INSTRUMENTOS INTERNACIONALES – Lex Informática

Dr. Alfredo A. Reyes Krafft

INSTRUMENTOS INTERNACIONALES

En los distintos Acuerdos Internacionales en materia de protección de datos, hay referencias también, por ejemplo el artículo 12 de la Declaración Universal de los Derechos del Hombre[1](10 de diciembre de 1948) establece el derecho de la persona a no ser objeto de injerencias en su vida privada y familiar, su domicilio o su correspondencia, ni de ataques a su honra o a su reputación, gozando del derecho a la protección de la ley contra tales injerencias o ataques.

En el mismo sentido, el artículo 8 del Convenio para la Protección de los Derechos y las Libertades Fundamentales[2] (14 de noviembre de 1950) reconoce el derecho de la persona al respeto de su vida privada y familiar, de su domicilio y correspondencia.

Por su parte, el artículo 17 del Pacto Internacional de Derechos Civiles y Políticos[3] (16 de diciembre de 1966) señala que nadie será objeto de injerencias arbitrarias o ilegales en su vida privada, su familia, su domicilio o su correspondencia, ni de ataques ilegales a su honra y reputación.

En el mismo tenor, la Convención Americana[4] sobre derechos humanos (22 de noviembre de 1969) en su artículo 11, apartado 2 establece que nadie puede ser objeto de injerencias arbitrarias o abusivas en su vida privada, en la de su familia, en su domicilio o en su correspondencia, ni de ataques ilegales a su honra o reputación.

En Estados Unidos desde 1977 la Comisión Presidencial parta el estudio de la protección a la privacidad, emitió un reporte al Presidente y al Congreso de los Estados Unidos en el que recomienda que, “de momento no es necesario legislar sobre esta materia…”. La protección se debe de dar a través de la autorregulación de la industria mediante códigos de ética o de conducta. El Estado solo debe de vigilar el cumplimiento de dichos Códigos…

En 1980 la OCDE, Organización para la Cooperación y el Desarrollo Económico, emitió las Directrices sobre protección de la privacidad y flujos transfronterizos.

Estos principios atienden particularmente  los siguientes aspectos:

  • Proteger la Privacidad de información personal.
  • Prevenir la creación de barreras innecesarias al flujo transfronterizo de datos.
  • Fomentar la uniformidad por parte de empresas multinacionales en los métodos utilizados para la recolección, uso y procesamiento de datos personales.
  • Fomentar los esfuerzos nacionales e internacionales para promover y hacer cumplir las disposiciones legales de protección de datos personales.

En 1995 la Unión Europea emitió la Directiva de la Unión Europea sobre protección de los datos personales, por cierto sumamente restrictiva y conflictiva en cuanto a la prohibición del flujo de datos transfronterizos a países que no cuenten con una legislación que otorgue el mismo nivel de protección.

En el año de 1998, los ministros de la OCDE se reunieron en la ciudad de Ottawa, Canadá y adoptaron la Declaración Ministerial sobre la protección de la privacidad de las redes globales. Asimismo, en la Declaración se manifestó que para desarrollar la confianza en el entorno en línea, todo marco global debe ser flexible y debe construir puentes entre los distintos modelos de protección a la privacidad.

En el 2002 la OCDE emitió la actualización de las directrices sobre protección de la privacidad y flujo transfronterizo de datos. En virtud de este documento, el Grupo de Trabajo para la Seguridad de la Información y Privacidad de la OCDE proporciona una guía con políticas y prácticas para instrumentar las Directrices de Privacidad de la OCDE en línea.  En este documento se desarrollan diversos temas como los mecanismos alternativos de resolución de controversias, las tecnologías que mejoran la privacidad, la ejecución de leyes y el derecho a la compensación en el comercio electrónico.

En 2004 APEC emitió sus Lineamientos sobre privacidad (framework)[5] este marco normativo  fue desarrollado sobre la base de los principios  de protección de la Privacidad y el flujo transfronterizo de datos firmados el 23 de septiembre de 1980 en el marco de la.OCDE.

