Estos son los fallos de seguridad en el servicio de email que el Consejo presta a los abogados españoles

A los abogados españoles se nos proporciona un correo electrónico inseguro por defecto, enviándonos la contraseña en texto plano y con una configuración inicial que desvela el contenido de todas las conversaciones con nuestros clientes. Lo proporciona el Consejo General de la Abogacía Española, a través de las webs de muchos de los colegios de abogados españoles, como el ICAM. Descubrió los hechos El Confidencial. Con ayuda de un auditor, ahora yo he sacado las conclusiones que confirman esos fallos de seguridad y algunos otros más graves.

Actualización (3/11/2014 a las 2pm): acabo de recibir una llamada del CGAE. Me indican que ellos lo hacen bien y que el sistema es seguro, ya que permite accesos http o https, siendo responsabilidad de los colegios el facilitar una u otra opción por defecto y siendo responsabilidad del abogado elegir una u otra para su uso.

Actualización (5/11/2014): Detecto que ICAM guarda en claro las contraseñas de todos los abogados con cuenta de correo @icam.es. Reporto el fallo al ICAM y actualizo este post con el hallazgo.

Actualización (08/11/2014 a las 8pm): Tras crear una petición en Change.org (aquí) dirigida al ICAM para que arregle los fallos de seguridad, el Colegio de Abogados cambia el acceso por defecto al correo solo desde su web principal para que sea https bajo cifrados SSL (aquí su nota de prensa por Twitter), manteniendo inseguros los demás accesos. El problema es que han olvidado cambiar el resto de enlaces (por ejemplo, los que ofrecen en el área privada para abogados, que siguen dirigiendo a http). El ICAM decide no responder a la la pregunta pública que les he hecho para saber si sus técnicos trabajan para solucionar el resto.

Actualización (13/11/2014): El caso, que ya salió en la prensa, vuelve a copar portadas por segunda vez (El Colegio de Abogados de Madrid, una casa con grietas). El ICAM no reacciona, a pesar de que también otros abogados e ingenieros también publican posts sobre ello: ¿Por qué el servicio de correo de los Colegios de Abogados no es adecuado?, etc.

Quede claro que:

  • El servicio de correo electrónico que ofrece el CGAE a los abogados cumple una finalidad básica: envia correos sin cifrar y permite su cifrado.
  • Existe la vía de acceso https (aquí), aunque no es la que el ICAM (por poner un ejemplo) ofrece por defecto a través de su web. La que ofrece por defecto es http://mail.icam.es/pronto/

Hace unos días (30/10/2014) presenté el Informe sobre la necesidad legal de cifrar información y datos personales en España, que acabamos de elaborar en Abanlex para una empresa de cifrado (que aparece en la portada del informe). Uno de los puntos más destacados del informe es el de la obligación de cifrar datos que pesa sobre todos los abogados: Los abogados estamos obligados a cifrar.

Los abogados tratamos datos que deben ser cifrados. No tienen por qué ser los que merecen ser protegidos con medidas de nivel alto según la LOPD, pero que nos obligan a cifrar tanto la información almacenada como las comunicaciones que realizamos con ellos. Envié este informe a varios medios de comunicación recibiendo respuestas de interés de casi todos ellos. El más interesado fue El Confidencial: especialistas contactados por el medio habían auditado el servicio de correo electrónico que se ofrece en la web del ICAM para cerciorarse de que los abogados podemos fiarnos de las herramientas que nos proporcionan los Colegios y había obtenido interesantes resultados: el correo del ICAM es inseguro por defecto.

Captura de pantalla 2014-11-01 19.08.11

Abogado de Madrid, solicita tu correo profesional en www.icam.es

Me personé a las pocas horas en el ICAM para advertir a mi Colegio de que El Confidencial iba a publicar al día siguiente una interesante noticia que desvelaba los fallos del correo electrónico que proporciona el ICAM a los abogados. A las pocas horas, El Confidencial mantuvo reuniones telefónicas con miembros del Colegio y del Consejo, por lo que mi visita igual no fue muy necesaria, pero creí conveniente hacerla. Me atendió la gente de comunicación del Colegio, que demostró inquietud y ganas de conocer qué es lo que realmente nos están dando a los colegiados.

Para estar seguro de que lo que iba a publicar El Confidencial era cierto y poder ayudar a mi Colegio en lo que hiciera falta, hice averiguaciones antes de ir al ICAM y trabajé con un auditor especializado en cifrados, a quien di acceso temporal y supervisado a mi cuenta del ICAM para que pudiéramos comprobar juntos las afirmaciones. Aquí el detalle:

¿El ICAM envía la contraseña en claro?

Dice el Consejo en su comunicado (ver aquí):

“Ni el Consejo General de la Abogacía Española ni el Colegio de Abogados de Madrid han remitido a los abogados los datos de usuario y contraseña en texto plano para su alta en los servicios telemáticos. El envío cifrado o encriptado garantiza la seguridad de la información y de los datos de acceso a los servicios de la abogacía”

Vamos a comprobar cómo miente el Consejo General de la Abogacía Española (CGAE):

Captura de pantalla 2014-11-01 19.19.20

Opción disponible en la sección privada para abogados https://www.icam.es/miICAM.icam

Solicito una cuenta de e-mail @icam.es a través de la sección privada para abogados de ICAM. Para acceder a esta sección, ICAM me solicita identificarme con un certificado electrónico. Uso el certificado obtenido gratuitamente en la FNMT para persona física. A continuación, ICAM me solicita un usuario y contraseña únicos, que solo pude obtener acreditando en el Colegio mi condición de abogado. Accedo al área privada y remito mi solicitud enviando mis datos bajo cifrado SSL (https). En todo el proceso, la seguridad es máxima.

A las pocas horas, abro mi correo electrónico y recibo esto (tal cual se ve en la imagen):

Captura de pantalla 2014-11-01 18.57.16

Usuario y contraseña (que he cambiado) enviados en claro a través de un correo electrónico no cifrado.

El ICAM me envía el usuario y la contrasela en claro, junto con un enlace de acceso no cifrado. No me preocupé por que la contraseña estuviera en claro, porque el remitente es icam.es (supuse que enviaba los mensajes por canales cifrados) y porque mi correo solo opera bajo SSL. El envío de una contraseña en claro en estas condiciones que imaginé no es alarmante. No es el mejor sistema, pero podría ser suficiente.

El servicio del ICAM no me exige ni sugiere cambiar la contraseña enviada en claro. Como parte del experimento, estuve usando la misma contraseña inciial durante varios días y luego la cambié sin problemas por esta: “123456”.

Comprobé el original del e-mail, del que he borrado algunas líneas personales y quitado una IP, y descubrí que no hay ni ápice de aplicación de cifrado alguno:

Return-Path: <correo@icam.es>
Received: from mail.redabogacia.org (mail.redabogacia.org. [XXX.XXX.XXXX.XXX])
From: "Correo ICAM" <correo@icam.es>
To: <pablo@prestadorloquesea.com>
Subject: SOLICITUD CUENTA DE CORREO
MIME-Version: 1.0
Content-Type: text/plain;
    charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable
X-Mailer: Microsoft Outlook Express 6.00.2900.5931
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.6157
Su cuenta de correo: pablo@icam.es ha sido Activada, acceda a la =
p=E1gina web http://mail.icam.es/pronto/ Usuario=3Dpablo y =
Contrase=F1a=3DQSsj4075. Consulte instrucciones en la web del ICAM.

Para enviarme la contraseña, el ICAM aparentemente usa Microsoft Outlook Express 6, una versión de cliente de correo electrónico diseñada para Windows XP y que dejó de estar operativa en 2009.

Hablando con el CGAE, me revelan que no son ellos los que envían la contraseña de acceso en claro sino el Colegio de Abogados (ICAM en mi caso). Cabe la posibilidad de que la hayan enviado desde un SSL.

El valor de la información:

Un ‘caballero’ (con nombre y de una institución) me dijo un día antes de la publicación del artículo en El Confidencial: “Nosotros jamás enviamos la contraseña en claro. Además, la contraseña es de un solo uso. Y en el e-mail decimos que es obligatorio cambiarla”.

Pues, querido ‘caballero': Me habéis enviado la contraseña en claro. Llevo usando la misma todo este tiempo, para hacer pruebas, sin cambiarla. Y no me habéis informado de que es obligatorio cambiarla.

Dando vueltas al tema, veo que, ya que no cifran podrían haber usado la clave pública PGP que tengo en Red Iris (y que aprendí a usar gracias a Luis Delgado), y todos felices, pero no. De todas formas, si el CGAE envía el usuario y la contraseña desde un webmail o un servicio que cifra bajo SSL, todo perfecto. Pero… no parece que haya sido así. Lo explico en el siguiente punto.

A los pocos días decido cambiar mi contraseña de acceso a la siguiente: 123456. Se puede. Ningún sistema de seguridad me impide elegir una contraseña insegura.

http://mail.RedAbogacia.org opera sin cifrado SSL

Accedo a la portada que da acceso al servicio de correo electrónico del Consejo General de la Abogacía Española (mail.redabogacia.org).

Lo que encuentro es un servicio webmail sin cifrados SSL que corre en un servidor que el Consejo ha contratado a la sociedad Jazz Telecom, S.A. (o a un proveedor que usa sus servicios) y cuyas máquinas, ciertamente, están en Madrid, según la localización de su IP. Cierto es que existe una versión “https”, pero si se usa la http, todoas los datos vuelan si cifrar.

Captura de pantalla 2014-11-01 20.16.55

Prometo que no di al botón “entrar”

El valor de la información:

El ‘caballero’ de antes me dijo también: “Si Microsoft me envía las contraseñas en claro, no entiendo por qué nosotros no podemos”.

A ver: No sé si Microsoft hace eso, pero, si lo hiciera, lo haría usando conductos cifrados SSL, asegurando la confianza sobre el envío de los datos entregados. Además, Microsoft no es un Colegio de Abogados, ni ofrece herramientas preconfiguradas para el ejercicio de la abogacía en España. Es más, en EE.UU. (de donde es Microsoft), no hay una ley de protección de datos equivalente a la que hay en España y es posible que el servicio del que me habla sea para uso personal o privado.

De todas formas, aún no tengo por qué preocuparme. Hay servicios de correo electrónico basados en tecnologías que ofuscan los datos en origen y permiten su recepción clara en destino. Vamos a comprobar si este es el caso, en el punto siguiente.

Entrando en http://mail.ICAM.es desvelas tu contraseña

Abro la página de acceso al webmail del ICAM. El servicio tiene dos vías de acceso: una en html (mail.icam.es) y otra con un webmail en flash (mail.icam.es/pronto) pero las dos en http básico. El ICAM no lo dice en ningún lado, pero existe una versión oculta con SSL (aquí). Me decido por la flash que ofrece por defecto a través de su web, optando por la única opción con posibilidades de salvarse. El CGAE, en la reunión telefónica que he mantenido con ellos, me dice que no recomiendan la versión flash (cosa de la que me entero por teléfono porque no hay lugar que haya encontrado en el que el ICAM ni el CGAE lo digan). Veamos:

Captura de pantalla 2014-11-01 20.50.26

Acceso al webmail para abogados del ICAM

Antes de pulsar el botón “Entrar” pido a mi compañero auditor que haga un simple captura de los datos de autenticación. Es decir, le pido que me diga qué ve un cualquiera que esté enganchado buscada o casualmente a mi conexión. El resultado alucinante lo explico debajo del código.

autenticacion

Al pulsar el botón “Enviar”, mi contraseña vuela en claro y perfectamente visible para cualquier persona.

Resultado: Al pulsar el botón “ENVIAR”, mi contraseña de estrellitas (********) se convierte en texto plano (QSsj4075) y queda a disposición de cualquier persona conectada a mi red. Si me conecto a una red wifi cuyo router no he configurado yo personalmente (bares, restaurantes, aeropuertos, piñas…) debo llamar a mi cliente para pedirle que se despida de sus secretos, ya que yo he renunciado sin saberlo a mi deber de confidencialidad. Poca o ninguna confianza me genera un proveedor que me obliga a revelar en claro mi contraseña en cada acceso.

Me dice mi compañero auditor que “lo que hemos visto es el payload, es decir, la carga de los paquetes. La captura en sí es:”

paquetes

Captura de los paquetes

Otros saben mi contraseña y yo jamás tendré constancia de ello. Puedo usar el correo de ICAM durante años y un tercero puede ver todo lo que envío y recibo. El Colegio quizá saque un comunicado diciendo que ellos no envían la contraseña en texto plano sino que es el abogado el que la envía de esa forma al pulsar el botón enviar. O que si no quiere que pase esto, puede entrar en https en lugar de usar la opción por defecto sin cifrar. En fin…

Es igual. Aún no estoy suficientemente preocupado. Continúo con la prueba.

Por defecto, http://mail.ICAM.es envía sin cifrar

Entro en el webmail y comienzo a redactar un e-mail para un cliente que se está jugando la cárcel. Afortunadamente, me ha enviado todas las pruebas a mi correo electrónico. ¡Es culpable! pero voy a usar el Derecho (y el artículo 24 de la Constitución) para salvarlo.

Captura

Mail para salvar de la cárcel a un cliente, redactado en la plataforma de correo que ICAM aporta a los abogados

Voy a suponer que soy un abogado normal que confía en que la plataforma que me ofrece ICAM (por defecto en html) está preparada para este tipo de envíos. ¡Es impensable que un colegio de abogados entregue herramientas que permiten el envío de información sin cifrar! ¿O es pensable?

Pues, efectivamente, es pensable. De esta forma que he seguido, toda la información que envío desde mail.ICAM.es se transfiere en claro, sin cifrar y a disposición de cualquiera. ¡Hola mundo: he aquí que mi cliente es culpable! La prueba, en lugar de hacerla con un texto tan largo, la hicimos con una sola palabra en el subject  (“prueba”), captando sin querer los datos de la transmisión y obteniendo este resultado:

envio

Todo el contenido es visible en los envíos realizados a través de mail.icam.es

Estas fueron las palabras de mi colaborador:

Como bien te percataste, va todo en TEXTO CLARO, SIN CIFRAR. Como luego carga un applet en flash, podría ocurrir que este cifrase, pero NO es el caso.

Vemos los campos:

- “To”, “CC”, “BCC” à a quién/quiénes envié el mail
- “subject” à de qué trata
-  “body” à el contenido
- Etc…

Por tanto, como se puede ver, este servicio de email está COMPLETAMENTE en CLARO, cualquiera, esnifando paquetes, puede obtener credenciales, emails (enviados y visualizados), etc…

Ahora mis ganas de usar el servicio de correo electrónico que me ha dado ICAM son cercanas a cero.

He tratado de usar la aplicación instalable del servicio de correo del CGAE, por si esta soluciona el problema. Pero, simplemente, no funciona. La he instalado en Windows 7 y 8, pero el ejecutable no muestra la herramienta, a pesar de estar corriendo en segundo plano. La única opción es desistir y usar el webmail inseguro.

Vamos a suponer que nadie nos capta la contraseña en el proceso de autenticación. ¿Cómo se debe usar el servicio de correo electrónico que nos ofrece el CGAE, a través de los colegios de abogados? Lo vemos a continuación.

El ICAM almacena las contraseñas en claro

La práctica más peligrosa que puede realizar un prestador de servicio de correo electrónico es guardar la contraseña en claro en su servidor. En cuestión de minutos y por medio de una inyección de SQL, un hacker malo puede obtener todas las contraseñas de todos los correos electrónicos de todos los abogados que usen el servicio de correo del ICAM.

Para comprobar que realmente el ICAM guarda las contraseñas en claro, en lugar de un hash de estas, realicé la siguiente prueba: solicité que me recordaran la contraseña.

Captura de pantalla 2014-11-05 20.29.00

Página del ICAM, con faltas ortográficas, para solicitar el envío de tu contraseña por correo electrónico

Lo lógico habría sido recibir un enlace para crear una nueva contraseña. En cambio, recibí mi contraseña. Epic fail merecedor de un face palm.

Captura de pantalla 2014-11-07 01.03.31

¡Recibo mi propia contraseña! Luego, las conservan sin hashear.

Este error en el servicio de correo del ICAM es uno de los más graves que se pueden cometer en Internet. Según describe Yago Jesús en SBD (aquí), servicios como este son dignos del “muro de la vergüenza de la gestión de contraseñas“; es decir, son dignos de entrar en Password Fail. Si son admitos a esta web, cosa difícil porque necesitan probar el sistema y no son abogados del ICAM, una vez el Colegio solucione el error épico aparecerá en la web como servicio seguro, motivo de orgullo.

El 7/11/2014 reporté el fallo directamente al servicio informático del ICAM a través del área privada del Colegio para abogados.

Los abogados estamos obligados a cifrar

La explicación de por qué los abogados estamos obligados a cifrar, la encontramos en el Informe que hemos elaborado al respecto en Abanlex (descárgalo desde aquí) y del que me siento orgulloso. Es el primero que se ha hecho de este tipo y el primero de otros que vendrán, ya que faltan sectores afectados (como el de la prensa por su deber de secreto profesional y por ciertos datos que tratan). El informe se puede reutilizar gratis, incluso con fines comerciales ;)

Cómo se debe usar mail.ICAM.es

Lo primero de todo: no debes usar mail.icam.es en http sin SSL por todo lo que ya he dicho hasta aquí. Si te animas a usarlo es que no valoras en absoluto la confianza que tus clientes han depositado en ti, porque el ICAM almacena tu contraseña en claro y queda a disposición de “hackers malos”. De todas formas, como hay gente para todo, vamos a ello.

Si te arriesgas, necesitarás instrucciones:

  • El mail que envía ICAM dice: “Consulte instrucciones en la web del ICAM”
  • ¿Dónde están esas instrucciones? No están. Solo encontrarás esto:
    • Manual para configurar Outlook: Antes el ICAM prestaba un buen servicio de correo electrónico basado en la solución Google Apps. Ahora, que si por la NSA y que si por Snowden, no lo usan. Pero ahí sigue el manual antiguo.
    • Condiciones de utilización del servicio de correo del ICAM: Nos comprometemos a no enviar SPAM. ¿Y las instrucciones?
    • Guía práctica de adecuación de despachos jurídicos: Se encuentra en la sección privada para abogados. No dice nada sobre cómo cifrar. Y, de cualquier forma, no recomiendo usar esta guía porque está desactualizada desde 2011.
    • Manual CommuniGate Pro: Buscando en Bing (¡¿quién usa Bing?! usé Google) encuentro el manual del programa de ordenador, en inglés, del que se puede sacar algo de información.

Quiero que mi webmail corra siempre bajo https. ¿Cómo lo configuro? Entrando siempre únicamente en https://mail.icam.es

Quiero cifrar mis comunicaciones. ¿Cómo lo hago? Sigue estos pasos:

1) Pulsa en “preferencias” y selecciona “Correo Seguro”. Introduce una contraseña segura. Ojo: ¡Esto no convierte tu correo en seguro! Solo te genera un certificado de firma avanzada s/MIME.

imagen-sin-titulo

Crea una contraseña de “Correo Seguro” (imagen tomada de El Confidencial)

2) Exporta la llave y el certificado de seguridad. Guarda el archivo en un lugar seguro y, por supuesto, no pongas como título su contraseña.

Captura de pantalla 2014-10-31 00.13.50

Cualquier abogado entendería esta página. No creo que las instrucciones sean necesarias.

3) Haz la prueba de enviar un correo firmado electrónicamente con tu certificado avanzado. Si intentas enviar un mensaje cifrado sin haber seguido todos los pasos, te dará error.

Captura de pantalla 2014-10-31 00.12.44

Si intentas enviar un mensaje cifrado, te dará error.

4) Convence a tu cliente para que instale un certificado de firma avanzada en su gestor de correos electrónicos y te envíe un correo electrónico firmado electrónicamente. Solo de esa forma, tendrás acceso a su clave pública y podrás enviarle, en respuesta un correo electrónico cifrado.

mensaje cifrado

El servicio de correo del CGAE sí permite cifrar de forma efectiva. En este prueba trato de leer sin éxito un correo cifrado desde un dispositivo sin mi firma electrónica instalada. Cuando instalo el certificado, lo logro.

Si no tiene certificado válido, puede probar uno de alguno de estos proveedoresSecorio, InstantSSL / Comodo o StartCom.

Yo hice la prueba con el certificado que ofrece la FNMT (sin éxito) y con el que ofrece Comodo (con éxito). El proceso es el siguiente:

  1. Accede a Comodo, entrega tus preciados datos personales, lee los términos (jeje), acéptalos y recibe en tu correo electrónico un enlace que te lleva a una página desde la que se descarga e instala un certificado en tu navegador. Expórtalo y guárdalo en un lugar seguro.
  2. Instala Thunderbird (no hagas el moñas usando Outlook 6) y configúralo con tu correo electrónico personal. Importa el certificado obtenido en Comodo. Marca la opción de firmar por defecto con el certificado importado y agrégalo también para realizar cifrados.
  3. Envía un correo electrónico firmado a tu cuenta de @icam.es
  4. Responde a este correo electrónico marcando las opciones firmado y cifrado. Envía y listo.

Así de sencillo es usar correctamente el sistema de cifrado con la herramienta profesional que provee el ICAM a sus abogados. ¡Creando confianza! Todo correo electrónico que envíes a tus clientes de otra forma es una potencial causa de ilicitud. De todas formas, por el comunicado del CGAE, a quién le importa. Según lo que leo en el comunicado del Consejo, el abogado que use esta herramienta de endiablada dificultad es culpable de hacerlo mal.

Hablando con el CGAE me dicen que el sistema de cifrado es sencillísimo. Sí, ¿verdad?

Fui al ICAM a avisarles y colaborar con ellos porque creo en el Derecho. Creo en dar herramientas profesionales útiles a aquellos que las necesitan. Y me encuentro publicada una respuesta esquiva en la que aquellos que nos deben proteger se exculpan de su ineptitud y descargan su responsabilidad en el abogado que confía en ellos, sin mostrar un ápice de intención de arreglar el desaguisado que han montado.

Si el CGAE ofrece este servicio a los Colegios para que lo presten a los abogados, debe también velar por que esa prestación se haga de forma correcta. No puede consentir que se muestre por defecto la opción sin cifrar, que usen herramientas de correo como Outlook 6, que usen la versión flash que no recomiendan, que no tengan instrucciones de uso claras para los abogados, que permitan que las contraseñas en el proceso de identificación se envíen en claro… El CGAE debe velar por la confianza de los abogados en sus colegios o, por lo menos, manifestarse preocupado por ello.

Todos hacemos cosas mal. Suficientemente ciega es la Justicia como para que también lo sea el CGAE.

La criptografía esconde aquello que en ella quieras encontrar

death-164761_640

La moneda virtual es perfecta para la creatividad legal, pero también para el comercio ilícito y el fraude. Imagen en CC0 tomada de Pixabay.

El Bitcoin también tiene un lado oscuro, como todo. Hablé con un periodista de El País que me preguntó por las posibilidades de blanqueo de capitales usando Bitcoin en el sector del juego online para redactar esta noticia: La lavadora del trío de ases. Mi respuesta por teléfono fue esta:

Ninguna de las casas de juego online que aceptan Bitcoins (lista) coincide con las que tienen licencia en España (lista). Esto es relevante, porque la posibilidad de blanqueo se realiza fuera de las fronteras de España y de forma anónima.

En España, si algún operador aceptase Bitcoins, tendría que identificar al usuario y aceptar un máximo de 2.500€ por persona en Bitcoins (noticia), porque el Bitcoin se considera un sistema de pago no controlado (noticia y respuesta de la DGOJ). Tiene sentido que se asemeje más al traspaso de efectivo que a la transferencia bancaria porque, al fin y al cabo, los pagos realizados con Bitcoins tienen una entidad similar a la de los pagos con trozos de metal (monedas) o pedazos de papel (billetes).

La DGOJ no dice que el Bitcoin sea dinero, sino que la norma que afecta al dinero también afecta al Bitcoin (post). El problema es que no hay nadie que regule el precio del Bitcoin, por lo que se usará el precio ponderado de las principales casas de cambio (BTC-eBitstamp). Es interesante que Hacienda haya pedido al Confidencial que ponga el titular “Hacienda reconoce por primera vez el valor económico del ‘Bitcoin'” en su último artículo, en lugar de “Hacienda reconoce por primera vez el ‘bitcoin’ como una moneda” para dejar claro que no es una moneda de curso legal (como lo es el Euro), pero sí algo que puede ser usado como moneda digital privada.

