Proyecto de Ley Federal para la Protección de los Derechos de los Usuarios de Internet
1. La Ley y el Desorden 2.0
Unidad de Víctimas del Cibercrimen
Proyecto de Ley Federal para la Protección
de los Derechos de los Usuarios de Internet
Senadores del PRD se ponen las pilas y proponen ley que asustará a la IP
1ª Parte
Por Joel A. Gómez Treviño
Desde principios de la presente década se han presentado ante el Congreso de la Unión
siete iniciativas de ley que buscan regular “la protección de datos personales”.
Desafortunadamente la industria mexicana del telemarketing e internet ha sido lo
suficientemente hábil para bloquear todos los intentos que han existido por regular esta
materia. Todavía recuerdo que por ahí entre el 2002 y 2003, cuando trabajaba para una
empresa manufacturera transnacional en Monterrey, me llegaron varios correos de alguna
asociación de telemarketing o similar, solicitándome que hiciera todo lo posible para
solicitar una reunión con los legisladores de Nuevo León, a efecto de solicitarles que no
aprobaran la propuesta de “Ley Federal de Protección de Datos Personales” en virtud de
“los graves daños que sufriría la industria mexicana” de aprobarse la misma. Varias de las
propuestas de ley en esta materia, han sido promovidas por el PRD.
Pues apenas el pasado 2 de abril (ayer para mí) se publicó en la Gaceta del Senado un
proyecto de decreto por el que se expide la “Ley Federal para la Protección de los
Derechos de los Usuarios de Internet”. Si bien el objetivo primordial de este proyecto de
ley no es regular los datos personales, si contempla en su Capítulo V “los datos personales
y la privacidad del usuario”. No sabemos a ciencia cierta si el PRD le cambió el título a la
ley o intentó meter el tema discretamente dentro de otra ley, a ver si ahora si tienen
suerte en que sea aprobada, aunque sea en menor medida, algún tipo de protección de
datos personales para los usuarios de Internet. ¡Ojala lo logren!
Lo cierto es que este proyecto de ley no busca regular en exclusiva los datos personales,
sino contempla un propósito mucho más amplio, “proteger los derechos de los usuarios de
servicios de Internet así como los de los usuarios de servicios prestados a través de
Internet y los consumidores de productos comercializados a través de portales o sitios en
Internet”. Algunos de los rubros que pretende regular este proyecto de ley son: la
garantía en la disponibilidad del acceso, la estabilidad de la conexión, la neutralidad en el
manejo de la Internet, la privacidad del usuario, la protección de sus datos e información,
la seguridad en las operaciones, financieras, bancarias y comerciales realizadas a través
2. de la red, los servicios gubernamentales prestados a través de la Internet, las restricciones
para menores, así como el uso y distribución en medios digitales de obras protegidas por
el derecho de autor.
La vigilancia y cumplimiento de esta ley estará a cargo de la Secretaría de Comunicaciones
y Transportes, quedando facultados para auxiliar a la misma la CONDUSEF, la PROFECO y
la Secretaría de la Función Pública.
En el artículo 3 se detallan una serie de definiciones, tendencia adoptada del derecho
anglosajón y de instrumentos de derecho internacional. Como es de esperarse, la mayoría
de las reformas a normas mexicanas en materia de comercio electrónico y firma
electrónica están dotadas de definiciones.
Algunas definiciones que llaman la atención en particular las siguientes definiciones:
Datos Personales - Toda información que permita identificar a un usuario en relación a un
servicio de Internet, un servicio prestado por Internet o una operación comercial o
financiera realizada por Internet y permita su identificación física o ubicación geográfica.
Esta definición es ampliada por el artículo 27: son considerados datos personales del
usuario su nombre, domicilio, fecha de nacimiento, nacionalidad, registro federal de
contribuyentes, clave única del registro de población, número de seguridad social,
teléfono, teléfono celular, correo electrónico, números de tarjetas de crédito o débito,
números de cuentas bancarias, nombres de usuario y contraseñas para acceso a servicios
o compra de productos y dirección IP desde la que se realice la conexión del usuario.
Contrasta con la definición de datos personales de la Ley de Protección de Datos
Personales para el Distrito Federal: La información numérica, alfabética, gráfica, acústica o
de cualquier otro tipo concerniente a una persona física, identificada o identificable. Tal y
como son, de manera enunciativa y no limitativa: el origen étnico o racial, características
físicas, morales o emocionales, la vida afectiva y familiar, el domicilio y teléfono particular,
correo electrónico no oficial, patrimonio, ideología y opiniones políticas, creencias,
convicciones religiosas y filosóficas, estado de salud, preferencia sexual, la huella digital, el
ADN y el número de seguridad social, y análogos.
