PROTECCIÓN DE DATOS EN EL COMERCIO ELECTRÓNICO

además no obliga a las empresas certifica- doras a mantener esta información. Es necesario disponer de empresas que tengan sistemas técnicamente confiables para los servicios a prestar tanto en el uso de software corno de hardware, mantener sistemas de resguardo y respaldo de la in- formación, Utilizar herramientas de firma electrónica que estén protegidas contra la modificación de las mismas, de tal forma que no puedan realizar funciones distintas a aquellas para las que han sido diseñadas. Deben utilizar productos de firma electró- nica que bajo estándares internacionales garanticen la seguridad técnica y cripto- gráfica de los procesos de certificación so- portados por los productos. Las empresas certificadoras deberán adop- tar medidas para evitar la falsificación de certificados, Almacenar toda la información por un periodo considerable, (mínimo de 10 años), especialmente a efectos de prue- ba en procedimientos judiciales. El alma- cenamiento podrá ser realizado por medios electrónicos. Deberá, garantizar la integri- dad, intimidad y confidencialidad de la in- formación y proteger la información frente a terceros.

Otra de las actividades que deben realizar estas empresas, es de: Emitir certificados en relación con las firmas digitales de per- sonas naturales o jurídicas; Emitir certifi- cados sobre la verificación respecto de la alteración entre el envío y recepción del mensaje de datos. Emitir certificados en relación con la persona que posea un dere- cho u obligación con respecto a cualquier documento; Ofrecer o facilitar los servicios de creación de firmas digitales certificadas; Ofrecer o facilitar los servicios de registro y estampado cronológico en la generación, transmisión y recepción de mensajes de datos y archivo y conservación de mensa- jes de datos. Los Proveedores de Servicios de Certificación en el archivo, uso y manejo de datos obte- nidos en función de su trabajo, deben ga- rantizar la Privacidad, protección y confi- dencialidad de la información y datos que manejen; brindar información únicamente con el consentimiento y voluntad de la per- sona relacionada con dicha información y consecuentemente su no divulgación de la información obtenida por cualquier medio, protegiendo frente a terceros La responsabilidades de los proveedores de servicios de certificación adicional a las im-

puestas por la Ley, el proveedor de servicio debe ser responsable por: Adoptar las me- didas necesarias para determinar la identi- dad del titular de la firma y la exactitud de sus certificaciones; almacenar y garantizar la seguridad de las claves criptográficas de firmas electrónicas que se le solicitara expresamente; el funcionamiento entre la clave pública y privada de acuerdo con el certificado expedido; proporcionar a los ti- tulares de firmas un medio para dar aviso de que una firma electrónica tiene riesgo de uso indebido, en cuyo caso el titular podrá solicitar la suspensión de la firma electró- nica; además deberá mantener y publicar oportunamente un listado de las firmas suspendidas, canceladas o revocadas. Por otra parte, el Reglamento General a la Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos en el Artículo 9.- dice “Prestación de servicios de conservación de mensajes de datos. - La conservación, incluido el almacenamien- to y custodia de mensajes de datos, podrá realizarse a través de terceros, de acuerdo a lo que establece el Art. 8 de la Ley 67. los sistemas, políticas y procedimientos que permiten realizar las funciones de conser- vación de mensajes de datos se denomi-

nan Registro Electrónico de Datos. Una vez cumplidos los requisitos establecidos en las leyes, cualquier persona puede prestar servicios de Registro Electrónico de Datos que incluyen: acu. sCtoondsiaerdveacliaónin, foramlmaaccióennaemn ifeonrtmo atoy electrónico con las debidas segurida- des; ibn. foPrrmesaecrivóancicóonnsdeervlaadian;tegridad de la mc. aAcdiómninyislatrraecpiórnoddueclcaióccnesdoe a la infor- cuando se requiera; la misma cdi.ó Rne; syp, aldo y recuperación de informa- eco. nOsterrovsacsieórnvidceiolsosremlaecniosanjaedsodse con la datos. La prestación de servicios de Registro de Datos se realizará bajo el régimen de libre competencia y contratación. Las partes que intervengan en la contratación de este tipo de servicios, podrán determinar las condi- ciones que regulan su relación.

La prestación del servicio de Registro Electrónico de Datos deberá observar todas las normas contempladas en la Ley 67, este reglamento y demás disposiciones legales vigentes. En los procesos de conservación de los mensajes de datos, se debe garantizar la integridad de los mismos al menos por el mismo tiempo que las leyes y reglamentos exijan su almacenamiento. Por orden de autoridad competente, podrá ordenarse a los proveedores de servicios de Registro Electrónico de Datos mantener en sus sistemas respaldos de los mensajes de datos que tramite por el tiempo que se con- sidere necesario” 15 Este Art. no menciona la responsabilidad de las empresas certificadoras de mante- ner la intimidad y privacidad de la infor- mación. 2.2 Seguridad de prestación de servicios El capítulo IV de la Ley, habla sobre los Organismos de Promoción y Difusión de los servicios electrónicos y de regulación y control de las entidades de certificación

acreditadas; en los Artículos siguientes se establece cuáles son estos Organismos, como se regulan y ejercen control. “Art. 36.- Organismo de promoción y difu- sión. - Para efectos de esta ley, el Consejo de Comercio Exterior e Inversiones, “COMEXI”, será el organismo de promoción y difusión de los servicios electrónicos, incluido el co- mercio electrónico, y el uso de las firmas electrónicas en la promoción de inversio- nes y comercio exterior. Art. 37.- Organismo de regulación, autori- zación y registro de las entidades de certifi- cación acreditada. - El Consejo Nacional de Telecomunicaciones “CONATEL”, o la enti- dad que haga sus veces, será el organismo de autorización, registró y regulación de las entidades de certificación de información acreditadas. En su calidad de organismo de autoriza- ción podrá, además: aza) cCióanncealarlaso suspender la autori- entidades de certifica- ción acreditadas, previo informe mo- tivado de la Superintendencia de Telecomunicaciones;

