiendo tener instalado (y actualizado) un mínimo de aplicaciones a fin de resguardar la seguridad de la información?
  • ¿Se aceptará la posibilidad de formatear el equipo como consecuencia de alguna falla o aplicación maliciosa, sin que la empresa se haga responsable de la información o aplicaciones personales que no se puedan recuperar (fotos, videos, aplicaciones, etc)?
  • ¿Será posible comprometer al dueño del equipo que, por razones de seguridad, se limitará o bloqueará la descarga e instalación de archivos y aplicativos riesgosos o que infrinjan el derecho de propiedad intelectual?
  • En caso el trabajador deje la organización ¿cómo asegurar que la información corporativa no se vaya con él?
  • ¿Cuál sería el nivel de soporte informático que la empresa ofrecería para estos equipos? Estaría limitado sólo a aplicaciones de índole laboral (correo electrónico, agendas, etc)?
  • Para los casos de accidente, pérdida o robo ¿habrá reposición? Para los casos de desperfectos ¿se ofrecerán equipos temporales?

Pienso que aclarando estas dudas se puede llegar a tener un dimensionamiento claro sobre lo que puede significar, realmente, adoptar un esquema BYOD en la organización.

Sube a mi nube, Nubeluz

Seguro que el término Cloud Computing ya no es exclusivo de las conversaciones entre los “techies” de la oficina. Sospecho que pocos son quienes realmente saben de qué va la cosa y quizás los CSP (Cloud Service Providers) estén apostando a que mientras más familiar sea el término, más fácil será convencernos de que no hay nada por qué preocuparse.

No somos pocos los que pensamos que los principales puntos críticos de esta tecnología recaen en la confidencialidad de la información y la responsabilidad derivada de incidentes relacionados con este servicio. En este sentido, vale la pena dar un vistazo para ver si existe regulación o algún tipo de guía sobre la nube.

España y Europa

Hace unas semanas la Agencia Española de Protección de Datos junto al Consejo General de la Abogacía Española publicaron el informe titulado “Utilización del Cloud Computing por los despachos de abogados y el derecho a la protección de datos de carácter personal” (aquí). Este documento ofrece orientación sobre los aspectos a tomar en cuenta en caso quisiéramos contratar estos servicios, considerando como base 3 aspectos claves:

  • Responsabilidad sobre el tratamiento de los datos, así como la normativa y jurisdicción aplicables.
  • Seguridad y confidencialidad de los datos.
  • Aspectos técnicos y jurídicos del contrato que debe firmarse.

Documento por demás valioso tomando en cuenta que los abogados son depositarios de la información de sus clientes, y como tales, tienen el deber de guardar la privacidad de la misma, así como el secreto profesional.

A principios de año la European Network and Information Security Agency (ENISA) publicó “A guide to monitoring of security service levels in cloud contracts” (aquí), una guía práctica para verificar que se cumplan todos los aspectos relacionados con la seguridad de la información. Si bien está enfocada al sector público, funciona perfectamente para el privado.

La misma Agencia publicó tiempo atrás la Cloud Computing Risk Assessment (tiene versión en español) que presenta un exhaustivo análisis de las ventajas, riesgos y vulnerabilidades de la nube (como para que no nos cuenten cuentos). Además, incluye criterios para evaluar riesgos, comparar ofertas de distintos CSP y asegurar un adecuado nivel de servicios. Muy didáctico, porque lo desarrollan tomando como escenario un caso de migración de una MYPE hacia la nube.

Vayan hasta el final de este documento, que trae como anexo un análisis de cinco cuestionamientos legales que suelen preocuparnos a quienes miramos con cierta expectativa a este nuevo paradigma, como son:

  • Protección de datos (disponibilidad, integridad y garantías)
  • Confidencialidad
  • Propiedad intelectual
  • Negligencia profesional
  • Servicios de subcontratación y cambios de control.

Estados Unidos

Desde 2010 EE.UU cuenta con un plan llamado Cloud First y la Federal Cloud Computing Strategy, enfocados a reducir la infraestructura informática tradicional en manos de las entidades de gobierno, migrándola a la nube en aquellos casos que sea más eficiente términos operativos y económicos.