Lo magnífico del juego online con criptomonedas (como DarkCoin) es que puede ser totalmente anónimo (Anonibet) y el jugador puede usar programas gratuitos sencillos (DarkWallet) para enviar, mantener y recibir Bitcoin y que no quede rastro de las transferencias.

Luego el Bitcoin puede ser usado como medio de pago de productos y servicios legales (La Calle Bitcoin) e ilegales (armas). No hay que certificar de dónde se han obtenido los Bitcoin, porque se pueden haber creado (minería), por lo que luego se pueden vender legalmente por moneda de curso legal en España en prestadores de cambio online (lista), servicios p2p de cambio anónimo (Coinffeine, sociedad española con capital social solo en Bitcoins) y en la calle (LocalBitcoins).

El Bitcoin se usa cada vez más en el sector del juego online (noticia) y los únicos que lo ofrecen son prestadores de fuera de España (o ilegales dentro de España). Si alguien quisiese usar el sistema del gambling para blanquear dinero de forma extraordinariamente rápida, sencilla y anónima (lista de las mejores casas online que aceptan Bitcoins), usaría Bitcoin o algunas de las otras cientos de criptomonedas (lista).

La cadena de bloques Bitcoin se puede usar como alternativa al Registro de la Propiedad Intelectual del Ministerio de Cultura (post). Se puede utilizar la criptomoneda para comprar (noticia) o para constituir sociedades (post). También como medio para aportar recursos en un sistema de crowdfunding (Swarm). O para apostar de forma legal (post). Así que el Bitcoin, como toda tecnología, puede ser usada para la creación o para otros fines más…

[mis] Reflexiones sobre la Sentencia del #DerechoAlOlvido

the-lost-room-950872-m

Olvidar tu camisa es ejercitar tu derecho al olvido. (Foto compartida por dimitri_c)

Cuento algunas cosas que creo que no se han dicho lo suficientemente alto (o claro) sobre el caso del Derecho al Olvido

Joaquín Muñoz, mi socio de Abanlex, se puso la toga en Luxemburgo para exponer ante el TJUE las observaciones que él escribió, con la ayuda de su equipo, y presentó en nombre del español al que representa. El origen de caso lo explica él mismo aquí: El asunto AEPD vs Google, en el que Abanlex representa al particular que inició el procedimiento. El resultado, por ahora, es la famosa Sentencia del Derecho al Olvido.

1.- ¿Se vistió la toga Joaquín en Luxemburgo, ante el TJUE?

Sí, se togó ante el TJUE.

Se subió a un avión y se vistió de toga para entrar en la sala del TJUE. Joaquín dirige la defensa del español, desde sus orígenes en la AEPD, hasta ahora, en la Audiencia Nacional. La redacción de las observaciones y la personación ante el TJUE, también fueron cosa de Joaquín y de su equipo.

2.- ¿Quién ha ganado el caso?

Estamos en ello. La Sentencia es un texto que sirve a la Audiencia Nacional para resolver el litigio.

Hasta el momento, ha sucedido lo siguiente: Google Spain y Google Inc., disconformes con la resolución, que logramos de la AEPD, en la que se les obliga a retirar ciertos resultados, interpusieron recursos ante la Audicencia Nacional. Este tribunal, ante las dudas de interpretación normativa que le suscitaba el caso, suspendió el procedimiento y planteó una serie de cuestiones prejudiciales al TJUE, que dictó la famosa sentencia sobre el Derecho al Olvido indicando cuál es la forma correcta de interpretar la norma. Ahora que ya tenemos este texto, el caso regresa a la Audicencia Nacional y continuamos con la defensa del ciudadano español.

dont-forget-646997-m

No olvides tu derecho al olvido (Foto: cbicenhour)

3.- ¿Qué opinión te merece la Sentencia?

Respondo abajo, con preguntas de la A a la H.

Pero antes de responder, quiero que quede claro que lo que escribo en este blog es personal.

Joaquín estaba convencido de que iba a obtener una sentencia favorable; yo no tanto. Esto nos ayudó a trabajar el caso. Manteníamos discusiones casi diarias sobre aspectos relativos al tratamiento de datos por parte de Google: Joaquín defendía la postura que ahora el TJUE impone; mientras que yo defendía por convicción posturas similares a las que fueron aportadas por Google y Grecia en sus observaciones.

Tenemos Sentencia e interpretaremos la norma como en ella se nos indica. Pero, no lo puedo evitar, se me pasan por la cabeza estas impresiones, que comparto a modo de opiniones personales:

A.- Google: Ni responsable, ni encargado, sino… una tercera figura

La Directiva 95/46 es anterior al nacimiento de los buscadores de hoy. Esta norma fue diseñada para sentar obligaciones sobre dos sujetos: el responsable y el encargado. Si negamos el paso del tiempo y el estado de la técnica, una interpretación rígida de la norma nos obliga a calificar a Google como responsable, pero considero que no es de justicia otorgarle esa naturaleza.

En mi opinión, el TJUE ha aplicado la Directiva de forma excesivamente tajante. Sin embargo, como el espíritu de la norma no debe ser estático, sino que debe adaptarse a los tiempos, ha rebajado sutilmente las obligaciones del responsable, confirmando que el desarrollo de la técnica ha creado una tercera figura.

B.- Buscadores. No solo Google.

Uso Google en Chrome, Bing en el móvil para encontrar información rápida, Baidú para buscar ciertas posiciones de páginas, The Pirate Bay para… Hay buscadores para todo. Y no tres, ni diez, sino miles. Con mejor o peor resultado, se puede crear un buscador para cualquier cosa. Incluso este blog tiene un buscador.

Supongamos que solicito a Google la supresión de un resultado. ¿Se entiende hecha la solicitud de supresión a todos los buscadores que existen y existirán? “No”. Así que, a partir de ahora, empezaré a auditar a las personas usando una gran variedad de buscadores alternativos y no europeos.

 C.- El robots.txt ya no es suficiente

Gran verdad en la que no había caído hasta que leí la Sentencia.

El “robotx.txt” y los códigos “no index” y “no archive” solicitan a los buscadores que ciertos contenidos sean excluidos de los índices automáticos. Aun si un editor no los ha puesto, podemos obligar al buscador a no mostrar ciertos resultados sobre los mismos.

Esta parte es muy interesante. Lo que se solicita a los buscadores no es que excluyan una determinada página a voluntad de un particular, sino que eliminen ciertos vínculos que se obtienen al buscar “el nombre” de determinada persona u otro dato suyo personal.

Por ejemplo: Carlos Zimbou ha solicitado que se elimine el link a una página que dice “Carlos Zimbou es un asesino de zanahorias”. El buscador no mostrará esa página cuando se busque “Carlos Zimbou”, pero sí la mostrará cuando se busque “asesino de zanahorias”. Los demás buscadores no harán discriminación. Ningún buscador mostraría nada, nunca, si el editor de la web hubiera añadido la URI al robots.txt, salvo aquellos buscadores que no obedezcan al estándar robots.txt, que lo mostrarán todo siempre, excepto aquellos que, en su caso, hubieran recibido la solicitud de exclusión.

Tiene más sentido que el robots.txt. En el caso de los medio de comunicación, por ejemplo, la noticia publicada con datos personales podrá seguir indexada, solo que determinadas búsquedas no mostrarán enlaces a la misma. De esta forma, se permite incluso el ejercicio del derecho para el olvido de contenidos lícitamente publicados y de permanencia pertinente y justificada.

D.- Para solicitar el Derecho al Olvido, con el DNI no basta

Para ejercitar mi derecho al olvido, debo certificar mi identidad al buscador enviando una copia del DNI. Pero, además:

  1. Tengo que conseguir certificar que el individuo al que se refiere la página web publicada por un tercero soy yo.
  2. Tengo que conseguir certificar que el contenido vulnera mi derecho a la protección de datos.
  3. El buscador tiene que determinar si la supresión de los enlaces vulnera el derecho del público a tener acceso a la infomación de que se trate.

Veremos casos curiosos como este: un compañero de instituto se llama y apellida igual que un criminal condenado a prisión en un país americano. Cuando busca su nombre, solo aparecen noticias de “su” condena. Esta persona no podría solicitar el derecho al olvido sobre dichos contenidos que sí le afectan personalmente.

E.- Y si cambian la URI o copian el contenido o hacen un vídeo o… surge un nuevo buscador

Volver a empezar, otra vez.

 F.- Hacen falta años para conseguir salir (un poco) de Internet

Deberíamos trabajar en la eficacia y en la eficiencia de nuestras normas y del ejercicio de los derechos.

  • Eficacia: Hay ciertas normas que tiene un grave problema de eficacia a largo plazo. Por ejemplo, la obligación de publicar datos personales en el BOE hace imposible el cese en el tratamiento cuando el dato deja de ser necesario y genera la necesidad de ejercitar el derecho al olvido.
  • Eficiencia: Hay ciertas normas que tienen un grave problema de eficiencia. Por ejemplo, la del propio derecho al olvido. ¿Sabes cuántos años son necesarios para eliminar un dato de Internet ejercitando este derecho? El caso del español es de 1998 y lleva tratando de ejercitarlo desde 2010.

Creo que sería pertinente, además, que los buscadores organizasen una vía de comunicación multidereccional de instrucciones de olvido. Facilitaría la eficacia maximizando la eficiencia.

G.- Europa es ahora el escudo del mundo en materia de protección de datos

Un no europeo podrá ejercitar su derecho al olvido a través de Europa. Y… tengo cierta duda que comento más abajo. 

Partimos de esta base:

  • La herramienta de Google para facilitar el ejercicio del Derecho al Olvido estará disponible solo para europeos.
  • Google Spain está considerada filial de Google Inc. en Europa a efectos de protección de datos.
  • La protección de datos es un derecho personalísimo de todo ser humano.

En principio, Google no permitirá, por defecto, a ciudadanos extraeuropeos ejercitar el derecho al olvido de la forma que indica el TJUE. Supongamos que un estadounidense desea ejercitarlo. ¿Podría? Sí, si lo hace a través de Europa, contando, en su caso, con el apoyo de una autoridad de control nacional.

El Derecho al Olvido es una manifestación más de los derechos fundamentales de todo ser humano por el mero hecho de serlo, con independencia de la ciudadanía del ciudadano afectado.

La duda que me consume el sosiego es la siguiente:

Si Google trata datos personales de ciudadanos del mundo en el marco de las actividades de Google Spain, ¿no tendría que garantizar los mismos derechos a todos los datos de carácter personal que la misma trata? Sería incoherente que fuese responsable del tratamiento y obligado solo respecto de los datos de los ciudadanos europeos, y libre de tratar como le plazca los datos personales de los ciudadanos del resto del mundo.

H.- ¿El español ganará el caso?

Antes de leer este punto, ten en cuenta que yo estaba convencido de que el TJUE iba a sentenciar diferente, y erré. Es probable que me equivoque de nuevo aquí.

¿Es posible que el TJUE erre al decir esto en su Sentencia?

En la medida en que en el caso […] no parece existir razones concretas que justifiquen un interés preponderante del público en tener acceso a esta información en el marco de tal búsqueda, lo que no obstante incumbe comprobar al órgano jurisdiccional remitente, el interesado puede […] exigir que se eliminen estos vínculos de la lista de resultados.

Uno de los enlaces en liza es este.

En mi opinión, el documento en formato portable del diario español es histórico, hasta el punto de que forma parte de un caso que cambia el curso de la historia en Internet y del Derecho de Protección de Datos. Por tanto, discrepo ligeramente con el TJUE, pero no hasta el punto de quitarle la razón.

Creo que va a suceder lo siguiente:

  • Eliminación del enlace al pdf: La eliminación del enlace en los términos que el TJUE indica podrá ser posible para que la búsqueda del nombre del ciudadano no muestre directamente el archivo de la hemeroteca.
  • Permisión de las copias siempre en relación con el caso del derecho al olvido: El contenido ya ha sido copiado hasta la saciedad en relación con el caso. La permanencia de la noticia en la red es relevante y necesaria, siempre que vaya unida a este caso. Además, ya es imposible eliminar todo rastro del papel digitalizado originario.

 Quedan un par de curiosidades que destacar:

  1. La primera es que hoy es el Día de la Toalla, así que he escrito el artículo con un toalla en el hombro en recuerdo y admiración de Douglas Adams.
  2. La segunda es este vídeo hilirante que me pasó Jorge López Baqueriza, uno de los integrantes del equipo de Joaquín cuando redactó las observaciones presentadas al TJUE:

ram wanI’ qaSmoHlu’bogh wej Dajlaw’ nuq nID

‘oH ghItlhvetlh luyajlu’meH ngeD: legh Hal ngoq ‘ej ghaj pagh mughwI’ lo’. pagh Hal yIlo’

A comienzos de este año publiqué, junto con mis compañeros del despacho Legaltea, un Manual de derecho de consumo, con la Editorial Lex Nova – Thomson Reuters. Es el sexto libro que publico: dos en solitario; dos corales en colaboración; y dos en colaboración con Alejandra Porto y Manuel Molina. Son solo manuales para comprender un poco mejor el derecho, nada más. Indico los libros aquí.

Tenía esta duda: ¿Puedo adaptar el capítulo que escribí hace tres años a la reciente modificación de la Ley General para la Defensa de los Consumidores y Usuarios?

La respuesta es: No. Ha sido un desastre. Lo he intendo. He puesto en verde lo que iba añadiendo, he borrado de aquí y de allá citas a la Ley de Ordenación del Comercio Minorista, a antiguos artículos de la LGCU, a la de Condiciones Generales de Contratación… Pero no es suficiente. De hecho, ni se acerca a la suficiente. Tengo que reescribirlo entero.

Este artículo está escrito en Klingon para que nadie lo encuentre y para que aquellos que lo encuentren no lo puedan comprender porque no hablen la lengua o no sepan traducirla. Es un adiós al capítulo.

Si lo has encontrado, comprendes el lenguaje y lo estás leyendo, te digo:

“¡¡¡Llama de Udûn!!! ¡Regresa a la Sombra! ¡¡¡No puedes pasar!!!” .

Si aún sigues leyendo y le intentas dar alguna aplicación a lo escrito, tendré que decir a tus clientes:

Corred, insensatos” .

Las citas son de Gandalf. Supongo que lo advertiste.

En serio, no uses este texto. Lo publico solo como recuerdo de lo que una vez fue. Gracias por la comprensión. Pasemos página.

1.-Introducción al contrato electrónico

La tendencia natural de todo comercio es tener presencia en Internet. En la Red, los consumidores y usuarios buscan, comparan y contratan a diario, sin restricciones físicas, pero azuzados por la necesidad impulsiva de adquirir productos y servicios de forma inmediata y al menor precio. Por este motivo, puesto que Internet es actualmente un canal de absoluta relevancia para el comercio y dado que la despersonalización del oferente puede provocar una indefensión grave en los consumidores y usuarios, el legislador comunitario, seguido por el nacional, ha decidido otorgarle una regulación especial en materia de comercio electrónico.

Las notas fundamentales de esta regulación, especialmente desarrollada para proteger al consumidor en sus transacciones a través de Internet, son las siguientes: por un lado, se impone al comerciante un deber extraordinario de ofrecer información clara, precisa y comprensible sobre su identidad, su actividad, sus productos y servicios, las condiciones de adquisición que oferta y el contrato en sí, cuyas cláusulas regirán la relación con el cliente; por otro lado, se impone, también al empresario, la obligación de ofrecer al consumidor la posibilidad de arrepentirse o desistir de su compra y, por último, se configura un cuidado esquema de protección de los datos personales del consumidor que confiere al consumidor y usuario el control total sobre ellos y sobre la forma en que el empresario los ha de tratar.

Las empresas necesitan adaptarse a los nuevos canales de venta que surgen en el entorno digital, sin embargo, es patente el desconocimiento de la normativa sobre servicios de la sociedad de la información que hay entre los empresarios españoles que operan en Internet, así como en materia de comercio electrónico y protección de datos de carácter personal, por lo que cobra aún mayor relevancia que los expertos en Derecho presten un adecuado asesoramiento especializado sobre la materia.

El consumidor y usuario debe sentirse confiado y seguro al llevar a cabo transacciones comerciales en Internet. Una medida que ayuda a generar esa confianza esencial en el potencial cliente es la incorporación, en el propio sitio interactivo del empresario, de toda aquella información que sirva para identificar al vendedor de forma indubitada, así como aquella que indique las características del bien que vaya a ser adquirido y las condiciones de dicha adquisición. La generación de confianza y el consecuente impulso de la sociedad de la información son los pilares sobre los que se basa la normativa exigente aplicable al comercio electrónico.

2.- Los contratos electrónicos

Contratación electrónica es todo acto realizado por medio de redes telemáticas, mediante el que se establezcan de forma volitiva obligaciones exigibles.

La contratación electrónica con consumidores y usuarios encuentra su base normativa en la regulación de los contratos celebrados con consumidores y usuarios en el marco de una actividad empresarial, sin la presencia física simultánea de los contratantes, siempre que la oferta y la aceptación se realicen exclusivamente a través de una técnica cualquiera de comunicación a distancia y dentro de un sistema de contratación a distancia organizado por el empresario. A los efectos que nos interesan, tienen la consideración de técnicas electrónicas de comunicación a distancia, el videotexto con teclado o pantalla táctil, ya sea a través de un ordenador o de la pantalla de televisión, el correo electrónico y la televisión interactiva. Otras técnicas no electrónicas de comunicación, cuyas peculiaridades no serán analizadas en este capítulo, son las siguientes: los impresos, con o sin destinatario concreto; las cartas normalizadas; la publicidad en prensa con cupón de pedido; el catálogo; el teléfono, con o sin intervención humana, cual es el caso de las llamadas automáticas o el audiotexto; la radio; el teléfono con imagen; la televisión no interactiva, y el fax.

Es contratación electrónica todo acto de compra-venta realizado a través de Internet, pero también lo es la aceptación de un convenio de colaboración, la contratación de servicios o incluso la aceptación de una política de privacidad o las condiciones de uso de una red social, siempre que se haga, igualmente, a través de la Red.

Con el fin de permitir y facilitar el tráfico mercantil en Internet, la normativa vigente asegura la validez y eficacia de los contratos que se celebren entre empresarios y consumidores y usuarios por vía electrónica, aunque no consten en soporte papel. Se equipara la forma electrónica a la forma escrita y se refuerza la eficacia de los documentos electrónicos como prueba ante los Tribunales, resultando también estos admisibles en juicio como prueba documental (ver notas de 2006 y 2007). Ahora bien, ha de notarse que estos documentos electrónicos, llegado el caso, deberán presentarse en su formato original para que surtan todos los efectos. Así, por ejemplo, un correo electrónico deberá presentarse en formato electrónico y no en papel, al igual que una factura electrónica o un log o registro de accesos.

Ver: ‘Los e-mails como elemento de prueba en los juicios. Requisitos para acreditar la veracidad de su contenido y emisor, receptor, fechas, etc Según el criterio de los jueces‘, de Joaquín, Jorge y Alberto.

Los principios que rigen la contratación electrónica son los siguientes:

  • Principio de equivalencia funcional.
  • Principio de neutralidad tecnológica.
  • Principio de libertad contractual.
  • Principio de libertad de forma.
  • Principio de información.
  • Principio de buena fe.

En materia de contratación electrónica, al igual que sucede en la contratación tradicional, son de directa aplicación los artículos del Código Civil (en adelante, CC) y del Código de Comercio, destacando por su relevancia, en el primero, los que se encuentran en el Título II del Libro Cuarto, y, en el segundo, los artículos 51 y siguientes. Sin embargo, es de destacar en este punto el magnífico trabajo llevado a cabo por la Comisión General de Codificación de Derecho Civil en la Propuesta de Anteproyecto de Ley de modernización del derecho de obligaciones y contratos que resume en un único artículo, artículo 1268 del anteproyecto citado, todo el régimen de contratación electrónica, precedido por los artículos revisados de contratos celebrados fuera de los establecimientos mercantiles y de la protección de los consumidores en los contratos a distancia.

El momento en que comienza a existir un contrato suscrito por un consumidor o usuario, conforme al artículo 1254 del CC, es aquel desde el cual «una o varias personas consienten en obligarse, respecto de otra u otras, a dar alguna cosa o prestar algún servicio». El consentimiento, por tanto, es el que marca el momento de perfección del contrato obligando desde entonces «no sólo al cumplimiento de lo expresamente pactado, sino también a todas las consecuencias que, según su naturaleza, sean conformes a la buena fe, al uso y a la ley», según dispone el artículo 1258 del CC.

Por tanto, también en Internet basta el acuerdo de voluntades para que los pactos, cláusulas y condiciones que tengan por conveniente establecer las partes tengan los mismos efectos que los contratos tradicionales y sean, según el artículo 1089 del CC, fuente de obligaciones, siempre que éstas no sean contrarias «a las leyes, a la moral ni al orden público», conforme al artículo 1255 del CC.

Por lo que respecta a la forma que han de adoptar los contratos, el artículo 1278 del CC prevé, incluso para Internet, que mientras concurran en ellos las condiciones esenciales para su validez, los contratos serán obligatorios «cualquiera que sea la forma en que se hayan celebrado», salvo los relativos al Derecho de familia y sucesiones. Y si los contratos deben ir seguidos del cumplimiento de ciertos requisitos formales, como son su elevación a escritura pública o su inscripción en algún registro, dichos requisitos seguirán siendo exigibles para que el contrato sea plenamente válido o eficaz.

Cuáles son los requisitos esenciales nos lo aclara fundamentalmente el artículo 1261 al establecer que «no hay contrato sino cuando concurren los requisitos siguientes: consentimiento de los contratantes; objeto cierto que sea materia del contrato; y causa de la obligación que se establezca».

El problema no lo encontramos tanto en la forma que ha de adoptar el contrato sino en la prueba de que éste se haya perfeccionado. La firma autógrafa u hológrafa permite mantener ab initio una seguridad contractual que la mera contratación telemática, sin otro formalismo que el clic o la palabra dada, no consigue alcanzar. Este motivo es el que ha llevado a los sectores público y privado a desarrollar mecanismos de prueba avanzados tales como el depósito digital de contratos, la certificación electrónica, los terceros de confianza digitales y la firma electrónica.

Ahora bien, ni el papel ni la firma manuscrita son requisitos para la formalización de un contrato tradicional, ni medios homólogos lo son para el nacimiento de derechos y obligaciones por medios electrónicos. Bastará con la concurrencia de voluntades que reúnan los requisitos legalmente establecidos para el surgimiento del contrato electrónico.

Acerca del problema de la prueba y el requisito de forma en el Derecho mercantil, han de traerse a colación los artículos 51 y 52 del Código de Comercio que establecen parámetros y requisitos especiales, tanto para el uno como para el otro, en función de valores monetarios y lugar de celebración, entre otros.

Artículo 51: «Serán válidos y producirán obligación y acción en Juicio los contratos mercantiles, cualesquiera que sean la forma y el idioma en que se celebren, la clase a que correspondan y la cantidad que tengan por objeto, con tal que conste su existencia por alguno de los medios que el Derecho civil tenga establecidos. Sin embargo, la declaración de testigos no será por sí sola bastante para probar la existencia de un contrato cuya cuantía exceda de 1.500 pesetas, a no concurrir con alguna otra prueba.

La correspondencia telegráfica sólo producirá obligación entre los contratantes que hayan admitido este medio previamente y en contrato escrito, y siempre que los telegramas reúnan las condiciones o signos convencionales que previamente hayan establecido los contratantes, si así lo hubiesen pactado».

Artículo 52: «Se exceptuarán de lo dispuesto en el artículo que precede:

Los contratos que, con arreglo a este Código o a las Leyes especiales, deban reducirse a escritura o requieran formas o solemnidades necesarias para su eficacia.

Los contratos celebrados en país extranjero en que la Ley exija escrituras, formas o solemnidades determinadas para su validez, aunque no las exija la Ley española.

En uno y otro caso, los contratos que no llenen las circunstancias respectivamente requeridas no producirán obligación ni acción en Juicio».

2.1.- Tipos y clasificación de contratos electrónicos

Los contratos electrónicos no son un tipo de contrato especial; ni son contratos referidos exclusivamente a bienes o servicios tecnológicos. Los contratos electrónicos son los contratos tradicionales celebrados a través de medios electrónicos.

Sin embargo, si bien no constituyen por sí mismos figuras jurídicas diferentes a las clásicas, les son de aplicación ciertos requisitos adicionales en materia de información, plazos, forma, obligaciones y derechos.