cba) dRoesvocdaer o suspender los certifi- firma electrónica, cuando la entidad de certificación acredita- da, los emite con inobservancia de las formalidades legales, previo informe motivado de la Superintendencia de Telecomunicaciones: y clo)s Lraesgldaemmeánstoast.ribuidas en la ley y en Art. 38.- Organismo de control de las en- taSicudrpaeeddreiitnsatddeneadsc.eenPrctaiiarfaicdaeefceTicóetnloescdoedmeiunenfsoitcraamcliaeoycn,ieólsna, será el organismo encargado del control de las entidades de certificación de informa- ción acreditadas. Attarrobtll..e3-c9Pid.a-arFsaueennl ecejiesortncaieclseioydd,eellaolaSrsguaaptnreiirbsimnutcoeinodndeeecsnoecnsia-- de Telecomunicaciones tendrá las siguien- tes funciones: pa)o sViecliaonr epsorcolansotbitsuecrvioannaclieas de las dis- ‘y legales sobre la promoción de la competencia y las prácticas comerciales restricti- vas, competencia desleal y protección al consumidor, en los mercados aten-

didos por las entidades de certificación de información acreditadas; b) Ejercer el control de las entidades de certificación de información acredita- das en el territorio nacional y velar por su eficiente funcionamiento; tci)d Radeeaslizdaer auditorías técnicas a las en- certificación de información acreditadas; cda) cRióenqudeeririndfeorlmasaceinótnidaacdreesdditeadcaesr,tiflia- información pertinente para el ejercicio de sus funciones; esa) nImcipononeseraddemcinoinsftorramtividaasdacolans la ley enti- dades de certificación de información acreditadas, en caso de incumplimien- to de las obligaciones derivadas de la prestación del servicio; o Emitir los in- formes motivados previstos en esta ley; gta) cDióinspdoenseerrvlaicisoussdpeencseirótnificdaecilóanppraersa- impedir el cometimiento de una infrac- ción; y, hlo)s Lraesgldaemmeánstoast.r”i1b6 uidas en la ley y en

Como se determina en el presente punto, las entidades de certificación de informa- ción, regulación y control, están claramen- te identificadas, estas son: • Superintendencia de Telecomunicaciones • Consejo de Comercio Exterior e Inversiones, “COMEXI” • Consejo Nacional de Telecomunicaciones “CONATEL” Estas entidades no se encargan de la pro- tección de los datos. sino más bien de con- trolar y regular instituciones de certifica- ción de información, como claves y firmas electrónicas, su conformación, responsabi- lidades y cesación, a través de estos Art. La Ley pretende dar seguridad a la prestación del servicio de certificación de información El Reglamento General a la Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos en los siguientes Articules dice: “Articulo 18.- Responsabilidades de las en- tidades de certificación de información. - Es responsabilidad de la entidad certificadora de información o de la entidad de Registro que actúe en su nombre, verificar la auten- ticidad y exactitud de todos los datos que

consten en el certificado de firma electróni- ca. El CONATEL, podrá requerir en cualquier momento de la entidad de certificación de información, de la entidad de Registro que actúe en su nombre, o del titular del certi- ficado de firma electrónica los documentos de respaldo que confirmen la autenticidad y exactitud de los datos que contiene. Artículo 21.- De la seguridad en la presta- ción de servicios electrónicos. - La presta- ción de servicios electrónicos que impliquen el envío por parte del usuario de información personal, confidencial o privada, requerirá el empleo de sistemas seguros en todas las etapas del proceso de prestación de dicho servicio. Es obligación de quien presta los servicios. informar en detalle a los usuarios sobre el tipo de seguridad que utiliza, sus alcances y limitaciones, así como sobre los requisitos de seguridad exigidos legalmen- te y si el sistema puesto a disposición del usuario cumple con los mismos. En caso de no contar con seguridades se deberá informar a los usuarios de este hecho en forma clara y anticipada previo al acceso a los sistemas o a la información de instruir claramente sobre los posibles ries-

gos en que pueden incurrir por la falta de dichas seguridades. Se consideran datos sensibles del consu- midor sus datos personales, información financiera de cualquier tipo como números de tarjetas de crédito o similares que in- volucren transferencias de dinero o datos a través de los cuales puedan cometerse fraudes o ilícitos que le afecten. Por el incumplimiento de las disposiciones contenidas en el presente artículo o por falta de veracidad o exactitud en la infor- mación sobre seguridades, certificaciones o mecanismos para garantizar la confiabi- lidad de las transacciones o intercambio de datos ofrecida al consumidor o usuario, el organismo de control podrá exigir al pro- veedor de los servicios electrónicos la recti- ficación necesaria y en caso de reiterarse el incumplimiento o la publicación de infor- mación falsa o inexacta, podrá ordenar la suspensión del acceso al sitio con la direc- ción electrónica del proveedor de servicios electrónicos mientras se mantengan dichas condiciones.”17 En este sentido el Reglamento es claro y obliga a las entidades de certificación de

información a mantener sistemas de segu- ridad confiables; si bien existen programas computacionales de criptografía gratuitos y que pueden ser obtenidos mediante la red electrónica como Internet, estos no garan- tizan la confidencialidad de la información, en este caso las herramientas y sistemas utilizados deberán cumplir con las carac- terísticas técnicas y estándares internacio- nales necesarios que permitan proporcio- nar el servicio en forma efectiva. Existe información que necesariamente debe ser criptografiada. como son claves. permisos o pines, firmas electrónicas, in- formación financiera, número de tarjetas de crédito o demás datos relevantes que el usuario requiera proteger antes de enviar por la red informática. ya que este tipo de información puede principalmente ser su- jeto de fraude en caso de ser intervenida. el artículo 21 citado, garantiza que las entida- des cumplan con este requerimiento a fin de asegurar el cumplimiento de lo dispues- to en Art. 23, numeral 8 de la Constitución Política del Estado. Y Art. 9 de la Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos

2.2.1. Conservación de los mensajes de datos Es necesario que tanto el Emisor o Destinatario. como las propias entidades de certificación y los proveedores del ser- vicio de Internet, conserven la información del usuario, esto deberá realizarse de la si- guiente manera: EsumiinsfoorrmoacDióensteinnastuarpioro: ppiouecdoempmuatnatdeonreor memorias auxiliares. dPeroMvaeield(Coorr:rCeouEanledcotrsóeniccoon) terlactlaieneltes(eurvsiucaio- rio) tiene derecho a un espacio de memoria en los servidores del proveedor, este espa- cio varía de acuerdo al contrato, en donde el proveedor del servicio debe mantener la información que el usuario requiere. sEanstiednatdreessuCsesretrivfiicciaodsoerxaiss:teEesltaaslmeamcepnrae-- miento y conservación de la información, y es el lugar ideal para mantener los datos, ya que su función es la de certificar la au- tencidad y veracidad de su contenido.

La Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos, en el Art. 8 ddleaiyct,eops-.oCd-orTnáosdesaervrianccfooinórmsneardvceaiódlnoas,soemmseteentisrdaea-- ajesesdtea quisito quedará cumplido mediante el ar- chivo del mensaje de datos, siempre que se reúnan las siguientes condiciones: • Que la información que contenga sea accesible para su posterior consulta; • Que sea conservado con el formato en el que se haya generado, enviado o recibido, o con algún formato que sea demostrable que reproduce con exacti- tud la información generada, enviada o recibida; • Que se conserve todo dato que per- mita determinar el origen, el destino del mensaje, la fecha y hora en que fue creado, generado, procesado, enviado, recibido y archivado; y. • Que se garantice su integridad por el tiempo que se establezca en el regla- mento a esta ley. Toda persona podrá cumplir con la conser- vación de mensajes de datos, usando los servicios de terceros, siempre que se cum- plan las condiciones mencionadas en este artículo.

La información que tenga por única finali- dad facilitar el envío o recepción del men- saje de datos, no será obligatorio el cum- plimiento de lo establecido en los literales anteriores.”18 El Reglamento General de la Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos, en el Art. 9 dice “ Pdinreecslmutaiedcnoisóanejledsaeldmseearcdveaintcoaimso.s-iedLnea- ccoonnsseerrvvaaccióiónn, to y custodia de mensajes de datos, podrá realizarse a través de terceros, de acuerdo a lo que establece el Art. 8 de la Ley 67.1os sistemas, políticas y procedimientos que permiten realizar las funciones de conser- vación de mensajes de datos se denominan Registro Electrónico de Datos. Una vez cumplidos los requisitos estableci- dos en las leyes, cualquier persona puede prestar servicios de Registro Electrónico de Datos que incluyen: • Conservación, almacenamiento y custodia de la información en formato electrónico con las debidas segurida- des; • Preservación de la integridad de la información conservada;

• Administración del acceso a la infor- mación y la reproducción de la misma cuando se requiera; • Respaldo y recuperación de informa- ción; Otros servicios relacionados con la conser- vación de los mensajes de datos. La prestación de servicios de Registro de Datos se realizará bajo el régimen de libre competencia y contratación. Las partes que intervengan en la contratación de este tipo de servicios, podrán determinar las condi- ciones que regulan su relación. La prestación del servicio de Registro Electrónico de Datos deberá observar todas las normas contempladas en la Ley 67, este reglamento y demás disposiciones legales vigentes. En los procesos de conservación de los mensajes de datos, se debe garantizar la integridad de los mismos al menos por el mismo tiempo que las leyes y reglamentos exijan su almacenamiento. Por orden de autoridad competente, podrá ordenarse a los proveedores de servicios de

Registro Electrónico de Datos mantener en sus sistemas respaldos de los mensajes de datos que tramite por el tiempo que se con- sidere necesano.”19 Como podemos ver claramente, existe un error en cuanto al tiempo en que se debe conservar los datos, al citar el Art. 8, literal d) de la presente Ley, ya que deja abierto al reglamento para que en él se fije el tiem- po de conservación; sin embargo revisado el Reglamento citado, tampoco existe un tiempo definido, provocando una referencia cruzada al decir en el penúltimo párrafo del Art. 9 que se debe garantizar la integridad de los mismos al menos por el tiempo que las Leyes y Reglamentos exijan su almace- namiento, dejando un vacío en el tema. El Doctor Miguel Ángel Davara Rodríguez en su libro “Fundamentos de Comercio Electrónico” manifiesta que Las entidades de certificación, deberán almacenar toda la información relevante relativa a un certi- ficado por un período mínimo de 10 años, especialmente a efectos de prueba en pro- cedimientos judiciales. El almacenamiento podrá ser realizado por medios electróni- cos.”

2.2.2 Protección de los datos La ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos, en el Art. 9 dice “Protección de Datos. - Para la elaboración, transferencia o utilización de bases de datos, obtenidas directa o indirec- tamente del uso o transmisión de mensa- jes de datos, se requerirá el consentimien- to expreso del titular de éstos, quien podrá seleccionar la información a compartirse con terceros. La recopilación y uso de datos personales responderá a los derechos de privacidad, intimidad y confidencialidad garantizados por la Constitución Política de la República y esta ley, los cuales podrán ser utilizados o transferidos únicamente con autorización del titular u orden de autoridad competen- te. No será preciso el consentimiento para re- copilar datos personales de fuentes acce- sibles al público, cuando se recojan para el ejercicio de las funciones propias de la administración pública, en el ámbito de su competencia, y cuando se refieran a perso- nas vinculadas por una relación de nego- cios, laboral, administrativa o contractual

y sean necesarios para el mantenimiento de las relaciones o para el cumplimiento del contrato. El consentimiento a que se refiere este ar- tículo podrá ser revocado a criterio del titu- lar de los datos; la revocatoria no tendrá en ningún caso efecto retroactivo. El Art. 32.- Protección de datos por parte dfcoeerrmtliafaisccaeicóninótniadcadrdeeedsiintdfaoedramcsea.rc-tiLiófanicsagecanirtóaidnnatddizeeasriádnne- la protección de los datos personales ob- tenidos en función de sus actividades, de conformidad con lo establecido en el artí- culo 9 de esta Ley.”20 Lamentablemente el Reglamento General de la Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos, no acla- ra, ni desarrolla este tema tan importante y trascendental como es “La Protección de los Datos” y de las personas como estable- ce la Constitución Política de la Republica, al hablar del Derecho a la privacidad, inti- midad, y confidencialidad de los datos per- sonales.

La información tiene sin duda un valor, de acuerdo a las ciencias económicas la in- formación tiene un valor de uso si puede ser utilizada a menos del valor marginal de producción. La información tiene el carác- ter de monopólica, puesto que la pertenece a esa persona por el hecho de mantener su posesión. Es fácil demostrar que vivimos en un país donde el robo de una mesa de la sala de se- siones está más severamente penado que el robo de los secretos de la sala de sesiones. Cuando un estudiante en la universidad, obtuvo antes de la evaluación el conteni- do del examen y después de copiarlo lo re- gresó, es claro hecho de que el estudiante mantuvo la información para su uso estan- do en ventaja frente a sus compañeros. Por otro lado, el profesor no había sido privado permanentemente de la posesión de la in- formación, pese a que el papel jamás salto de la esfera de la guarda de su propietario. El profesor simplemente, había sido forza- do (sin saberlo) a compartir las preguntas del examen que hasta el momento era se- creta, esta característica es lo que hacía va- liosa la información, sin la cual pierde todo valor, y fue arrebatado.