En esa línea, The Federal Risk and Authorization Management Program (FedRAMP) es un programa creado por (y para) el gobierno estadounidense que responde a le necesidad de estandarizar criterios de evaluación y supervisión de servicios ofrecidos en la nube. Funciona así:

  • Los CSP deben implementar los requisitos de seguridad de la FedRAMP (basados en Federal Information Security Management Act – FISMA y la NIST 800-53)
  • Contratar los servicios de una empresa que audite sus servicios y productos (hay una lista de auditoras certificadas).
  • Luego de pasar la auditoría la FedRAMP incluye al CSP en su registro de proveedores homologados.

El objetivo es evaluar sólo una vez a los proveedores y que las agencias de gobierno utilicen estos resultados tantas veces como sea necesario, evitando repetir procesos de selección una y otra vez.

Si bien el enfoque es para las agencias de gobierno norteamericanas, se rescatan criterios interesantes que se pueden implementar en el sector privado.

Epílogo

En verdad el hemisferio norte siempre está a la vanguardia en temas tecnológicos, así que quienes tenemos en la mira cambiar nuestra “gestión de activos” por una “gestión de servicios” contamos con un material valioso y de lectura obligatoria. No hay pretextos.

Sin embargo, situándonos por este lado del hemisferio, la regulación es casi nula, por lo que habría que utilizar otras herramientas antes de tomar una decisión tan importante y de tanto impacto. Ya será para la próxima.

Y no podrán botarte…

Es sabido que el uso de las nuevas tecnologías en el centro de trabajo es un aspecto que puede generar -y de hecho genera- una serie de tensiones entre empleadores y trabajadores, conflictos que muchas veces suelen terminar discutiéndose en los tribunales.

No obstante, esta tirantez no se ha traducido en el Perú en una gran jurisprudencia sobre la materia. Como antecedentes identificados, tenemos la Sentencia del Tribunal Constitucional en el conocido caso García Mendoza v. Serpost (Uso de Internet en el trabajo, pensando en voz alta) y un par de Proyectos de Ley presentados en el Congreso de la República para regular el uso de las nuevas tecnologías en centros laborales, curiosamente ambos por la parlamentaria Lazo de Hornung de Alianza Parlamentaria (Regulando las comunicaciones electrónicas en el trabajo).

Hace poco nuestro Tribunal Constitucional nos ha sorprendido con dos sentencias más sobre la materia.

En primer caso de Telefónica Centros de Cobro (Exp. No. 00114-2011-PA/TC), la empresa descubre que su Jefe Zonal de Piura viene utilizando una aplicación conocida como NetSend así como el sistema de envío de mansajes cortos (SMS) del teléfono celular corporativo para sostener conversaciones con un lenguaje «soez e impropio» y «ajenas a las que deben darse en un centro de trabajo ya que son de contenido sexual» con una empleada de la empresa. El otro caso, de Telefónica Gestión de Servicios Compartidos (Exp. No. 03599-2010-PA/TC), parece que está relacionado con el primero, y correspondería a la señorita que mantuvo las conversaciones soeces, impropias y de contenido sexual con su jefe, a la sazón Jefe Zonal de Piura, a través de la aplicación NetSend. En ambos procesos, el Poder Judicial en dos instancias decidió prudentemente declarar improcedente las demandas, por considerar que los hechos no podían ventilarse en un proceso de amparo. Pero ya sabemos que la ausencia de una etapa probatoria no intimida a nuestro Constitucional y rara vez se inhibe de decidir, aún cuando debiera hacerlo. Son las ventajas de encontrarse por encima del bien y del mal.

Ninguna de las dos sentencias van a pasar a la posteridad, como ocurre con la inmensa mayoría de las toneladas folios que expide al año nuestro Constitucional, en lo que vendría a ser una versión posmoderna y perversa del fordismo aplicado a los tribunales, pues la carga de trabajo es inversamente proporcional a la calidad de las resoluciones. El Tribunal Constitucional peruano ha ampliado conscientemente sus competencias casi al infinito lo que lo ha convertido en una suerte de instancia adiconal paralela a la judicial. Algo falla en el sistema y en particular con el Tribunal Constitucional a la cabeza, pero no es este el foro para discutirlo.