También se define “portal” y “sitio”, ambos definidos como “interfaz gráfica que tiene por
objeto establecer comunicación entre un usuario y un comerciante o prestador de servicios
a través de Internet” pero la única diferencia entre ambas es que la definición de portal
agrega: “y que da acceso a uno o más sitios en Internet.”
Algo que seguramente no verá con buenos ojos la industria es la obligación que se
establece para los Prestadores de Servicios de Internet: “establecer las medidas
3. necesarias para garantizar que los derechos establecidos en la presente Ley sean
respetados en todo momento”.
Por su parte el artículo 5 establece obligaciones adicionales a las establecidas en el artículo
76 bis de la Ley Federal de Protección al Consumidor para los prestadores de servicios de
conexión a Internet, los prestadores de servicios de hospedaje de sitios en Internet y los
comerciantes o empresas que vendan productos o servicios a través de portales o sitios en
Internet, entre ellas:
I.- Proporcionar un mecanismo expedito y sencillo para que, en los casos de servicios de
suscripción, el usuario pueda cancelar el servicio de forma electrónica e inmediata […];
II.- Proporcionar las características exactas de los servicios o productos que comercialicen
a través de sus sitios en Internet;
IV.- Establecer un mecanismo para la recepción y gestión electrónica de quejas, así como
tiempos máximos de respuesta y solución del problema que haya motivado la queja […].
A juicio de un servidor, la fracción II ya está contemplada en la fracción V del artículo 76
bis de la Ley Federal de Protección al Consumidor. Es interesante lo previsto en la fracción
IV de este artículo 5 en cuanto a la instauración de un sistema de gestión electrónica de
quejas, pues ha sido preocupación a nivel internacional la manera en cómo los
consumidores pueden sustanciar de manera eficiente sus quejas contra proveedores.
A decir de la Conferencia de las Naciones Unidas sobre Comercio y Desarrollo (UNCTAD),
el daño a la sociedad y al interés público radica en lo reiterado y frecuentes que se han
convertido las violaciones a los derechos de los consumidores individuales (en materia de
comercio electrónico). Es por esto que la UNCTAD promueve la implementación de
mecanismos de Resolución Alternativa de Controversias, como una opción conveniente
para manejar las reclamaciones de los consumidores en el ámbito electrónico.
El Capítulo II del proyecto de ley trata la neutralidad en la prestación de los servicios de
conexión a Internet y en los Servicios de Hospedaje de Sitios en Internet. Establece que la
naturaleza y funcionamiento de la Internet es y deberá permanecer libre, neutral y sin
controles centralizados. A los prestadores de servicios de internet se les imponen muy
diversas obligaciones, entre ellas: deberán garantizar que el envío y recepción de datos
por parte de los usuarios fluya de forma constante y sin una disminución del ancho de
banda contratado; deberán garantizar que las comunicaciones que se den desde sus
servidores, hacia estos y a través de sus redes de telecomunicaciones, se proporcionen sin
distinciones que concedan un acceso preferencial o discriminatorio a cualquier sitio o
portal en Internet; el bloqueo de un sitio o portal en Internet únicamente podrá efectuarse
mediante orden o resolución judicial debidamente fundada y motivada; no deberán llevar
a cabo acciones que impidan el uso o disminuyan el rendimiento de las aplicaciones
utilizadas por el usuario basadas en Internet; no podrán imponer limitación alguna al uso
de la conexión que proporcionen al usuario.
4. “Del Uso Libre de la Internet” es el tema que aborda el Capítulo III. Básicamente se
establecen lineamientos generales de la libertad de expresión y uso del internet por parte
de los usuarios, con la única limitante de respetar el derecho de terceros, la moral y las
buenas costumbres. Ninguna autoridad podrá coartar o impedir el derecho de los usuarios
de acceder a contenidos disponibles en internet, salvo que medie orden judicial.