A principios de 2005 debido al creciente uso en las empresas de las políticas y las declaraciones de privacidad (Privacy Notice), como un medio para fomentar la transparencia y la confianza en el comercio electrónico para los usuarios de los sitios Web,  la OCDE diseñó el Generador de Políticas de Privacidad.  El Generador es una herramienta educativa, diseñada por expertos, que brinda orientación sobre cómo realizar una revisión interna de las prácticas existentes en materia de privacidad y protección a los datos personales, así como sobre la manera en que se debe elaborar una declaración sobre políticas de privacidad. También proporciona enlaces a dependencias gubernamentales, organizaciones no gubernamentales y a entidades privadas que suministran información sobre la normativa aplicable.

En la Agenda de Túnez para la Sociedad de la Información (2005) de la Cumbre Mundial de la Sociedad de la Información, se incluyeron diversos compromisos para robustecer la confianza en el comercio electrónico, fomentando diversas acciones relacionadas con los datos personales, incluyendo el combate al Spam. El numeral 39 de la Agenda advierte la necesidad de continuar con la promoción, desarrollo e implementación de una cultura mundial de ciberseguridad, que implique la acción nacional y una mayor cooperación internacional para fortalecer la protección de la información, así como la privacidad y la protección a los datos personales, ello de conformidad con la Resolución 57/239 de la Asamblea General de las Naciones Unidas.

Posteriormente, a raíz de los Foros de Gobernanza de Internet se estableció la Coalición Dinámica sobre Identidad y Privacidad de las Naciones Unidas en la que se abordan diversos temas emergentes vinculados con la protección de la privacidad y los datos personales en Internet, tales como las identidades digitales, la importancia de la privacidad y el anonimato en la libertad de expresión y los problemas de protección de datos derivados de las redes sociales, entre otros.

En virtud del Acuerdo General sobre Comercio de Servicios (GATS), administrado por la Organización Mundial del Comercio, la obligación general de retirar aquellas medidas que discriminen o restrinjan el comercio de servicios queda sujeta a determinadas excepciones generales, que incluyen: “la protección de la privacidad de los individuos con relación al procesamiento y diseminación de sus datos personales…”. (Artículo XIV(c)(ii)).

Es importante comentar que no fue sino hasta finales de 2005 cuando la Unión Europea emitió las nuevas reglas sobre la protección del flujo transfronterizo de datos que tienen como propósito “facilitar” la “autorización” para el flujo de datos a países terceros.

Derivado de esas nuevas Reglas se pudieron establecer los denominados Safe Harbor Privacy Principles,[6] publicados por el Departamento de Comercio de los Estados Unidos,  texto que contempla los principios a que deben sujetarse las entidades estadounidenses para obtener el visto bueno de la Unión Europea, a fin de asegurar una política de protección de datos adecuada, que brinden privacidad y confidencialidad homologables a los estándares europeos, tras lo cual podrán recibir cesiones de datos personales provenientes de los Estados miembros de la Unión Europea sin problemas ni sanciones para cedente o cesionario.(57)

Por su adhesión al Safe Harbor los organismos y entidades asumen ciertos principios rectores del tratamiento de datos, a saber: notificación e información a las personas, previas a la recogida de datos que les conciernen; derecho de opción para divulgación a terceros o usos incompatibles con el objeto inicial de la recogida, ya sea en listas de exclusión o aceptación, según la naturaleza de los datos; se condiciona la transferencia ulterior de datos a terceros a la adopción de los principios de Safe Harbor; se impone a las entidades tratantes de datos la obligación de implementar medidas de seguridad y la obligación de velar por la calidad de los datos; reconocimiento de los derechos de acceso y rectificación a las personas concernidas; y, se establece la necesidad de que las entidades tratantes adopten mecanismos que brinden garantías para la aplicación de los principios, tales como recursos independientes, procedimientos de seguimiento y medios para subsanar infracciones y sancionarles, en su caso.

Safe Harbor no es obligatorio las empresas o entidades deben aceptar voluntariamente la aplicación del Acuerdo, mediante auto certificación de su compromiso al respecto (Safe Harbor Agreement), que debe ser notificado al Departamento de Comercio. Dicha notificación debe renovarse anualmente e incluye información básica relativa a la entidad u organización adherente, el tratamiento de datos personales provenientes de Europa que efectúa y una descripción de las políticas de protección a que somete el procesamiento de aquellos. La verificación de las prácticas de protección, así como su conformidad con los principios de Safe Harbor puede ser efectuada por terceros o por la propia entidad. Los compromisos asumidos por las entidades adscritas a Safe Harbor sólo se refieren a aquellos datos transmitidos desde la Unión Europea a partir del momento en que se adhiere al Acuerdo.