Más aún y ya en el contexto informáti- co, cuando el usuario propietario de un password (clave) es interceptado median- te procesos o procedimientos informáticos que eliminan la característica de secreta a su acceso a la información o la potestad ex- clusiva y excluyente de realizar sólo él tran- sacciones, se viola los derechos señalados en la Constitución, a la vez que puede ge- nerar un claro delito de estafa como lo su- cedido en el Banco del Pichincha. el Seguro Social y varias tarjetas de crédito naciona- les y extranjeras; en donde al haber sus- traído o interceptado las claves han oca- sionado graves perjuicios principalmente económicos a sus propietarios o empresas. Estos tres ejemplos citados, constituyen una clara evidencia de la falta de norma- tiva respecto a la protección de datos, que por otra parte no puede asegurar el honor, la integridad de los datos y la intimidad de las personas. Por tales razones es necesario establecer que la norma legal, sea más clara y explícita en todo lo que se refiere a la protección de los datos y especialmente a los de las per- sonas. Para ello, se debe establecer otras definiciones de términos utilizados por la propia Ley y la técnica informática; se debe

definir la licitud y calidad de los datos, el consentimiento de las personas para uti- lizar sus datos y el tipo de información, la categoría de datos como: de tipo investiga- tivo, de salud, de comercio, crediticia etc.: su seguridad y el deber de confidencialidad: cuando se puede ceder los datos y su trans- ferencia; los derechos y obligaciones de los titulares de la información y las honrosas excepciones, el papel de los usuarios y los responsables de los archivos de datos, Se debe establecer la responsabilidad de las claves y su obligatoriedad de protección por parte de las empresas; las acciones de pro- tección de los datos personales, las sancio- nes: administrativas y penales y sobretodo la competencia y el procedimiento. 2.2.3 Confidencialidad y reserva La Ley de Comercio Electrónico, Firmas EAderletc.cot5nr.fói-dndeiiccneac:sia“SylideMaedesntyasrbaeljseeecredvnea lDosatporsin, ceinpioesl para los men- sajes de datos, cualquiera sea su forma, medio o intención. Toda violación a estos principios, principalmente aquellas referi- das a la intrusión electrónica, transferencia ilegal de mensajes de datos o violación del secreto profesional, será sancionada con-

forme a lo dispuesto en esta ley y demás normas que rigen la materia.” 21 Lamentablemente la Ley ni su Reglamento no hacen referencia a sanciones, sino úni- camente a lo que dispone el Código Penal. Por lo que no se cumple el principio de con- fidencialidad ni reserva de la información para su propietario y peor aún los derechos de privacidad e intimidad garantizados por la Constitución Política de la República. 2.3 Procedencia e identidad de los men- sajes de datos Los mensajes de datos son de propiedad del emisor y por lo tanto llevan la iden- tidad de quien lo envía; si no existe una firma electrónica o un pie de firma, ésta se puede identificar por su nombre de usua- rio y dirección IP de su equipo, quien ade- más será responsable de su contenido, así como podrá defender su autoría. La Ley de Comercio Electrónico, firmas Electrónicas y Mensajes de Datos, en los Artículos siguientes dice: l“aAlrety. r7e.q-uIinefroarumoabcliióguneoqruigeilnaailn. f-orCmuaacniódno sea presentada o conservada en su forma

original, este requisito quedará cumplido con un mensaje de datos, si siendo reque- rido conforme a la ley, puede comprobarse que ha conservado la integridad de la in- formación a partir del momento en que se generó por primera vez en su forma defini- tiva, como mensaje de datos. Se considera que un mensaje de datos per- manece integro, si se mantiene completo e inalterable su contenido, salvo algún cam- bio de forma, propio del proceso de comu- nicación, archivo o presentación. Art. 10.- Procedencia -qeuSiedaeluvnnotimdpareudnesdbaeajeleodnse mcoenntrsaarjieossedeentdeantdoesr.á datos proviene de quien lo envía y, autoriza a quien lo recibe, para actuar conforme al contenido del mismo, cuando de su verifi- cación exista concordancia entre la identi- ficación del emisor y su firma electrónica, excepto en los siguientes casos: saa) jSeidseedhautobsienroe dado aviso que el men- proviene de quien cons- ta como emisor; en este caso, el aviso se lo hará antes de que la persona que lo recibe actúe conforme a dicho men- saje. En caso contrario, quien conste

como emisor deberá justificar plena- mente que el mensaje de datos no se inició por orden suya o que el mismo fue alterado; y, db)oSdiileilgdenestetimnaetnatreiolansovheruibfiicearceioenfeecstucao-- rrespondientes o hizo caso omiso de su resultado. El Reglamento General a la Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos, en los Artículos pertinentes dice: dd“Aeerudtínactuomlsoe.n-6sLa.-ajeIcndotenesdgiraditedorasad,cieódsnetadbuelneicnmitdeaegnreisndaajedel inciso segundo del artículo 7 de la Ley 67, se cumple si dicho mensaje de datos está firmado electrónicamente. El encabezado o la información adicional en un mensaje de datos que contenga exclusivamente infor- mación técnica relativa al envío o recepción del mensaje de datos, y que no altere en forma alguna su contenido, no constituye parte sustancial de la información. Para efectos del presente artículo, se con- siderará que la información consignada en un mensaje de datos es íntegra, si ésta ha permanecido completa e inalterada, salvo la adición de algún cambio que sea inhe-

rente al proceso de comunicación, archivo o presentación. luAanrctíomcnueclnoosrda7aj.en- cdPieraodecnaettdroeesn.ecl-ieaLmaeisvoiedrreidfniectlaimcdiaóednnsddaee- je de datos y su firma electrónica se reali- zará comprobando la vigencia y los datos del certificado de firma electrónica que la respalda. En otros tipos de firmas o sis- temas de identificación y autentificación, esta verificación se realizará mediante la verificación de los registros acordados o re- queridos. El aviso de un posible riesgo sobre la vul- nerabilidad o inseguridad de una firma, su certificado o el mensaje de datos y los ane- xos relacionados podrá ser realizado por el titular de los mismos, mediante cualquier tipo de advertencia que permita, de manera inequívoca a quien realiza la verificación o recibe un mensaje de datos, tomar las pre- cauciones necesarias para evitar perjuicios y prevenir fallas de seguridad. 2.4 Envío y recepción de mensajes de datos La Ley de Comercio Electrónico en el Art. 11.- dice: “Salvo pacto en contrario, se pre-