El Capítulo VI pretende regular las transacciones comerciales y financieras realizadas a
través de Internet y de los servicios públicos prestados por sitios Gubernamentales. El
artículo 16 mezcla obligaciones que ya están contempladas en el artículo 76 bis en sus
fracciones I y II, pues establece que “los comerciantes o empresas que vendan u ofrezcan
sus productos o servicios a través de Internet deberán de garantizar que la operación de
compra-venta o contratación del servicio se lleve a cabo de forma segura y confidencial
respecto de cualquier tercero ajeno a la operación. Para lo anterior, estarán obligados a
contar con tecnología y mecanismos suficientes que permitan el envío y recepción de
datos encriptados que impidan su revelación en caso de interceptación o desvío”.
Es poco afortunado el uso de los términos “encriptados”, así como “certificados de
seguridad” en el artículo 20, pues pudiere interpretarse que se está faltando al principio de
neutralidad tecnológica que establece la Ley Modelo de Comercio Electrónico de la
Comisión de las Naciones Unidas para el Derecho Mercantil Internacional, en el que están
basadas las reformas del 29 de Mayo del año 2000 al Código de Comercio en materia de
comercio electrónico.
Al igual que lo hace la Directiva sobre Comercio Electrónico de la Unión Europea en su
artículo 11, diversos artículos del Capítulo IV establecen la obligación de enviar vía correo
electrónico al usuario notificaciones, confirmaciones o acuses de recibo con información
relacionada a la transacción celebrada.
Resulta curioso que el artículo 19 habla de la obligación de las empresas y comerciantes
de entregar “el comprobante correspondiente a cada obligación… que cumpla con los
requisitos establecidos por las disposiciones fiscales vigentes”, pues las referidas leyes
fiscales hablan claramente de “comprobante fiscal digital” y “facturación electrónica”.
La continuación de la presente síntesis y análisis, así como conclusión de la opinión sobre
este proyecto de ley tendrán que terminar en una segunda parte de este artículo, pues
como es obvio toda publicación tiene sus límites de espacio. No se pierdan en el siguiente
número de b:Secure la segunda y última parte de este artículo!
Joel Gómez (abogado@joelgomez.com) es Licenciado en Derecho egresado del ITESM, con Maestría en Derecho
Comercial Internacional de la Universidad de Arizona. Abogado especialista en Derecho Informático y Propiedad
Intelectual desde 1996.
5. La Ley y el Desorden 2.0
Unidad de Víctimas del Cibercrimen
Proyecto de Ley Federal para la Protección
de los Derechos de los Usuarios de Internet
Senadores del PRD se ponen las pilas y proponen ley que asustará a la IP
2ª y última parte
Por Joel A. Gómez Treviño
En la revista pasada se publicó la primera parte de este artículo, en donde se buscó
sintetizar los principales puntos de este proyecto de ley, y hacer unos breves comentarios
sobre el mismo. En el presente artículo finalizaremos con esta síntesis, para finalizar con
un análisis y crítica constructiva sobre el proyecto.
Me toca iniciar esta segunda parte con algo que seguro será de mucho interés para la
industria bancaria y financiera. Los artículos 20 y 22 establecen obligaciones para las
instituciones financieras que presten servicios a través de internet, particularmente la de
“garantizar que toda transacción relacionada con su actividad se realice de forma segura”.
Para tal efecto se estipula que “las instituciones financieras deberán de contar con
certificados de seguridad válidos y vigentes, así como proveer la tecnología más avanzada
disponible para el efectivo envío y recepción de datos encriptados que impidan su
revelación en caso de interceptación o desvío”. De inmediato surgen las dudas para los
expertos… ¿qué es “la tecnología más avanzada”? ¿Quién determinará lo que es “la
tecnología más avanzada”? Hoy se habla de “certificados de seguridad” en los
navegadores, mañana… ¡quién sabe!
El artículo 22 obliga a las instituciones financieras a establecer mecanismos de seguridad
que permitan la protección contra fraude para las operaciones concretadas a través de
Internet. También, establece que la institución financiera, en caso de que le sea reportado
un fraude electrónico por un usuario, “deberá descontar del saldo exigible al usuario,
hasta en tanto no se concluya la investigación correspondiente, el monto de la transacción
que haya sido notificada como fraudulenta”. Aunque el objetivo es en esencia bueno, a
ningún banco le agradará que le impongan estas obligaciones que se traducirán en
inversión y la modificación actual de sus mecanismos de investigación.
Diversos artículos, como el 21 y el 25, estipulan obligaciones de confirmación de
transacciones vía correo electrónico, lo cual es una acertada adaptación de lo dispuesto en
la Directiva sobre Comercio Electrónico de la Unión Europea.