Safe Harbor contempla algunas excepciones a las cuales no le son aplicables sus principios, tales como aquel efectuado en el marco de actividades periodísticas; al tratamiento de datos obtenidos en el contexto de una relación laboral; y previsiones ante la fusión o absorción de las entidades adheridas por otras.

Respecto de éste tema resulta importante distinguir dos  grandes referencias internacionales en la materia, la normativa Europea que adopta el esquema de Códigos de Conducta y Norteamérica que adopta el esquema del Puerto Seguro, en cuanto a la transferencia transfronteriza de datos. Los Códigos de Conducta Europeos están fundamentados en la Normativa de los Estados involucrados autorizando cada una de las autoridades nacionales su aplicación en un sector definido. Por otro lado el esquema Norteamericano de Puerto Seguro (Safe Harbor) parte de un esquema de autocertificación por cada uno de los Responsables que pretendan adherirse, es decir, la función de la autoridad se centra en administrar un listado de adheridos al convenio marco.

A efectos de control, junto a los mecanismos adoptados por las propias entidades u organismos, el Departamento de Comercio de los Estados Unidos ha designado como autoridad de aplicación a la Federal Trade Commission (Comisión Federal de Comercio), la que goza de facultades ante actos o prácticas desleales o fraudulentos que constituyen un modelo de conducta continuado e inadecuado, en tanto ellos se relacionen con el comercio. Sin embargo, la FTC en principio carece de competencia cuando la información está destinada a otros fines, así como en actividades específicas, tales como las financieras, de telecomunicaciones, transporte, aéreas y otras, evento en el cual guarda, a lo sumo, competencia residual o concurrente con otras entidades, tales como las siguientes: Federal Reserve Board, Office of Thrift Supervision, National Credit Union Administration Board y los Departamentos de Transporte y Agricultura, por mencionar algunas.

En paralelo y con la finalidad de dar seguimiento a las actividades del TLCAN se constituyó la Alianza para la Seguridad y la Prosperidad de América del Norte (ASPAN) la cual adoptó el Marco de Principios Comunes para el Comercio Electrónico y estableció en la Declaración sobre el Libre Flujo de Información de América del Norte, que las partes convenían en llevar a cabo todos los pasos necesarios para asegurar el libre flujo de la información en línea para incentivar el crecimiento y la eficiencia del mercado Norteamericano (Estados Unidos, Canadá y México), incluyendo el diálogo abierto entre la comunidad empresarial y los gobiernos de los tres países, para promover la instrumentación de una entorno en el que prevalezca la seguridad informática, se combata eficazmente el spam y se protejan los datos personales.

En 2007 la OCDE emitió una Recomendación para la Cooperación Transfronteriza para la Ejecución de Leyes que protegen la Privacidad. En la recomendación se reconoce que los cambios en el carácter y en el volumen de los flujos transfronterizos de datos han incrementado los riesgos en la privacidad de los individuos y se destaca la necesidad de mejorar la cooperación entre las agencias gubernamentales encargadas de su protección. La recomendación refleja el compromiso de los gobiernos de los estados miembros para mejorar su marco jurídico nacional para la ejecución de la legislación en materia de privacidad, fomentar la cooperación entre las agencias gubernamentales de otros países, así como para proporcionarse ayuda mutua en la ejecución de leyes en materia de privacidad y protección de datos.

En el ámbito regional, merece especial mención el trabajo de la Comisión Económica para América Latina y el Caribe (CEPAL) de las Naciones Unidas, para la elaboración de la Estrategia Latinoamericana de la Sociedad de la Información (eLAC)  para los años 2005-2007 (eLAC 2007)  y 2008-2010 (eLAC 2010),  en virtud de la cual se plantea el diseño de mecanismos para la armonización normativa en el ámbito de la privacidad y protección de datos personales.