sumirá que el tiempo y lugar de emisión y recepción del mensaje de datos, son los si- guientes: da)a tMoso.m-enCtuoadnedeomeilsimónendseal jme ednesadjaetdose ingrese al sistema de información o red electrónica que no esté bajo control del emisor o de la persona que envió el men- saje en nombre de este o del dispositivo electrónico autorizado para el efecto; db)e Mdaotmose.n-tocudaendreoceepl mcióennsdaejel mensaje de datos ingrese al sistema de información red electrónica señalado por el destinata- rio. Si el destinatario designa otro sis- tema de información o red electrónica, el momento de recepción se presumirá aquel en el que se produzca la recu- peración del mensaje de datos. De no haberse señalado un lugar preciso de recepción, se entenderá que esta ocu- rre cuando el mensaje de datos ingre- sa a un sistema de información o red electrónica del destinatario, indepen- dientemente de haberse recuperado o no el mensaje de datos; y, Lugares de envío y recepción. - Los acordados por las partes, sus domicilios legales o los que consten en el certificado de firma

electrónica, del emisor y del destinata- rio. Si no se los pudiere establecer por estos medios, se tendrán por tales, el lugar de trabajo, a donde desarrollen el giro principal de sus actividades o la actividad relacionada con el mensaje de datos”.22 El Reglamento General de esta Ley, no aclara sobre el envío y recepción de men- sajes de datos, aun cuando este tema es muy importante para determinar de dónde proviene y hacia quien está dirigido dicho mensaje o datos. Por otro lado, el literal b) del Art. 11 de la Ley, confunde, al decir que “Si el destina- tario designa otro sistema de información o red electrónica, el momento de recepción se presumirá aquel en el que se produz- ca la recuperación del mensaje de datos.” Puesto que, si el destinatario indica otro sistema de información o red, el mensaje de datos deberá estar dirigido hacia esta nueva dirección o sistema de información. Se entiende que el literal c) del Art. 11 de la Ley habla sobre los lugares de envío y recepción de mensajes de datos; este lite- ral no se debe mencionar como lugares los acordados por las partes, sus domicilios le-

gales o los que consten en el certificado de firmas electrónicas. sino más bien como su nombre lo indica, la dirección electrónica o la red de información tanto del emisor como del destinatario; salvo en asuntos ju- diciales que sería necesario señalar un do- micilio. 2.5 Datos y mensajes no solicitados (Spam) Por definición, el Spam consiste en el envío no solicitado de correo electrónico, no im- porta que disfraz le den al comunicado o la excusa que se utilice, pero ninguna razón es válida, el envío de correo no solicitado es Spam. Aunque este no es ilegal, va en di- recta contraposición con las normas de eti- queta (etiquete) adoptadas en Internet, de hecho, existen algunos estados en Estados Unidos donde existe legislación al respecto y ya se considera como ilegal. Generalmente, los novatos en el comercio electrónico, utilizan esta técnica creyendo que se obtiene muchas bondades al hacer llegar el mensaje a cantidades exorbitantes de personas a la vez, pero en la realidad, esto crea más problemas que beneficios, ya que cada día crece el consenso entre los

usuarios de Internet en condenar dichas prácticas y lo único que obtienen las em- presas que lo utilizan es una mala imagen, ya que generalmente las entidades que uti- lizan el Spam, lo hacen con fines fraudu- lentos o de lucro personal. Es por esto, que si el proveedor de servicio detecta las actividades de envío masivo de mensajes no solicitados, es probable que cancele las cuentas de inmediato, ya que los proveedores de servicio cada día actúan con más severidad ante el Spam compro- bado, ya que están gastando recursos va- liosos de sus computadores. El uso del www con fines publicitarios hace que se trasladen a Internet los eslóganes y mensajes publicitarios que se difunden en la vida real. Ello hace posible la aplicación de la ley a las infracciones que se produz- can en el ciberespacio y que puedan cau- sar un perjuicio grave a los consumidores. Actualmente, se considera que él envío de publicidad no deseada, a través del Internet es una práctica que vulnera el derecho a la privacidad de los usuarios de Internet y está íntimamente relacionado con la protección de datos personales, ya que este medio di- gital permite la creación de grandes bases

de datos las mismas que carecen de con- troles específicos sobre las empresas vir- tuales que generan y almacenan los datos, debido a la transnacionalidad del Internet. Generalmente se considera que esta prác- tica ocasiona perjuicios económicos a los proveedores de servicios de Internet, así como a los usuarios de estos servicios. El Reglamento General a la Ley de Comercio Electrónico, Firmas Electrónicas y Mensaje de Datos establece lo siguiente: S“mAoarlcitciiócintua,ldopous2.b2l-i.c-EidlEaendnvvioíóo pdeerióMdiecnosdaejeisnfonro- noticias promocio- nando productos o servicios de cualquier tipo observara las siguientes disposiciones: ab)e rTáodinocmlueinr smajeecdaendisamtoosspdereiósduicsocrdipe-- ción; ebl) dDeerbeecrháo incluir una nota indicando del suscriptor a solicitar se le deje de enviar información no solici- tada; cd)e lDreebmeritáenctoenqteuneerpeinrmfoirtma adceitóenrmcilnaraar inequívocamente el origen del mensaje de datos; d) A solicitud del destinatario se deberá

eliminar toda información que de el se tenga en bases de datos o en cualquier otra fuente de información empleada para el envío de mensaje de datos pe- riódicos u otros fines no expresamente autorizados por el titular de los datos; y, qeu) iIenrmoetdroiamtaemdeiontdeedseorleicciitbuiddodpeolrdceusatli-- natario para suscribirse del servicio o expresando su deseo de no continuar recibiendo mensajes de datos periódi- cos, el emisor deberá cesar el envío de los mismos a la dirección electrónica correspondiente. La solicitud de no envió de mensajes de datos periódicos, se harán directamente por parte del titular de la dirección electró- nica de destino. Los proveedores de servicios electrónicos o comunicaciones electrónicas, a solicitud de cualquiera de sus titulares de una di- rección electrónica afectado por el envío periódico de mensajes de datos no solicita- dos, procederán a notificar al renitente de dichos correos sobre el requerimiento del cese de dichos envíos y de comprobarse que el remitente persiste en enviar mensajes de

