GUÍA SOBRE COMERCIO ELECTRÓNICO

Transcripción

1

2 GUÍA SOBRE COMERCIO ELECTRÓNICO ÍNDICE CAPÍTULO I INTRODUCCIÓN AL COMERCIO ELECTRÓNICO 1 CONCEPTOS GENERALES CAPÍTULO II LA SEGURIDAD EN LA CONTRATACIÓN ELECTRÒNICA 1 PROBLEMAS RELATIVOS A LA SEGURIDAD 2 PROTECCIÓN DE LOS DATOS DE CARÁCTER PERSONAL 3 PROTECCIÓN DEL CONTENIDO DE LA INFORMACIÓN 3.1 EL CIFRADO: CONCEPTOS GENERALES 3.2 LA CONFIDENCIALIDAD: CONCEPTOS GENERALES CIFRADO SIMÉTRICO CIFRADO ASIMÉTRICO 4 SEGURIDAD DE LA CONTRAPARTE: AUTENTICIDAD 4.1 CONCEPTOS GENERALES 4.2 LA CERTIFICACIÓN DE SERVIDORES CAPÍTULO III ASPECTOS LEGALES 1 CONCEPTOS GENERALES 2 EL RÉGIMEN DE LA OFERTA 3 EL RÉGIMEN DE LA ACEPTACIÓN 4 EL RÉGIMEN DE LA ENTREGA DEL BIEN Y DEL PAGO 5 EL DERECHO DE DESISTIR 6 GARANTÍAS 7 SOLUCIÓN DE CONFLICTOS 8 LA CONTRATACIÓN ELECTRÓNICA INTERNACIONAL

3 CAPÍTULO I INTRODUCCIÓN AL COMERCIO ELECTRÓNICO 1. CONCEPTOS GENERALES 1. Qué es el comercio electrónico? Se entiende como comercio electrónico o e-commerce (abreviación de la expresión inglesa: electronic commerce) una modalidad de compra no presencial o a distancia que consiste en la adquisición de bienes (por ej. un juguete, un libro, etc.) o de servicios (por ej. un billete de avión, acceder a algunos estudios universitarios, acceder a una base de datos actualizada sobre recetas de cocina, etc.) a través de la llamada vía electrónica, es decir, a través de equipos electrónicos de tratamiento y almacenamiento de datos, y que se transmite, canaliza y recibe íntegramente a través de hilos, radio, medios ópticos o cualquier otro medio electromagnético. 2. Cuántos tipos de comercio no presencial existen? Ya que el comercio no presencial es un comercio a distancia, tendrá esta calificación cualquier comercio donde la compra se efectúe utilizando medios de comunicación a distancia. Entre las más difundidas, destacamos la venta por vía telefónica (con o sin intervención humana); las realizadas por medio de catálogos enviados al domicilio del consumidor (por ej. catálogos hechos de papel, en CD, etc.); las que se hacen a través de sistemas electrónicos (por ej. por medio de la red); y las que se hacen por medio de la televisión (por ej. la telecompra, etc.). 3. Qué riesgos tiene para el consumidor el comercio no presencial? Como es fácil de imaginar, los riesgos que implican estos tipos de compras generalmente se asocian al hecho que el consumidor no ha podido examinar el bien adquirido; que no lo posee inmediatamente y, en último lugar, que a veces lo ha pagado antes de poseerlo. Estas circunstancias pueden ocasionar situaciones incómodas al consumidor; como por ejemplo, que la calidad ofertada u otras características del bien adquirido no coincidan con la deseada, que no se cumpla el plazo de entrega del producto adquirido, que el bien llegue deteriorado por causas del transporte, que el vendedor no esté situado en España y se dificulten las posibles reclamaciones o, en definitiva, que el vendedor cobre el dinero y no envíe el producto. 4. En qué ámbitos se desarrolla la contratación electrónica?.- En términos generales puede afirmarse que la contratación electrónica (en tanto que remisión de información a través de un sistema electrónico de comunicación como es Internet) se desarrolla en tres ámbitos distintos. En primer lugar, en las relaciones entre empresarios (B2B o business to business); en segundo término, en las relaciones entre empresarios y consumidores o usuarios de servicios (B2C o business to consumers). Y, en tercer lugar, en las relaciones con la Administraciones publicas (p.e.: para realizar declaraciones tributarias, etc). 5. Qué se necesita para poder contratar electrónicamente? Para acceder a esta modalidad de contratación se necesita:

4 a) un dispositivo con el sistema de comunicación necesario (software y módem). El dispositivo habitual en un ambiente doméstico es un ordenador personal que disponga de un navegador y de un módem. El módem es el aparato necesario para que los mensajes digitales creados mediante el ordenador viajen por vía telefónica. El navegador es el programa informático (software) que nos permite acceder al servicio World Wide Web (WWW) de Internet y navegar por las diferentes páginas o websites. Los navegadores más comunes son el Netscape y el Internet Explorer, a pesar de que existen muchos otros de carácter general (por ej. Opera, etc.) o de carácter particular para conectarse única y exclusivamente con un proveedor de servicios (por ej. un gran establecimiento comercial). b) un proveedor de acceso a Internet. c) un sistema de telecomunicación que nos permita ponernos en contacto electrónico con él (por ej. línea telefónica o cable). d) un proveedor de servicios que nos ofrezca bienes y servicios a través de Internet. 6. Qué es el servicio WWW? Es uno de los servicios más importantes y utilizados de Internet que se basa en la presentación básica y organizada de información de toda clase en páginas web que se enlazan entre sí (mediante links o enlaces) formando la WWW. 7. Qué es una página web? Es un documento electrónico identificado por una dirección de Internet (por ej Qué es un proveedor de acceso a Internet? Es una organización (por ej. universidades, organismos oficiales, etc.) o una empresa que facilita, mediante un precio o gratuitamente, el acceso a Internet. Por este motivo es necesario conectarse con su servidor (telefónicamente o por cable), llamar a un número de teléfono especial y, por norma general, identificarse con una clave personal. 9. Cómo nos podemos conectar con el servidor de un proveedor? Tenemos dos sistemas: a) la conexión telefónica gestionada por un operador de telecomunicaciones (por ej. Telefónica, Airtel, Jazztel, etc.) que se canaliza por hilo telefónico ordinario. b) la conexión telefónica a través del cable que requiere una instalación especial y que está gestionada por empresas en algunas ciudades y núcleos urbanos (por ej. Menta, etc.). 10. Se tiene que pagar al proveedor de acceso?

5 Depende. Hay muchas empresas que cobran a cambio de facilitar sus servicios de acceso a Internet según diversas tarifas (por ej. según el periodo de tiempo contratado, etc.), pero también existen empresas y organizaciones que ofrecen acceso gratuito a sus servidores, y de esta manera no es necesario que les paguemos para acceder a la red (por ej. algunas compañías telefónicas, etc.). 11. Y al operador de telecomunicaciones? Evidentemente. La empresa de telecomunicaciones que nos facilita el contacto telefónico con el proveedor de acceso (por ej. Jazztel, etc.) cobrará por este servicio en función de sus tarifas que, generalmente, se asocian a las siguientes variables: coste de conexión, tiempo de conexión y lugar de la llamada. Actualmente alguna empresa de telecomunicaciones está ofreciendo precios flat, es decir, un precio único por estar conectado telefónicamente con el servidor durante todas las horas del día. 12. Qué es un proveedor de servicios? Es cualquier organización o empresa que ofrece a través de Internet un servicio (por ej. la venta de billetes de avión, de libros, de servicios de catering, la información sobre hoteles o meteorología, etc.). CAPÍTULO II LA SEGURIDAD EN LA CONTRACTACIÓN ELECTRÒNICA 1.PROBLEMAS RELATIVOS A LA SEGURIDAD 1. Qué problemas plantea la adquisición de bienes o servicios por consumidores a través de Internet?.- La adquisición de bienes o servicios a través de Internet plantea, esencialmente, cuatro grandes clases de riesgos. Uno, los relativos a la mayor facilidad de almacenamiento de datos e información relativa a los consumidores en bases de datos. Dos, los referentes al uso ilegítimo de la información bancaria (p.e.: número y datos identificadores de la tarjeta de crédito) o la modificación de la información enviada debido a la interceptación por un tercero de la información (que se resuelven mediante sistemas de confidencialidad e integridad de la información enviada). Tres, los relacionados con la inexistencia de presencia física del vendedor en el momento de efectuar la transacción (que se resuelven mediante los sistemas de autenticación de las partes). Y cuatro, los relativos a la entrega de los bienes o prestación servicios debido, precisamente, a que muchas transacciones en Internet no comportan la simultaneidad en la transacción. 2. PROTECCIÓN DE LOS DATOS DE CARÁCTER PERSONAL. 1. Qué protección tienen los datos personales enviados a un vendedor cuando contratamos electrónicamente? Hay que tener presente que nuestra legislación protege también el tratamiento automatizado de los datos personales que transferimos cuando contratamos