Con el fin de hacer más didáctico el estudio de dichos requisitos adicionales, se propone la siguiente clasificación de contratos:

  1. Por su forma de ejecución:
    1. Contrato de comercio electrónico directo: es aquel que permite la entrega virtual de bienes inmateriales o la prestación de servicios que no precisan de la presencia física de su prestador. Esta entrega o prestación puede ser, a su vez, inmediata o diferida. Ejemplos: adquisición de licencias de uso de programas informáticos o derechos sobre canciones y vídeos o la contratación de servicios de hosting, gestión de pagos y servicios virtuales.
    2. Contrato de comercio electrónico indirecto: aquel que requiere la entrega física de bienes materiales o la prestación presencial. Su ejecución es necesariamente diferida. Ejemplos: compra de cartuchos de tinta, contratación de pintor de casas, contratación de servicios jurídicos.
  2. Por la emisión de las declaraciones:
    1. Contrato electrónico puro: las declaraciones de voluntad se manifiestan íntegramente a través de medios electrónicos tales como el correo electrónico y las páginas interactivas.
      1. Contratos reactivos: Exigen de las partes el uso de herramientas adicionales de comunicación para poder llevar a cabo la contratación. Este tipo de contrato es común en sistemas de micropagos, contratación de servicios personalizados y venta por catálogo. Ejemplos: Contratación a través de e-mail, suscripción a servicios por medio del envío de SMS.
      2. Contratos interactivos: El lugar en el que se encuentra la oferta permite, por sí mismo, efectuar la contratación.
      3. Contratos clic: La formalización del contrato exige del aceptante una manifestación expresa de su voluntad, que otorga pulsando el botón que se ha habilitado a tal efecto y que habitualmente contiene la palabra «Acepto». Ejemplo: Aceptación por medio clic de las condiciones de uso de una red social digital.
      4. Contratos «browse» o de navegación: El contrato se formaliza con el mero acceso a la página web o sitio, sin necesidad de aceptación expresa. Ejemplos: Aceptación tácita de ciertas condiciones de uso de una página web.
    2. Contrato electrónico mixto. La contratación combina sistemas electrónicos de manifestación de voluntad con otros tradicionales. Ejemplo: Descarga de formulario de solicitud de pedido para su envío por fax o correo postal.
  3. Por los sujetos que son parte del contrato electrónico:
    1. Contrato electrónico de consumo: el contrato será de consumo cuando en él participe al menos un consumidor o usuario. Ejemplo: compra de billetes de vuelo a través de una página web.
    2. Contrato electrónico mercantil: el contrato será mercantil cuando todas las partes contratantes sean empresarios o profesionales. Ejemplo: Compra-venta de madera para la fabricación de sillas.
  4. Por la forma de pago que las partes hayan establecido o por el objeto del contrato:
    1. Por la forma de pago:
      1. Contrato con pago electrónico: El medio de pago elegido por las partes es el dinero electrónico. Los ejemplos más comunes son los siguientes: pago con tarjeta de crédito, transferencia bancaria, o PayPal. Sin embargo, cada vez tienen más relevancia los pagos realizados con moneda privada en páginas web de comercio electrónico, subastas y MMORPGS; así, en Second Life los pagos se realizan en Linden Dollars (L$), en algunas páginas se compra con tokens y en WOW con monedas de oro.
      2. Contrato con pago tradicional: El medio de pago escogido es el dinero en efectivo o cheque, pudiendo entregarse el bien adquirido mediante su envío postal o contra reembolso.
    2. Por el objeto del contrato: Esta clasificación está íntimamente unida a la indicada por forma de ejecución.
      1. Contratos de entrega:
        1. Contratos de entrega material.
        2. Contratos de entrega inmaterial.
      2. Contratos de prestación:
        1. Contratos de prestación instantánea.
        2. Contratos de prestación diferida.

2.2.- Formación del contrato

2.2.1.- Presupuestos de formación del contrato electrónico

Para la formación del contrato celebrado por medios electrónicos es requisito indispensable, según dispone el artículo 1262 del CC, la concurrencia de oferta y aceptación sobre la cosa y la causa que lo hayan de constituir por medio de la manifestación del consentimiento sobre estos extremos.

Dicho consentimiento podrá ser expresado sin sujeción a una forma concreta, por disposición de los artículos 1278 y 51 del CC y del Código de Comercio, respectivamente. Y si bien los artículos 1279 y 1280 CC establecen algunas formalidades, éstas no afectan al carácter inmediatamente exigible de las obligaciones y derechos adquiridos, sino que, atribuyen a las partes la facultad de exigir la documentación relativa al acto contractual en la que el acuerdo de voluntades debe estar debidamente reflejado.

El contrato surge con independencia de las circunstancias que rodeen a las declaraciones de voluntad. Así pues, cabe la contratación entre personas por medios electrónicos en la que ambas partes, de forma volitiva, acceden a formalizar un acuerdo en concreto; pero también cabe la contratación efectuada por sistemas informáticos especialmente programados para actuar en un determinado sentido o modo (en realidad, son contratos consecuentes de una contratación previa, por ahora). Así, sería válida la declaración de voluntad emitida de forma automática por un programa informático programado para publicar una oferta, aceptar otra o variar los precios anunciados, sin perjuicio de las operaciones en curso y la normativa de publicidad aplicable, cuando concurran determinadas circunstancias tales como alcanzar un límite de stock, detectar un comportamiento específico del usuario, acceder por medio de determinado enlace patrocinado, banner o text-link, llegar a determinada fecha… Todas estas condiciones o parámetros determinan la actividad, que no la capacidad, negociadora de un programa, que es el que realiza el negocio por indicación y programación previa de una persona, sin menoscabo del nacimiento y validez del contrato.

Tanto si el contrato nace por acción inmediata de un consumidor o usuario a través de medios electrónicos como si nace por acción mediata, el artículo 23 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (en adelante, LSSI), establece que producirá «todos los efectos previstos por el ordenamiento jurídico, cuando concurran el consentimiento y los demás requisitos necesarios para su validez» y se regirá por el CC y el Código de Comercio, por las leyes especiales y por las restantes normas civiles o mercantiles sobre contratos, en especial, las normas de protección de los consumidores y usuarios y de ordenación de la actividad comercial.

El contenido del citado artículo 23 también se recoge en la Ley Modelo UNCITRAL de 30 de enero de 1997, la cual establece, en su artículo 11, que en la formación de un contrato, de no convenir las partes otra cosa, la oferta y su aceptación podrán ser expresadas por medio de un mensaje de datos, no pudiéndose negar validez o fuerza obligatoria a un contrato por la sola razón de haberse utilizado en su formación un mensaje de datos.

Para establecer la validez de estos contratos, resulta especialmente significativo el artículo 9 de la Directiva 2000/31/CE del Parlamento Europeo y del Consejo, de 8 de junio de 2000, relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular el comercio electrónico en el mercado interior (en adelante, Directiva sobre el comercio electrónico) que establece, en su apartado primero, que los Estados miembros velarán por que su legislación permita la celebración de contratos por vía electrónica, instándoles a garantizar en particular que el régimen jurídico aplicable al proceso contractual no entorpezca la utilización real de los contratos por vía electrónica, ni conduzca a privar de efecto y de validez jurídica a este tipo de contratos en razón de su celebración por vía electrónica. En este sentido, también interesa acudir de nuevo al artículo 11 de la Ley Modelo UNCITRAL que establece que, para la celebración de contratos por vía electrónica, no será necesario el previo acuerdo de las partes sobre la utilización de medios electrónicos por lo que la mera manifestación volitiva de aceptación de la oferta sería, como norma general, suficiente. 

2.2.2.- Requisitos de forma

Se establece la libertad de forma como regla general para la formación del contrato electrónico.

Sin embargo, determinados contratos requerirán el cumplimiento de ciertos requisitos formales como, por ejemplo, su constancia por escrito. Siempre que la ley exija que el contrato o cualquier información relacionada con éste conste por escrito, este requisito se entenderá satisfecho si el contrato o la información se contiene en un soporte electrónico o documento electrónico, en el sentido del artículo 3 de la Ley 59/2003, de 19 de diciembre, de firma electrónica, a excepción de los contratos relativos al Derecho de familia y sucesiones, que la propia LSSI, en su artículo 23.4, excluye de forma expresa.

Los contratos, negocios o actos jurídicos en los que la Ley determine para su validez o para la producción de determinados efectos la forma documental pública, o que requieran por Ley la intervención de órganos jurisdiccionales, notarios, registradores de la propiedad y mercantiles o autoridades públicas, se regirán por su legislación específica.

Algunos contratos, como los de seguros y los de cesión de derechos de propiedad intelectual (artículo 45 del Real Decreto Legislativo 1/1996, de 12 de abril, por el que se aprueba el Texto Refundido de la Ley de Propiedad Intelectual, regularizando, aclarando y armonizando las disposiciones legales vigentes sobre la materia) e industrial (artículo 74.2 de la Ley de Patentes), exigen forma escrita. Para canalizar estos casos y permitir su celebración a través de medios electrónicos, la Ley Marco UNCITRAL, en sus artículos 6, 7 y 8, prevé la aplicación de una regla denominada «Principio del equivalente funcional» aplicada a los contratos en que se exige forma escrita, los que además requieren firma y los que deben ser originales, respectivamente.

Este Principio del equivalente funcional, aplicado a los contratos cuya forma escrita se requiere, establece que cuando la ley exija que la información conste por escrito, ese requisito quedará satisfecho con un mensaje de datos si la información que éste contiene es accesible para su ulterior consulta, tanto si el requisito en él previsto está expresado en forma de obligación como si la ley simplemente prevé consecuencias en el caso de que la información no conste por escrito.

Si el requisito reside en la firma y, por tanto, también en la forma escrita, debe ser aplicado el Principio del equivalente funcional del artículo 7 de la Ley Marco UNCITRAL, por el cual, cuando la ley requiera la firma de una persona, ese requisito quedará satisfecho en relación con un mensaje de datos (a) si se utiliza un método para identificar a esa persona y para indicar que esa persona aprueba la información que figura en el mensaje de datos y (b) si ese método es tan fiable como sea apropiado a los fines para los que se generó o comunicó el mensaje de datos, atendidas todas las circunstancias del caso, incluido cualquier acuerdo pertinente. Todo ello, tanto si el requisito en él previsto está expresado en forma de obligación, como si la ley simplemente prevé consecuencias en el caso de que no exista una firma.

En caso de que la ley exigiese que la información sea presentada y conservada en su forma original, ese requisito quedará satisfecho con un mensaje de datos: (a) Si existe alguna garantía fidedigna de que se ha conservado la integridad de la información a partir del momento en que se generó por primera vez en su forma definitiva, como mensaje de datos o en alguna otra forma; y (b) de requerirse que la información sea presentada, si esa información puede ser mostrada a la persona a la que se deba presentar. Al igual que en los dos casos anteriores, todo ello será aplicable tanto si el requisito en él previsto está expresado en forma de obligación como si la ley simplemente prevé consecuencias en el caso de que la información no sea presentada o conservada en su forma original. En cualquier caso, la integridad de la información será evaluada conforme al criterio de que haya permanecido completa e inalterada, salvo la adición de algún endoso o de algún cambio que sea inherente al proceso de su comunicación, archivo o presentación; y el grado de fiabilidad requerido será determinado teniendo en cuenta los fines para los que se generó la información y todas las circunstancias del caso.

El Principio del equivalente funcional encuentra su encaje en el artículo 23.3 de la LSSI, al determinar éste que el requisito de la forma escrita, cuando la ley lo requiera, se entenderá satisfecho si el contrato o la información se contiene en un soporte electrónico, con las excepciones apuntadas de los contratos relativos al Derecho de familia y sucesiones, así como de los contratos, negocios o actos jurídicos en los que la ley determine para su validez o para la producción de determinados efectos la forma documental pública, o que requieran por ley la intervención de órganos jurisdiccionales, notarios, registradores de la propiedad y mercantiles o autoridades públicas, que se regirán por su legislación específica.

2.2.3.- Deberes de información

2.2.3.1.- Deber de información general

El consumidor o usuario tiene derecho a recibir, de forma gratuita, información previa al contrato. Antes de contratar, el empresario deberá poner a disposición del consumidor y usuario, de forma clara, comprensible y adaptada a las circunstancias, información relevante, veraz y suficiente, sobre las características esenciales del contrato, en particular, sobre sus condiciones jurídicas y económicas y de los bienes o servicios objeto de aquél.

La normativa española establece la información mínima que debe contener todo contrato electrónico. Esta enumeración de contenidos mínimos se encuentra principalmente recogida en los artículos 60 y 97 del Texto Refundido de la Ley General para la Defensa de los Consumidores y Usuarios y otras leyes complementarias (en adelante, TRLGDCU) y en los artículos 10, 27 y 28 de la LSSI. Así mismo, también hace una enumeración de la información que debe facilitarse por parte del oferente al potencial aceptante, el artículo 1268 de la Propuesta de Anteproyecto de Ley de modernización del derecho de obligaciones y contratos, elaborada por la Comisión General de Codificación de Derecho Civil.

El primer deber esencial que establece la normativa es el de información general, en virtud del cual el oferente que ofrezca sus productos o servicios a través de medios electrónicos queda obligado a facilitar, tanto a los destinatarios del servicio como a los órganos competentes, el acceso por iguales medios, de forma permanente, fácil, directa y gratuita, a la siguiente información:

  1. Nombre o denominación social: Las personas jurídicas deberán indicar su denominación social (el acrónimo es prescindible, pero se recomienda su inclusión); las personas físicas, su nombre y apellidos. En todo caso deberá haber un titular responsable. Si se actúa a través de un empresario determinado, se deberá indicar también su identidad completa (art 60.2.b LGDCU).
  2. Datos completos de contacto, incluido el domicilio social: En caso de que sean distintos el domicilio social, el fiscal y el que se tenga a efectos de notificaciones, habrán de indicarse todos ellos. Si no se tuviera residencia o domicilio en España, será necesario indicar la dirección de uno de sus establecimientos permanentes en España. Además, es imprescindible facilitar una dirección de correo electrónico de contacto y, adicionalmente, cualquier otro dato que permita establecer con él una comunicación directa y efectiva (fax, VoIP, etc.).
  3. Datos del comerciante por cuya cuenta actúe el responsable de la oferta contractual: En su caso, deberá indicarse el nombre, razón social y la dirección completa del comerciante.
  4. Datos de inscripción registral: Será necesario indicar los datos de su inscripción en el Registro Mercantil en el que, en su caso, se encuentre inscrito o de aquel otro registro público en el que lo estuviera para la adquisición de personalidad jurídica o a los solos efectos de publicidad. Así pues, una empresa registrada en Madrid que ofrezca productos o servicios a través de Internet y publicite además sus servicios en folletos, revistas, radio o TV, tendrá que indicar en su página web su número de inscripción del Registro Mercantil de Madrid, con indicación del tomo, libro, folio, sección y hoja en la que aparece, y el número de registro NEVA que le haya sido otorgado para vender productos o comercializar servicios a distancia. El Registro NEVA es el Registro de Empresas de venta a distancia en el que las empresas de ventas a distancia deberán inscribirse en el plazo de tres meses desde el inicio de su actividad, y que puede ser consultado de forma gratuita por los consumidores y usuarios, y cualquier otro interesado, a través de su correspondiente sitio web.
  5. Información completa de las autorizaciones administrativas que su actividad requiera: Determinadas actividades requieren de autorización previa para su inicio. En este punto cabe destacar que la obligación es la de facilitar información completa, no sólo números de inscripción, por lo que será necesario indicar:
  6. Número de identificación fiscal: DNI o CIF, según corresponda.
  7. Códigos de conducta a los que esté adherido. Sin perjuicio de la propia eficacia normativa que determinados tipos de códigos de conducta tenían con anterioridad a la modificación de 30 de diciembre de 2009 de la Ley de Competencia Desleal, fecha a partir de la cual el cumplimiento de aquellos códigos de conducta a los que se haya adherido voluntariamente el responsable u oferente, puede ser directamente exigible ante los tribunales.
    1. Los datos relativos a dicha autorización, incluido el código de inscripción que se le hubiese otorgado.
    2. Los datos identificativos del órgano competente encargado de su supervisión. Es recomendable incluir, adicionalmente, un enlace al sitio web del organismo.
  8. Actividades reguladas: Si la actividad que ejerce el comerciante o empresario estuviera regulada, como es, por poner un ejemplo, el caso de los abogados, se deberán incluir, además, los siguientes datos:
    1. Datos de colegiación: Se tendrán que indicar los datos del Colegio profesional al que, en su caso, pertenezca y el número de colegiado.
    2. El título académico oficial o profesional con el que cuente.
    3. El Estado de la Unión Europea o del Espacio Económico Europeo en el que se expidió dicho título y, en su caso, la correspondiente homologación o reconocimiento.
    4. Las normas profesionales aplicables al ejercicio de su profesión y los medios a través de los cuales se puedan conocer, incluidos los electrónicos: La expresión «medios a través de los cuales se puedan conocer, incluidos los electrónicos» parece obligar a indicar, en primer lugar, los medios no electrónicos a través de los cuales se pueden conocer dichas normas y, en segundo lugar, los medios electrónicos, si los hubiera. Sin embargo, la aplicación lógica del Principio de equivalencia funcional, unido a la digitalización de los boletines oficiales, hace pensar que bastaría con indicar los medios electrónicos, pues, de otra forma, se llegaría al absurdo de tener que incluir en el aviso legal una indicación de las librerías más cercanas, en las que se puede comprar un ejemplar no electrónico de dichas normas. Por lo que respecta al término «normas profesionales», su alcance objetivo resulta, cuanto menos, confuso puesto que normas profesionales que regulen una profesión determinada, con la dispersión normativa que sufrimos, deberían ser prácticamente todas. En el caso de la abogacía, por seguir con el mismo ejemplo, es razonable pensar que el legislador se refiera a normas deontológicas, pues, de otra forma, tendrían que indicarse en el aviso legal las que regulan la protección de datos del cliente, las normas fiscales, contables, de blanqueo de capitales, la LEC y hasta la propia Constitución. De cualquier forma, la recomendación para este apartado es indicar la normativa más relevante e incluir, adicionalmente, un enlace al lugar en el que el organismo, el ministerio o el gobierno haya listado el resto o pueda consultarse, haciéndose mención a las de carácter deontológico imperativo, en caso de no haberse hecho antes.

Adicionalmente a las obligaciones hasta aquí indicadas, por cuestiones meramente prácticas, es recomendable hacer referencia a los siguientes extremos:

  • IAE, CNAE.
  • Enumeración de ficheros de protección de datos notificados a la AEPD, incluyendo un enlace a la inscripción de cada uno de ellos. Evidentemente, no habrá que indicar sus respectivos códigos de registro.
  • Páginas web secundarias o de servicio: En caso de que se cuente con sitios web conexos o se hayan apuntado distintos nombres de dominio al sitio web principal, es recomendable dejar indicación expresa de todo ello en el aviso legal.

Resulta altamente conveniente que el dominio, así como cualquier otro signo distintivo —pues como tales los considero— o dirección, esté registrado a nombre del titular responsable, persona jurídica o física, según el caso. 

2.2.3.2.- Deber de información sobre cookies

La Ley de Cookies está mejor explicada en estos sitios web:

Aquí publico un breve resumen:

La llamada Ley de Cookies (o Ley Cookie/Anticookie) obliga a los titulares de páginas webs profesionales a impedir que se instalen cookies en los ordenadores de sus usuarios, a menos que éstos hayan dado antes su consentimiento informado para ello.

Las cookies pueden ser usadas para gestionar el flujo de usuarios de un sitio web y mejorar su experiencia de navegación. Pero también son herramientas con las que se pueden llevar a cabo acciones de espionaje, para conseguir información sobre los hábitos de navegación del usuario y utilizar los datos personales obtenidos sin su consentimiento, con fines comerciales. Por este motivo, la Unión Europea, preocupada por la privacidad de los usuarios, decidió aprobar en 2009 una norma que permitiese el uso de cookies sólo en ciertas circunstancias. Esa norma llegó a España el 30 de marzo de 2012.

Con el nombre de «Ley de cookies» es como se conoce al punto tercero del artículo 4 del Real Decreto-ley 13/2012, de 30 de marzo, que fue publicado en el «Boletín Oficial del Estado» el sábado 31 de marzo de 2012 y entró en vigor al día siguiente. La Ley de Cookies, transposición de la Directiva 2009/136/CE, del Parlamento Europeo y del Consejo, de 25 de noviembre de 2009, se integra en la LSSI, modificando el punto segundo de su artículo 22, que queda redactado de la forma siguiente:

Artículo 22.2 de la Ley 34/2002: «Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto.

Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario».

La Ley de Cookies afecta a todas las empresas y profesionales con página web y otros prestadores de servicios de la sociedad de la información, siempre que cumplan al menos uno de los requisitos siguientes:

  • Estén establecidos en España (residencia o domicilio social en España, inscripción en Registro Mercantil,…).
  • Estén establecidos fuera de España pero dirijan sus servicios específicamente al territorio español.
  • Otros casos: Artículo 2 de la LSSI.

La Ley de Cookies permite el uso e instalación de cookies únicamente en los casos siguientes:

  • Cookies que no requieren autorización previa por parte del usuario, pero sobre las que debe figurar información completa en el aviso legal:
    • Cookie de carácter técnico: Cookie estrictamente necesaria destinada únicamente a permitir al usuario navegar por la página web.
    • Cookie estrictamente necesaria para la prestación de un servicio expresamente solicitado por el usuario. Por ejemplo, aquella que es necesaria instalar para efectuar un pago o acceder a una zona privada de la web.
  • Cookies que sí requieren autorización previa por parte del usuario y sobre las que, además, hay que informar de forma completa en el aviso legal:
    • Cookie sin capacidad de identificar al usuario: Antes de instalar la cookie en el ordenador del usuario, éste debe haber sido informado de forma clara y completa sobre su utilidad.
    • Cookie con capacidad de identificar al usuario: Antes de instalar la cookie en el ordenador del usuario, éste debe haber sido informado de forma clara y completa sobre su utilidad y la finalidad del tratamiento que se vaya a llevar a cabo con sus datos de carácter personal.
    • Cookies aceptadas conforme el usuario haya establecido la configuración del navegador: En caso de que el usuario hubiera realizado una acción expresa para configurar su navegador de forma que acepte la instalación de cookies, las páginas webs podrán instalarlas de forma automática. Esto obliga a la página web a reconocer el navegador y comprobar que la versión utilizada por el usuario sea una que o bien no acepte cookies por defecto o bien haya obligado al usuario a decidir sobre su aceptación durante la instalación o actualización del mismo.

En el resto de casos, queda prohibida la instalación de cookies en terminales de usuarios.

Existen varios métodos para informar al usuario de forma clara y completa antes de instalarle una cookie:

  • Página de bienvenida con información sobre cookies y botón de aceptar (como las que preguntan si el usuario es mayor de edad).
  • Ventana emergente previa, que suspenda, hasta la aceptación de la instalación de ficheros, la carga completa de la página de destino.
  • Cabecera o pie de página con información y una caja de aceptación.
  • Paso previo de aceptación dentro del cuadro de reproducción de vídeos, juegos y otras aplicaciones web.

Antes de que se instalen cookies en el ordenador del usuario es imprescindible que el usuario las haya aceptado. Pero antes de que pueda dar esta aceptación es necesario informarle sobre los aspectos siguientes:

  • Qué es una cookie.
  • Para qué usa cookies tu sitio web, siendo recomendable el uso de ejemplos.
  • Qué cookies en concreto se le instalarán.
  • Dónde conseguir más información sobre las cookies.
  • Otros aspectos relevantes, según el caso.

Por regla general, el aviso legal no será suficiente para cumplir la Ley de Cookies. Sin embargo, hay excepciones:

  • Páginas de registro: El aviso legal sí servirá para informar sobre aquellas cookies que se instalen en un momento posterior. Por ejemplo, aquellas páginas que ofrezcan a sus usuarios procedimientos de registro podrán incluir en el aviso legal o en las condiciones de registro la información relativa a las cookies que se les vayan a instalar.
  • Servicios solicitados por el usuario: En el aviso legal se tendrá que incluir información sobre las cookies necesarias para la prestación de servicios que el usuario pueda solicitar a través del sitio web.

