Ley Federal PPDUI – II

Proyecto de Ley Federal para la Protección de los Derechos de los Usuarios de Internet

Senadores del PRD se ponen las pilas y proponen ley que asustará a la IP

2ª y última parte

Por Joel A. Gómez Treviño

En la revista pasada se publicó la primera parte de este artículo, en donde se buscó sintetizar los principales puntos de este proyecto de ley, y hacer unos breves comentarios sobre el mismo. En el presente artículo finalizaremos con esta síntesis, para finalizar con un análisis y crítica constructiva sobre el proyecto.

Me toca iniciar esta segunda parte con algo que seguro será de mucho interés para la industria bancaria y financiera. Los artículos 20 y 22 establecen obligaciones para las instituciones financieras que presten servicios a través de internet, particularmente la de “garantizar que toda transacción relacionada con su actividad se realice de forma segura”. Para tal efecto se estipula que “las instituciones financieras deberán de contar con certificados de seguridad válidos y vigentes, así como proveer la tecnología más avanzada disponible para el efectivo envío y recepción de datos encriptados que impidan su revelación en caso de interceptación o desvío”. De inmediato surgen las dudas para los expertos… ¿qué es “la tecnología más avanzada”? ¿Quién determinará lo que es “la tecnología más avanzada”? Hoy se habla de “certificados de seguridad” en los navegadores, mañana… ¡quién sabe!

El artículo 22 obliga a las instituciones financieras a establecer mecanismos de seguridad que permitan la protección contra fraude para las operaciones concretadas a través de Internet. También, establece que la institución financiera, en caso de que le sea reportado un fraude electrónico por un usuario, “deberá descontar del saldo exigible al usuario, hasta en tanto no se concluya la investigación correspondiente, el monto de la transacción que haya sido notificada como fraudulenta”. Aunque el objetivo es en esencia bueno, a ningún banco le agradará que le impongan estas obligaciones que se traducirán en inversión y la modificación actual de sus mecanismos de investigación.

Diversos artículos, como el 21 y el 25, estipulan obligaciones de confirmación de transacciones vía correo electrónico, lo cual es una acertada adaptación de lo dispuesto en la Directiva sobre Comercio Electrónico de la Unión Europea.

El Capítulo V contempla toda una serie de obligaciones en materia de protección de datos personales. Como lo comentamos en el número anterior, las definiciones de “datos personales” de este proyecto de ley no coinciden con la Ley de Protección de Datos Personales para el Distrito Federal. Además, es curioso (y lamentable) que incluyan dentro de esta definición a “la dirección IP desde la que se realice la conexión del usuario”.

Una dirección IP jamás debe ser considerada como “dato personal”, por varias razones: 1) no es un dato que identifique a una persona, sino en el mejor de los casos, a un equipo de computo; 2) las directivas europeas más importantes que regulan la protección de datos personales (95/46/CE y 2002/58/CE), no contemplan a la dirección IP como “dato personal”; 3) las direcciones IP, tratándose de consumidores o usuarios que se conectan a internet desde casa, universidades, “hot spots” o sitios públicos, son siempre dinámicas (vs. fijas), por lo que resultaría un absurdo considerarlas como “dato personal” si cambian cada vez que un usuario se conecta a la red.

Las direcciones IP probablemente caen dentro de la definición de “dato de localización” o “dato de tráfico”, como lo establecen los considerandos y el artículo 2, incisos b) y c), de la Directiva 2002/58/CE sobre la Privacidad y las Comunicaciones Electrónicas de la Unión Europea. Las referencias continuas a legislación europea en este artículo, se deben a que es la más avanzada y “antigua” en materia de protección de datos personales.

El segundo párrafo del artículo 27 establece que “los datos personales de un usuario podrán ser revelados únicamente a la autoridad judicial que así lo solicite mediante orden o resolución judicial debidamente fundada y motivada en donde se especifiquen los datos que han de ser revelados y el motivo para su revelación. De toda solicitud de revelación de datos personales deberá correrse traslado al usuario cuyos datos estén siendo solicitados por la autoridad judicial”. Esto trae un impacto grave y negativo al procedimiento de disputas de nombres de dominio en México (LDRP), pues es común que los abogados que llevan esta clase de casos soliciten a NIC México los datos de contacto (todos ellos caen bajo la definición de “datos personales” bajo este proyecto de ley) del titular de un determinado nombre de dominio, para notificarle el inicio de un procedimiento LDRP o enviarle una carta de “cese y desistimiento”.

El artículo 29 del proyecto a grandes rasgos prohíbe el spam físico y electrónico (envío de propaganda comercial no solicitada). Aunque con una muy desafortunada redacción, el inciso VI del artículo 76 bis de la Ley Federal de Protección al Consumidor, ya contempla la misma prohibición: “El proveedor respetará la decisión del consumidor en cuanto a la cantidad y calidad de los productos que desea recibir, así como la de no recibir avisos comerciales”. Es lamentable el uso del término “aviso comercial”, pues está regulado por otro ordenamiento (Art. 100 de la Ley de la Propiedad Industrial), que nada tiene que ver con protección al consumidor. En lugar de duplicar prohibiciones y sanciones, busquemos reformar la desatinada redacción de la Ley Federal de Protección al Consumidor.