datos periódicos no solicitados podrá blo- quear el acceso del remitente a la dirección electrónica afectada.”23 Los proveedores del servicio de Internet o correo electrónico deben incluir entre sus sistemas de información los filtros y se- guridades necesarias para evitar el envío a los usuarios de correos no autorizados, salvo disposición o autorización en contra- rio dada por el usuario. 2.6 Infracciones relacionadas a los men- sajes de datos c“oAnrts.id5e7r.a-rIánnfrinafcrcaicocnioenseisnifnofromrmátáitcicaass. ,- Se las de carácter administrativo y las que se tipi- fican, mediante el Código Orgánico Integral Penal. Apuotritrlíiccmeuelfodraiou1sd9ue0ll.ee-ncAttarpómrnoeipncitoaescu.i-ónLnasifpsrteaerumsdoanuialneqnfoutrae- mático o redes electrónicas y de telecomu- nicaciones para facilitar la apropiación de un bien ajeno o que procure la transferen- cia no consentida de bienes, valores o dere- chos en perjuicio de esta o de una tercera, en beneficio suyo o de otra persona alte- rando, manipulando o modificando el fun-

cionamiento de redes electrónicas, progra- mas, sistemas informáticos, telemáticos y equipos terminales de telecomunicaciones, será sancionada con pena privativa de li- bertad de uno a tres años. La misma sanción se impondrá si la infrac- ción se comete con inutilización de siste- mas de alarma o guarda, descubrimiento o descifrado de claves secretas o encripta- das, utilización de tarjetas magnéticas o perforadas, utilización de controles o ins- trumentos de apertura a distancia, o viola- ción de seguridades electrónicas, informá- ticas u otras semejantes. dAertT.e4l1ec.-oSmaunnciicoanceiosn. e- sL,aimSuppoenrdinrátednedeonficciiao o a petición de parte, según la naturaleza y gravedad de la infracción, a las entida- des de certificación de información acredi- tadas, a sus administradores y represen- tantes legales, o a terceros que presten sus servicios, las siguientes sanciones: dba))e Amonestación escrita; Multa de quinientos a tres mil dólares los Estados Unidos de Norteamérica; cañ) oSsusdpeenlasióanuttoermizpaocrióanl de hasta dos de funciona-

miento de la entidad infractora, y multa de mil a tres mil dólares de los Estados Unidos de Norteamérica; y, cdi)ó Rnepvaorcaatoopreiaradrecfionmitoiveandtiedlaadaduetocreirztai-- ficación acreditada y multa de dos mil a seis mil dólares de los Estados Unidos de Norteamérica; dAerlt.ar6t4íc.u- loA continuación del numeral 19 606 añádase el siguiente: Los que violaren el derecho a la intimidad, en los términos establecidos en la Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos”. 24 “Con el avance de las nuevas tecnologías, la informática se ha convertido en un instru- mento que nos proporciona infinitas posi- bilidades de desarrollo y progreso. Sin em- bargo, se ha dado lugar a una nueva forma de delincuencia, la delincuencia informáti- ca, ya que esta tecnología pone a disposi- ción del delincuente un abanico de nuevas técnicas y métodos para alcanzar sus pro- pósitos criminales”25. El fraude informático es uno de los fenóme- nos más importante dentro de la delincuen- cia informática, dado al creciente aumento de las manipulaciones fraudulentas, y es

por tanto la zona más inexplorada y la que mayores problemas que enfrenta en cuan- to a su prevención, detección y represión. Debe señalarse, a este respecto, que, con la incursión de la informática en el siste- ma financiero, se ha reemplazado muchos de los documentos tradicionales en soporte papel, en los que constan las operaciones y saldos de cada uno de los clientes, por anotaciones en cuenta o registros lógicos realizadas en los sistemas informáticos, sin un soporte en papel o con reflejos en papel meramente informativos o secundarios. De ahí que la doctrina haya centrado el es- tudio del problema desde el enfoque de las manipulaciones de ates informatizados. Asimismo, se ha sostenido que estas ma- nipulaciones constituyen la forma más frecuente comisión de delitos por medios informáticos, así tenemos lo ocurrido el Instituto de Seguridad Social IESS, el Banco Pichincha que los ha obligado a rediseñar sus sistemas e incluir nuevos controles de carácter técnico, ante la falta de seguridad jurídica sobre el tema. “Cuando se tuvo noticias de los primeros casos de fraude informático, éstos fueron vinculados al delito de estafa. Así se trató de encajar esta nueva figura dentro de los

moldes estrechos de dicho tipo clásico, lo que a la postre supuso una dificultad para su madre, ya que los mismos elementos que configuraban a la estafa no lo permitían. Es así como nacieron entonces en la doctrina extranjera las discusiones acerca de la im- posibilidad de engañar a una máquina, o de la existencia de un error psicológico por parte del computador que lo lleva a la dis- posición patrimonial lesiva”26. Por tales razones y al verse el tipo penal de la estafa desbordado por los nuevos avances tecnológicos aplicados por los delincuentes para efectuar sus defraudaciones, llevaron a que naciera un nuevo tipo delictivo, el fraude informático, que vendría a absorber todas aquellas conductas defraudatorias que, por tener incorporada la informática como herramienta de comisión, podían ser sumidas en el tipo clásico de la estafa pAartríacoubloten1e8r6u.-nEbsetnaeffaic. io- La persona que, patrimonial para sí misma o para una tercera persona, me- diante la simulación de hechos falsos o la deformación u ocultamiento de hechos ver- daderos, induzca a error a otra, con el fin de que realice un acto que perjudique su patrimonio o el de una tercera, será san-

cionada con pena privativa de libertad de cinco a siete años La pena máxima se aplicará a la persona que: t1a. Defraude mediante el uso de tarje- de crédito, débito, pago o similares, cuando ella sea alterada, clonada, du- plicada, hurtada, robada u obtenida sin legítimo consentimiento de su pro- pietario. 2s.i tiDvoesfraeluedcetrómneicdoiasnqtueeeal lutesroend,emdoisdpifoi-- quen, clonen o dupliquen los dispositi- vos originales de un cajero automático para capturar, almacenar, copias o re- producir información de tarjetas de cré- dito, débito, pago o similares. o3.p eErnatcrieognuees certificación falsa sobre las o inversiones que realice la persona jurídica. d4.e Induzca a la compra o venta pública valores por medio de cualquier acto, práctica, mecanismo o artificio engaño- so o fraudulento. f5i.c tEicfeiacstúreescpoeticztaocdioenceusaolqturaienrsavaccloior.nes