No es necesario informar acerca de las cookies que se instalen en el navegador del usuario como consecuencia de procedimientos de autenticación OpenID y OAUTH, por cuanto que ésta se realiza fuera del sitio principal.

Las empresas que prestan servicios de publicidad o recomendaciones basadas en el comportamiento de los usuarios encontrarán arduo el cumplimiento de esta norma. La instalación de sus cookies requiere siempre la aceptación previa del usuario después de que haya tenido acceso a información clara y completa sobre el uso de la cookie que corresponda. El usuario puede otorgar este consentimiento en la página del prestador, en la página de un cliente del prestador en el que la herramienta esté instalada, en páginas especializadas como Your Online Choices o a través de la activación voluntaria de la correspondiente opción del navegador (cuando exista dicha opción).

Por regla general, los pasos a seguir para adecuar una página web ya existente a la Ley de Cookies serán los siguientes:

  • Auditoría de cookies.
  • Inclusión de información sobre cookies en el aviso legal de la web.
  • Desarrollo informático de una aplicación que bloquee la instalación de cookies y muestre un aviso legal informativo adecuado a la norma.

Puesto que están en juego los derechos de protección de datos y privacidad de los usuarios, el incumplimiento de la Ley de Cookies puede suponer la imposición de una multa de hasta 30.000 euros, o de hasta 150.000 euros, en caso de que el incumplimiento sea significativo, conforme establecen los artículos 38 y 39 de la LSSI. 

2.2.3.3.- Deber de información al inicio del proceso de compra

Además del cumplimiento de los requisitos en materia de información general y sobre cookies, el oferente, empresario o comerciante, tendrá la obligación, conforme establecen los artículos 97 del TRLGDCU y 27 de la LSSI, de poner a disposición del consumidor o usuario, por escrito, antes de iniciar el procedimiento de contratación y mediante técnicas adecuadas al medio de comunicación utilizado, de forma permanente, fácil y gratuita, información clara, comprensible e inequívoca, sobre los siguientes extremos:

  1. Información sobre el bien o servicio:
    1. Las características esenciales del bien o servicio.
    2. La fecha y modalidad de entrega o ejecución.
    3. La duración del contrato. Se deberá indicar la duración mínima del contrato, si procede, cuando se trate de contratos de suministro de bienes o servicios destinados a su ejecución permanente o repetida.
  2. Información sobre el proceso de compra:
    1. Los distintos trámites que deben seguirse para celebrar el contrato. Es recomendable que en el contrato quede explicado el procedimiento de compra completo: selección de productos, cesta, modificación de la cesta, supresión de productos, introducción de datos, verificación de cuenta, sistema de pago, plazos de entrega, transporte, etc.
    2. Los medios técnicos que pone a disposición del consumidor y usuario para identificar y corregir errores en la introducción de los datos. Evidentemente este precepto no se refiere al backspace sino a las técnicas y mecanismos que permiten que el error obstativo tienda a cero. Un ejemplo bastante gráfico sería la función de incrementar o reducir el número de unidades solicitadas desde la vista «cesta» o «carrito».
    3. Los procedimientos de entrega y ejecución y la fecha en que el empresario se compromete a entregar los bienes (art 60.2.d LGDCU).
  3. Información sobre el importe que el usuario debe satisfacer:
    1. El plazo de vigencia de la oferta y del precio.
    2. Información clara y exacta sobre el precio del producto o servicio, indicando si incluye o no los impuestos aplicables y, en su caso, sobre los gastos de envío, o aquello que dispongan las normas de las Comunidades Autónomas con competencias en la materia. Por tanto, será necesario acudir a la normativa de cada una de las Comunidades Autónomas para determinar las obligaciones que, para cada caso concreto, sean de aplicación. En toda información al consumidor sobre el precio de los bienes o servicios, incluida la publicidad, se informará del precio final completo, desglosando, en su caso, el importe de los incrementos o descuentos que sean de aplicación, de los gastos que se repercutan al consumidor y usuario y de los gastos adicionales por servicios accesorios, financiación u otras condiciones de pago similares.
    3. El coste de la utilización del canal electrónico para realizar la contratación, cuando se calcule sobre una base distinta de la tarifa básica.
    4. Si se ofrecen servicios telefónicos de tarificación adicional o de marcación, deberá ofrecerse información relativa a éstos, incluyendo el precio, de forma que el usuario pueda prestar su consentimiento informado. En este caso, habrán de indicarse, además, los códigos de conducta publicados por la CMT a los que el sujeto esté sometido.
    5. La forma de pago.
  4. Información sobre garantías, derechos y servicios posventa:
    1. Información sobre garantías y servicios posventa. Se deberán indicar las circunstancias y condiciones en las que el empresario puede suministrar un bien o servicio de calidad y precio equivalentes, en sustitución del solicitado por el consumidor y usuario, cuando se quiera prever esta posibilidad.
    2. La dirección completa en la que el consumidor o usuario puede presentar sus quejas y reclamaciones. El consumidor y usuario, en cualquier caso, deberá estar en condiciones de conocer la dirección geográfica del establecimiento del empresario donde pueda presentar sus reclamaciones.
    3. En su caso, indicación de si el empresario dispone o está adherido a algún procedimiento extrajudicial de solución de conflictos. Los empresarios adheridos a sistemas extrajudiciales de resolución consensual de litigios en materia de consumo y aquellos que estén adheridos a códigos de conducta, incluidos los elaborados a escala comunitaria, o sean miembros de asociaciones u organismos profesionales que ofrezcan sistemas extrajudiciales de resolución de conflictos determinados, están obligados a indicar en las ofertas comerciales que presenten de forma detallada sus servicios, el sistema extrajudicial de resolución de conflictos que ofrecen a los consumidores y usuarios, el modo de obtener información sobre sus características y la forma de acceder a dicho sistema extrajudicial.
    4. El procedimiento para atender las reclamaciones de los consumidores y usuarios  (art 60.2.k LGDCU).
    5. Existencia del derecho de desistimiento del contrato que pueda corresponder al consumidor y usuario, el plazo y la forma de ejercitarlo. En su caso, se deberá advertir de la ausencia del derecho de desistimiento, salvo que se pacte una excepción a dicha ausencia, en los supuestos previstos a continuación:
      1. contratos de suministro de bienes cuyo precio esté sujeto a fluctuaciones de coeficientes del mercado financiero que el empresario no pueda controlar;
      2. contratos de suministro de productos confeccionados conforme a las especificaciones del consumidor y usuario o claramente personalizados, o que, por su naturaleza, no puedan ser devueltos o puedan deteriorarse o caducar con rapidez;
      3. contratos de suministro de grabaciones sonoras o de vídeo, de discos y de programas informáticos que hubiesen sido desprecintados por el consumidor y usuario, así como de ficheros informáticos, suministrados por vía electrónica, susceptibles de ser descargados o reproducidos con carácter inmediato para su uso permanente;
      4. contratos de suministro de prensa diaria, publicaciones periódicas y revistas;
      5. contratos de prestación de servicios cuya ejecución haya comenzado, con el acuerdo del consumidor y usuario, antes de finalizar el plazo de siete días hábiles, y
      6. contratos de servicios de apuestas y loterías.
  5. Información general sobre el contrato:
    1. Si el prestador va a archivar el documento electrónico en que se formalice el contrato y si éste va a ser accesible.
    2. Las condiciones generales a que, en su caso, deba sujetarse el contrato, de manera que éstas puedan ser almacenadas y reproducidas por el destinatario.
    3. La lengua o lenguas en que podrá formalizarse el contrato. A pesar de que la lengua o lenguas en las que podrá formalizarse el contrato deban indicarse únicamente cuando ésta no sea la lengua en la que se le ha ofrecido la información previa a la contratación, resulta altamente conveniente incluir siempre esta indicación, debido a que los sistemas de búsqueda existentes en la actualidad permiten a los consumidores y usuarios acceder a páginas de comercio electrónico en idiomas diferentes a aquellos en los que los textos legales fueron redactados originariamente, gracias a los populares sistemas de traducción automática de resultados.
    4. Procedimiento de que dispone el consumidor para poner fin al contrato. En caso de celebración de un contrato de duración indeterminada o de duración superior a un año, también habrán de indicarse las condiciones concretas de resolución del contrato.

La información contenida en los puntos anteriores, cuya finalidad comercial debe ser indudable, deberá facilitarse al consumidor y usuario de modo claro e inequívoco, mediante cualquier técnica adecuada al medio de comunicación electrónica utilizado, y deberá respetar, en particular, el principio de buena fe en las transacciones comerciales, así como los principios de protección de quienes sean incapaces de contratar.

Estas obligaciones se darán por cumplidas si el comerciante incluye de manera permanente y de fácil acceso la información en su página o sitio de Internet. Cuando el prestador diseñe específicamente sus servicios de contratación electrónica para ser accedidos mediante dispositivos que cuenten con pantallas de formato reducido deberá facilitar de manera permanente, fácil, directa y exacta la dirección de Internet en que dicha información es puesta a disposición del destinatario, conforme establece el artículo 27 de la LSSI.

En cuanto a los pagos adicionales, la modificación de la LGDCU publicada en 2014 indica, en su artículo 60.bis, que antes de que el consumidor y usuario quede vinculado por cualquier contrato u oferta, el empresario deberá obtener su consentimiento expreso para todo pago adicional a la remuneración acordada para la obligación contractual principal del empresario. Estos suplementos opcionales se deben comunicar de una manera clara y comprensible y su aceptación por el consumidor y usuario se realizará sobre una base de opción de inclusión. Si el empresario no ha obtenido el consentimiento expreso del consumidor y usuario, pero lo ha deducido utilizando opciones por defecto que éste debe rechazar para evitar el pago adicional, el consumidor y usuario tendrá derecho al reembolso de dicho pago. Asimismo, los empresarios no podrán facturar a los consumidores y usuarios, por el uso de determinados medios de pago, cargos que superen el coste soportado por el empresario por el uso de tales medios (art. 60.ter LGDCU). La carga de la prueba del cumplimiento de todas estas obligaciones pesa sobre el empresario.

El empresario debe entregar los bienes al consumidor y usuario sin ninguna demora indebida y en un plazo máximo de 30 días naturales a partir de la celebración del contrato, salvo que ambos hayan acordado otra cosa o si claramente deben ser entregados en una fecha determinada. Si el empresario no cumple su obligación de entrega, el consumidor y usuario lo emplazará para que cumpla en un plazo adicional adecuado a las circunstancias. Si el empresario no hace entrega de los bienes en dicho plazo adicional, el consumidor y usuario tendrá derecho a resolver el contrato. La resolución del contrato tienen como efecto la devolución de todas las cantidades abonadas por el consumidor y usuario y, si el empresario se retrasa injustificadamente, el doble de las mismas, sin perjuicio las indemnizaciones que correspondan por los daños y perjuicios sufridos en lo que excedan de dicha cantidad, según indica el artículo 66.bis de la LGDCU.

Cuando las cláusulas no puedan ser negociadas individualmente, deberán cumplir los requisitos del artículo 80 de la LGCU, entre los que se encuentra el de la accesibilidad y legibilidad, de forma que cada cláusula permita al consumidor y usuario el conocimiento previo a la celebración del contrato sobre su existencia y contenido. Esta exigencia se matiza con la necesidad, incluida en la norma, de que el tamaño de la letra del contrato sea igual o superior al milímetro y medio, lo cual deja un un lugar complicado a los que comercian a través de medios telemáticos, tales como dispositivos móviles, relojes o gafas con conexión a Internet. En este punto, sugiero comprobar que las versiones específicas para dispositivos de pantalla redudida, o amplia pero que deban ser visualizadas desde lejos, estén diseñadas prestando especial cuidado a que la mayoría de los usuarios lo vean de forma adecuada, sin dejar prácticamente lugar a que otros no lo vean adecuadamente. También se considera inadecuada aquella cláusula en la que el contraste con el fondo sea insuficiente haciendo dificultosa la lectura.

En la contratación electrónica habitualmente rige el principio de la despersonalización del oferente. En numerosas ocasiones el potencial aceptante encuentra únicamente un botón de aceptación de la oferta en la sede virtual del oferente, caso que resulta típico en la adquisición de productos y servicios en Internet. Para garantizar la puesta a disposición de los términos del contrato, el oferente suele situar los términos encima o anejos al propio botón de aceptación, a veces incluso obligando al aceptante a pasar su vista o hacer scroll por todo el documento, antes de permitirle pulsar el citado botón. Las técnicas usadas para lograr seguridad jurídica en las transacciones son de lo más variadas y dan lugar a una casuística ilimitada.

La aceptación a través de botón exige siempre al oferente, como se verá en este mismo capítulo, el envío por vía electrónica de un acuse de recibo al aceptante, de manera inmediata, con el fin de confirmar la recepción de la aceptación. Este envío puede hacerse a través de correo electrónico, pero también por cualquier otro medio que certifique su recepción como, por ejemplo, mediante una ventana que indique al aceptante que su compra ha sido satisfactoriamente realizada, siempre que quede constancia de ello y el receptor pueda almacenar este mensaje. En este sentido, se desaconsejan los sistemas pop-ups, por ser habitualmente bloqueados por los propios navegadores o sus complementos, así como también son desaconsejables las ventanas sin barra de herramientas ni opciones de impresión o de almacenamiento.

2.2.3.4.- Deber de información en comunicaciones publicitarias

Por lo que respecta a la oferta, al oferente le afecta la normativa básica sobre publicidad mostrada a través de Internet, correo electrónico y medios análogos.

Esta normativa afecta:

  • Al anunciante, que debe cumplir con los requisitos que marca la normativa de publicidad, la de consumidores y usuarios, la del sector específico del bien o servicio que se quiera publicitar, la de ordenación del comercio minorista, la del colectivo al que vaya dirigida (target) y la propia de las Comunidades Autónomas con capacidad de legislar sobre la materia.
  • Al medio o soporte publicitario, que debe cumplir con la normativa de publicidad, así como la referente a la regulación de los servicios de la sociedad de la información.

La publicidad debe presentarse como tal, de manera que no pueda confundirse con otra clase de contenido, e identificarse de forma clara al anunciante.

Cuando la publicidad se envíe por correo electrónico, incluirá al comienzo del mensaje la palabra «publicidad» o la abreviatura «publi», conforme establece el artículo 20 de la LSSI. El término «Publicidad» deberá indicarse al inicio del asunto (subject, en inglés) en caso de comunicaciones electrónicas por medio de correo electrónico y el de «Publi» al inicio del contenido de los SMS y tuits, en caso de que se envíen por esos medios. Como regla general, no podrá usarse la palabra «Publicidad» o similares en sustitución de la dirección de correo electrónico o número telefónico del remitente, en el campo «de:», técnica prohibida y que aún sigue empleándose por algunas compañías de marketing multicanal con objeto de no identificar al emisor, sin perjuicio de la preceptiva identificación de la empresa publicitada.

Cuando se trate de ofertas promocionales, es decir, aquellas que incluyan regalos, premios o descuentos, y concursos o juegos promocionales, deben cumplir, además de lo anterior y de lo establecido en la normativa de ordenación del comercio minorista y de juegos de azar, conforme establece el artículo 20 de la LSSI las siguientes obligaciones:

  • Las ofertas, concursos o juegos deben aparecer claramente identificados como tales.
  • Las condiciones de acceso y participación deben ser fácilmente accesibles y expresadas de forma clara e inequívoca.

Todo ello sin perjuicio de lo que disponga la normativa de las Comunidades Autónomas con competencias exclusivas sobre consumo, comercio electrónico, juego o publicidad.

El mensaje publicitario deberá haber sido previamente solicitado o autorizado expresamente por el destinatario, conforme establece el artículo 21 de la LSSI. No obstante, se permite el envío de comunicaciones comerciales a aquellos usuarios con los que exista una relación contractual previa, en cuyo caso el proveedor podrá enviar publicidad sobre productos o servicios similares a los contratados por el cliente.

El consumidor o usuario podrá revocar en cualquier momento el consentimiento prestado a la recepción de comunicaciones comerciales, con la simple notificación de su voluntad al remitente, según establece el artículo 22 de la LSSI. A tal efecto, el empresario deberá habilitar procedimientos sencillos y gratuitos para que los consumidores o usuarios puedan revocar el consentimiento que hubieran prestado. Cuando las comunicaciones hubieran sido remitidas por correo electrónico, dicho medio deberá consistir necesariamente en la inclusión de una dirección electrónica válida donde pueda ejercitarse este derecho, quedando prohibido el envío de comunicaciones que no incluyan dicha dirección. Asimismo, deberán facilitar información accesible por medios electrónicos sobre dichos procedimientos.

Estas reglas son también aplicables al envío de mensajes publicitarios por otros medios de comunicación electrónica individual equivalente, como el servicio de mensajería de la telefonía móvil y servicios de mensajería privada directa a través de redes sociales digitales, como Twitter y Facebook.

Puedes leer ‘Cómo hacer publicidad legal en Twitter’.

2.2.3.5.- Deber de información posterior al proceso de compra

Posteriormente a la celebración del contrato, también se exige al oferente el cumplimiento de obligaciones adicionales de información, conforme establece el artículo 97 del TRLGDCU. En concreto, se le obliga a confirmar la recepción de la aceptación, al que la hizo, por alguno de los siguientes medios:

  • Opción A: el envío de un acuse de recibo por correo electrónico u otro medio de comunicación electrónica equivalente a la dirección que el aceptante haya señalado, en el plazo de veinticuatro (24) horas siguientes a la recepción de la aceptación.
  • Opción B: la confirmación, por un medio equivalente al utilizado en el procedimiento de contratación, de la aceptación recibida, tan pronto como el aceptante haya completado dicho procedimiento, siempre que la confirmación pueda ser archivada por su destinatario. Se entenderá que se ha recibido la aceptación y su confirmación cuando las partes a que se dirijan puedan tener constancia de ello.

En el caso de que la recepción de la aceptación se confirme mediante acuse de recibo, se presumirá que su destinatario puede tener la referida constancia desde que aquél haya sido almacenado en el servidor en que esté dada de alta su cuenta de correo electrónico, o en el dispositivo utilizado para la recepción de comunicaciones.

A esta obligación de informar antes y después de la celebración del contrato, la normativa establece dos límites o excepciones, indicando que el prestador no tendrá la obligación de facilitarla cuando ambos contratantes así lo acuerden y ninguno de ellos tenga la consideración de consumidor o el contrato se haya celebrado exclusivamente mediante intercambio de correo electrónico u otro tipo de comunicación electrónica equivalente. Sin embargo, el límite de información posterior a la celebración del contrato por correo electrónico tiene a su vez un límite propio, cual es que se haya usado este medio para eludir la obligación de envío de la información.

2.2.3.6.- Necesidad de aceptación expresa del contrato

En ningún caso la falta de respuesta a la oferta de contratación a distancia podrá considerarse como aceptación de ésta. Así, la falta de respuesta a la documentación enviada por el empresario, en contestación a una solicitud de información, sobre un determinado producto o servicio, remitida por el consumidor y usuario por vía electrónica, nunca podrá ser interpretada como consentimiento tácito. Es necesario que el consumidor y usuario acepte la oferta de forma explícita, conforme establece el artículo 99 del TRLGDCU.

Si el empresario, sin aceptación explícita del consumidor y usuario destinatario de la oferta, le suministrase el bien o servicio ofertado, salvo caso de error claro y manifiesto, sin perjuicio de la infracción que ello suponga, el consumidor y usuario receptor de tales bienes o servicios no estará obligado a su devolución, ni podrá reclamársele el precio. En caso de que decida devolverlo no deberá indemnizar por los daños o deméritos sufridos por el bien o servicio.

Cuando quede claramente de manifiesto al consumidor y usuario que el envío no solicitado se debía a un error, deberá devolver lo recibido, correspondiendo al empresario la carga de la prueba. El consumidor y usuario, en tales casos, tendrá derecho a ser indemnizado por los gastos y por los daños y perjuicios que se le hubieran causado, conforme establece el artículo 100 del TRLGDCU.

2.3.- Reconocimiento de la validez de los contratos electrónicos

Los contratos celebrados a través de Internet son igualmente válidos que los celebrados de forma tradicional.

En cuanto a la validez del consentimiento, cabe simplemente mencionar que al contrato electrónico le son de aplicación las normas generales de impugnación de contratos, igual que si fuera uno tradicional. Debe destacarse en este punto, aunque sea una obviedad, que las máquinas no son capaces de equivocarse por sí solas, por lo que en una operación realizada por una máquina o, mejor dicho, por un programa informático, no cabe el error como vicio del consentimiento por el fallo de ésta, a excepción de que el fallo se haya producido en la programación o fijación de los parámetros de actuación del software.

Cabe, en cambio, el error obstativo. Éste habitualmente se trata de paliar por parte de los oferentes permitiendo la edición de los objetos y cantidades que conforman el «carro de la compra» o «carrito», que no es otra cosa que una página web en la que el aceptante puede arrepentirse de su elección antes de manifestar voluntad contractual alguna.

En cualquier caso, conforme indica el artículo 1313 del CC, la confirmación purifica al contrato de los vicios de que adoleciera desde el momento de su celebración.

2.4.- Momento de celebración del contrato

Conocer el momento en que se celebra el contrato electrónico es relevante para saber desde cuándo puede exigirse el cumplimiento de las obligaciones contraídas.

Las teorías principales acerca del momento en el que se celebra el contrato son la de la emisión y la de la recepción, siendo la primera aceptada mayoritariamente en países de tradición anglosajona cuyo derecho está basado en el Common Law y encontrando la segunda mejor acogida en Derecho Continental. Sin embargo, la discusión entre emisión y recepción quedará reducida a una simple cuestión doctrinal sin efectos prácticos en la mayor parte de los contratos electrónicos por su carácter inherente de inmediatez y confusión o unión de ambos momentos.

La Disposición Adicional Cuarta de la LSSI soluciona este problema modificando los artículos 1262 del CC y 54 del Código de Comercio, estableciendo en ambos artículos, como regla general, la teoría de la recepción, unida al Principio de buena fe.

Así, el artículo 1262 del CC establece que el consentimiento, manifestado por el concurso de la oferta y de la aceptación sobre la cosa y la causa que han de constituir el contrato, existe «desde que el oferente conoce la aceptación o desde que, habiéndosela remitido el aceptante, no pueda ignorarla sin faltar a la buena fe». Este deber de no ignorar la comunicación electrónica tiene su origen en el artículo 1.9 del UNIDROIT y hace referencia a la entrada del mensaje en el «entorno» del oferente. Este entorno puede ser la bandeja de entrada del correo electrónico, el servidor de la empresa o la red de datos de la compañía.

En cambio, en los contratos celebrados mediante dispositivos automáticos, tales como formularios de compra automatizada y sistemas similares, hay consentimiento desde que se manifiesta la aceptación; sin embargo, en la mayor parte de los casos, la repercusión jurídica no será negativa para el oferente, puesto que la venta automatizada suele tener como objeto la entrega digital automática de un bien intangible. Estos contratos de carácter instantáneo se denominan «de medios interactivos», en contraposición a los «de medios reactivos», de carácter sucesivo, como los celebrados a través del correo electrónico.

En cuanto al momento de contratación y la vigencia de las ofertas o propuestas realizadas por vía electrónica, se establece que éstas serán válidas durante el período que fije el oferente o, en su defecto, durante todo el tiempo que permanezcan accesibles a los destinatarios del servicio. En la casuística de las compraventas y contrataciones realizadas a través de medios electrónicos, es común encontrar sistemas de oferta de precio variable en función de parámetros tales como la demanda, el número de usuarios que visitan la web, la hora, el tiempo restante hasta la celebración de un evento o la partida de un vuelo, la cantidad de stock, etc. No son infrecuentes los casos en los que un usuario comienza la compra de un bien por un determinado importe mientras que el sistema actualiza las tablas de precios. En estos casos, el usuario podrá finalizar la compra del bien en un plazo razonable por el mismo precio por el que lo escogió en un principio. Puede, por tanto, darse la paradoja de que varios usuarios adquieran los mismos bienes de forma simultánea y del mismo oferente pero a distinto precio, sin que ello conculque ningún precepto legal ni vaya en contra de la buena fe contractual. Sin embargo, en caso de bienes o servicios sujetos a disponibilidad cierta, el oferente puede advertir a los usuarios del hecho de que sólo se permitirá culminar el proceso de contratación hasta cubrir el stock previsto.