6. El Capítulo V contempla toda una serie de obligaciones en materia de protección de datos
personales. Como lo comentamos en el número anterior, las definiciones de “datos
personales” de este proyecto de ley no coinciden con la Ley de Protección de Datos
Personales para el Distrito Federal. Además, es curioso (y lamentable) que incluyan dentro
de esta definición a “la dirección IP desde la que se realice la conexión del usuario”.
Una dirección IP jamás debe ser considerada como “dato personal”, por varias razones: 1)
no es un dato que identifique a una persona, sino en el mejor de los casos, a un equipo
de computo; 2) las directivas europeas más importantes que regulan la protección de
datos personales (95/46/CE y 2002/58/CE), no contemplan a la dirección IP como “dato
personal”; 3) las direcciones IP, tratándose de consumidores o usuarios que se conectan a
internet desde casa, universidades, “hot spots” o sitios públicos, son siempre dinámicas
(vs. fijas), por lo que resultaría un absurdo considerarlas como “dato personal” si cambian
cada vez que un usuario se conecta a la red.
Las direcciones IP probablemente caen dentro de la definición de “dato de localización” o
“dato de tráfico”, como lo establecen los considerandos y el artículo 2, incisos b) y c), de
la Directiva 2002/58/CE sobre la Privacidad y las Comunicaciones Electrónicas de la Unión
Europea. Las referencias continuas a legislación europea en este artículo, se deben a que
es la más avanzada y “antigua” en materia de protección de datos personales.
El segundo párrafo del artículo 27 establece que “los datos personales de un usuario
podrán ser revelados únicamente a la autoridad judicial que así lo solicite mediante orden
o resolución judicial debidamente fundada y motivada en donde se especifiquen los datos
que han de ser revelados y el motivo para su revelación. De toda solicitud de revelación
de datos personales deberá correrse traslado al usuario cuyos datos estén siendo
solicitados por la autoridad judicial”. Esto trae un impacto grave y negativo al
procedimiento de disputas de nombres de dominio en México (LDRP), pues es común que
los abogados que llevan esta clase de casos soliciten a NIC México los datos de contacto
(todos ellos caen bajo la definición de “datos personales” bajo este proyecto de ley) del
titular de un determinado nombre de dominio, para notificarle el inicio de un
procedimiento LDRP o enviarle una carta de “cese y desistimiento”.
El artículo 29 del proyecto a grandes rasgos prohíbe el spam físico y electrónico (envío de
propaganda comercial no solicitada). Aunque con una muy desafortunada redacción, el
inciso VI del artículo 76 bis de la Ley Federal de Protección al Consumidor, ya contempla
la misma prohibición: “El proveedor respetará la decisión del consumidor en cuanto a la
cantidad y calidad de los productos que desea recibir, así como la de no recibir avisos
comerciales”. Es lamentable el uso del término “aviso comercial”, pues está regulado por
otro ordenamiento (Art. 100 de la Ley de la Propiedad Industrial), que nada tiene que ver
con protección al consumidor. En lugar de duplicar prohibiciones y sanciones, busquemos
reformar la desatinada redacción de la Ley Federal de Protección al Consumidor.
7. El artículo 31 prohíbe la instalación de “cookies” sin el consentimiento expreso del usuario.
Aunque es razonable y tal vez hasta deseable que exista este tipo de regulación, no es
práctico implantar este tipo de requerimientos, pues hoy en día la gran mayoría de los
sitios web, nacionales y extranjeros, trabajan a base de “cookies”. Además, todos los
navegadores más populares en el mercado, tienen la opción para que el usuario controle
las “cookies” como mejor le convenga.
El artículo 33 establece que “las comunicaciones o archivos de cualquier tipo que se
transmitan a través de Internet tendrán el carácter de confidenciales. En consecuencia,
queda prohibida toda acción que tenga por objeto observar, interceptar, desviar,
supervisar, restringir o alterar la libre transmisión de las comunicaciones o archivos a
través de Internet”.
¿Y dónde dejamos el derecho de los patrones de monitorear las comunicaciones
electrónicas de sus empleados en horario laboral y haciendo uso de las herramientas
informáticas de la empresa? Es bien conocido por todos que la web 2.0, las redes sociales
y los programas de mensajería instantánea son uno de los principales factores que afectan
seriamente la productividad de los trabajadores en las empresas. México todavía no ha
explorado la regulación informática desde el punto de vista laboral. La tendencia
jurisprudencial anglosajona, que inexorablemente suele permearse en México, es que los
empleados no pueden tener expectativas razonables de privacidad cuando están usando
computadoras, recursos informáticos y herramientas de trabajo proporcionadas por la
empresa en tiempo laboral.