La persona que perjudique a más de dos personas o el monto de su perjuicio sea igual o mayor a cincuenta salarios básicos unificados del trabajador en general será sancionada con pena privativa de libertad de siete a diez años. La estafa cometida a través de una institu- ción del Sistema Financiero Nacional, de la economía popular y solidaria que realicen intermediación financiera mediante el em- pleo de fondos públicos o de la Seguridad Social, será sancionada con pena privativa de libertad de siete a diez años.27 Esta vinculación con la estafa desde sus inicios determinó además que el concepto, estructura y contenido del fraude informá- tico fueran construidos a partir de los ele- mentos del delito de estafa. El Dr. Santiago Acuno del Pino define como fraude informático, al conjunto de conduc- tas maliciosas, que, valiéndose de cualquier manipulación fraudulenta, modifiquen o interfieran en el funcionamiento de un pro- grama informático, sistema informático, sistema telemático o alguna de sus partes componentes, para producir un perjuicio económico de cualquier índole.

Por tanto, diremos que, en el fraude infor- mático, existe la utilización de un medio fraudulento para el cometimiento de la in- fracción que es a saber, la manipulación informática fraudulenta y que la intención del agente va dirigida en primer lugar a causar un perjuicio económico a la víctima y en segundo lugar está el ánimo de lucro con el cual este actúa. Otra imposibilidad de adecuación del tipo penal de estafa al fraude informático tiene relación con, ‘la disposición que hace la víctima de la cosa corporal mueble que el agente quiere apropiarse. A este respecto dentro del fraude informático no cabe ha- blar de entrega de la cosa corporal mue- ble por dos situaciones: La primera como ya explicamos consiste en que no se puede asimilar el concepto de cosa corporal mue- ble al dinero escritural o contable. En se- gundo lugar el acto de entregar supone la existencia de una voluntad para hacerlo que como vimos en líneas anteriores existe aunque viciada en la estafa pero no en el fraude informático, dado que lo que exis- te verdaderamente es una transferencia no consentida de un activo patrimonial logra- da a través de una manipulación informá- tica fraudulenta, no existe por tanto entre-

ga material, alguna, sino simplemente un traspaso de fondos entre dos cuentas co- rrientes que pertenecen a titulares distin- tos (Agente, Víctima).”28 Los métodos utilizados para causar destro- zos en los sistemas informáticos son de ín- dole muy variada y han ido evolucionando hacia técnicas cada vez más sofisticadas y de difícil detección. Básicamente, pode- mos diferenciar dos grupos de casos: por un lado, las conductas dirigidas a causar destrozos físicos y, por el otro, los métodos dirigidos a causar daños lógicos. Dichos métodos se han hecho cada vez más nove- dosos y sorprendentes, pese a que son re- lativamente fáciles de realizar, sus efectos han sido desastrosos. En este punto cabe señalar que sólo en Francia en 1986 estos causaron pérdidas por un valor aproxima- do a los 7,3 miles de millones de francos y en 1987 de 8 mil millones. Por su parte, sabotaje, es la “acción u omi- sión consistente en dañar ciertas instala- ciones, productos, servicios públicos, y en general los bienes sociales, económicos y militares, realizada por los obreros en apoyo de sus reivindicaciones o por los enemigos de un régimen político.

El sabotaje informático consiste en la des- trucción o inutilización del soporte lógico, esto es. de datos y/o programas contenidos en un ordenador (en sus bandas magnéti- cas).”29 “Sabotaje Informático es el conjunto de conductas maliciosas, que utilizando cual- quier método o modo destruyan, alteren, utilicen, supriman o dañen la información. las bases de datos, los programas, los do- cumentos electrónicos o cualquier clase de datos informáticos contenidos en cualquier soporte lógico, sistema informático, tele- mático, o en algunas de sus partes compo- nentes”.30 Los delitos informáticos pueden clasificar- se en dos grupos “tcoo1ns.-ddDueeclltsiatisostsdeedmsetaidn.ea-sdctaorsumacpclraieóndndeasetlrtoousdcoceilóteinpmofeísdnie-- ca del hardware y el software de un sistema (por ejemplo: causar incendios o explosio- nes, introducir piezas de aluminio dentro de la computadora para producir cortocir- cuitos, echar café o agentes cáusticos en los equipos).

En este punto podemos decir que los casos en que se han detectado sabotajes causa- dos mediante el incendio o la colocación de bombas, fueron realizados por personas extrañas a la entidad donde funcionaba el sistema y responden, en general, a aten- tados con móviles políticos. Como ejemplo podemos citar el ataque con bombas rea- lizados contra el centro de cómputos de la empresa alemana MAN, en un acto de pro- testa por la participación de esta empresa en la producción de los misiles Pershing. En general, estas conductas pueden ser analizadas, desde el punto de vista jurídi- co, en forma similar a los comportamientos análogos de destrucción física de otra clase de objetos previstos típicamente en el deli- to de daño. t2mo.e-snDltóeeglriitecoloassciddoeenladdseiossttcreoumnccalai.ó-tnémcanáslicoaessiepnlefecomírfmiecnaá--- tica, se refiere a las conductas que causan destrozos «lógicos», o sea, todas aquellas conductas que producen, como resultado, la destrucción, inutilización, o alteración de datos, programas, bases de datos infor- mación, documentos electrónicos, conteni- dos en cualquier soporte lógico, sistemas informáticos o telemáticos.

Este tipo de daño se puede alcanzar de di- versas formas. Desde la más simple que podemos imaginar, como desenchufar el computador de la electricidad mientras se está trabajando con él o el borrado de docu- mentos o datos de un archivo -, (por ejem- plo pensemos, el daño que puede causar a un abogado el borrado de un archivo donde guarda un importante escrito que debe pre- sentar en tribunales o los perjuicios que puede causar a una empresa el borrado del archivo que maneja la contabilidad o el lis- tado de clientes), hasta la utilización de los más complejos programas lógicos destruc- tivos (crash programo), sumamente ries- gosos, por su posibilidad de destruir gran cantidad de datos en un tiempo mínimo. Las principales técnicas de daños informá- ticos son: m- BoodmalbidaasdL, ólagiaccatsiv(iTdaimd edeBsotrmubctsi)v.a- En esta del pro- grama comienza tras un plazo, sea por el mero transcurso del tiempo (por ejemplo, a los dos meses o en una fecha o a una hora determinada), o por la aparición de determinada señal (que puede aparecer o puede no aparecer), un código, o cualquier mandato que, de acuerdo a lo determina- do por el programador, es identificado por