2.5.- Lugar de celebración del contrato

La determinación del lugar en el que se celebra el contrato electrónico es esencial a efectos de la aplicación del Derecho Internacional Privado, con el objeto de determinar la competencia judicial internacional y la ley aplicable.

Con base en el artículo 1262 del CC y el artículo 54 del Código de Comercio, redactado según LSSI, se podría establecer, como regla general, que el contrato se presume celebrado en el lugar en que se hizo la oferta. Sin embargo, por aplicación del artículo 29 de la LSSI, los contratos celebrados por vía electrónica en los que intervenga como parte un consumidor se presumirán celebrados en el lugar en que éste tenga su residencia habitual. Y los contratos electrónicos entre empresarios o profesionales, en defecto de pacto entre las partes, se presumirán celebrados en el lugar en que esté establecido el prestador de servicios.

2.6.- Ejecución del contrato

2.6.1.- Modalidades de ejecución

Los contratos celebrados por vía electrónica pueden establecer distintas modalidades de ejecución en su clausulado o bien estar avocados a una modalidad concreta por la especial naturaleza del bien o servicio que se convenga entregar o prestar. Así, encontramos contratos de envío y de ejecución, pudiendo los primeros ser, a su vez, de bienes materiales o inmateriales, y los segundos, de ejecución instantánea o diferida.

Asimismo, tal y como se estableció en el apartado referido a la clasificación y tipología de contratos electrónicos, por su forma de ejecución pueden diferenciarse aquellos destinados a regular el comercio electrónico directo de aquellos que regulan el indirecto.

2.6.2.- Plazo de ejecución

El plazo de ejecución, en los contratos en los que la entrega o prestación es instantánea, se puede confundir con el momento de aceptación, con el de pago o con ambos.

Se establece, como norma general, a más tardar, el plazo de treinta días, a partir del día siguiente a aquel en que el comprador le haya comunicado al vendedor su pedido, para que éste lo ejecute. Sin embargo, en muchos casos no será necesario ni el transcurso de un segundo para que el vendedor u oferente ejecute el pedido, como ocurre, por ejemplo, en páginas de descarga de software, aplicaciones u otros bienes inmateriales, o con servicios de la sociedad de la información de prestación inmediata tales como el hosting, el correo electrónico y el acceso a cuentas premium.

Así, salvo que las partes hayan acordado otra cosa, el empresario deberá ejecutar el pedido, a más tardar, en el plazo de treinta días a partir del día siguiente a aquel en que el consumidor y usuario haya prestado su consentimiento para contratar, conforme también indica el artículo 103 del TRLGDCU.

En caso de no ejecución del contrato por parte del empresario por no encontrarse disponible el bien o servicio contratado, el consumidor y usuario deberá ser informado de esta falta de disponibilidad y deberá poder recuperar las sumas que haya abonado cuanto antes y, en cualquier caso, en un plazo de 30 días como máximo, conforme establece el artículo 104 del TRLGDCU.

En el supuesto de que el empresario no realice este abono en el plazo señalado, el consumidor y usuario podrá reclamar que se le pague el doble de la suma adeudada, sin perjuicio de su derecho de ser indemnizado por los daños y perjuicios sufridos en lo que excedan de dicha cantidad. Este mismo artículo, así como el 105 del TRLGDCU, disponen que de no hallarse disponible el bien o servicio contratado, cuando el consumidor y usuario hubiera sido informado expresamente de tal posibilidad, el empresario podrá suministrar sin aumento de precio un bien o servicio de características similares que tenga la misma o superior calidad.

En este caso, el consumidor y usuario podrá ejercer sus derechos de desistimiento y resolución en los mismos términos que si se tratara del bien o servicio inicialmente requerido, sin que le sean exigibles los costes directos de devolución.

En relación con los supuestos de pago con tarjeta, cuando el importe de una compra hubiese sido cargado fraudulenta o indebidamente utilizando el número de una tarjeta de pago, el consumidor y usuario titular de ella podrá exigir la inmediata anulación del cargo. En tal caso, las correspondientes anotaciones de adeudo y reabono en las cuentas del empresario y del consumidor y usuario titular de la tarjeta se efectuarán a la mayor brevedad, conforme establece el artículo 106 del TRLGDCU.

Sin embargo, si la compra hubiese sido efectivamente realizada por el consumidor y usuario titular de la tarjeta y la exigencia de devolución no fuera consecuencia de haberse ejercido el derecho de desistimiento o de resolución, aquél quedará obligado frente al empresario al resarcimiento de los daños y perjuicios ocasionados como consecuencia de dicha anulación, conforme establece también el mismo artículo 106 del TRLGDCU.

2.6.3.- Derechos y garantías en contratación electrónica

El vendedor está obligado a entregar al consumidor y usuario productos que sean conformes con el contrato, respondiendo frente a él de cualquier falta de conformidad que exista en el momento de la entrega del producto.

Esta obligación afecta tanto a los contratos de compraventa de productos, como a los contratos de suministro de productos que hayan de producirse o fabricarse. Sin embargo, quedan excluidos los productos adquiridos mediante venta judicial, el agua o el gas, cuando no estén envasados para la venta en volumen delimitado o cantidades determinadas, y la electricidad, así como los productos de segunda mano adquiridos en subasta administrativa a la que los consumidores y usuarios puedan asistir personalmente.

Se entiende, salvo prueba en contrario, que los productos son conformes con el contrato, tal y como establece el artículo 116 del TRLGDCU, siempre que cumplan todos los requisitos que se expresan a continuación, salvo que por las circunstancias del caso alguno de ellos no resulte aplicable:

  1. Se ajusten a la descripción realizada por el vendedor y posean las cualidades del producto que el vendedor haya presentado al consumidor y usuario en forma de muestra o modelo.
  2. Sean aptos para los usos a que ordinariamente se destinen los productos del mismo tipo.
  3. Sean aptos para cualquier uso especial requerido por el consumidor y usuario cuando lo haya puesto en conocimiento del vendedor en el momento de celebración del contrato, siempre que éste haya admitido que el producto es apto para dicho uso.
  4. Presenten la calidad y prestaciones habituales de un producto del mismo tipo que el consumidor y usuario pueda fundadamente esperar, habida cuenta de la naturaleza del producto y, en su caso, de las declaraciones públicas, sobre las características concretas de los productos, hechas por el vendedor, el productor o su representante, en particular en la publicidad o en el etiquetado. El vendedor no quedará obligado por tales declaraciones públicas si demuestra que desconocía y no cabía razonablemente esperar que conociera la declaración en cuestión, que dicha declaración había sido corregida en el momento de celebración del contrato o que dicha declaración no pudo influir en la decisión de comprar el producto.

La falta de conformidad que resulte de una incorrecta instalación del producto se equiparará a la falta de conformidad del producto cuando la instalación esté incluida en el contrato de compraventa o suministro y haya sido realizada por el vendedor o bajo su responsabilidad, o por el consumidor y usuario cuando la instalación defectuosa se deba a un error en las instrucciones de instalación.

El artículo 116 del TRLGDCU indica que no habrá lugar a responsabilidad por faltas de conformidad cuando el consumidor y usuario:

  • conociera o
  • no hubiera podido fundadamente ignorar en el momento de la celebración del contrato o
  • que tengan su origen en materiales suministrados por el consumidor y usuario.

En todo caso, el consumidor y usuario tendrá derecho, de acuerdo con la legislación civil y mercantil, a ser indemnizado por los daños y perjuicios derivados de la falta de conformidad.

El consumidor y usuario tiene derecho, con los matices y condiciones que aquí serán indicados, a desistir del contrato y solicitar la reparación del producto, su sustitución y la rebaja del precio. A continuación se detallarán los derechos, de los consumidores y usuarios, más relevantes en relación al comercio electrónico.

2.6.3.1.- Derechos de desistimiento o de renuncia

El derecho de desistimiento de un contrato es la facultad del consumidor y usuario de dejar sin efecto el contrato celebrado, notificándoselo así a la otra parte contratante en el plazo establecido para el ejercicio de ese derecho, sin necesidad de justificar su decisión y sin penalización de ninguna clase.

El derecho de desistimiento puede tener lugar:

  • En los supuestos previstos legal o reglamentariamente.
  • Cuando así se le reconozca en la oferta, promoción publicidad o en el propio contrato.

Está prohibido imponer al consumidor y usuario una penalización por el ejercicio de su derecho de desistimiento. Las cláusulas que así lo indicasen son nulas de pleno derecho.

2.6.3.1.1.- Obligación de información

El consumidor y usuario dispone de un plazo mínimo de 14 días naturales para ejercer el derecho de desistimiento e igualmente de 14 días, desde la notificación de su decisión, para devolver efectivamente los bienes.

El plazo de desistimiento concluirá a los 14 días naturales contados a partir de:

  • En el caso de los contratos de servicios, el día de la celebración del contrato.
  • En el caso de los contratos de venta, el día que el consumidor y usuario o un tercero por él indicado, distinto del transportista, adquiera la posesión material de los bienes solicitados, o bien:
    • En caso de entrega de múltiples bienes encargados por el consumidor y usuario en el mismo pedido y entregados por separado, el día que éste o un tercero por él indicado, distinto del transportista, adquiera la posesión material del último de los bienes.
    • En caso de entrega de un bien compuesto por múltiples componentes o piezas, el día que el consumidor y usuario o un tercero por él indicado, distinto del transportista, adquiera la posesión material del último componente o pieza.
    • En caso de contratos para la entrega periódica de bienes durante un plazo determinado, el día que el consumidor y usuario o un tercero por él indicado, distinto del transportista, adquiera la posesión material del primero de esos bienes.
    • En el caso de los contratos para el suministro de agua, gas o electricidad –cuando no estén envasados para la venta en un volumen delimitado o en cantidades determinadas–, o de calefacción mediante sistemas urbanos o de contenido digital que no se preste en un soporte material, el día en que se celebre el contrato.

El empresario debe haber facilitado al consumidor los siguientes documentos:

  1. Información escrita sobre las condiciones y modalidades de ejercicio de los derechos de desistimiento y resolución, así como un documento de desistimiento o revocación, identificado claramente como tal, que exprese el nombre y dirección de la persona a quien debe enviarse y los datos de identificación del contrato y de los contratantes a que se refiere.
  2. La dirección del establecimiento del vendedor donde el comprador pueda presentar sus reclamaciones.
  3. Información relativa a los servicios posventa y a las garantías comerciales existentes.
  4. En caso de celebración de un contrato de duración indeterminada o de duración superior a un año, las condiciones de resolución del contrato.

Corresponde al empresario probar el cumplimiento de esta obligación de información.

Si el empresario no ha facilitado al consumidor y usuario la información sobre el derecho de desistimiento, el periodo de desistimiento finalizará doce meses después de la fecha de expiración del periodo de desistimiento inicial. Si el empresario ha facilitado al consumidor y usuario la información en el plazo de doce meses a partir de la fecha antes indicada, el plazo de desistimiento expirará a los 14 días naturales de la fecha en que el consumidor y usuario reciba la información.

Los contratos complementarios y los vinculados a financiación al consumidor quedan igualmente afectados por el desistimiento que se realice sobre el principal, con las particularidades recogidas en los artículos 76.bis y 77 de la LGDCU.

2.6.3.1.2.- Exclusiones, forma y consecuencias

El derecho de desistimiento no será aplicable a los contratos que se refieran a:

  • La prestación de servicios, una vez que el servicio haya sido completamente ejecutado, cuando la ejecución haya comenzado, con previo consentimiento expreso del consumidor y usuario y con el reconocimiento por su parte de que es consciente de que, una vez que el contrato haya sido completamente ejecutado por el empresario, habrá perdido su derecho de desistimiento.
  • El suministro de bienes o la prestación de servicios cuyo precio dependa de fluctuaciones del mercado financiero que el empresario no pueda controlar y que puedan producirse durante el periodo de desistimiento.
  • El suministro de bienes confeccionados conforme a las especificaciones del consumidor y usuario o claramente personalizados.
  • El suministro de bienes que puedan deteriorarse o caducar con rapidez.
  • El suministro de bienes precintados que no sean aptos para ser devueltos por razones de protección de la salud o de higiene y que hayan sido desprecintados tras la entrega.
  • El suministro de bienes que después de su entrega y teniendo en cuenta su naturaleza se hayan mezclado de forma indisociable con otros bienes.
  • El suministro de bebidas alcohólicas cuyo precio haya sido acordado en el momento de celebrar el contrato de venta y que no puedan ser entregadas antes de 30 días, y cuyo valor real dependa de fluctuaciones del mercado que el empresario no pueda controlar.
  • Los contratos en los que el consumidor y usuario haya solicitado específicamente al empresario que le visite para efectuar operaciones de reparación o mantenimiento urgente; si, en esa visita, el empresario presta servicios adicionales a los solicitados específicamente por el consumidor o suministra bienes distintos de las piezas de recambio utilizadas necesariamente para efectuar las operaciones de mantenimiento o reparación, el derecho de desistimiento debe aplicarse a dichos servicios o bienes adicionales.
  • El suministro de grabaciones sonoras o de vídeo precintadas o de programas informáticos precintados que hayan sido desprecintados por el consumidor y usuario después de la entrega.
  • El suministro de prensa diaria, publicaciones periódicas o revistas, con la excepción de los contratos de suscripción para el suministro de tales publicaciones.
  • Los contratos celebrados mediante subastas públicas.
  • El suministro de servicios de alojamiento para fines distintos del de servir de vivienda, transporte de bienes, alquiler de vehículos, comida o servicios relacionados con actividades de esparcimiento, si los contratos prevén una fecha o un periodo de ejecución específicos.
  • El suministro de contenido digital que no se preste en un soporte material cuando la ejecución haya comenzado con el previo consentimiento expreso del consumidor y usuario con el conocimiento por su parte de que en consecuencia pierde su derecho de desistimiento.

El ejercicio del derecho de desistimiento no está sujeto a formalidad alguna, bastando que se acredite en cualquier forma admitida en derecho. Corresponde al consumidor y usuario probar que ha ejercitado válidamente su derecho de desistimiento. En todo caso, se considera válidamente ejercitado mediante el envío del documento de desistimiento o mediante la devolución de los productos recibidos.

Ejercido el derecho de desistimiento, las partes deberán restituirse recíprocamente las prestaciones, de acuerdo con lo dispuesto en los artículos 1303 y 1308 del CC.

Cuando el consumidor y usuario haya ejercido el derecho de desistimiento, el empresario estará obligado a devolver las sumas abonadas por el consumidor y usuario sin retención de gastos. La devolución de estas sumas deberá efectuarse sin demoras indebidas y, en cualquier caso, antes de que hayan transcurrido 14 días naturales desde la fecha en que haya sido informado de la decisión de desistimiento del contrato por el consumidor y usuario. Transcurrido dicho plazo sin que el consumidor y usuario haya recuperado la suma adeudada, tendrá derecho a reclamarla duplicada, sin perjuicio de que además se le indemnicen los daños y perjuicios que se le hayan causado en lo que excedan de dicha cantidad.

2.6.3.1.3.- Gastos y reembolsos

El consumidor y usuario no tendrá que rembolsar cantidad alguna por la disminución del valor del bien, que sea consecuencia de su uso conforme a lo pactado o a su naturaleza, o por el uso del servicio. Sin embargo, tendrá derecho al rembolso de los gastos necesarios y útiles que hubiera realizado en el bien.

El consumidor y usuario sólo soportará los costes directos de devolución de los bienes, salvo si el empresario ha aceptado asumirlos o no le ha informado de que le corresponde asumir esos costes. En el caso de contratos celebrados fuera del establecimiento en los que los bienes se hayan entregado ya en el domicilio del consumidor y usuario en el momento de celebrarse el contrato, el empresario recogerá a su propio cargo los bienes cuando, por la naturaleza de los mismos, no puedan devolverse por correo.

En caso de que el servicio contratado sea de carácter financiero, conforme al artículo 11 de la Ley 22/2007, de 11 de julio, sobre comercialización a distancia de servicios financieros destinados a los consumidores, el consumidor que ejerza el derecho de desistimiento solamente estará obligado a pagar, a la mayor brevedad, el servicio financiero realmente prestado por el proveedor de conformidad con el contrato, hasta el momento del desistimiento, con las particularidades dispuestas en dicho artículo.

La imposibilidad de devolver la prestación objeto del contrato por parte del consumidor y usuario por pérdida, destrucción u otra causa no privarán a éste de la posibilidad de ejercer el derecho de desistimiento. En estos casos, cuando la imposibilidad de devolución le sea imputable, el consumidor y usuario responderá del valor de mercado que hubiera tenido la prestación en el momento del ejercicio del derecho de desistimiento, salvo que dicho valor fuera superior al precio de adquisición, en cuyo caso responderá de éste.

Cuando en el contrato para el que se ejercite el derecho de desistimiento el precio a abonar por el consumidor y usuario haya sido total o parcialmente financiado mediante un crédito concedido por el empresario contratante o por parte de un tercero, previo acuerdo de éste con el empresario contratante, el ejercicio del derecho implicará al tiempo la resolución del crédito sin penalización alguna para el consumidor y usuario.

La falta de ejercicio del derecho de desistimiento en el plazo fijado no será obstáculo para el posterior ejercicio de las acciones de nulidad o resolución del contrato cuando procedan conforme a derecho.

A falta de previsiones específicas, en la oferta, promoción, publicidad o en el propio contrato el derecho de desistimiento reconocido contractualmente, éste se ajustará a lo previsto en la ley.

El consumidor y usuario que ejercite el derecho de desistimiento contractualmente reconocido no tendrá en ningún caso obligación de indemnizar por el desgaste o deterioro del bien o por el uso del servicio debido exclusivamente a su prueba para tomar una decisión sobre su adquisición definitiva.

Una especialidad respecto al derecho de desistimiento se encuentra recogida en el artículo 111 de la LGDCU, que indica que el consumidor y usuario podrá ejercer sus derechos de desistimiento y resolución en los mismos términos que si se tratara del bien o servicio inicialmente requerido en este caso: de no hallarse disponible el bien o servicio contratado, cuando el consumidor y usuario hubiera sido informado expresamente de tal posibilidad, el empresario podrá suministrar sin aumento de precio un bien o servicio de características similares que tenga la misma o superior calidad. La posibilidad de optar por el desisitimiento es una opción que se concede al consumidor y usuario.

2.6.3.2.- Reparación y sustitución del producto

Si el producto no fuera conforme con el contrato, el consumidor y usuario podrá optar entre exigir la reparación o la sustitución del producto, salvo que una de estas dos opciones resulte objetivamente imposible o desproporcionada. Indica el artículo 119 del TRLGDCU que, desde el momento en que el consumidor y usuario comunique al vendedor la opción elegida, ambas partes habrán de atenerse a ella.

Se considerará desproporcionada la forma de saneamiento que, en comparación con la otra, imponga al vendedor costes que no sean razonables, teniendo en cuenta el valor que tendría el producto si no hubiera falta de conformidad, la relevancia de la falta de conformidad y si la forma de saneamiento alternativa se pudiese realizar sin inconvenientes mayores para el consumidor y usuario.

Para determinar si los costes no son razonables, los gastos correspondientes a una forma de saneamiento deben ser, además, considerablemente más elevados que los gastos correspondientes a la otra forma de saneamiento.

La reparación y la sustitución se ajustarán a las reglas del artículo 120 del TRLGDCU, que son las que se indican a continuación:

  • Serán gratuitas para el consumidor y usuario. Dicha gratuidad comprenderá los gastos necesarios realizados para subsanar la falta de conformidad de los productos con el contrato, especialmente los gastos de envío, así como los costes relacionados con la mano de obra y los materiales.
  • Deberán llevarse a cabo en un plazo razonable y sin mayores inconvenientes para el consumidor y usuario, habida cuenta de la naturaleza de los productos y de la finalidad que tuvieran para el consumidor y usuario.
  • La reparación suspende el cómputo de los plazos establecidos para este derecho. El período de suspensión comenzará desde que el consumidor y usuario ponga el producto a disposición del vendedor y concluirá con la entrega al consumidor y usuario del producto ya reparado. Durante los seis meses posteriores a la entrega del producto reparado, el vendedor responderá de las faltas de conformidad que motivaron la reparación, presumiéndose que se trata de la misma falta de conformidad cuando se reproduzcan en el producto defectos del mismo origen que los inicialmente manifestados.
  • Si concluida la reparación y entregado el producto, éste sigue siendo no conforme con el contrato, el consumidor y usuario podrá exigir la sustitución del producto, salvo que esta opción resulte desproporcionada, la rebaja del precio o la resolución del contrato en los términos previstos en este capítulo.
  • La sustitución suspende los plazos establecidos para este derecho desde el ejercicio de la opción por el consumidor y usuario hasta la entrega del nuevo producto.
  • Si la sustitución no lograra poner el producto en conformidad con el contrato, el consumidor y usuario podrá exigir la reparación del producto, salvo que esta opción resulte desproporcionada, la rebaja del precio o la resolución del contrato en los términos previstos en este capítulo.
  • El consumidor y usuario no podrá exigir la sustitución en el caso de productos no fungibles, ni tampoco cuando se trate de productos de segunda mano.

El artículo 121 del TRLGDCU permite la rebaja del precio y la resolución del contrato bajo ciertas circunstancias. La rebaja del precio y la resolución del contrato procederán, a elección del consumidor y usuario, cuando éste no pudiera exigir la reparación o la sustitución y en los casos en que éstas no se hubieran llevado a cabo en plazo razonable o sin mayores inconvenientes para el consumidor y usuario. La resolución no procederá cuando la falta de conformidad sea de escasa importancia.

La rebaja del precio será proporcional a la diferencia existente entre el valor que el producto hubiera tenido en el momento de la entrega de haber sido conforme con el contrato y el valor que el producto efectivamente entregado tenía en el momento de dicha entrega.

El vendedor responde de las faltas de conformidad que se manifiesten en un plazo de dos años desde la entrega. En los productos de segunda mano, el vendedor y el consumidor y usuario podrán pactar un plazo menor, que no podrá ser inferior a un año desde la entrega.

Salvo prueba en contrario, se presumirá que las faltas de conformidad que se manifiesten en los seis meses posteriores a la entrega del producto, sea éste nuevo o de segunda mano, ya existían cuando la cosa se entregó, excepto cuando esta presunción sea incompatible con la naturaleza del producto o la índole de la falta de conformidad. Al producto sustituto le será de aplicación igual presunción.

Salvo prueba en contrario, la entrega se entiende hecha en el día que figure en la factura o tique de compra, o en el albarán de entrega correspondiente si éste fuera posterior.

El vendedor está obligado a entregar al consumidor o usuario que ejercite su derecho a la reparación o sustitución, justificación documental de la entrega del producto, en la que conste la fecha de entrega y la falta de conformidad que origina el ejercicio del derecho.

Del mismo modo, junto con el producto reparado o sustituido, el vendedor entregará al consumidor o usuario justificación documental de la entrega en la que conste la fecha de ésta y, en su caso, la reparación efectuada.

La acción para reclamar el cumplimiento de lo aquí previsto prescribirá a los tres años desde la entrega del producto.

El consumidor y usuario deberá informar al vendedor de la falta de conformidad en el plazo de dos meses desde que tuvo conocimiento de ella. El incumplimiento de dicho plazo no supondrá la pérdida del derecho al saneamiento que corresponda, siendo responsable el consumidor y usuario, no obstante, de los daños o perjuicios efectivamente ocasionados por el retraso en la comunicación.

Salvo prueba en contrario, se entenderá que la comunicación del consumidor y usuario ha tenido lugar dentro del plazo establecido.

Cuando al consumidor y usuario le resulte imposible o le suponga una carga excesiva dirigirse frente al vendedor por la falta de conformidad de los productos con el contrato, indica el artículo 124 del TRLGDCU que podrá reclamar directamente al productor con el fin de obtener la sustitución o reparación del producto.

Con carácter general, y sin perjuicio de que la responsabilidad del productor cesara, a los efectos de este título, en los mismos plazos y condiciones que los establecidos para el vendedor, el productor responderá por la falta de conformidad cuando ésta se refiera al origen, identidad o idoneidad de los productos, de acuerdo con su naturaleza y finalidad y con las normas que los regulan.

Quien haya respondido frente al consumidor y usuario dispondrá del plazo de un año para repetir frente al responsable de la falta de conformidad. Dicho plazo se computa a partir del momento en que se completó el saneamiento.