El artículo 37, ya en el capítulo VI denominado “de la libre utilización de programas,
aplicaciones o herramientas para la transmisión de voz sobre IP y de redes de pares”,
regula someramente el tema de redes peer-to-peer: “Ningún prestador de servicios de
conexión a Internet, entidad gubernamental o institución pública o privada podrá impedir
o restringir el uso de programas que tengan por objeto crear redes de pares. Queda
prohibida toda acción que tenga por objeto disminuir el rendimiento de los programas
para crear redes de pares o la disminución en el ancho de banda que afecte la
transferencia de archivos a través de las redes de pares”.
Creo que la mayoría de los que conocemos poco o mucho de informática, sabemos que
desafortunadamente el uso primordial que se les ha dado a las redes “peer-to-peer” ha
sido para delinquir, o para que no se lea tan feo, “para violar derechos de autor”. Tan solo
entre 2003 y 2005, la Recording Association of America promovió 14,000 demandas en
contra de usuarios de redes P2P. Es un tema álgido, pues por un lado esta el interés de
los usuarios de internet en “compartir” cualquier archivo que tengan en sus computadoras,
y por otro lado, el obvio interés de la industria por proteger a capa y espada los derechos
de autor de artistas que representan, que se traducen en jugosas regalías que dejan de
8. ganar por estos actos de piratería. ¿Por qué regular tan a la ligera un tema que amerita
profundo debate y análisis?
El Capítulo VII (De los derechos de autor sobre obras publicadas a través de Internet) no
lo voy a comentar, por que al igual que muchos artículos de este proyecto, el contenido
del mismo debería de estar contemplado como propuesta de reforma a la Ley Federal del
Derecho de Autor.
El Capítulo VIII plasma una visión interesante los procedimientos para la defensa de los
derechos de los usuarios de Internet. Establece cuáles son las autoridades competentes
para conocer y sancionar las violaciones a los derechos otorgados por el proyecto de Ley.
El Capítulo IX establece el catálogo de infracciones a la ley propuesta.
El artículo 53 del Capítulo X (Delitos) convierte en delincuentes a quienes: I. Observen,
supervisen, intercepten, desvíen, restrinjan o alteren el envío y recepción de datos a
través de Internet sin la autorización expresa del usuario; II. Comercialicen, traspasen,
cedan, intercambien, donen o transfieran el dominio de la información relativa a los datos
personales a que se refiere la presente Ley sin la autorización expresa del usuario al que
pertenezcan dichos datos; y III. Reincidan en alguna de las conductas establecidas en las
fracciones VI, VII, VIII, IX, XVI, XVII, XVII o XIX del artículo cincuenta y uno (catálogo de
infracciones) de la presente Ley.
En otras palabras, de aprobarse el proyecto de ley: 1) tu patrón que revisas los correos
electrónicos y la mensajería instantánea de tus empleados, serás un delincuente; 2) tu
empresa de internet que comercializas, intercambias o traspasas bases de datos con datos
personales de tus clientes sin su consentimiento, serás un delincuente; y 3) si reincides en
cualquiera de las 20 infracciones, serás un delincuente!
Para concluir solo me resta decir que, a pesar de todo, este proyecto de ley es “bien
intencionado”. Los usuarios de internet somos los más desprotegidos, pues gran parte de
las reformas legislativas en México a la fecha en materia de comercio electrónico, han sido
encaminadas a darle certeza jurídica a quienes hacen negocios electrónicos
(reconocimiento y validez legal de contratos electrónicos, mensajes de datos, y firma
electrónica). Sin embargo, creo que este proyecto tiene muchas áreas de oportunidad.
Mucho de lo que pretende regular es materia de otras leyes federales, y no se justifica
regularlo “aparte” solo para que los derechos de los usuarios de internet se encuentren en
un solo “compendio normativo”. Confiamos en que propuestas como esta, sigan llegando
al Congreso, para eventualmente, contar con una protección justa para los usuarios de
internet.
Joel Gómez (abogado@joelgomez.com) es Licenciado en Derecho egresado del ITESM, con Maestría en Derecho
Comercial Internacional de la Universidad de Arizona. Abogado especialista en Derecho Informático y Propiedad
Intelectual desde 1996.