el programa como la señal para empezar a actuar. La jurisprudencia francesa registra un ejemplo de este tipo de casos. Un empleado programó el sistema de tal forma que los ficheros de la empresa se destruirían au- tomáticamente si su nombre era como la presencia de un dato, de borrado de la lista de empleados de la empresa. -EnCáenstcaertédcneicRaultoisnpasro(gCráanmcaesrdResoturtuicnteiv).os- tienen la particularidad de que se repro- ducen, por sí mismos, en otros programas, arbitrariamente escogidos. -mVaircuaspaInz fdoermmáutilctiop.li-caQrusee es un progra- por sí mismo y contaminar los otros programas que se hallan en el mismo disco rígido donde fue instalado y en los datos y programas con- tenidos en los distintos discos con los que toma contacto a través de una conexión. -alGvuirsuasnocso.n-mSierafsabariicnafidlterafrolromean análoga progra- mas legítimos de procesamiento de datos o para modificar o destruir los datos, pero es diferente del virus porque no puede re- generarse. En términos médicos podría de-

cirse que un gusano es un tumor benigno, mientras que el virus es un tumor maligno. Ahora bien, las consecuencias del ataque de un gusano pueden ser tan graves como las del ataque de un virus: por ejemplo, un programa gusano que subsiguientemen- te se destruirá puede dar instrucciones a un sistema informático de un banco para que transfiera continuamente dinero a una cuenta ilícita. La naturaleza de este tipo de conductas antijurídicas, consisten en la destrucción deterioro menoscabo de una cosa corporal, que le quite o disminuya su valor, ya sea de cambio o su valor de uso, es por tanto que los daños que persiguen la destrucción “física” del hardware o el software de un sistema, no presentan, en general, mayo- res dificultades para su encuadre jurídico en el tipo penal clásico. Los sabotajes dirigidos contra los elemen- tos ‘lógicos” de un sistema, presentan inte- resantes cuestiones para el análisis jurídi- co. Artículo bqi1ue3en,8e.cs-ondDeeoslcatarspuióacnrctieóynaednovedraesspaar.ror-poiLlalao- cpieórnsodnea de conflicto armado, destruya, se apodere

o confisque los bienes de la parte adversa, sin necesidad militar imperativa, será san- cionada con pena privativa de libertad de tres a cinco años.31 Los programas destructivos a los que hici- mos referencia y las conductas que puedan derivar en el borrado de datos, sólo produ- cen un daño en los datos y programas y no en la computadora (elemento físico) que no sufre, en principio, ningún perjuicio. De esta manera, la posibilidad de que la infor- mación almacenada en un disco rígido o en un diskette pueda ser el objeto protegido por la norma que reprime el delito de daño, aparece, por lo menos, como discutible, por no decir totalmente inaplicable. Una posición doctrinal justifica la vocación del delito tradicional de daños, no por con- siderar que los datos contenidos en un so- porte lógico sean una “cosa mueble”, desde el punto de vista jurídico, para entender que el objeto material sobre el que recae la conducta dañosa es el soporte físico donde estos datos o programas están contenidos. Con una concepción funcional de la utili- dad, según la cual las propiedades esen- ciales de una cosa sólo pueden ser com- prendidas por su función, el tipo de daño abarca toda alteración de la sustancia de la

cosa que influya negativamente en su fun- cionamiento. De esta forma, todas las modalidades de sabotaje contra los elementos lógicos del sistema quedarían comprendidas por el tipo penal del daño, siempre que al alterar o destruir los datos, dar órdenes falsas o disminuir de cualquier manera la funcio- nalidad del sistema, se está alterando, al mismo tiempo, la sustancia del elemento fí- sico portador de los datos (el disco o la com- putadora) que, de esta manera, es la “cosa” dañada, el objeto material del daño.”32 Si un virus introducido en un sistema ge- nera la disminución de la velocidad de fun- cionamiento de los programas, se produ- ce una conducta típica de daño que recae, como objeto de la acción, sobre los elemen- tos físicos del sistema - los ordenadores- que ven disminuidas sus posibilidades de funcionamiento. Otro inconveniente, para la adecuación tí- pica de estas conductas en el tipo penal del daño surge en los casos en que el pro- grama destructivo es introducido en el sis- tema por el propio dueño del software. En efecto, la norma del artículo 403 del Código Penal, exige que la acción dañosa esté des-

tinada a bienes “ajenos”. Generalmente, en los contratos de servicios que celebran las empresas de software con los usuarios, sólo se venden los derechos de utilización del programa, pero no el derecho de pro- piedad intelectual sobre él, que continúa en poder de la empresa que diseñó el sof- tware. El problema surge cuando el vende- dor, con el fin de garantizar sus derechos de propiedad intelectual o los derivados de la relación contractual, introduce un pro- grama de tipo destructivo camuflado. 2.7 Criterios Jurídicos de las responsa- bilidades Cmoennfsiadjeens cdieadliadtaods, cyuarleqsueiervraa.sea“sPuafroarmloas, medio o intención; CSeondesberevaarccihóinvadreellmosenmseanjesdaejedsadtoes,dsaiteoms-. pre que se reúnan las siguientes condicio- nes: • Que la información que contenga sea accesible para su posterior consulta; • Que sea conservado con el formato en el que se haya generado, enviado o recibido, o con algún formato que sea demostrable que reproduce con exacti-

tud la información generada, enviada o recibida • Que se conserve todo dato que per- mita determinar el origen, el destino del mensaje, la techa y hora en que fue creado, generado, procesado, enviado, recibido y archivado; y, • Que se garantice su integridad por el tiempo que se establezca en el regla- mento a esta ley, y, • Toda persona podrá cumplir con la conservación de mensajes de datos, usando los servicios de terceros, siem- pre que se cumplan las condiciones mencionadas en este artículo. Prercohtoesccdieópnrdiveadciadtaods,. i-nRteimspiodnaddeyrácoanlfoisdedne-- cialidad garantizados por la Constitución Política de la República y esta ley, los cuales podrán ser utilizados o transferidos única- mente con autorización del titular u orden de autoridad competente, Pdenerotedcneaddteoersná.cq-iauSeeaulivndoempnertnuidseaabjdae dene uconnmtraerniosasjee de datos provie- ne de quien lo envía y, autoriza a quien lo recibe.