Como resulta evidente, hoy por hoy el marco jurídico a nivel mundial no es uniforme[7] , por un lado tenemos el modelo general, denominado Europeo por algunos, que restringe el flujo transfronterizo de datos a países con niveles de protección equivalente, claro que con algunas excepciones, como son:

  1. a) Si se cuenta con consentimiento inequívoco del interesado.
  2. b) Si la transferencia es necesaria para la ejecución de un contrato entre el interesado y el responsable del tratamiento.
  3. c) Si la empresa que recibirá los datos se adhiere al convenio “SAFE HARBOR”, es decir conviene en someterse a lo dispuesto por el modelo europeo, previa supervisión de autoridad facultada para ello.

Bajo éste modelo toda transferencia deberá ser evaluada por sus propios méritos, lo que complica la operación de las empresas y también la encarece, sobretodo a aquellas que transfieren información a todo el mundo por motivos diversos.

Por otro lado tenemos a los países que optan por el libre flujo transfronterizo de datos.

En difícil situación nos encontrábamos antes de la publicación de la Ley, ya que México que por un lado tiene firmado un Tratado de Libre Comercio de América del Norte (TLCAN) con Estados Unidos (su principal socio comercial) y Canadá, en el cual se privilegia el libre flujo transfronterizo y asimismo tiene firmado un Acuerdo de asociación económica, concertación política y cooperación entre la Comunidad Europea y sus Estados miembros, por una parte, y los Estados Unidos Mexicanos, también denominado Tratado de Libre Comercio con la Unión Europea (TLCUE), que pretende garantizar un grado elevado de protección respecto del tratamiento de datos personales (limitando el intercambio a países con protección al menos equivalente), ), así como la pertenencia a la Organización para la Cooperación Económica y el Desarrollo (OCDE) y al Acuerdo de Cooperación Asia Pacífico (APEC), entre otros instrumentos internacionales.[8]

La ley publicada resolvió la situación  estableciendo que la transferencia se hará en los términos establecidos por el Aviso de Privacidad, el cual deberá ser comunicado al receptor de los datos y definiendo una serie de excepciones, entre ellas que la transferencia esté prevista en una Ley o Tratado en los que México sea parte, estableciendo:

 CAPÍTULO V

De la Transferencia de Datos

Artículo 36.- Cuando el responsable pretenda transferir los datos personales a terceros nacionales o extranjeros, distintos del encargado, deberá comunicar a éstos el aviso de privacidad y las finalidades a las que el titular sujetó su tratamiento.

El tratamiento de los datos se hará conforme a lo convenido en el aviso de privacidad, el cual contendrá una cláusula en la que se indique si el titular acepta o no la transferencia de sus datos, de igual manera, el tercero receptor, asumirá las mismas obligaciones que correspondan al responsable que transfirió los datos.

Artículo 37.- Las transferencias nacionales o internacionales de datos podrán llevarse a cabo sin el consentimiento del titular cuando se dé alguno de los siguientes supuestos:

  1. Cuando la transferencia esté prevista en una Ley o Tratado en los que México sea parte;
  2. Cuando la transferencia sea necesaria para la prevención o el diagnóstico médico, la prestación de asistencia sanitaria, tratamiento médico o la gestión de servicios sanitarios;

III.   Cuando la transferencia sea efectuada a sociedades controladoras, subsidiarias o afiliadas bajo el control común del responsable, o a una sociedad matriz o a cualquier sociedad del mismo grupo del responsable que opere bajo los mismos procesos y políticas internas;

  1. Cuando la transferencia sea necesaria por virtud de un contrato celebrado o por celebrar en interés del titular, por el responsable y un tercero;
  2. Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de un interés público, o para la procuración o administración de justicia;
  3. Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial, y

VII.  Cuando la transferencia sea precisa para el mantenimiento o cumplimiento de una relación jurídica entre el responsable y el titular.

Luego entonces se mantiene el libre flujo a que se refiere el TLCAN sin incumplir con lo dispuesto por el TLCUE, además de que existe un compromiso del IFAI para tramitar con la Unión Europea la obtención de una declaratoria que establezca que México cuenta con una legislación que asegura una política de protección de datos adecuada, que brinda privacidad y confidencialidad homologables a los estándares europeos

La regla general es entonces la Transferencia de datos personales, nacional e internacional, sujeta al consentimiento de su titular, por tanto le deberá ser informada a través del Aviso de Privacidad y limitarse a la finalidad que la justifique.