En lo que respecta a estas dos extrañas sentencias, ambas están conformadas por seis votos distintos. Tres se decantan por declarar fundadas las demandas, dos por que sean declaradas infundadas y una para que sean tramitadas y no declaradas improcedentes de forma liminar, como ocurrió inicialmente en las dos instancias anteriores.

No obstante, dado que incluso los votos que van por el camino de declarar a la demanda como fundada no son coincidentes, es poco lo que se puede extraer como conclusión respecto de cuál sería el criterio que los empleadores deberían seguir cuando se enfrenten a este tipo de casos. Pero la seguridad jurídica y la predictibilidad tampoco suele ser principios que inspiren a nuestro Tribunal Constitucional.

Para Mesía Ramirez el poder disciplinario que tiene el empleador no lo faculta para acceder al contenido de correos electrónicos o de aplicativos del tipo NetSend, sin autorización judicial. Cuestionable, incluso cita mal dos asuntos seguidos ante el Tribunal Europeo de Derechos Humanos (Asuntos Copland contra Reino Unido y Halford contra Reino Unido). Calle Hayen es de la misma opinión. Eto Cruz, parece destacar con acierto que la Ley no ha previsto ningún procedimiento ni garantía para la intervención de las comunicaciones de los trabajadores por la protección de determinados derechos constitucionales del empleador; sin embargo, considera que la demanda debe declararse fundada, pues el Reglamento de Trabajo de las demandadas carece de alguna alusión respecto del uso de las tecnologías de la información por parte de los trabajadores, ni las formas de utilización de las mismas, ni la capacidad de fiscalización, ni menos aún las sanciones correspondientes por el uso indebido. Razonable.

Vayamos ahora al bando que quedó en minoría. Álvarez Miranda, en lo que viene a ser de lejos el voto mejor sustentado, considera que «no puede asimilarse mecánicamente el tratamiento de las cuentas privadas a las laborales. (…) No puede entenderse que una sesión de chat realizada a través de una aplicación proporcionada por el empleador, como herramienta de trabajo, haya generado una expectativa razonable de confidencialidad. (…) Puede decirse que el e-mail laboral y el chat o mensajero interno, son medios de comunicación laboral, al igual que los clásicos memorandos, oficios o requerimientos, sólo que más rápidos, prácticos y ecoeficientes que estos últimos. Y no se puede desprender, razonablemente, por su propia naturaleza, que un oficio, memorando o requerimiento sea un medio de comunicación sobre el que quepa guardar una expectativa de secreto o confidencialidad». Para Urviola Hani, ni tipificación en el Reglamento de Trabajo ni nada por el estilo, el correo o cualquier herramienta informática es únicamente para fines laborales. Finalmente, Vergara Gotteli nos dirá que la demanda sí tiene relevancia constitucional por lo que no correspondía rechazarla liminarmente.

Como pueden ver, decisiones para todos los gustos. Por lo pronto el Jefe Zonal podrá seguir enviando menajes procaces a su subordinada, sólo que ahora, con total impunidad.

Foto: Sean MacEntee (CC BY)

Infografía: ¿Qué es el TPP?

Infografía sobre el TPP

El Trans Pacific Partnership Agreement es un nuevo tratado comercial que viene discutiéndose en privado y de cuyas negociaciones Perú forma parte. De lo poco que se conoce de este tratado, su capítulo sobre Propiedad Intelectual Para saber más sobre el Trans Pacific Partnership Agreement pueden leer el dossier que preparó la ONG Derechos Digitales de Chile.

Infografía elaborada por El Bello Público

Comisión de Justicia aclara dudas sobre el Pre Dictamen de la Ley de Delitos Informáticos

El Presidente de la Comisión de Justicia y Derechos Humanos, Alberto Beingolea, ha declarado al diario Perú 21 sobre las observaciones realizadas al texto del Pre Dictamen en este blog.