El artículo 31 prohíbe la instalación de “cookies” sin el consentimiento expreso del usuario. Aunque es razonable y tal vez hasta deseable que exista este tipo de regulación, no es práctico implantar este tipo de requerimientos, pues hoy en día la gran mayoría de los sitios web, nacionales y extranjeros, trabajan a base de “cookies”. Además, todos los navegadores más populares en el mercado, tienen la opción para que el usuario controle las “cookies” como mejor le convenga.

El artículo 33 establece que “las comunicaciones o archivos de cualquier tipo que se transmitan a través de Internet tendrán el carácter de confidenciales. En consecuencia, queda prohibida toda acción que tenga por objeto observar, interceptar, desviar, supervisar, restringir o alterar la libre transmisión de las comunicaciones o archivos a través de Internet”.

¿Y dónde dejamos el derecho de los patrones de monitorear las comunicaciones electrónicas de sus empleados en horario laboral y haciendo uso de las herramientas informáticas de la empresa? Es bien conocido por todos que la web 2.0, las redes sociales y los programas de mensajería instantánea son uno de los principales factores que afectan seriamente la productividad de los trabajadores en las empresas. México todavía no ha explorado la regulación informática desde el punto de vista laboral. La tendencia jurisprudencial anglosajona, que inexorablemente suele permearse en México, es que los empleados no pueden tener expectativas razonables de privacidad cuando están usando computadoras, recursos informáticos y herramientas de trabajo proporcionadas por la empresa en tiempo laboral.

El artículo 37, ya en el capítulo VI denominado “de la libre utilización de programas, aplicaciones o herramientas para la transmisión de voz sobre IP y de redes de pares”, regula someramente el tema de redes peer-to-peer: “Ningún prestador de servicios de conexión a Internet, entidad gubernamental o institución pública o privada podrá impedir o restringir el uso de programas que tengan por objeto crear redes de pares. Queda prohibida toda acción que tenga por objeto disminuir el rendimiento de los programas para crear redes de pares o la disminución en el ancho de banda que afecte la transferencia de archivos a través de las redes de pares”.

Creo que la mayoría de los que conocemos poco o mucho de informática, sabemos que desafortunadamente el uso primordial que se les ha dado a las redes “peer-to-peer” ha sido para delinquir, o para que no se lea tan feo, “para violar derechos de autor”. Tan solo entre 2003 y 2005, la Recording Association of America promovió 14,000 demandas en contra de usuarios de redes P2P. Es un tema álgido, pues por un lado esta el interés de los usuarios de internet en “compartir” cualquier archivo que tengan en sus computadoras, y por otro lado, el obvio interés de la industria por proteger a capa y espada los derechos de autor de artistas que representan, que se traducen en jugosas regalías que dejan de ganar por estos actos de piratería. ¿Por qué regular tan a la ligera un tema que amerita profundo debate y análisis?

El Capítulo VII (De los derechos de autor sobre obras publicadas a través de Internet) no lo voy a comentar, por que al igual que muchos artículos de este proyecto, el contenido del mismo debería de estar contemplado como propuesta de reforma a la Ley Federal del Derecho de Autor.

El Capítulo VIII plasma una visión interesante los procedimientos para la defensa de los derechos de los usuarios de Internet. Establece cuáles son las autoridades competentes para conocer y sancionar las violaciones a los derechos otorgados por el proyecto de Ley. El Capítulo IX establece el catálogo de infracciones a la ley propuesta.

El artículo 53 del Capítulo X (Delitos) convierte en delincuentes a quienes: I. Observen, supervisen, intercepten, desvíen, restrinjan o alteren el envío y recepción de datos a través de Internet sin la autorización expresa del usuario; II. Comercialicen, traspasen, cedan, intercambien, donen o transfieran el dominio de la información relativa a los datos personales a que se refiere la presente Ley sin la autorización expresa del usuario al que pertenezcan dichos datos; y III. Reincidan en alguna de las conductas establecidas en las fracciones VI, VII, VIII, IX, XVI, XVII, XVII o XIX del artículo cincuenta y uno (catálogo de infracciones) de la presente Ley.

En otras palabras, de aprobarse el proyecto de ley: 1) tu patrón que revisas los correos electrónicos y la mensajería instantánea de tus empleados, serás un delincuente; 2) tu empresa de internet que comercializas, intercambias o traspasas bases de datos con datos personales de tus clientes sin su consentimiento, serás un delincuente; y 3) si reincides en cualquiera de las 20 infracciones, serás un delincuente!

Para concluir solo me resta decir que, a pesar de todo, este proyecto de ley es “bien intencionado”. Los usuarios de internet somos los más desprotegidos, pues gran parte de las reformas legislativas en México a la fecha en materia de comercio electrónico, han sido encaminadas a darle certeza jurídica a quienes hacen negocios electrónicos (reconocimiento y validez legal de contratos electrónicos, mensajes de datos, y firma electrónica). Sin embargo, creo que este proyecto tiene muchas áreas de oportunidad. Mucho de lo que pretende regular es materia de otras leyes federales, y no se justifica regularlo “aparte” solo para que los derechos de los usuarios de internet se encuentren en un solo “compendio normativo”. Confiamos en que propuestas como esta, sigan llegando al Congreso, para eventualmente, contar con una protección justa para los usuarios de internet.