2.6.3.3.- Garantía comercial adicional

La garantía comercial deberá formalizarse, al menos, en castellano y, en contratación electrónica, por escrito o en cualquier otro soporte duradero y directamente disponible para el consumidor y usuario, que sea accesible a éste y acorde con la técnica de comunicación empleada, conforme establece el artículo 125 del TRLGDCU.

La garantía expresará necesariamente:

  • El bien o servicio sobre el que recaiga la garantía.
  • El nombre y dirección del garante.
  • Que la garantía no afecta a los derechos legales del consumidor y usuario ante la falta de conformidad de los productos con el contrato.
  • Los derechos, adicionales a los legales, que se conceden al consumidor y usuario como titular de la garantía.
  • El plazo de duración de la garantía y su alcance territorial.
  • Las vías de reclamación de que dispone el consumidor y usuario.

La acción para reclamar el cumplimiento de lo dispuesto en la garantía comercial adicional prescribirá a los seis meses desde la finalización del plazo de garantía.

En los productos de naturaleza duradera deberá entregarse en todo caso al consumidor, formalizada por escrito o en cualquier soporte duradero aceptado por el consumidor y usuario, y con el contenido mínimo previsto en el artículo anterior, la garantía comercial, en la que constarán expresamente los derechos que este título concede al consumidor y usuario ante la falta de conformidad con el contrato y que éstos son independientes y compatibles con la garantía comercial.

2.6.3.4.- Reparación y servicios posventa

En los productos de naturaleza duradera, el consumidor y usuario tendrá derecho a un adecuado servicio técnico y a la existencia de repuestos durante el plazo mínimo de cinco años a partir de la fecha en que el producto deje de fabricarse, conforme establece el artículo 126 del TRLGDCU.

Queda prohibido incrementar los precios de los repuestos al aplicarlos en las reparaciones y cargar por mano de obra, traslado o visita cantidades superiores a los costes medios estimados en cada sector, debiendo diferenciarse en la factura los distintos conceptos. La lista de precios de los repuestos deberá estar a disposición del público.

La acción o derecho de recuperación de los productos entregados por el consumidor y usuario al empresario para su reparación prescribirá a los tres años a partir del momento de la entrega. Reglamentariamente, se establecerán los datos que deberá hacer constar el empresario en el momento en que se le entrega un objeto para su reparación y las formas en que podrá acreditarse la mencionada entrega.

3. Derechos de protección de datos en la contratación electrónica

[Este aspecto también se trata en en el manual, junto con otros como: modelos de demanda y un modelo de aviso legal preparado para despachos de abogados. La materia de protección de datos ya la he tratado en varios posts de este blog, así que me remito a ellos].

ANEXO – Información sobre el ejercicio del derecho de desistimiento

Modelo de documento de información al consumidor y usuario sobre el desistimiento

Derecho de desistimiento:

  • Tiene usted derecho a desistir del presente contrato en un plazo de 14 días naturales sin necesidad de justificación.
  • El plazo de desistimiento expirará a los 14 días naturales del día (1).
  • Para ejercer el derecho de desistimiento, deberá usted notificarnos (2) su decisión de desistir del contrato a través de una declaración inequívoca (por ejemplo, una carta enviada por correo postal, fax o correo electrónico). Podrá utilizar el modelo de formulario de desistimiento que figura a continuación, aunque su uso no es obligatorio (3).
  • Para cumplir el plazo de desistimiento, basta con que la comunicación relativa al ejercicio por su parte de este derecho sea enviada antes de que venza el plazo correspondiente.
  • Consecuencias del desistimiento: En caso de desistimiento por su parte, le devolveremos todos los pagos recibidos de usted, incluidos los gastos de entrega (con la excepción de los gastos adicionales resultantes de la elección por su parte de una modalidad de entrega diferente a la modalidad menos costosa de entrega ordinaria que ofrezcamos) sin ninguna demora indebida y, en todo caso, a más tardar 14 días naturales a partir de la fecha en la que se nos informe de su decisión de desistir del presente contrato. Procederemos a efectuar dicho reembolso utilizando el mismo medio de pago empleado por usted para la transacción inicial, a no ser que haya usted dispuesto expresamente lo contrario; en todo caso, no incurrirá en ningún gasto como consecuencia del reembolso (4).

(5)

(6)

Instrucciones para su cumplimentación:

(1) Insértese una de las expresiones que aparecen entre comillas a continuación:

a) en caso de un contrato de servicios o de un contrato para el suministro de agua, gas o electricidad –cuando no estén envasados para la venta en un volumen delimitado o en cantidades determinadas–, de calefacción mediante sistemas urbanos o de contenido digital que no se preste en un soporte material: “de la celebración del contrato”;

b) en caso de un contrato de venta: “que usted o un tercero por usted indicado, distinto del transportista, adquirió la posesión material de los bienes”;

c) en caso de un contrato de entrega de múltiples bienes encargados por el consumidor y usuario en el mismo pedido y entregados por separado: “que usted o un tercero por usted indicado, distinto del transportista, adquirió la posesión material del último de esos bienes”;

d) en caso de entrega de un bien compuesto por múltiples componentes o piezas: “que usted o un tercero por usted indicado, distinto del transportista, adquirió la posesión material del último componente o pieza”;

e) en caso de un contrato para la entrega periódica de bienes durante un plazo determinado: “que usted o un tercero por usted indicado, distinto del transportista, adquirió la posesión material del primero de esos bienes”.

(2) Insértese su nombre, su dirección completa y, si dispone de ellos, su número de teléfono, su número de fax y su dirección de correo electrónico.

(3) Si usted ofrece al consumidor y usuario en su sitio web la opción de cumplimentar y enviar electrónicamente información relativa a su desistimiento del contrato, insértese el texto siguiente: “Tiene usted asimismo la opción de cumplimentar y enviar electrónicamente el modelo de formulario de desistimiento o cualquier otra declaración inequívoca a través de nuestro sitio web [insértese la dirección electrónica]. Si recurre a esa opción, le comunicaremos sin demora en un soporte duradero (por ejemplo, por correo electrónico) la recepción de dicho desistimiento”.

(4) En caso de un contrato de venta en el que usted no se haya ofrecido a recoger los bienes en caso de desistimiento, insértese la siguiente información: “Podremos retener el reembolso hasta haber recibido los bienes, o hasta que usted haya presentado una prueba de la devolución de los mismos, según qué condición se cumpla primero”.

(5) Si el consumidor y usuario ha recibido bienes objeto del contrato insértese el texto siguiente:

(a) insértese:

– “Recogeremos los bienes”, o bien

– “Deberá usted devolvernos o entregarnos directamente los bienes o a… (insértese el nombre y el domicilio, si procede, de la persona autorizada por usted a recibir los bienes), sin ninguna demora indebida y, en cualquier caso, a más tardar en el plazo de 14 días naturales a partir de la fecha en que nos comunique su decisión de desistimiento del contrato. Se considerará cumplido el plazo si efectúa la devolución de los bienes antes de que haya concluido dicho plazo”;

(b) insértese:

– “Nos haremos cargo de los costes de devolución de los bienes”;

– “Deberá usted asumir el coste directo de devolución de los bienes”;

– En caso de que, en un contrato a distancia, usted no se ofrezca a hacerse cargo de los costes de devolución de los bienes y estos últimos, por su naturaleza, no puedan devolverse normalmente por correo: “Deberá usted asumir el coste directo de devolución de los bienes, … euros (insértese el importe)”; o, si no se puede realizar por adelantado un cálculo razonable del coste de devolución de los bienes: “Deberá usted asumir el coste directo de devolución de los bienes. Se calcula que dicho coste se eleva a aproximadamente … euros (insértese el importe) como máximo”, o bien

– En caso de que, en un contrato celebrado fuera del establecimiento, los bienes, por su naturaleza, no puedan devolverse normalmente por correo y se hayan entregado ya en el domicilio del consumidor y usuario en el momento de celebrarse el contrato: “Recogeremos a nuestro cargo los bienes”;

(c) “Solo será usted responsable de la disminución de valor de los bienes resultante de una manipulación distinta a la necesaria para establecer la naturaleza, las características y el funcionamiento de los bienes”.

(6) En caso de un contrato para la prestación de servicios o para el suministro de agua, gas o electricidad –cuando no estén envasados para la venta en un volumen delimitado o en cantidades determinadas–, o calefacción mediante sistemas urbanos, insértese lo siguiente: “Si usted ha solicitado que la prestación de servicios o el suministro de agua/ gas/ electricidad/ calefacción mediante sistemas urbanos (suprímase lo que no proceda) dé comienzo durante el período de desistimiento, nos abonará un importe proporcional a la parte ya prestada del servicio en el momento en que nos haya comunicado su desistimiento, en relación con el objeto total del contrato”.

B. Modelo de formulario de desistimiento

(sólo debe cumplimentar y enviar el presente formulario si desea desistir del contrato)

– A la atención de (aquí se deberá insertar el nombre del empresario, su dirección completa y, si dispone de ellos, su número de fax y su dirección de correo electrónico):

– Por la presente le comunico/comunicamos (*) que desisto de mi/desistimos de nuestro (*) contrato de venta del siguiente bien/prestación del siguiente servicio (*)

– Pedido el/recibido el (*)

– Nombre del consumidor y usuario o de los consumidores y usuarios

– Domicilio del consumidor y usuario o de los consumidores y usuarios

– Firma del consumidor y usuario o de los consumidores y usuarios (solo si el presente formulario se presenta en papel)

– Fecha

(*) Táchese lo que no proceda.

Este es un artículo de Derecho entéramente escrito en klingon: parte en idioma klingon y parte con caracteres klingon.

Productos comprados con Bitcoin entran en el Congreso (España)

2014-03-06 20.10.44 - copia

Los diputados prefieron las galletas de dulce de leche. Dejaron las de chocolate. Fueron comidas en el Congreso de los Diputados el 6/3/2014. Las galletas se compraron con Bitcoin.

Ayer, 6 diputados del Congreso (España) comieron galletas compradas con Bitcoin, como parte de un experimento con seres humanos que realicé.

Además de ser llamativa, la noticia es relevante: Productos adquiridos con bitcóins entran en el Congreso de los Diputados, junto con la nota de transferencia; varios diputados prueban los productos; y se hace patente que el sistema Bitcoin existe y se usa en España.

Llevé estos productos al Congreso como parte de una investigación, que se basa en demostrar que la tecnología que hay detrás de la anécdota del Bitcoin construye un sistema que hace imposible borrar los contenidos subidos a la red. Excelente para la propiedad intelectual; peligroso para la privacidad.

La sesión, en la que estuvimos ayer varios abogados con diputados de la Subcomisión de Redes Sociales, fue “a puerta cerrada”, no para mantenerla en secreto, sino para que pudiésemos sentirnos más libres a la hora de dar información sensible (nunca confidencial) y privada de nuestra actividad.

Accedimos al Congreso tras pasar por varios controles de seguridad. Una persona nos acompañó hasta la sala (Sala Lázaro Dou), ovalada y con una gran mesa en el centro. Jorge, Alfonso, Alejandro y yo (Pablo) nos sentamos en un lado; los diputados en el otro; y una invitada en una silla apartada.

Comenzaron las exposiciones: aquí está la mía (un poco troll, dicen); la de Jorge puede leerse aquí. En mi exposición, repartí galletas entre los diputados, junto a una nota imborrable que publiqué en la transmisión de bitcóins. Los diputados mostaron interés extremo en la situación del presente.

Los diputados hicieron preguntas sobre las exposiciones. Apunté el guión de mis respuestas:

1.- Intimidad en Internet

Por ahora, cierto grado de intimidad existe en Internet, porque contamos con mecanismos de control.

2.- Derecho al Olvido

Tendrá un alcance limitado y será ineficaz en muchos casos. Me centre en las cuestiones básicas (punto 2).

La informática es vulnerable y está abocada a fallar por casusas técnicas, humanas o por ataques externos. Hay que contar con el fallo seguro.

Sugiero:

  • Asumir que nuestros datos personales van a ser publicados, con mayor o menor alcance.
  • Crear sistemas digitales y, sobre todo, analógicos de respuesta inmediata.

3.- Cookies

Sugerí dos cosas: que se mantengan la protección y el límite en los usos como obligaciones para los prestadores; y que se eliminase la necesidad de informar sobre las cookies en el aviso legal y en banners.

Destaco en mi memoria que uno de los diputados de la Subcomisión de Redes Sociales tuvo que preguntar qué es un cookie.

4.- Regulación vinculante

Las normativas estatales se agotan en las fronteras; las de los prestadores son eficientes en todo el mundo.

Destaqué en mi intervención una frase dicha por un diputado en esa sesión: “[Tal y como habéis presentado la situación de Internet,] no hay nada que hacer desde el punto de vista de la legislación del estado”.

Indiqué un motivo de que la ley siempre vaya detrás de la tecnología: la lentitud en su creación.

Aporté una solución muy básica y que rompe los esquemas del sistema de estados:

  • Normativa española: mínima para proteger completamente los derechos fundamentales de los ciudadanos españoles.
  • Normativa para el mundo digital: Es necesario hacerla con los que controlan la Red.

5.- Normas que son un desastre

El tiempo era limitado. Solo destaqué:

  • Código Penal (arts. 401, 270, 720)
  • Ley de Propiedad Intelectual. Incluí la desastrosa reforma propuesta.
  • Ley Orgánica de Protección de Datos: Solicité la rebaja de exigencias y que no sea necesaria la notificación de ficheros
  • Registro de Empresas de Venta a Distancia: Solicité su supresión

Mis compañeros, en sus turnos, solicitaron cambios en la normativa de Retención de Datos. La idea es que sea posible identificar a una persona a través de la IP para delitos inferiores a los graves.

6.- Regular con los prestadores

España debe participar en las creaciones de normas privadas internacionalmente vinculantes, que son las que elaboran los prestadores (los de uso mayoritario). De esta forma, se crean costumbres basadas en criterios españoles en ciudadanos de países extranjeros y logramos armonizar y normalizar el uso de Internet a nuestra conveniencia. Este efecto sobre el ciudadano del mundo, permite a España obligar indirectamente y de forma velada a los legisladores extranjeros a modificar sus normas y elevar los criterios de protección de los derechos fundamentales de los usuarios.

7.- Protección de la propiedad intelectual

La propiedad intelectual debe ser protegida. Para ello sugiero:

  • La introducción del Fair Use en la normativa española de forma inmediata.
  • La consideración del lucro indirecto como ánimo de lucro a efectos penales.
  • La creación de una Agencia Española de Propiedad Intelectual.

La propuesta de reforma de la Ley de Propiedad Intelectual, actualmente siendo debatida en el Congreso, no debe progresar. Destaqué esta consideración: la actividad de los agregadores debe seguir siendo legal y estar exenta de obligación de pago alguno.

En cuanto las soluciones del protocolo se hagan más patentes (10 años vista), debe considerarse el uso libre de la propiedad intelectual cuando el fin sea sin ánimo de lucro. Aunque lo circunscribí a una derivación del fair use, para que sea posible y no dañe en exceso los derechos de los autores y los creadores.

8.- Otras propuestas normativas y tecnológicas

Mi preferencia sería que se devolviese el sistema a la creación de reglas y principios, por medio del estudio de casos. Pero que no se trate de regular los casos en sí, ni establecer un exceso de obligaciones.

Sugerí la aprobación inmediata de una norma que impida al software tomar la decisión de matar o no a un humano. Ya existen programas capaces de identificar situaciones de riesgo, controlar un dron con un arma y llevarlo a su destino para que dispare a la amenaza. Es una situación que España debe regular para lo que suceda dentro de sus fronteras. La acción de disparar debe seguir siendo realizada por medio de una acción física de un humano. Asimimo, sugerí la creación de un registro internacional de identificadores de drones y de elementos no humanos con capacidad de movimiento autónoma.

En relación con lo sugerido (norma anti-bit_balas) recordé a los diputados que el Prof. Kevin Warwick ha logrado que un coche sea dirigido de forma “inteligente” por una neurona; y ha movido en Londres partes mecánicas de su cuerpo estando él en EE.UU. por medio del envío de impulsos nerviosos a través de Internet. Es el presente.

Destaqué la labor de el GDT y sugerí que se les facilitasen los recursos para la creación de un complemento para los principales navegadores que permita a los usuarios registrar de forma certificada el contenido de una página y enviarlo, junto con su IP, a una dirección del GDT.

En relación con las redes sociales, sugerí la posibilidad de convenir con los miembros de las mismas que crean sus propias normas privadas, la creación de un botón de denuncia por posible comisión de delito, integrado en la plataforma, con un canal abierto con el GDT que envíe de forma automática los datos de las personas o contenidos denunciados, junto con una captura cifrada de los contenidos o la IP datos y datos del denunciado (y, si el denunciante lo permite, también la suya), solo cuando la IP del denunciante sea española o haya configurado su cuenta para designarse como español.

Por último, destaqué la importancia de que España dé un paso al frente y participe sin miedo en la creación de la normativa privada internacional, que es la realmente eficiente en el mundo. España debe enviar a una persona para que participe en la creación de normativa, con sugerencias, para que la normativa sea la que España quiere. Y, si el prestador presenta reticencias o rechazos, España debe cambiar su sistema de acercamiento y apoyo.

Los dueños de un mundo parcelado eran los estados. Los del mundo, son las empresas y sus usuarios.

Diputados: con Bitcoin, digan adiós al derecho al olvido.

2463525895_e87aa0bbab

Congreso (España). Imagen tomada por Rodney.

Estoy en el Congreso, junto a Carrascosa, Campanillas y Touriño. Espero que después de que escuchen lo que les voy a decir, los diputados no me nominen. 

En esta ocasión acudo porque me ha convocado la Subcomisión de Estudio sobre las Redes Sociales. Varios diputados (aquí listados) quieren que les cuente mi experiencia y conocimiento sobre “ciberseguridad en la red, en las transacciones comerciales electrónicas, protección de las personas más vulnerables y protección en el ejercicio de derechos fundamentales que pudieran verse afectados”.

Supongo que quieren que les hable sobre mi experiencia en TOR (un momento, ¿he usado TOR? ¬¬); mis batallas para que un blog personal pueda tener publicidad sin pagar por ello; mi lucha sin cuartel contra la tontería de las cookies y su imposible ley; las posibles medidas para evitar la suplantación de identidad; los peligros de las redes sociales; o los riegos de la minería de datos. Pero… no. No voy a hablar de nada de esto.

Los diputados no saben, aún, que no voy a contarles nada de lo que creen que quieren oír.

Ayer me llegó una comunicación del Congreso en la que me ruegan “encarecidamente […] la extrema conveniencia de aportar alguna documentación”. Les voy a dar la URI de este post, porque en papel aún es complicado hacer clic en los enlaces.

El Congreso me ha concedido un máximo de 5 minutos. A minuto por punto, esto contaré:

  1. Galletas compradas con Bitcoin para los diputados

Este martes compré 8 galletas caseras. El truco es que no las he pagado con dinero, sino que se las he cambiado al restaurante Do Eat! por 0,02434 BTC (bitcóins).

Llevaré las galletas a los diputados para demostrarles que el Bitcoin existe y se usa. Se las llevaré para que sean conscientes de que hay centenares de negocios que las aceptan y que es muy sencillo adquirir productos y contratar servicios con los Bitcoin.

Se las llevaré para que comprueben que el comercio electrónico cuenta desde 2009 con un sistema internacional y alternativo de pagos. Con uno no, ¡con cientos! Crecen como la espuma los ataques informáticos centrados en el ataque a ostentadores de claves que controlan los Bitcoin. Hay inseguridad. ¿Qué cuesta que España diga que “no es dinero” sino un bien?

Quiero que se percaten de que son ellos (el Estado) los que están creando inseguridad jurídica en España. Están minando nuestra confianza. Lo que sea necesario para que Hacienda conteste la consulta vinculante que les planteamos, que lo pongan ya. Es imprescindible que España deje de estar a la cola del mundo en eCommerce.

Por cierto, ¿por qué he elegí las “galletas”? Por la absurda ley de cookies y la más absurda reforma propuesta. La ley de cookies es la mejor forma de empapelar a los empresarios; y la mejor para indicar a los usuarios que España asusta.

2014-03-04 18.31.33

En este restaurante puedes consumir lo que quieras a cambio de bitcóins. Do Eat! (Madrid, España)

2.- Nota incluida en la transferencia de bitcóins

En la transferencia realizada para comprar los Bitcoin he incluido esta nota (sin tildes):

Galletas compradas por @Pablofb (de Abanlex) en Do Eat! (Madrid) para la Subcomision de Estudio de las Redes Sociales (Congreso Diputados, Spain) como parte de una investigacion realizada por @Pablofb y que sera mostrada a la Subcomision el 6/3/14

Actualización (10/03/2014): Esta nota sí se puede borrar porque es un mero valor añadido del servicio blockchain.info y no un dato anexado a mi transferencia en sentido propio (ver aquí). Lo que no se podría borrar es el hash de un documento convertido en dirección Bitcoin una vez hubiera hecho una transmisión de satoshis a la misma. No obstante, se está trabajando en un registro de notas unido a las transferencias por medio de la modificación del protocolo, por lo que será posible incluir notas a las transferencias a través de sistemas similares al actual.

Captura de pantalla 2014-03-05 17.45.50

Nota: “Galletas compradas por @Pablofb (de Abanlex) en Do Eat! (Madrid) para la Subcomision de Estudio de las Redes Sociales (Congreso Diputados, Spain) como parte de una investigacion realizada por @Pablofb y que sera mostrada a la Subcomision el 6/3/14″ [Ver aquí]. No he ofuscado las direcciones y podréis rastrear las transferencias que haga desde esa cuenta… a menos que, a partir de ahora, las haga en modo compartido y use una nueva dirección para las futuras recepciones.

3.- Hola, Registro Internacional de… la Propiedad Intelectual (¿InteCoin?)

Presunción iuris tantum.

Algo muy similar a lo que se consigue por medio del registro privado de propiedad intelectual, se consigue gracias a las soluciones iniciadas por Satoshi Nakamoto.

Las posibilidades de registro que presenta el sistema de bloques son fastuosas. ¿Qué podemos registrar? Texto, música, copias resumen (hash)… matrículas, ecuaciones, manuales… Un registro internacional de lo que sea que queramos. Y si lo quieres cifrado, métele un PGP.

Si el Estado halla la forma de controlar un protocolo (y lo crea), tendrá el monopolio sobre su gestión y contenido. Una criptomoneda controlada por un estado o por varios o por el FMI, es posible. Un registro internacional de carácter científico (de tipos de árboles, por ejemplo) controlada por una universidad, es posible. Un registro, controlado por el mundo, de diseños de armas para crearlas en impresoras 3D caseras, es posible. Tanto lo bueno como lo malo, es posible; que llegue a suceder todo, es probable; que ya sucede, está (personalmente) probado.

Aquí podría hablar de los criptocontratos, sobre los que Ethereum ya está trabajando (Jorge Vallet). Será interesante observar la creación de leyes internacionales de ejecución automática.

Se puede crear un registro privado de propiedad intelectual con un puñado de bitcóins. No se usarían como existencias, sino como inmovilizados inmateriales. Los bitcóins serían herramientas de trabajo. Por ejemplo: una empresa, con dos direcciones, destina una de ellas al envío de satoshis con elementos a registrar y, dejada la huella imborrable (que puede ir cifrada), devuelve los bienes digitales a su cuenta de origen. Coste cero. Potencial inmenso.

Actualización (10/03/2014): Es posible crear un registro de propiedad intelectual con tecnología del Bitcoin. Para poder llevarlo a cabo habría que crear una dirección Bitcoin a partir del hash de una obra. A esta dirección se le debe enviar algún satoshi, para convertirla en imborrable e inalterable. Al término, se tendrá un registro internacional de PI con presunción iuris tantum. Ya han propuesto algo parecido los compañeros de Dogecoin. El texto tachado en este post es la consecuencia de mi error.

4.- Leyes nacionales que se extinguen en la frontera. Normas privadas que controlan Internet

La soberanía de los estados es indiscutible. Dentro de sus lindes políticas toda actividad debe regirse por lo establecido en las disposiciones en vigor que el poder público haya promulgado. O así era hasta que surgió con fuerza la Red de Redes.

España no puede detener Internet en sus fronteras.