El legislador dijo que, en efecto, en la “Exposición de Motivos” de la propuesta de ley hay partes que han sido tomadas casi textualmente de otros trabajos sin que se haya consignado la fuente original, pero sostuvo que eso es solo referencial.

“Es un documento de trabajo. En el camino se hacen varios pre dictámenes. Al que se hace referencia es uno de octubre del año pasado”, dijo a Perú21 Beingolea, tras subrayar que lo sustantivo es el texto de la ley en sí, el cual –dijo– está “impecable” y es de “avanzada”, porque se ha consultado con reconocidos expertos en el tema del país y del extranjero.

Perú 21: Alberto Beingolea: “Pre dictamen no es un documento oficial” (02/07/12)

Sabemos que alguna versión de este Pre Dictamen fue objeto de discusión el último martes 26 de junio, conforme lo señala la Agenda de dicha sesión publicada en la página web del Congreso. Me alegra saber que estas omisiones no estarán presentes en el Dictamen final que, entiendo, debería de ser publicado muy pronto dado que cierta versión de este Pre Dictamen fue aprobada la semana pasada en la Comisión de Justicia, conforme lo declaró el congresista Octavio Salazar. Por cierto, no estaría mal preguntarle a cualquiera de los congresistas que acudió a esa Comisión qué versión del Pre Dictamen le fue entregada.

Creo que se comete una nueva omisión al señalar que el Pre Dictamen que se difundió a través de Internet y fue analizado data de octubre de 2011. Como puede apreciarse, en la página 17 del propio documento se refiere a la comunicación recibida del Ministerio de Justicia de fecha 20 de enero de 2012. Eso significa que la versión se filtró en Internet fue, en el peor de los casos, de enero de 2012.

La tarea de la Comisión de Justicia es demostrarnos en el dictamen que publique en los próximos días cuánto ha enriquecido su investigación desde que se ensayó este borrador. No creo que lo deban hacer para salvar el roche o quedar bien con todos. Creo que lo deben hacer porque la función de un Dictamen es otorgar los criterios y explicaciones necesarias para que el resto de parlamentarios, que pueden no ser abogados, entiendan las razones del proyecto. Ese es el verdadero reto y eso es lo que queremos ver.

Actualización (04/07/12):

Consultado sobre los hechos por Diario 16, el Presidente de la Comisión de Justicia y Derechos Humanos amplió su descargos refiriéndose a este blog. Aparentemente, los blogs no tienen derecho a opinar sobre este tema salvo que estén directamente interesados.

“Quisiera hacer otra aclaración. Me parece muy sospechoso que un bloguero se tome el trabajo y el tiempo de revisar este predictamen. Esta ley preocupa precisamente a las personas que cometen delitos informáticos, puede ser aquí donde comienza el ‘lobby’ de las personas a las que perjudica que esta ley se promulgue”, finalizó el congresista.

Diario 16: Acusan de ‘pirateo’ a comisión de Justicia del Congreso (03/07/12)

¿Comisión de Justicia del Congreso pirateó la ley de delitos informáticos?

El Proyecto de Ley de Delitos Informáticos pronto entrará a discusión en el Congreso. La semana pasada se filtró el Pre Dictamen elaborado por la Comisión de Justicia y Derechos Humanos y despertó justificadas preocupaciones. El dictamen se discutió el último martes y se espera que en los próximos días aparezca el texto que finalmente será discutido por el Pleno.

Hasta ahora, todo lo que tenemos es el Pre Dictamen y el texto original de los proyectos de ley 0034/2011-CR y 0307/2011-CR. Podría decirse que ambos han sido combinados en el Pre Dictamen, donde por suerte han desaparecido propuestas tan controversiales como la responsabilidad penal accesoria de los Proveedores de Acceso a Internet por el conocimiento de la comisión de delitos sobre su red.

Tratando de entender mejor de qué trataba este proyecto me di el trabajo del leer las 17 páginas que preceden al texto mismo de la propuesta legal. Este preámbulo, presente en todos los proyectos de ley, es llamado “Exposición de Motivos” y sirve de justificación y explicación de los cambios propuestos por el proyecto y sus implicancias. En el caso de una Ley de esta implicancia, resulta importantísimo prestar atención a este estudio introductorio de la norma y es el único insumo del que disponemos para entender por qué se propone el proyecto.