6 electrónicamente, de manera que cuando nos los solicitan nos tienen que informar de forma expresa, precisa e inequívoca de los siguientes aspectos: de la existencia de un fichero, de la finalidad de la recogida de los datos y de los destinatarios, del carácter obligatorio o facultativo de la respuesta, de la posibilidad de ejercer los derechos de acceso, rectificación, cancelación y oposición, y, sobre todo, de la identidad y de la dirección del responsable del tratamiento o de su representante. Hay que recordar que el tratamiento de los datos de carácter personal facilitados con motivo de una transacción electrónica requiere el consentimiento inequívoco del afectado. Y estos datos sólo se pueden comunicar a un tercero para el cumplimiento de la finalidad por la que se cedieron, contando también en este caso, con el consentimiento previo del afectado. 2. Existe algún sistema para evitar recibir ofertas comerciales a distancia? El sistema más extendido es incluirse en el Servicio de Listas Robinson (SRL) que es un servicio gratuito gestionado por las empresas y asociaciones con el objectivo que los consumidores que se inscriban no reciban más ofertas publicitarias personalizadas de sus empresas asociadas. El SRL más extendido es el que ofrece la Federación de Comercio Electrónico y Márqueting Directo (FECEMD) ya que comprende el 85 por ciento de las empresas publicitarias y ha sido reconocido por la Unión de Consumidores de España (UCE). La dirección electrónica para incluirse en la lista que ofrece esta asociación es: 3. Y a la inversa... Existe algún sistema para recibir ofertas comerciales a distancia? El sistema opuesto también existe y suele llamarse lista de preferencia. Su misión es potenciar los envíos publicitarios, dando prioridad a aquellos temas que el usuario designe como los de mayor interés. La lista de preferencia ofrecida por la Federación de Comercio Electrónico y Márqueting Directo (FECEMD) en relación con sus asociados se encuentra en la dirección electrónica: 4. Qué medidas debo tomar para evitar que me envíen publicidad mediante el correo electrónico? Debemos saber que nuestra dirección de correo electrónico puede ser técnicamente capturada, incluso sin darnos cuenta, por otros usuarios de la red como, por ejemplo, empresas que se dedican a la publicidad directa, cuando la incluimos en listas de distribución o haya estado capturada desde un directorio de correo electrónico o entregada por el programa navegador que utilizamos al conectar con los servidores web. Es por este motivo que la propia Agencia de Protección de Datos ( recomienda que si no deseamos hacer pública nuestra dirección de correo electrónico, hemos de informarnos de la política de alquiler, venta o intercambio de datos que haya adoptado tanto el proveedor de acceso a Internet como los administradores de los directorios y listas de distribución donde esté incluida. 3. PROTECCIÓN DEL CONTENIDO DE LA INFORMACIÓN 3.1 EL CIFRADO: CONCEPTOS GENERALES 1. Puede interceptarse irregularmente los datos que envío a través de Internet?.- Pese a los sistemas de seguridad es posible que los mensajes que envío a