El transferente de datos personales garantizará que el receptor cumplirá con las disposiciones previstas en la Ley, su Reglamento y demás normatividad aplicable, a través de cláusulas contractuales u otros mecanismos que prevean al menos las mismas obligaciones a las que se encuentra sujeto el responsable que transfiere los datos.

El Reglamento de la Ley hace una distinción importante entre Remisión y Transferencia de datos, definiendo a la Remisión como aquel tratamiento que implica la comunicación de los datos personales, dentro o fuera del territorio nacional, si es realizado por el encargado a cuenta del responsable (en este caso no requerirán ser informado al titular ni recabar su consentimiento, pues es el propio responsable quien decide sobre la finalidad, uso y destino de los datos)

Lo anterior, a nuestro juicio,  permitirá seguramente el reconocimiento de México por parte de la Unión Europea como un país con un adecuado nivel de protección de datos, de tal suerte que facilitará la relación jurídica y comercio con empresas e instituciones europeas, sin requerir de la firma de un Safe Harbor Agreement

 

[1] http://www.un.org/spanish/aboutun/hrights.htm  (12 de febrero del 2012)

[2] http://www.derechos.org/nizkor/espana/doc/conveudh50.html (12 de febrero del 2012)

[3] http://www.derechos.org/nizkor/ley/pdcp.html (16 de febrero del 2012)

[4] http://www.oas.org/juridico/spanish/Tratados/b-32.html (12 de febrero del 2012)

[5] Prevención de daños. Prevenir la recolección errónea o el mal uso de la información personal de los individuos, estableciendo medidas de resarcimiento proporcionales.

Aviso. Del aviso que los responsables de la recolección de datos deben de dar a los individuos, por escrito o a través de medios electrónicos, antes o inmediatamente después de la recolección de información personal.

Limitación a la recolección. La información personal recolectada debe hacerse en forma justa y legal, adecuándose a los propósitos de la misma. Asimismo, los datos recolectados deben de ser relevantes y necesarios para la consecución del propósito

Uso de información personal. Limita el uso de la información recolectada para la consecución del propósito de la misma o de otros propósitos compatibles o relacionados.

Opción Provee al individuo con mecanismos para ejercer la opción en relación a la recolección, uso y revelación de la información que les concierne.

Integridad de la información personal. Determina que la información personal debe ser precisa, completa y actualizada según el propósito para el que fue recolectada

Salvaguardas de la seguridad. Son necesarias medidas de seguridad apropiadas para mantener la integridad de la información personal recolectada, que sean proporcionales a la posibilidad de quien la recaba.

Acceso y Corrección. Proveer al individuo con el derecho de acceder a la información que le concierne, para verificar la precisión de sus datos y, en su caso, la posibilidad de solicitar su debida corrección.

Responsabilidad. En los casos en los que se transfiera información personal, tomar medidas razonables para asegurar que los destinatarios tomen a su vez las medidas conducentes para el debido respeto de estos principios

 

[6] http://www.export.gov/safeharbor/  y https://www.export.gov/safehrbr/list.aspx (15 de diciembre del 2011)

 

[7] Los distintos modelos normativos que existen en la materia son:

  1. Instrumentos supranacionales con carácter vinculante (Tratados Internacionales)
  2. Países con Ley de Protección de datos con Autoridad y Control Administrativo
  3. Países con protección legislativa parcial y explícita
  4. Países que reconocen el recurso de habeas data
  5. Países con reconocimiento del derecho a la intimidad en su constitución
  6. Países con referencia legislativa parcial sectorial y dispersa
  7. Paises que reconocen algún esquema de autorregulación en la materia

[8] Al amparo del TLCAN, se efectúan transacciones comerciales electrónicas que involucran la transferencia internacional de datos personales, sin que exista en ambos países una regulación extensiva de los principios de protección de datos personales, sino regulaciones sectoriales por ejemplo en materia de protección de datos personales en archivos  públicos o de protección a los consumidores frente a prácticas desleales o uso indebido de su información personal.