Todo empezó cuando noté que el tono y la redacción del texto cambiaba según la sección del documento. Una sospecha me llevó a copiar parte de esa oración en Google. A la media hora, había detectado hasta siete páginas web distintas desde donde se había copiado literalmente o con muy pocas modificaciones el íntegro del texto de la Exposición de Motivos. Un descuido que, de ser cierto, en la mayoría de universidades equivaldría a un proceso disciplinario y quizás la suspensión definitiva.

Detalle de las páginas copiadas

En esta imagen, los textos resaltados en amarillo han sido encontrados idénticos en varios artículos publicados en páginas como Monografías.com, blogs sobre derecho argentino y libros sobre derecho informático. En ninguno de los casos, el Proyecto de Ley menciona que ha utilizado otros trabajos como fuentes. Las únicas partes que no han sido tomadas libremente de Internet son la que se refiere a la regulación de los delitos informáticos en Perú y la que señala los cambios que ha introducido el texto sustitutorio respecto de los proyectos de ley iniciales. Es decir, las únicas partes que no han sido tomadas desde Internet son las que no podían encontrarse ahí porque hablaban del propio Proyecto de Ley.

Para los incrédulos y curiosos, me he tomado el trabajo de preparar un PDF con las partes cuestionadas resaltadas y con enlaces a los artículos originales, donde también he resaltado las partes utilizadas. Pueden visitar los artículos originales aquí (1, 2, 3, 4, 5, 6, 7).

Pero no nos quedemos en esta anécdota, que ojalá sea corregida en el Dictamen Final. Reflexionemos mejor sobre lo siguiente. Después de casi un año de ingresados los Proyectos de Ley y de haber sostenido reuniones con expertos y distintos niveles del entidades estatales, más de la mitad de la exposición de motivos del Dictamen de la Comisión haya sido copiado y pegado de páginas sin ningún rigor académico como Monografías.com. ¿Es esa toda la investigación que merece un Proyecto de Ley de esta magnitud?

Foto: Congreso de la República (CC BY)

Actualización (02/07/2012, 3 pm):

Amplío algunos puntos para los interesados.

  1. El Proyecto de Ley 0034-2011/CR presentado por Juan Carlos Eguren en agosto de 2011 incluía en su página 3 una revisión de la legislación comparada y, como nota al pie, consignaba «Recogido de monografias.com». Esta referencia se perdió cuando el mismo texto fue reproducido en el Pre Dictamen que revisamos. Además, aparecieron otros textos que no estaban en ninguno de los dos proyectos de ley originales y que han sido encontrados en más de una página web como se detalla en el PDF anotado.
  2. Es difícil determinar la autoría original de los textos utilizados, ya que se encuentran replicados por todo Internet usados como parte de otros trabajos y hasta de otros Proyectos de Ley extranjeros (como este del Congreso Paraguayo, que data del 2009).
  3. Es difícil pensar que todas estas páginas web se copiaron del Pre Dictamen peruano dada la limitada circulación que ha tenido este documento y la multiplicidad de coincidencias con más de una página web. Algunas fuentes no registran fechas pero la que sí lo hacen datan de antes del año 2011.

¿Ley Mordaza 2?

Un mes después de los fatídicos eventos del 11 de setiembre del 2001 el Presidente George W. Bush firmaba y anunciaba con bombos y platillos la famosa «PATRIOT Act», un cuerpo normativo destinado, como lo dicen sus siglas, a fortalecer y a unir al Estado brindando herramientas que permitan interceptar y obstruir el terrorismo, sin duda un noble y justificado fin que  contaría con todo el respaldo de la población.