Pondré tres ejemplos:

  • Si el responsable de un sitio incumple una ley nacional en su web, ¿cuánto tardaríamos en cerrar la web a través de los tribunales? ¿Cuánto tardaría Google en banearla de su directorio?
  • Si un usuario difama anónimamente a un menor a través de Twitter, ¿cuánto tardaríamos en localizar al usuario a través de los tribunales? Es más, ¡¿no lo permite la ley actual?! (la respuesta es “no”, por cierto: acoso a menores y suplantación de identidad). ¿Cuánto tardaría Twitter en bloquear el perfil y entregar su datos de usuario (IP, correo, exif -si los guarda- de las imágenes, horas de actividad, enlaces en los que haya pulsado, tipo de dispositivo usado, colores que se muestran en su pantalla…)?
  • Si localizamos una foto de contenido muy inadecuado en Facebook, ¿cuánto tardaríamos en actuar por medio de los tribunales españoles (ojo a la pregunta 12)? ¿Cuánto tardaría Facebook?

Veo la siguiente situación:

  1. Las leyes nacionales son eficaces dentro de las fronteras, pero ineficaces fuera.
  2. Las normas privadas de los prestadores son eficientes siempre, en el mundo.

Consecuencias:

  1. Deben tenerse más en cuenta las normas privadas de los prestadores.
  2. España debe participar en la creación de estas normas.
  3. La normativa aplicable a los prestadores nacionales debe ser mínima.
8651931765_548970a1a7

Hasta la frontera llega la normativa del estado sobre Internet. Foto: CBP (CC BY SA 2.0)

5.- Sé dónde estás, menor

Con puros fines científicos y de investigación, he streakeado a un diputado. No, es broma. No uso Streak por motivos éticos (No estoy hablando del streaking ^_^). Pero, lo cierto es que es tan fácil y hay tantos sistemas en el mundo que permiten realizar este rastreo de forma sencilla, que nada empece a que se pueda enviar un e-mail o similar a un menor y saber dónde está en ese instante.

A mí ya me ha intentado streakear un empresario de UK, pero no ha podido lograr su objetivo porque implementé medidas para evitar que me hagan eso. ¿Un menor conoce estas medidas? ¿Sus padres las conocen? ¿La concienciación ciudadana serviría? Mi respuesta es “no”, a las tres preguntas. Es necesaria la seguridad por defecto (Yago Jesús, de Security By Default) y la implantación de medidas preventivas y reactivas (Luis Delgado). Y es necesario saber que este mundo existe, asumirlo y tratar de gestionarlo.

En cuanto a la identificación de menores, la firma electrónica no es eficiente. Con el DNIe de los menores, se puede intentar. Pero, ¿quiénes serán los obligados? Los menores no, evidentemente. ¿Los padres? ¿Reconoceremos a los obligados por la IP? Habrá que darse a Spotflux (y compañía), gratuito, compatible con el móvil y adecuado para ver Netflix en España, por cierto. Imagino que se querrá poner la mira en los gigantes estadounidenses para obligarles a cumplir la ley de un estado europeo. Mientras que los asiáticos y africanos no traduzcan sus soluciones… amainamos el temporal. Pero, ¿realmente queremos que Baidú recopile los datos de nuestros menores para permitirles o negarles el acceso? ¿Queremos que cualquier red social tenga acceso a esta información? Puede que con un simple identificador reconocido de “soy mayor” o “soy menor” baste, basándonos en la edad mínima para ser mayor tanto de España como del país del prestador. Es más, ¿tenemos un listado cerrado de los prestadores de servicios de la sociedad de la información en el mundo? Y, si lo tuviéramos, ¿podríamos obligarles allá en el país en el que estén?

La identificación de los menores requiere otra vía. El Derecho emanado del poder público es ineficaz para ordenar Internet. El destino del Derecho público es el de regular las relaciones entre personas y empresas con los órganos que conforman la Administración Pública. El destino del Derecho que inventan los prestadores está enfocado a crear un único marco jurídico internacional que establezca algo de orden a lo que sucede en la Red. Por tanto, se debe centrar el foco en los grandes prestadores para que España tome partido en la creación de esta normativa internacional realmente vinculante.

Que la ley que afecta a los españoles en España es el código civil, cierto. La que afecta a los españoles en Internet no lo es siempre y cada vez lo será menos. No se trata de hacer convenios internacionales llenos de propósitos y vacíos de acciones, en los que siempre faltan firmas y ratificaciones. Se trata de continuar la creación de una única normativa internacional con el apoyo de las empresas que controlan Internet.

¿Dudas?

Al finalizar la exposición, los diputados hicieron preguntas. Las respuestas están aquí.

_

¿Sabías que hay un SEO ilegal? Las claves del SEO legal

upfDesde el año pasado doy clase en la Universitat Pompeu Fabra a alumnos que desean saber cómo hacer SEO legal (en el Máster en Buscadores). Porque, ¿lo sabías?, existe un SEO legal y un SEO ilegal.

¿Cuáles son los aspectos que debe cumplir un sitio web para estar bien posicionado en Internet de forma legal? Y, lo que es más importante, ¿cómo debe cumplirse la normativa privada de los buscadores? Además, toco el SEM, para señalar cosas tan extraordinarias como que existen poductos que pueden anunciarse lícitamente según la normativa española, pero que están terminantemente prohibidos en determinados sistemas de anuncios como el que ofrece Google Adwords.

En el máster el contenido es extraordinariamente detallado y los compañeros que tengo son de primera categoría: Juan Merodio, Fernando Muñoz y un largo etcétera de Yahoo!, eDreams, Softonic… Aquí, en mi blog, muestro solo parte de una entrevista que me han hecho en la UPF y que está oportunamente recortada, para dar contenido de valor añadido a mis alumnos de la Universitat.

Nos entrevistamos con Pablo Fernández Burgueño para conocer más de cerca la experiencia de un abogado especializado en derecho tecnológico, un sector la importancia del cual ha crecido exponencialmente durante la última década y en el que nuestro entrevistado tiene una amplia experiencia. Actualmente trabaja en Abanlex, bufete del cual es socio cofundador.

1) Hola Pablo, muchas gracias por compartir con nosotros tu experiencia en el campo del derecho tecnológico. Nos gustaría empezar preguntándote por Abanlex. ¿Cómo surgió la idea de crear este bufete, qué necesidades queríais cubrir y con qué tipo de clientes trabajáis?

Abanlex es el despacho de abogados que actualmente co-dirijo. La idea que dio origen a la creación de la firma fue la de establecernos como uno de los despacho de referencia en materia de Derecho de Internet y Tecnología.

A lo largo de estos años, nuestro valor en el mercado ha aumentado y continúa creciendo gracias a un factor de extraordinaria relevancia: nos hemos posicionado como abogados que destacan por su conocimiento de la tecnología.

2) Teniendo en cuenta tu experiencia ¿hasta qué punto crees que se trabaja bien el SEO en España? ¿A qué crees que se debe la existencia de Black SEO: a un nivel bajo de alfabetización digital y un desconocimiento importante tanto de las leyes, como de los factores que inciden en el posicionamiento de los sitios web; o a la pillería de algunos de los que se dedican al SEO?

España es un país extraordinario en materia de SEO. El posicionamiento se realiza, por lo general, de forma respetuosa, leal y con sujeción al sentido común.

Sin embargo, es cierto que el Black SEO golpea con fuerza la Red. Para evitar estas acciones malintencionadas de posicionamiento estamos asistiendo a la creación de las primeras normas privadas que regulan o prohíben estas prácticas engañosas. Empresas como Google y Baidú son pioneras en la elaboración de regulación propia que pone veto al Black SEO, bloqueando a las páginas infractoras y desechándolas de los índices de resultados. Asimismo, la normativa pública más tradicional que afecta al comercio a distancia también está siendo adaptada a la tecnología existente para ser más acorde a Internet.

Continuaremos viendo cambios anuales en materia de SEO y Black SEO.

3) La normativa pública regula el uso de las metaetiquetas para evitar usos ilegítimos, tanto en relación con la Ley de Marcas, la de Competencia Desleal o la Ley General de Publicidad. ¿Podrías contarnos algún ejemplo de mal uso de metaetiquetas que constituya algún caso sonado?

El uso de marcas ajenas para ganar relevancia en Internet es una práctica prohibida, tanto por la normativa de origen público (Ley de Marcas, Ley de Competencia Desleal, Ley General de Publicidad…) como por las normativas privadas de los buscadores y los servicios de publicidad digital. Basta con buscar -en las metaetiquetas de la competencia- palabras, expresiones, marcas y eslóganes ajenos para advertir que sus administradores están tratando de derivar usuarios a su sitio web en perjuicio ajeno y de forma ilícita. Esta normativa es idéntica a la que se aplica para la correcta elección de palabras clave por las que se desea pujar en sistemas de publicidad en Internet.

Los casos recientes más conocidos son los siguientes:

  • Sentencia Louis Vuitton-Google (2010): El Tribunal recuerda que está prohibido usar marcas de la competencia como palabras clave en Internet.
  • Caso Youkioske.com (2011): El juez (Juzgado de lo Mercantil nº 1 de Alicante) obliga a Youkioske a eliminar de su página web las marcas de las empresas cuyas revistas regalaba ilícitamente: Vogue, Glamour, Vanity Fair…
  • Sentencia Masaltos.com (2012): El Tribunal declara que solo el titular de la marca “Masaltos” puede usar esa denominación para atraer clientes. Los competidores quedan obligados a dejar de usar la marca “Masaltos” como palabra clave.

4) Anécdotas aparte, ¿cuáles son las principales dificultades o problemáticas que tienen que abordar las empresas desde el punto de vista jurídico en el ámbito de las redes sociales y del SEO?

Internet es un canal que ofrece oportunidades magníficas a las empresas. La Red permite captar usuarios leales, convertirlos en clientes, crear una identidad digital adecuada y gestionar correctamente la reputación de la firma.

Para toda empresa que desee tener presencia en Internet, las normas principales en vigor que debe tener en cuenta inciden en los aspectos siguientes:

  • Uso legal y leal de marcas y dominios.
  • Adecuación de la publicidad mostrada en la página web y en los buscadores.
  • Protección de los datos personales de los usuarios y clientes.
  • Envío legal de e-mails y mensajes comerciales a través Twitter y Facebook.
  • Gestión de contenidos digitales por la empresa y de los generados por los usuarios.

Es conveniente llevar a cabo de forma preventiva la adecuación legal de la empresa de forma que se garantice la explotación pacífica de la marca en Internet.

5) ¿Trabajáis con empresas de márketing online? ¿Cómo tratan habitualmente las cuestiones jurídicas? ¿Ven la legislación existente como un problema o como una herramienta que les facilita el trabajo?

Prestamos servicios jurídicos a algunas de las principales empresas de marketing digital. Las soluciones que más demandan están relacionadas con la creación legal de campañas publicitarias complejas que aúnan el desarrollo de plataformas, la proyección de actividades de captación de usuarios, la ejecución de rifas promocionales y la protección de marcas, dominios y códigos.

Las normas que tratan de ordenar Internet han sido creadas para asegurar el mercado digital y para ayudar tanto a las empresas como a los usuarios a comerciar electrónicamente con plena confianza. Son reglas sencillas que hacen más seguro el comercio electrónico y la publicidad digital. La aplicación correcta de estas normas convierten el trabajo de la empresa de marketing digital en un seguro de calidad.

6) Siguiendo con las empresas de márketing online, ¿tienen ellas mismas personal que conoce la legislación o buscan asesores externos como vosotros? ¿Cuál es el nivel de cultura jurídica digital de vuestra clientela?

Las empresas de marketing digital observan el mercado en Internet desde un punto de vista particularmente comercial y de eficiencia máxima en la captación de clientes prospectos. Habitualmente, estas empresas se embarcan en su actividad sin consejo legal alguno, por lo que el resultado suele ser aparentemente positivo en un primer término: recaban multitud de datos personales, crean aplicaciones fastuosas… Sin embargo, a corto-medio plazo sus acciones desembocan en situaciones extremadamente conflictivas para sus clientes y es entonces cuando buscan ayuda legal urgente para arreglar los problemas causados.

Lo más adecuado es que las empresas de marketing digital cuenten desde el inicio de su actividad con los conocimientos legales suficientes para poder ofrecer a sus clientes trabajo y medios enfocados al éxito.

7) En relación con los derechos de propiedad intelectual, ¿cuáles son los principales conflictos que desde la perspectiva del derecho han surgido con la popularización de la web 2.0 y de las redes sociales?

En Internet es fácil encontrar quejas terribles de escritores de posts que advierten de que otros competidores les han copiado artículos íntegros para publicarlos en sus blogs. Sin embargo, a pesar de su indignación, para ilustrar sus propios artículos descargan y copian sin pudor fotografías ajenas que encuentran en buscadores de imágenes, sin contar con permiso del autor, sin respetar el trabajo del fotógrafo.

Afortunadamente, la Web 2.0 nos confiere la posibilidad de crear y compartir de forma colaborativa, prácticamente sin barreras geográficas. Las ventajas de la Red para la creación de conocimiento son indudables, siempre que se respete y valore el trabajo ajeno.

Los numerosos problemas jurídicos relacionados con Propiedad Intelectual a los que damos solución están relacionados con las copias ilegales de artículos, fotografías reutilizadas, vídeos descargados de Internet y derechos de autor sobre sitios web y aplicaciones móviles.

8) ¿Crees que la multiplicación de creadores y de productores de contenidos ha conllevado mayores vulneraciones de derechos en el ámbito de la propiedad intelectual, del derecho de imagen? ¿O ha habido al mismo tiempo una concienciación social alrededor de estas cuestiones?

La creación de contenidos en la Red está aumentando de forma increíble. A su vez, Internet ofrece la falsa sensación de que las imágenes, los vídeos y los textos son gratuitos por el simple hecho de estar disponibles en formato digital. Nada más lejos de la realidad; pero, evidentemente, cuantas más creaciones hay disponibles, más sencilla es la vulneración de derechos aprovechando la sensación de impunidad y el supuesto anonimato del medio digital.

El número creciente de productores y creadores está aportando contenidos de calidad de forma constante a la estructura de Internet. Es el momento de plantearse de qué forma deseamos apostar por el reconocimiento del valor intelectual humano y proteger la creación de cultura.

9) ¿Cómo encaja la filosofía de Creative Commons con las nuevas tecnologías de la información y la comunicación y con la normativa pública existente en España y en la Unión Europea?

Creative Commons es una solución perfecta para ceder y usar obras en Internet.

Las obras originales expresadas por una persona están protegidas, por lo general, por un derecho especial denominado Propiedad Intelectual. Este derecho otorga al autor la posibilidad de decir el destino de su creación, incluso en Internet.

Para adquirir derechos de explotación de una obra, debe recabarse la autorización del autor o de aquel que tenga el derecho que se desea utilizar. Por ejemplo, para poder usar una foto en un artículo hay que conseguir que el titular del derecho sobre la imagen autorice ese uso. Hay una forma sencilla de conseguir este derecho: se puede tratar por correo electrónico con el autor y lograr que nos envíe su autorización. Pero hay una forma más sencilla aún: el titular de la imagen puede haber sellado su fotografía con una licencia Creative Commons de forma que cualquiera pueda usarla sin más limitaciones que las propias que el titular del derecho haya marcado.

10) Desde el derecho se habla del principio de seguridad jurídica como de aquel principio que garantiza de alguna manera al ciudadano la certeza del derecho. ¿No son las normas privadas de los buscadores, que cambian constantemente, una fuente de inseguridad jurídica para los usuarios en general?

Internet es global pero las normas públicas son estatales o incluso regionales. En ocasiones sucede que el Derecho emanado del poder público es ineficaz para ordenar un determinado sector, siendo este mismo sector quien se autorregula. Esto es lo que sucede en Internet. La actividad digital está naciendo con fuerza, la tecnología se desarrolla a una velocidad abismal y los poderes públicos se ven desbordados e incapaces de regular algo que se escapa de sus manos.

El destino del Derecho público es el de regular las relaciones entre personas y empresas con los órganos que conforman la Administración Pública. El destino del Derecho que crean los buscadores está enfocado a crear un único marco jurídico internacional que establezca algo de orden a lo que sucede en la Red. La actualización constante de ambas ramas del Derecho hace que Internet sea más seguro para las empresas, para los usuarios y para el comercio.

11) Algunos de los gigantes de internet han tenido problemas los últimos años en diferentes países del mundo donde su modelo de negocio ha chocado con las respectivas legislaciones. ¿Son estas grandes empresas las que se adaptan a los cuerpos jurídicos? ¿O son estos últimos los que, a través de la costumbre, van modificando las leyes?

La soberanía de los estados es indiscutible. Dentro de sus lindes políticas toda actividad debe regirse por lo establecido en las disposiciones en vigor que el poder público haya promulgado. O así era hasta que surgió con fuerza la Red de Redes. Los estados no pueden detener Internet en sus fronteras; los dominios superan el carácter inquebrantable de las marcas; y  los conflictos legales se agolpan en los tribunales.

La tendencia escogida por los estados es que las empresas se adapten a las regulaciones impuestas territorialmente en cada parte del mundo; la de las grandes empresas es que los estados asimilen que Internet rebasa su capacidad dispositiva y traten de adaptarse a la realidad tecnológica.

Estados y empresas están encontrando puntos en común sobre los que regular de forma casi conjunta; pero, aún así, los conflictos serán inevitables. Cada cual tratará de hacer prevalecer sus intereses frente a los del que desee imponer el otro.

12) La comprensión profunda de las implicaciones de las normas existentes, sobre todo las internas de los buscadores, son de difícil comprensión si no se poseen un mínimo de conocimientos técnicos imprescindibles respecto de su funcionamiento. ¿Cuál es el nivel de preparación a este nivel dentro de la judicatura?

Recientemente me graparon un CD en los Juzgados de Plaza Castilla, en Madrid. He atendido un caso en el que un juez no fue capaz de comprender para qué sirve el manual técnico de un programa de ordenador. He visto DVDs unidos con cuerdas a la documentación de un caso. Las cajas oficiales para entregar documentación son cartones con ranuras desperdigadas por los juzgados. Los documentos han de presentarse cosidos o grapados y, a ser posible, en papel. Hace pocos meses un secretario andaba perdido por el juzgado buscando un cartucho de tinta para una máquina de escribir. He visto cómo tapaban los conectores para USB de un ordenador con papel celo para evitar que se sacara información. En el juzgado se entregó a un delincuente su ordenador personal antes del juicio y, naturalmente, borró los contenidos ilegales. Un juez trató de comparar visualmente el contenido de dos CDs, observando cada uno en una mano.

El nivel de preparación técnica de los jueces en España es bajo, con las debidas excepciones.

13) ¿Cuál es el sentido de que en algunas legislaciones se esté planteando la obligatoriedad de los archivos robot.txt? ¿Consideras que tiene que ver con una voluntad de implantar un mayor control sobre los contenidos en internet?

Existen normas que obligan a que determinados contenidos permanezcan publicados en periódicos y boletines. Y existen otras normas que obligan a que esos contenidos desaparezcan.

Como ejemplo daré el siguiente: Si una persona comete un delito pero es indultada, el perdón que le ha sido conferido es inmediatamente publicado en el BOE. Cuando esta persona busca su nombre en un buscador, su delito y su indulto aparecen publicados en el Boletín Oficial del Estado. A continuación, esta persona solicita que su perdón sea real y que, por tanto, desaparezca la vinculación de su nombre con hechos delictivos (Derecho al Olvido). Puesto que la publicación no puede eliminarse, ni el BOE puede borrarse, lo que se hace en estos casos es incluir la URI de su indulto en el archivo robots.txt del BOE (http://www.boe.es/robots.txt), de forma que la noticia permanezca publicada pero se indique a los buscadores que no se desea que sea incluida en el índice de resultados posibles.

Una de las pocas herramientas legales que parece dar soluciones viables a estos problemas relacionados con el Derecho al Olvido es el archivo robots.txt, excluyendo la opción de privatizar áreas concretas de un sitio web. Los buscadores no están obligados a seguir las instrucciones que aporta este archivo pero se está estudiando la posibilidad de obligarles a seguir las pautas del robots.txt para crear un Internet más confiable y seguro.

Pablo, muchas gracias por respondernos.

Más info sobre el máster, aquí: http://masterenbuscadores.com

Cómo espiar gratis usando GMail + Streak

Captura de pantalla 2014-02-13 00.44.47

Descubre la ubicación de los receptores de tus correos

Es posible rastrear los e-mails que envías, saber si los han abierto, cuántas veces, en qué minuto exacto del día y dónde estaba la persona cuando lo abrió.

Es posible, ¡y es gratis! pero… ¿es legal?

Antes de aportar mi criterio he de decir que me enteré de la existencia de Streak gracias a El Confidencial, con el que colaboré ayer en la investigación sobre los aspectos legales aplicables. El resultado: Cualquiera puede saber dónde estás con un simple correo (El Confidencial).

Ayer instalé Streak en mi GMail personal, de forma gratuita y en menos de 30 segundos. Streak permite monitorizar la apertura de los correos electrónicos que envío, de manera que pueda saber incluso dónde estaba la persona que abrió el e-mail.

Me envié un correo electrónico a mi cuenta profesional, para comprobar el efecto… y, al abrir el correo desde el móvil, recibí un aviso en mi GMail personal en el que se me informaba de todo lo que puedes ver en la imagen de la izquierda.

Básicamente, “Un extraño puede saber dónde estás haciendo que abras un e-mail” (english).

Esto lo podemos hacer -y, de hecho, lo hacemos- sin necesidad de complementos. Cuando recibo determinadas consultas en Abanlex y considero que otra legislación es aplicable, examino la IP del emisor y le redirijo a un abogado cercano al lugar de remisión, sin necesidad de preguntar al cliente su localización. Pero el hecho de que ahora Streak nos lo dé tan fácil… genera un interés incluso excesivo. ¿Y si tengo instalado Streak en la empresa? ¿Valdría como prueba de que un e-mail ha sido abierto? ¡¿Lo podemos usar para marketing?! … ¿Puedo usarlo para espiar a mi mujer?

Aquí mi criterio:

  1. Datos personales: La dirección IP, los datos de geolocalización y la confirmación de una imagen concreta, son datos de carácter personal. El destinatario de esta infomación la relacionará con un correo electrónico determinado, que también es un dato de carácter personal. (art. 3 LOPD)
  2. Supuestos:
    1. Las personas físicas pueden usar esta información sin apenas restricciones o límites legales, siempre que el correo electrónico, que se use para obtenerla, sea parte de una conversación exclusivamente personal o doméstica (art 2 LOPD). El uso debe ser acorde a los requisitos marcados por la LO 1/82 y jamás puede interferir o vulnerar el los límites o las expectativas razonables de privacidad. Los usos y costumbres pueden ser vitales en este punto.
    2. En el resto de casos (empresas, autónomos, partidos políticos…), sí hay restricciones más claras:
      1. Restricciones:
        1. Consentimiento previo del afectado: Los datos solo podrán ser tratados legalmente después de que el usuario haya dado su consentimiento informado (art. 6 LOPD) para que sean obtenidos y usados con un fin determinado por la persona o entidad que sea (art. 5 LOPD). Es decir, el receptor del e-mail tiene que saber, antes de abrir el correo, que su información de geolocalización y apertura del e-mail va a ser conocida por una determinada persona o entidad y va a ser consecuentemente tratada.
        2. Prohibición de la obtención excesiva: Además, del consentimiento referido, solo se podrán recoger para su tratamiento cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido (art. 4 LOPD).
      2. Permisión:
        1. Comercio electrónico: Las empresas que vendan por Internet sí podrán usar estos datos solo si antes se lo ha consentido el usuario (por medio del contrato, por ejemplo) y solo si el uso es adecuado, pertinente y no excesivo en relación con la venta realizada. Es el caso, por ejemplo, del envío del acuse de recibo, que el vendedor está obligado a remitir al comprador después de que este haya aceptado la oferta. La oferta no puede contener este gif de rastreo, como regla general, porque no lo ha consentido previamente el usuario.
        2. Comunicaciones comerciales por vía electrónica: Solo si el usuario lo ha aceptado previamente, se le podrá rastrear y geolocalizar (art. 21 LSSI). El usuario tiene que saber y haber aceptado que se le monitorice de esta forma, antes de que el comercial envíe la comunicación.
      3. Prohibición: En el resto de casos, su uso está prohibido. No me refiero a que no pueda tratase el dato, sino a que el mero uso y obtención de estos datos está prohibido.
        1. Motivos de la prohibición: o no se obtuvo el consentimiento previo; o, habiéndose obtenido, el tratamiento que se va hacer es inadecuado, no pertinente y excesivo en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.
        2. Ejemplos de casos prohibidos:
          1. Spam con rastreo de aperturas
          2. Ofertas promocionales sin permiso del usuario para hacer este seguimiento
          3. Rastreo no permitido previamente por el usuario
          4. Rastreo inadecuado, no pertinente o excesivo.
      4. Excepciones: siempre hay excepciones a las excepciones.
Puedes estar seguro de que alguien te está streakeando si, en el original del mail recibido, encuentras unas líneas similares a las siguientes:
 
1
2
3
4
[div hspace=3D"streak-pt-mark" style=3D"max-height:1px"][img style=3D"width=
:0px; max-height:0px;" src=3D"https://mailfoogae.appspot.com/t?sender=3Dno=
mbre%40gmail.com&amp;type=3Dzerocontent&amp;guid=ristra-de-numbers=
76sd9s9"][font color=3D"#ffffff" size=3D"1"]=R5=00=E9[/font][/div]
Una forma sencilla de prevenir ser streakeado es deshabilitar la visualización automática de imágenes, desde el área de configuración de tu cuenta de correo. En GMail: configuración / deshabilitar imágenes.
 