Canadá, también nuestro socio comercial, cuenta con leyes tanto a nivel federal  como provincial en materia de protección de datos, así como el reconocimiento de la Unión Europea como un país con nivel adecuado de protección.

Por lo que hace al Tratado de Libre Comercio con la Unión Europea (TLCUE), el artículo 41 contempla la cooperación en materia de protección de los datos de carácter personal con vistas a mejorar su nivel de protección y prevenir los obstáculos a los intercambios que requieran transferencia de datos de carácter personal, y en su artículo 51 se señala que las partes se obligan a garantizar un grado elevado de protección respecto al tratamiento de los datos de carácter personal.

Share

LEX INFORMÁTICA: VALIDÉZ JURÍDICA DE LA FIRMA AUTÓGRAFA DIGITALIZADA EN DISPOSITIVOS ELECTRÓNICOS

17 FEBRERO, 2016

Dr. Alfredo A. Reyes Krafft

Las evidencias electrónicas de una firma autografa digitalizada en un dispositivo electrónico  permiten que se pueda presentar en juicio respaldada por un informe pericial caligráfico como es habitual por la aplicación tradicional de las consideraciones debidas a la firma manuscrita en la normativa procesal.

  1. Objetivo.

El objetivo del presente documento es describir la naturaleza y tratamiento de la Firma Autógrafa Digitalizada en dispositivos electrónicos como medio de prueba. Conforme a lo señalado a continuación, la firma autógrafa digitalizada constituye una forma válida para expresar el consentimiento de los contratantes y dar formalidad a los contratos que requieran celebrarse por escrito. Asimismo, en principio, la firma autógrafa digitalizada estampada en o en conjunto con el contrato correspondiente debe entenderse como un medio de prueba documental con requisitos específicos de valoración establecidos en los ordenamientos civiles y mercantiles. Pues el hecho de que esté contenida en un medio electrónico no le quita de ninguna forma su naturaleza de Firma Autógrafa

2. Naturaleza de los medios electrónicos como medios de prueba.

En el momento en que una persona plasma su firma autógrafa sobre un dispositivo electrónico, los trazos de la firma se vinculan como imagen al texto del contrato  permitiendo su conservación de forma inalterada (en los términos del art. 49 del Código de Comercio y la Norma Oficial Mexicana de Conservación de Mensajes de Datos) y posibilitando reproducir la firma para su ulterior consulta e inclusive, dependiendo de la tecnología utilizada, permite conocer las características del acto generador tales como la presión ejercida al momento de realizar el trazo y la inclinación del instrumento utilizado para realizarla. Lo anterior de tal forma que la firma autógrafa capturada en un mensaje de datos  esto es generada y conservada en medios electrónicos, por lo que su valoración, al igual que cualquier otra información generada dichos medios electrónicos, dependerá de la fiabilidad de el método utilizado para capturarla y resguardarla.

Por lo novedoso de el tema, no existe un criterio definitivo sobre el tipo de prueba que representa la firma autógrafa en medios electrónicos, mismos que pueden presentarse como prueba documental o como descubrimientos de la ciencia (avances tecnológicos).

Sin perjuicio de que puedan presentarse como avances tecnológicos, la tendencia del comercio electrónico es el reconocimiento de los mensajes de datos como pruebas documentales privadas.[1] Este entendimiento se encuentra reconocido en la tesis Prueba de inspección. Debe Desecharse cuando los puntos propuestos para su desahogo puedan ser comprobados a través de la documental, entendida como la información generada o comunicada que conste en medios electrónicos o en cualquier otra tecnología, que puede ser reproducida, no solamente en el papel sino también en algún disquete o disco óptico.[2]

En éste caso y como prueba documental, los medios electrónicos formarían prueba plena en tanto no sean objetados. En caso de ser objetados deberán otorgarse otras pruebas, como la pericial caligráfica o informática, para confirmar su veracidad.[3]

La valoración de los medios electrónicos como prueba se deberá realizar, como se señala en las secciones C. y D. siguientes, atendiendo principalmente a la fiabilidad de los método en los que se recabe, la integridad de la información y la posibilidad de atribuirla a las partes.