Sin embargo, el problema en dicha experiencia no fueron los fines, sino los medios empleados. En efecto, la aprobación de la PATRIOT Act generó mucha polémica en Estados Unidos por los medios utilizados para lograr los objetivos trazados. Así, se otorgó mayores atribuciones de supervisión, fiscalización a las entidades del Estado a fin que éstas monitoreen transacciones financieras o vigilen, detengan y deporten a inmigrantes sospechosos de actos terroristas y se introdujo el concepto de «terrorismo doméstico». Diversas entidades de la sociedad civil, tales como el Electronic Frontier Foundation (EFF), Electronic Privacy  Information Center (EPIC) y American Civil Liberties Union (ACLU) cuestionaron duramente la norma al incurrir en severas violaciones constitucionales tales como la Cuarta Enmienda por la utilización de medios desproporcionados que ponían en riesgo aspectos como la privacidad de los ciudadanos.

Aparentemente existe un notable y reciente entusiasmo por parte de nuestro Congreso por regular la red (lease Ley Mordaza y Ley de Banda Ancha) y una inusual cobertura en la prensa de situaciones vinculadas al uso de Internet (lease Caso Rudy Palma) que nos traen a la mente a la situación ocurrida en Estados Unidos en el año 2001. El denominador común en el caso peruano es que se pretende utilizar el derecho penal, quizás la herramienta legal más extrema, para intentar combatir el cibercrimen y nuevas practicas delictivas, sin embargo,  no parece existir una reflexivo y equilibrado análisis de los medios utilizados.

Recientemente revisando la página del Congreso encontramos dos curiosos proyectos de ley que no sabemos si motivados por los hechos antes mencionados se aventuran a regular nuevos delitos informáticos. Nos referimos a los proyectos de ley 034/2011 y 307/2011 de la Comisión de Justicia y Derechos Humanos del Congreso cuyo pre-dictamen fue programado para discusión el día de hoy tal como consta en la agenda de sesiones de la Comisión. Curiosamente se distingue a ambos proyectos como propuestas para  «sancionar penalmente las conductas que afectan de manera relevante la confianza en la informática«.

De la lectura tanto de los proyectos de ley como del pre-dictamen de la Comisión llaman nuestra atención tres artículos en particular, que nos traen reminiscencias «bushísticas»:

Artículo 26: Agente encubierto en el ciberespacio
Con autorización del fiscal, de acuerdo con las circunstancias del caso, se puede emplear el correo electrónico de un detenido por pornografía infantil o por practicar cualquier otro acto ilícito valiéndose de la internet, con el objeto de suplantarlo y obtener más información que ayude a identificar a las demás personas con quienes comete los actos ilícitos mencionados en la presente Ley y el Código Penal, en lo que corresponda.

Artículo 27: Acceso a información de los protocolos de internet
No se encuentra dentro del alcance del secreto de las comunicaciones la información relacionada con la identidad de los titulares de telefonía móvil; los números de registro del cliente, de la línea telefónica y del equipo; el tráfico de llamadas y los números de protocolo de internet (números IP). Por lo tanto, las empresas proveedoras de servicios
de telefonía e internet debe proporcionar la información antes señalada conjuntamente con los datos de identificación del titular del servicio que corresponda, a la Policía Nacional del Perú o al Ministerio Público dentro de las cuarenta y ocho horas de recibido el requerimiento, bajo responsabilidad, cuando estas instituciones actúen en el cumplimiento de sus funciones.

Artículo 28: Intervención y control de las comunicaciones y documentos privados
La facultad otorgada al fiscal para solicitar al juez penal la intervención y control de las comunicaciones, establecida en la Ley 27697, Ley que otorga facultad al fiscal para la intervención y control de comunicaciones y documentos privados en caso excepcional, también puede ser ejercida en la investigación de los delitos informáticos regulados en la presente Ley. En los lugares en los que haya entrado o entre en vigencia el Nuevo Código Procesal Penal, se aplicaran las reglas de este código para la intervención de las comunicaciones.

El secreto de las comunicaciones en nuestro país se encuentra regulado en el artículo 2 inciso 10 de la Constitución Política del Perú en los siguientes términos:

10.   Al secreto y a la inviolabilidad de sus comunicaciones y documentos privados.

Las comunicaciones, telecomunicaciones o sus instrumentos sólo pueden ser abiertos, incautados, interceptados o intervenidos por mandamiento motivado del juez, con las garantías previstas en la ley. Se guarda secreto de los asuntos ajenos al hecho que motiva su examen.