La tecnología es legal. Y dan ganas de usarla. El problema es cómo se use. Si la ley no lo permite, aunque la tecnología exista, su uso está prohibido.
 
¿A que apetece usarlo?
 
Actualización (6 de marzo de 2014): Mis compañeros de Navaja Negra (@NN2ed_s4ur0n) me han enviado un script escrito en Python que busca en el texto plano de cada mensaje las cadenas “streak-pt-mark” o “https://mailfoogae.appspot.com”, que son las que usa el Streak, y avisa del “remitente” que te lo ha mandado. Lo hace en texto plano, ya que en Gmail aparece ofuscado por el javascript que usa. [Disculpa el “copy+paste”, pero lo has explicado muy bien en pocas palabras]
 
Aún tengo que probarlo, pero viniendo de ellos, funciona. El script (antisetreak.py) es este:
 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
#!/usr/bin/env/python
#By s4ur0n (@NN2ed_s4ur0n)
 
import imaplib
 
mail = imaplib.IMAP4_SSL('imap.gmail.com')
mail.login('username@gmail.com', 'Your-password-here')
mail.select()   # Or mail.select('INBOX')
#result, data = mail.search(None, '(X-GM-RAW "Search term... I.e. 1x1.gif"')
result, data = mail.search(None, 'ALL')
 
id_list = data[0].split()
for id in reversed(range(0, len(id_list))):
    email_id = id_list[id]
    result, data = mail.fetch(email_id, '(RFC822)')
    raw_email = data[0][1]
    if ('streak-pt-mark' or 'https://mailfoogae.appspot.com/') in raw_email:
        print raw_email
        print '\r\nWarning!\r\nTraced by: '
        print raw_email[raw_email.rfind('sender=3D')+9:raw_email.find('&amp;amp')].replace('%40','@')
        raw_input('Press ENTER to continue...')
 
mail.logout()

Informe de EEUU sobre la regulación del Bitcoin en 40 países

Captura de pantalla 2014-02-07 17.58.32El informe que escribí para Abanlex sobre los Bitcoin está ahora en manos del Congreso de los Estados Unidos.

¿Sabes lo que es el Bitcoin? Empecé a adentrarme en su funcionamiento en 2010 y en 2011 recibí mis primeros bitcóin. Desde entonces, en Abanlex aceptamos Bitcoin como medio de pago, cosa que interesó recientemente a Expansión. Ahora nuestras facturas muestran el total en euros y en BTC. Una universidad (una de estas) ya ha estudiado la manera de pagarme las clases que doy con Bitcoin. En ICEMD / ESIC explico los sistemas de pago con Bitcoin en mis clases de Derecho del eCommerce. He cambiado mis BTCs por un gorro de ASOS, a través de Bitfash. He usado varios exchangers para adquirir LiteCoin, PPCoin, Bitcoin, Novacoin… e incluso he estado tentado de comprarle a Joaquín Muñoz alguna JoaCoin. En Abanlex asesoro con Joaquín a empresas que comercian con Bitcoin, con la ayuda de mis compañeros de Igualada&Cots y Diké Abogados. Uno de los clientes que tenemos en Abanlex ha presentado una consulta vinculante a Hacienda sobre qué impuestos que debe aplicar al Bitcoin; esta consulta se la hemos preparado Abanlex y Martínez-Echevarría de forma conjunta y ha sido noticia en El Confidencial. La consulta se presenta para un proyecto en el que estamos trabajando (solo desde el punto de vista legal): cajeros automáticos de Bitcoin en España.

Y, entre tanto, publiqué este post: 12 cosas que deberías saber antes de usar bitcoins (La Ley y el Bitcoin)

Parece que Joaquín y yo hemos dado en el clavo: La Biblioteca de Derecho del Congreso de los Estados Unidos (The Law Library of Congress) ha emitido un informe sobre Normativa del Bitcoin en Jurisdicciones Seleccionadas (Report for Congress nº 2014-010233 bajo el título Regulation of Bitcoin in Selected JurisdictionsDescargar en pdf) y nos dedica este párrafo sobre regulación en España:

Spain
Bitcoins have not yet been regulated in Spain and are not considered to be legal currency since they are not issued by the government’s monetary authority. However, they may be considered digital goods or things under the Civil Code [arts. 335, 337 & 345] and transactions with bitcoins may be governed by the rules of barter contained in the Civil Code [art. 1538] according to the analysis of one Spanish law firm [Pablo Fernández Burgueño, 12 Cosas que Deberías Saber Antes de Usar Bitcoins (La Ley y el Bitcoin) [Twelve Things You Should Know Before Using Bitcoins (The Law and Bitcoin)], ABANLEX ABOGADOS (Nov. 27, 2013)]. Merchants who accept bitcoins are required to issue an invoice with value-added tax in euros [Abanlex Abogados].

Participaré en unas charlas sobre el Bitcoin. El título del encuentro es Mesa Redonda sobre el sistema Bitcoin: una alternativa disruptiva, descentralizada y criptográfica frente a las monedas tradicionales. Tendrá lugar en Madrid, el sábado 22/02/14.

Mis compañeros de cartel son de categoría. Espero aprender lo suficiente en estos días para tratar de ponerme a su nivel. Ponenetes: Víctor Escudero Rubio, Ricardo Pérez Marco, Antonio Andrés y Pablo Fernández Burgueño (este soy yo). Asistir al encuentro cuesta 22€ o su equivalente en Bitcoin.

Aquí los datos sobre Mesa Redonda sobre el sistema Bitcoin::

  • FECHA: Sábado 22/02/14
  • HORARIO: 10:00 a 14:30
  • LUGAR: Centro de Negocios Lagasca – Calle Lagasca, 95. Madrid
  • Web para inscripciones

Si alguno va para allá, me encantará saludarle personalmente.

Cómo hacer una auditoría de cookies (Paradoja Epicel)

paradoja_epicel

La Paradoja Epicel se centra en la imposibilidad de obtener un único resultado cierto al tratar de evaluar todos los elementos de un conjunto indeterminado y cambiante. Por @Pablofb

En este artículo trataré de explicar qué se necesita para hacer una auditoría de cookies (Ley de cookies) y cómo se auditan las cookies de una web.

También explicaré por qué creo que la Agencia Española de Protección de Datos ha decidido malinterpretar la Ley, para no sancionar por actos que la propia Ley dice que son merecedores de sanción. (Propuesta de sanción & Sanción)

Y todo ello con mi mayor respeto y afecto al legislador, al que saludo en su propia lengua: Gâkh Golug narku gimbubut lat!

1.- Explicación de la imagen superior

La imagen que ilustra este artículo (arriba) muestra una ecuación matemática cuya incógnita, que es el resultado, solo es posible hallar cuando el número de factores alcanza el infinito. Al no ser posible llegar al infinito, debemos parar en algún momento: Si no comenzamos la operación, obtenemos un 0 absoluto; si paramos tras un +1, obtenemos un 1; si paramos tras un -1, volvemos al 0. Por tanto, debemos asumir que el resultado más certero que podemos dar a la ecuación es un 1/2. Es decir, la incógnita resultante es la mitad de un entero.

Las auditorías de cookies son similares a la ecuación: solo es posible llevar a cabo una auditoría de cookies completa cuando realizas el análisis de todas las cookies de la web, lo cual es imposible. Una web está compuesta por el contenido propio y por todo el ajeno enlazado o integrado: el contenido propio puede estar compuesto de plugins, widgets, iframes, invocadores… y puede estar creado sobre un CMS de actualización automática; y el externo está absolutamente fuera de nuestro control. La instalación de cookies es constante, cambiante y descontrolada. Si no hacemos una auditoría, obtendremos un cero absoluto, lo que implica un incumplimiento flagrante de la Ley. Si hacemos una auditoría perfecta, el resultado puede ser un +1… o un -1, lo cual es un 0 relativo. La consecuencia de la Paradoja de Epicel es sencilla: toda auditoría de cookies resultará en un cumplimiento parcial de la Ley.

2.- ¿Qué es la Paradoja Epicel?

EPICEL es el acrónimo de las palabras “Es Prácticamente Imposible Cumplir Esta Ley”. La Paradoja Epicel demuestra como una auditoría de cookies correctamente realizada solo permite cumplir la ley a medias. Es imposible tener la certeza de haber localizado y descrito todas las cookies que el sitio crea, está preparado para crear o permite crear a otros.

El nombre EPICEL (Paradoja Epicel) es inventado, por supuesto. Publicar aquí lo que deseo es mi voluntad; dárselo a quien quiero es mi privilegio.

3.- Un ejemplo de la Paradoja de Epicel: la invocación

Los contenidos invocados, que aderezan la mayor parte de los sitios empresariales, arrastran cookies de las páginas fuente. Al auditar (una vez más) la web de mi despacho, advertí que una de las páginas instala una cookie técnica (wptouch-pro-cache-state) enviada precisamente desde mi blog: para evitar la subida de una imagen específica que ya estaba publicada aquí, introduje en el post de Abanlex un sencillo código de invocación, de manera que el contenido del blog personal se arrastrase a la web corporativa con cada nueva visita. Sin embargo, además del contenido se arrastra también una cookie.

Los códigos de invocación más comunes son los que copiamos desde los sitios YouTube y Google Analytics, para embeber vídeos y para monitorizar la navegación de los usuarios, respectivamente. En el lateral de este mismo blog podéis ver, en vista HTML, al menos 7 códigos de invocación, que muestran cuadros de Twitter, Facebook y Grooveshark, entre otros.

Captura de pantalla 2014-02-06 18.06.12

Es recomendable usar las opciones de “Mejora de la privacidad” en YouTube, que sustituyen el código de invocación originario por otro que no llama a las cookies

4.- Otro ejemplo de la Paradoja de Epicel: Los iFrames

Los iFrames son marcos a través de los cuales se ve y se puede interactuar con una página diferente, de manera que se te instalan las mismas cookies que se te instalarían visitando esa otra directamente.

A principios de siglo los programadores usábamos bastante los iFrames para salvar obstáculos: mostrar publicidad, presentar un listado de artículos, introducir contenido ajeno… Facebook y Twitter los siguen usando.

A continuación muestro el código de un iFrame que permitiría ver una página de la Wikipedia. Si lo tuviese aquí activado, Wikipedia ya te habría instalado sus tres cookies. Justo debajo pongo el código que realmente he usado para crear el iFrame en el que muestro a Nyan (si quieres disfrutar de Nyan.Cat con música, pulsa aquí).

Opinión: ¿Vamos a obligar a Wikipedia a cumplir una ley absurda española para poder poner su contenido en un iFrame? No podemos, a menos que afirmemos que ofrece un servicio especialmente dirigido a los usuarios españoles o que las cookies que instala son instrumentos tecnológicos ubicados en territorio español. ¿Las webs de España tienen prohibido ahora usar iFrames de prestadores que incumplan la ley de cookies española? Sí, como norma general. ¡Pero qué absurdo!

1
2
3
4
[iframe src="http://es.wikipedia.org/wiki/Iframe"
height="400" width="600"
frameborder="1" scrolling="auto"]
[/iframe]
1
2
3
4
[iframe src="http://www.nyan.cat/cats/original.gif"
height="600" width="100"
frameborder="1" scrolling="auto"]
[/iframe]

5.- ¿Cuánto tiempo lleva una auditoría de cookies?

Las auditorías de cookies pueden parecer sencillas, pero no lo son. Estos son los tiempos dedicados:

  • Sitios web pequeños sin apenas cookies: entre 10 y 20 minutos de análisis.
  • Sitios web complejos con años a la espalda: entre 15 y 25 horas de análisis.

En el caso de la auditoría a una universidad, tardé 12 horas. También es cierto que ahora ya sé las finalidades de muchas de las cookies analizadas, así que la próxima espero tardar menos.

6.- ¿Cómo es posible que una auditoría requiera tanto tiempo?

Una auditoría de cookies es compleja por los deberes que para el auditor conlleva:

  • Debes localizar las cookies: las cookies no se instalan al visitar la home, sino al visualizar una determinada página o realizar una acción específica. Para ello, debes rastrear todas las páginas del sitio principal y todas las de los sitios secundarios. En cada página, debes accionar todos los mecanismos puestos a disposición del usuario.
  • Debes acceder hasta al lugar más recóndito de la web: Es posible que se instale una cookie al publicar un comentario, llenar el carrito, solicitar información, suscribirse al boletín, acceder al correo o revisar la documentación de un curso. Debes tener acceso completo a todo el sitio web… y utilizarlo.
  • Debes averiguar la finalidad de cada cookie: Cada cookie tiene un propósito. No debes inventártelo, sino averiguarlo. En ocasiones, encontrarás este propósito en la página de cookies del dominio del que se instala. También puedes probar en la web del responsable, en la web del titular del dominio, en webs de hackers, en foros de debate o en buscadores. Los desarrolladores informáticos del sitio que auditas deben cooperar contigo y darte esta información, si la tienen. Puedes preguntar al responsable de la aplicación que genera la instalación. Y, si no se localiza la finalidad, debes requerir la supresión inmediata de la solución que la genera.
  • Debes anotar los detalles de las cookies: cada página mostrará unas cookies concretas y potencialmente diferentes a las que se mostrarán en la siguiente página que visites. Debes anotar los detalles de todas las que se muestren y, en particular, los siguientes:
    • Nombre de la cookie
    • Dominio del que se descarga
    • Finalidad de la cookie
    • Vigencia hasta su expiración
    • URI de su localización, a efectos de verificación de la existencia de la cookie
  • Debes visitar el sitio en todas sus versiones: Un sitio con diseño adaptable (en inglés, responsive web design) cambia su comportamiento en función del dispositivo que se use para visualizarlo. Es posible que cambie incluso el dominio y presente una página completamente diferente. Deberás hacer una auditoría específica por cada adaptación significante de la que te advierta el cliente o que tú detectes. Ten en cuenta que hay versiones para escritorio, móviles, tabletas, videoconsolas y, dentro de poco, relojes y gafas.
  • Debes auditar el sitio desde diferentes navegadores: Algunos sitios web se presentan de forma diferente en función del navegador (o de la versión del navegador) que el visitante use. Las etiquetas se encuentran bien indicadas en el HTML de cada página. Es posible que la instrucción sea común para todo el sitio o que sea específica para páginas con contenido enriquecido.
  • Debes hacer la auditoría sobre todos los dispositivos de almacenamiento y recuperación de datos: Además de las cookies, también puede haber píxeles de seguimiento, web beacons, etiquetas ETag y ciertas librerías, que están regulados por la misma norma que regula las cookies. En este caso, requerirás de la ayuda del equipo técnico que ha desarrollado la página.
  • Debes auditar todos los sitios web del cliente: Es posible que el cliente tenga un sitio web principal, pero también un blog en WordPress.com, un perfil de empresa con noticias propias en Twitter y una galería de productos a la venta alojada en Facebook con enlaces de compra en el pie de cada imagen. En estos casos, deberás, al menos, conocer el funcionamiento de la tecnología de los terceros empleada para alojar páginas de empresa y perfiles profesionales. Además, deberás auditar los complementos y herramientas instaladas debido a que suelen hacer uso de cookies analíticas, publicitarias y de rastreo.

 7.- ¿Qué herramientas necesito para hacer una auditoría de cookies?

Debes tener varios navegadores limpios, preparados para este trabajo.

Cada auditor tiene sus preferencias en cuanto a navegadores. A mí me gusta usar para este trabajo Firefox Portable y Google Chrome, ambos con Firebug instalado. Suelo emplear ventanas de navegación privada. También trabajo con el Firefox clásico.

Para tener una primera idea de lo que voy a encontrar, a veces uso otras herramientas, como Attacat Cookie Audit Tool en Chrome o Cookie Monster en Firefox. Son útiles, pero no 100% confiables.

Es importante que sepas interpretar HTML. Es básico que sepas leer inglés avanzado. Es imprescindible que tengas interés por descubrir y originalidad para encontrar soluciones.

 8.- ¿Qué pasos he de dar para hacer una auditoría?

 Los pasos para hacer una auditoría de cookies son los siguientes:

  1. Genera una lista con todos los sitios a analizar, incluidos los subdominios y los blogs desvinculados.
  2. Obtén información sobre el CMS usado en cada sitio y sobre la política de actualización de plugins.
  3. Visita todas las páginas de un mismo sitio, haciendo uso de una ventana de navegación privada, usando un compilador de cookies. Obtendrás así una primera impresión. ¡Naturalmente, has de navegar sin estar logueado en redes sociales!
  4. Usa una ventana de navegación privada, en Firefox limpio solo con Firebug instalado, para visitar todas las páginas de un mismo sitio. Si por error visitas una página que esté fuera del dominio, deberás empezar de cero. Sugiero que utilices Firefox Portable para que puedas usar una instalación nueva en cada auditoría.
  5. Recopila toda la información concerniente a las cookies que localices en cada una de las páginas visitadas: nombre de la cookie; dominio del que se descarga; finalidad de la cookie, vigencia hasta su expiración; y URI de su localización, a efectos de verificación posterior de la existencia de la cookie.
  6. En caso de que desconozcas la finalidad de una cookie, averíguala. Es posible encontrar casi todas las finalidades de las cookies en este buscador, en la Cookiepedia o en páginas de hackers como Stackoverflow. Algunas empresas responsables también publican información sobre sus cookies en sus propios avisos legales y otras facilitan correos electrónicos de contacto para que se lo puedas preguntar.

Una vez finalices la auditoría de cookies, debes informar en el aviso legal sobre las cookies que has descubierto y generar un sistema de bloqueo de las cookies no técnicas hasta que el usuario haya dado su consentimiento para la instalación. Recuerda que si alguna cookie se usa para tratar datos personales, deberás aplicar, además, la LOPD. He escrito algunos post que pueden servir sobre cómo cumplir la ley de cookies, sobre la propuesta de sanción por incumplir y sobre las primeras multas por no cumplir la Ley de cookies.

La verdad es que no sé cómo hay empresas que venden auditorías de cookies por 200€. Supongo que será lo siguiente que investigue.

Hasta aquí hemos visto la parte sencilla de una auditoría de cookies. Pero lo cierto es que es bastante más complicada. En una auditoría, que he concluido hoy he tenido que analizar, además del sitio web principal, 6 subdominios, 5 áreas privadas, 2 secciones de venta, 4 blogs externos (uno de ellos en Tumblr, otro en WordPress.com, uno en Blogger y un último en un servidor propio con WordPress como CMS instalado), página de empresa en Foursquare, LinkedIn y Facebook y perfil en Twitter y Pinterest. El perfil en Facebook tiene complementos de terceros instalados; en uno de los blogs integraba vídeos y textos de proveedores como Scribd y Slidshare; el blog en servidor propio cuenta con un CMS que se actualiza automáticamente y con más de 20 plugins de proveedores externos, que instalan cookies como si estuvieran repartiendo frutas escarchadas sobre un roscón; y el sitio web principal tiene instaladas soluciones de publicidad inteligente y herramientas que permiten compartir noticias y posts. ¡El número de cookies localizado es de 93! 32 de ellas son publicitarias y 28 envían información personal del usuario a empresas que mi cliente desconoce… o desconocía. 2 se instalan unas veces y otras no. Y hay 4 de las que apenas tenemos información.

El problema es el siguiente: los prestadores pueden estar cambiando las cookies que instalan ahora mismo.

9.- Consecuencias de la Paradoja de EPICEL

Es prácticamente imposible cumplir esta ley de cookies. Por este motivo, la AEPD hace una interpretación interesadamente errónea, pero agradecida, de los artículos 22.2 y 38.4.g de la LSSI, concluyendo que la información debe ser entregada antes de la instalación de cookies pero que el incumplimiento de esta obligación de información previa no es sancionable.

El art. 22.2 LSSI obliga a los prestadores a ofrecer información completa, clara y previa a la instalación de cookies. El 38.4.g prevé una sanción por el incumplimiento de las obligaciones de información o de establecimiento de un procedimiento de rechazo del tratamiento de datos, establecidas en el artículo 22.2.

Si la AEPD se ciñese a la literalidad de la Ley, tendría que sancionar a las empresas que tienen página de empresa en Facebook o cuenta en Twitter, por haber elegido una tecnología que brea a sus usuarios con cookies de terceros sin ofrecerles información previa.

Afortunadamente, la AEPD ha decidido malinterpretar la Ley afirmando en su resolución que ofrecer información de forma incorrecta (es decir, solo en un aviso legal después de haber instalado todas las cookies posibles al usuario) es ilegal pero no es sancionable. La AEPD basa su interpretación en la imposibilidad de sancionar la falta de consentimiento, obviando que lo que debe sancionar es la falta de información previa, clara y completa.

En conclusión: La AEPD, órgano sancionador, ha decidido (según interpreto leyendo el literal de su resolución) que es posible incumplir la Ley, en relación con las cookies no técnicas, de estas formas:

  • Es ilegal, pero no sancionable, no ofrecer información previa a la instalación de cookies, siempre que se ofrezca después de la instalación de forma clara y completa.
  • Es ilegal, pero no sancionable, tener página o perfil en redes sociales y plataformas de terceros, como WordPress.com, que instalen cookies sin avisar, pero tengan un buen aviso informativo de cookies que el usuario pueda ver después.
  • Es ilegal, pero no sancionable, no obtener el consentimiento del usuario antes de instalarle cookies.
  • Es ilegal, pero no sancionable, instalar al usuario todas las cookies que consideres, manteniendo escondida en la web toda la información completa y clara sobre las mismas.

Este asunto lo explico con más detalle en el post “Primeras multas por vulnerar la Ley de Cookies“.

Esta norma de cookies es la mayor estulticia que el legislador ha podido sacarse de la manga. ¿Tiene sentido que exista una norma tan absurda como esta? ¿Una norma creada solo para sancionar? ¿Una norma injusta con los ciudadanos y con las empresas?

Si el legislador desea solucionar este asunto de las cookies, puede optar por soluciones más sensatas. Por ejemplo, podría obligar a los prestadores con su sitio en un servidor propio a usar tecnologías similares a Do Not Track; podría recomendar a los navegadores que incluyan en sus nuevas versiones un sistema específico que permita a los usuarios navegar sin ser rastreados; podría obligar a ofrecer información clara y completa (pero no previa) sobre las cookies propias que se instalan, no sobre las ajenas. Podría dejar de intentar controlar la tecnología, asumir que existe, entender que Internet es una ventana al Mundo y empezar a desarrollar normas que se adapten al estado de la ciencia. Necesitamos legisladores sensatos que ayuden a potenciar el comercio electrónico.

10.- Reformas propuestas a la Ley de Cookies:

Está en proceso una reforma de la ley de cookies, que implicaría la supresión de la expresión “siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto” del párrafo 2º del artículo 22.2, lo cual es una chorrada. El párrafo quedaría como sigue:

“Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones”.

El legislador, ¿qué pretende con este párrafo? ¡¿Intenta dejar sin contenido el primero del 22.2?! Creo que no se da cuenta de que este párrafo obliga al desarrollador de sitios web a crear una tecnología que discrimine navegadores, instalando o no cookies en aquellos que cuenten con un área de configuración de cookies y no instalándolas en aquellos simples que no permitan la configuración, como Browser Lite, para iPhone y otros tantos. Esta revisión no cambia el hecho de que cumplir la ley es imposible, con o sin esa expresión que ahora quieren suprimir. Esta modificación de la Ley se merecerá una oda más a la ineptitud legislativa.

<

p>Mi recomendación al legislador está al final de esta secuencia.