3. Tratamiento de los medios electrónicos en materia civil.

En materia civil, el artículo 1803 del Código Civil Federal reconoce que el consentimiento es expreso cuando la voluntad se manifiesta por escrito y por medios electrónicos. De esta forma, la voluntad que se expresa mediante la firma autógrafa digitalizada constituye un medio válido para expresar el consentimiento expreso y dar validez a los actos realizados por el firmante ya que debe entenderse que se trata del consentimiento expresado por escrito[4] capturado en un medio electrónico.

En el mismo sentido, el artículo 1834 Bis del mismo ordenamiento reconoce que los contratos que requieran forma escrita y firma otorgada por las partes cumplirán dichos requisitos cuando se utilicen medios electrónicos siempre que la información generada en forma íntegra (i) sea atribuible a las personas obligadas, y (ii) accesible para su ulterior consulta.

Por lo que se refiere a la calidad probatoria de la firma autógrafa digitalizada, el artículo 79 del Código Federal de Procedimientos Civiles establece que para conocer la verdad, puede el juzgador valerse de cualquier cosa o documento sin más limitaciones que las pruebas estén reconocidas por la Ley y tengan relación inmediata con los hechos controvertidos. En ese sentido, el artículo 210-A del Código Federal de Procedimientos Civiles reconoce como prueba la información generada o comunicada que conste en medios electrónicos, ópticos o en cualquier otra tecnología. También establece que para valorar la fuerza probatoria de la información se estimará la fiabilidad del método en que haya sido generada, comunicada, recibida o archivada y, en su caso, si es posible atribuir a las personas obligadas el contenido de la información relativa y ser accesible para su ulterior consulta. Finalmente, dicho artículo 210-A establece que cuando la ley requiera que un documento sea conservado y presentado en su forma original, ese requisito quedará satisfecho si se acredita que la información generada, comunicada, recibida o archivada por medios electrónicos, ópticos o de cualquier otra tecnología, se ha mantenido íntegra e inalterada a partir del momento en que se generó por primera vez en su forma definitiva y ésta pueda ser accesible para su ulterior consulta.

Conforme a lo antes señalado, en materia civil, la parte que desee acreditar la validez de una firma autógrafa digitalizada deberán en primer lugar demostrar la fiabilidad de los medios electrónicos en los que se capturó , y mantienen la información de forma íntegra y accesible para su ulterior consulta; y en segundo lugar que la información es atribuible a la persona que haya suscrito el acto correspondiente (es decir a quien o quiens hayan estampado su firma autógrafa). Para estos efectos el litigante podrá presentar peritajes y dictámenes elaborados por especialistas en informática sobre el sistema electrónico utilizado y periciales caligráficas sobre la propia firma.

4. Tratamiento de los medios electrónicos en materia mercantil.

Conforme al artículo 89 del Código de Comercio, en los actos de comercio y en la formación de los mismos podrán emplearse los medios electrónicos, ópticos o cualquier otra tecnología. Asimismo, el artículo 93 del mismo ordenamiento establece que cuando la ley exija (i) forma escrita para los contratos, dicho requisito se tendrá por cumplido tratándose de mensajes de datos (información generada, enviada, recibida o archivada por medios electrónicos, ópticos o cualquier otra tecnología) siempre que la información se mantenga íntegra y sea accesible para su ulterior consulta, y (ii) que el documento sea firmado por las partes, dicho requisito se tendrá por cumplido tratándose de mensajes de datos siempre que sea atribuible a dichas partes.

En relación a lo anterior, el Código de Comercio establece una equivalencia funcional entre el documento en papel y el mensaje de datos. Al respecto, el artículo 89 de dicho ordenamiento establece “Las actividades reguladas por este Título se someterán en su interpretación y aplicación a los principios de neutralidad tecnológica, autonomía de la voluntad, compatibilidad internacional y equivalencia funcional del Mensaje de Datos en relación con la información documentada en medios no electrónicos y de la Firma Electrónica en relación con la firma autógrafa. Además el art 89 bis del mismo ordenamiento claramente establece: “No se negarán efectos jurídicos, validez o fuerza obligatoria a cualquier tipo de información por la sola razón de que esté contenida en un Mensaje de Datos”