Los documentos privados obtenidos con violación de este precepto no tienen efecto legal.

Los libros, comprobantes y documentos contables y administrativos están sujetos a inspección o fiscalización de la autoridad competente, de conformidad con la ley. Las acciones que al respecto se tomen no pueden incluir su sustracción o incautación, salvo por orden judicial.

En el sector telecomunicaciones la norma aplicable que desarrolla dicha disposición constitucional es la Resolución 111-2009-MTC/03 .

Aspectos que preocupan de las disposición contenidas en ambos proyectos de ley:

  1. Se fortalecen las facultades y atribuciones de los fiscales para la persecución de delitos informáticos pero no se aprecian garantías mínimas que, a fin de preservar derechos fundamentales como el debido proceso y la privacidad, deben quedar claramente establecidas tal como lo ordena la norma constitucional.
  2. El artículo 27 del pre-dictamen de la Comisión reduce el ámbito de aplicación del secreto de las comunicaciones en contra de lo establecido en la norma constitucional y en la Resolución 111-2009-MTC/03 con lo cual «la información de los protocolos de Internet», de ser aprobados los proyectos de ley, no requeriría mandato motivado de un juez y deberá ser proporcionada a la Policía y Ministerio Público en un plazo de 48 horas de recibido el requerimiento.

No sabemos a ciencia cierta si nos encontramos frente a una Ley Mordaza No. 2 con dosis de PATRIOT Act, lo cierto es que, si bien son atendibles y justificados los fines de persecución del delito, ello debe en todo momento ir de la mano con lo establecido en el marco constitucional y las garantías previstas en dicho cuerpo normativo, lo cual no queda muy claro en los proyectos antes mencionados.

Congreso peruano regula la Neutralidad de Red (nuevamente)

Pleno de Congreso de la República

El último viernes, literalmente minutos antes de terminar la legislatura 2012-1, se aprobó la Ley de Promoción de la Banda Ancha y Construcción de la Red Dorsal Nacional de Fibra Óptica (en adelante, la «Ley») en el Congreso  por 72 votos a favor, cero en contra y 25 abstenciones.

En su primera parte, la Ley señala el deber del Estado de promover la Banda Ancha y su aprovechamiento por todos. A continuación, declara de necesidad pública e interés nacional la construcción de una Red Dorsal de Fibra Óptica y establece una serie de reglas sobre el desarrollo, financiamiento y utilización de esta red dorsal. Esta era una política que se había prometido desde la campaña electoral, sobre la cual incluso se había dado un Decreto Supremo durante el gobierno anterior y que ahora está materializándose con normas específicas.

La verdadera estrella de esta Ley, que bien puede ser una metáfora de los errores en su investigación y sustento, la encontramos en este artículo:

Artículo 6.— Libertad de uso de aplicaciones o protocolos de Banda Ancha
Los proveedores de acceso a Internet respetarán la neutralidad de red por la cual no pueden de manera arbitraria bloquear, interferir, discriminar ni restringir el derecho de cualquier usuario a utilizar una aplicación o protocolo, independientemente de su origen, destino, naturaleza o propiedad.
El Organismo Supervisor de Inversión Privada en Telecomunicaciones – OSIPTEL determina las conductas que no serán consideradas arbitrarias, relativas a la neutralidad de red.

Se trata de la primera vez que una norma legal peruana habla explícitamente del tan polémico principio de neutralidad de red. Sin embargo, no es la primera vez que un concepto parecido está regulado por las normas legales peruanas. En el mismo sentido, desde el año 2005, el artículo 7 del Reglamento de Calidad de los Servicios Públicos de Telecomunicaciones aprobado mediante Resolución de Consejo Directivo Nº 040-2005-CD/OSIPTEL señalaba:

Artículo 7.— Los operadores locales que brinden servicio de Internet y/o ISP’s no podrán bloquear o limitar el uso de alguna aplicación, en ningún tramo (Usuario-ISP-ISP-Usuario) que recorra determinada aplicación. Esta prohibición alcanza al tráfico saliente y entrante internacional, salvo aquellas a solicitud expresa del abonado o usuario y/o algunos casos excepcionales por motivos de seguridad, los cuales deben ser comunicados y estarán sujetos a aprobación de OSIPTEL