Por lo que se refiere a la firma autógrafa digitalizada como medio de prueba, el artículo 1205 del Código de Comercio establece que son admisibles como medios de prueba todos aquellos elementos que puedan producir convicción en el ánimo del juzgador acerca de los hechos controvertidos o dudosos por lo que se tomarán como pruebas, entre otros, los documentos privados, los mensajes de datos y, en general, cualquier otro similar. Por su parte, el artículo 1298-A del mismo ordenamiento reconoce como prueba los mensajes de datos y establece que para valorar la fuerza probatoria de los mismos deberá estimarse la fiabilidad del método en que haya sido generada, archivada, comunicada o conservada. Toda vez que la firma autógrafa se representa en un mensaje de datos ésta debe reconocerse como un medio de prueba de la celebración del contrato respecto del cual fue otorgada.

Conforme a lo antes señalado, en materia mercantil, al igual que en materia civil, la parte que desee acreditar la validez de una firma autógrafa digitalizada deberán en primer lugar demostrar que los medios electrónicos en los que se capturó son fiables, y mantienen la información de forma íntegra y accesible para su ulterior consulta; y en segundo lugar que la información es atribuible a la persona que haya suscrito el acto correspondiente. Para efectos de lo anterior, el litigante podrá presentar peritajes y dictámenes elaborados por especialistas en informática o calígrafos sobre el sistema electrónico utilizado y la propia firma.

5. Riesgos.

Los principales riesgos relativos al uso de firmas autógrafas digitalizadas pueden dividirse en (i) insuficiencia tecnológica, y (ii) capacitación tecnológica del juez ante el cual se presenten las pruebas.

Por lo que se refiere al primer punto, la parte que captura la firma autógrafa en un medio electrónico debe ser capaz de demostrar plenamente que la información capturada se mantuvo íntegra y que es atribuible a las partes. Respecto de la integridad de la información el hardware y software utilizados para capturar y conservar la firma tienen medidas de seguridad que impidan su manipulación una vez consignada la firma y que permitan detectar cualquier manipulación realizada respecto de la misma o del texto al que está vinculada.

Entre los requisitos podremos considerar:

  • Captura de elementos biométricos dinámicos de la firma (coordenadas sucesivas y presión del trazo realizado sobre la tableta, con una frecuencia de muestreo adecuada)
  • Vinculación de la firma con el documento garantizando la identidad del firmante y la integridad del documento con la firma integrada.
  • Imposibilidad de incrustar la firma en otros documentos, por parte de quien capta la firma o custodia el documento.
  • Confidencialidad de los datos biométricos y Protección de la información conforme a la Ley Federal de protección de Datos Personales en Posesión de Particulares y su reglamento
  • Posibilidad de comprobar la firma por el titular
  • Soporte duradero: El documento electrónico está a disposición del firmante en el momento de la firma y en cualquier momento futuro en que requiera tener acceso a el.

Por lo que se refiere a la capacitación tecnológica del juzgador, es importante hacer referencia de la posibilidad de demostrar con peritajes y dictámenes la fiabilidad de la información presentada.

[1] Ver Toledo Gonzalez, Vicente “Criterios de los Tribunales Federales Mexicanos sobre Medios Electrónicos”, en Derecho y Medios Electrónicos, Porrúa, México, 2012, pag. 308. Linares Carranza, Andrés “Los Medios Electrónicos como Elementos de Prueba” en Derecho y Medios Electrónicos, Porrúa, México, 2012, pag. 284. Pérez Segura, Osiris Berencie y Carranco Marínez Marisol, Contratos y Transacciones por Medios Electrónicos, Trillas, México, 2013

[2] Segundo Tribunal Colegiado de Circuito en Materias Penal y Administrativa del Vigésimo Primer Circuito. Queja 39/2006.

[3] Artículos 1296 del Código de Comercio y 203 del Código Civil Federal.

[4] La Real Academia Española define “escribir” como “representar las palabras o las ideas con letras u otros signos trazados en papel u otra superficie”.  http://lema.rae.es/drae/?val=escrito. En este caso los signos se otorgan sobre una superficie que convierte el trazo en información que a su vez puede ser reproducida.

Share