En otras palabras, la nueva Ley de Banda Ancha intenta regular un tema que ya está regulado por OSIPTEL hace siete años. La existencia de esta norma anterior no aparece ni por asomo en su Exposición de Motivos ni en el Dictamen favorable de la Comisión. Pero incluso, se trata de una regulación mucho más restrictiva que la que tenemos vigente. Sobre el punto, toda la investigación y sustento que demuestra la Exposición de Motivos se limita a tres párrafos y la cita a la Ley chilena, donde solo uno de ellos habla de neutralidad de red señalando:

Aquí surge el nuevo concepto de neutralidad de red, donde el usuario final (persona o empresa) de hoy en día no debe tener un costo elevado para acceder al internet para suministrar contenidos o servicios a su elección; los operadores por ningún motivo, deberán bloquear o degradar servicios legales, en particular los de voz sobre IP, que compiten con sus propios servicios. Es necesario abordar estas cuestiones de la gestión del tráfico, el bloqueo y la degradación, la calidad del servicio y la transparencia de las aplicaciones. Los obstáculos de la neutralidad de red son: bloqueo o regulación del tráfico, congestión del tráfico y falta de transparencia.

En este párrafo confuso toma «prestadas» frases textuales una comunicación de la Comisión de Comunicaciones al Parlamento Europeo  del año pasado donde, todo lo contrario, se concluía que no resultaba apropiado regular la neutralidad de red por la falta de información sobre cómo las nuevas normas del Paquete Telecom funcionarán en el mercado comunitario. Hubiese resultado provechoso que quienes elaboraron la Exposición de Motivos de la Ley de Banda Ancha leyerán también esta parte del documento que citan:

La neutralidad de la red afecta a varios derechos y principios consagrados en la Carta de Derechos Fundamentales de la Unión Europea, en particular el respeto de la vida privada y familiar, la protección de los datos personales y la libertad de expresión e información. Por este motivo, cualquier propuesta legislativa en este ámbito estará sometida a una evaluación en profundidad de su impacto sobre los derechos fundamentales y su conformidad con la mencionada Carta[9].

La eventual regulación adicional no debe actuar como elemento disuasorio de la inversión ni de los modelos de negocio innovadores, pero sí favorecer un uso más eficiente de las redes y crear nuevas oportunidades de negocio a distintos niveles de la cadena del valor de internet, al tiempo que preserva para los consumidores la ventaja que supone poder elegir unos productos de acceso a internet ajustados a sus necesidades.

En su versión original, como fue presentado en el Proyecto de Ley de la Bancada Nacionalista, el artículo establecía la obligación de neutralidad de red exclusivamente para la Red Dorsal de Fibra Óptica. Probablemente, un exceso de entusiasmo y una pobre investigación motivaron a la Comisión de Transportes y Comunicaciones a querer ampliar la obligación de neutralidad de red para todas las redes de banda ancha colisionando, con ello, con la regulación pre existente del OSIPTEL.

Será precisamente tarea del OSIPTEL definir este problema. Históricamente, el Regulador había venido esquivando pronunciarse sobre cómo debemos de leer el artículo 7 del Reglamento de Calidad y solo se tiene noticia de un caso de poca trascendencia donde intentó aplicarse. Ahora será el encargado de determinar qué prácticas de gestión de red no serán consideradas «arbitrarias», en los términos de la nueva ley de Banda Ancha.

Resulta una verdadera lástima que, mientras en otros países se llevaron a cabo procesos de consulta pública y se realizaron serias investigaciones de mercado, en Perú se haya vuelto a tocar legislativamente este tema sin mayor debate ni difusión. Ya sucedió hace siete años cuando OSIPTEL dio el Reglamento de Calidad y nunca nadie comprendió en realidad de qué trata esa norma. Lamentablemente, empezamos a acostumbrarnos a que los gallos y la media noche sean nuestros legisladores estrella.

Más información

Foto: Congreso de la República (CC BY)