7 través de Internet (como a través de cualquier otra red pública de telecomunicación) sean capturados por un tercero. 2. Qué datos enviados a través de Internet presentan más riesgo?.- Lógicamente los datos más sensibles son los de carácter financiero (p.e.: número y expiración de la tarjeta de crédito, etc.) ya que permiten que otras personas puedan interceptarlos y utilizarlos fraudulentamente (p.e.: realizando compras en su favor y cargando su coste a la numeración de la tarjeta interceptada). 3. Cómo se evita el riesgo de esta posible interceptación?.- El sistema más usual es el cifrado o encriptación de la información enviada de tal forma que, aunque se intercepten o capturen por un tercero, éste no pueda llegar a entenderlos ya que están cifrados o encriptados. Es por ello que, en operaciones de comercio electrónico, la tienda virtual con la que hemos conectado a través de Internet ofrezca la posibilidad de que esos datos (p.e. el mensaje donde constan los datos de mi tarjeta de crédito) se envíen a través de páginas seguras donde esa información se envía encriptada. 4. Deben ser todas las páginas seguras?.- Por regla general sólo es necesario que sean seguras (es decir: que estén encriptadas ) las páginas que solicitan datos financieros (p.e.: datos de la tarjeta de crédito, datos bancarios, etc.) ya que el envío de esta información es el potencialmente más problemático caso de ser interceptado irregularmente. Es por ello que las demás páginas donde el comprador no envía información (p.e.: las de presentación de la tienda virtual, las que ofrecen novedades, etc.) o cuando envía datos generales (p.e. las páginas donde te registras en la tienda virtual y accedes a una contraseña que te identificará en el futuro, etc.) no necesitan ser seguras y, por tanto, encriptadas. 5. Es conveniente enviar datos bancarios a través de un correo electrónico ( )?.- No. Salvo que el mensaje pueda cifrarse en algún sistema seguro (p.e.: S/MIME [Secure/Multipurpose Internet Mail Extensions]), no es en absoluto recomendable enviar datos bancarios a través del correo electrónico. Lo más conveniente será, por tanto, averiguar si el vendedor emplea alguno de estos sistemas seguros y, caso de que no sea así, emplear el correo electrónico sólo para obtener información adicional, reservando el envío de esos datos bancarios mediante una página segura (p.e.: enviar un correo electrónico para solicitar que amplíen cierta información, etc). 6. Cómo sé cuando estoy en contacto con una página segura?.- Los navegadores advierten cuando hemos contactado con un servidor seguro (es decir: certificado por una entidad de certificación) ya que el icono que refleja el nivel de seguridad (normalmente un candado) muestra el cambio de estado de inseguro a seguro (normalmente cerrándose y/o iluminándose) y, por otro lado, la URL pasa de ser http.// (indicativo de una página web no segura ) a (indicativo de que se está en un servidor seguro). La aparición de este símbolo es nuestro navegador demuestra que la web con la que hemos contactado tiene un certificado y envía la información encriptada. 7. Cómo consigue el vendedor que una página sea segura?.- Las tiendas virtuales son las primeras interesadas en ofrecer un alto grado de seguridad en las

8 transacciones. Por ello se dotan de servidores seguros que emplean algún sistema de seguridad (normalmente SSL) para cifrar el mensaje de las páginas seguras que ofrecen (y también como veremos, para identificarse). La adquisición de la condición de servidor seguro es, pues, una labor que corresponde a la tienda virtual. 8. Qué es un servidor seguro?.- Es el sistema informático que utiliza un sistema de encriptación para cifrar las comunicaciones que recibe y envía. El sistema de cifrado es el sistema lógico utilizado por estos servidores para hacer que un mensaje inteligible (p.e.: nuestra identidad y número y fecha de expiración de nuestra tarjeta de crédito) se convierta en ininteligible durante el tránsito a través de Internet. El status de servidor seguro se ofrece por empresas independientes denominadas entidades de certificación LA CONFIDENCIALIDAD: CONCEPTOS GENERALES 1. Cómo aseguramos la confidencialidad de la información que se envía a través de Internet?.- Debido a que los mensajes enviados a través de Internet no circulan por un medio que impida su captura por terceros (a diferencia de otros mensajes enviados por líneas de telecomunicación estrictamente privada), parece que el mejor sistema consiste, como ya hemos dicho, en cifrar o encriptar la información que se envía de tal forma que, aunque el mensaje sea interceptado irregularmente por un tercero, no pueda llegar a entenderlo. 2. En que consiste el cifrado o encriptado?.- Es un sistema basado en claves (algoritmos) que permite convertir en inteligible un mensaje de tal forma que sólo quien conozca la clave o sistema de encriptación podrá descifrarlo y, de esta forma, conocer su contenido. 3. Cuántos sistemas de cifrado existen?.- Existen muchos pero, a grandes rasgos, puede diferenciarse entre (1) los sistemas de cifrado o criptografía de clave simétrica y (2) los sistemas de cifrado o criptografía de clave asimétrica CIFRADO SIMÉTRICO 1. En qué consiste el sistema de cifrado de clave simétrica?.- Básicamente es una clave que sólo es conocida por el emisor y el receptor del mensaje por lo que, mientras esta clave se mantenga en secreto, permite enviar mensajes ininteligibles para terceros. Un ejemplo (aunque muy sencillo) ayudará a comprender la idea. Si A cifra un mensaje con la clave que tiene acordada con B (clave que consiste en la sustitución de cada letra del abecedario por la letra siguiente), sólo B comprenderá el mensaje que ha recibido ya que sólo éste conoce la clave que hay que emplear (p.e.: transformado el mensaje que ha recibido como dpnqsp por el de compro al aplicar la clave por ellos pactada). La existencia de una única clave que sirve tanto para cifrar como para descifrar es la causa de la denominación de este sistema como cifrado simétrico (también llamados de sustitución y transposición). 2. Qué sistemas se emplean para cifrar con clave simétrica?.- Existen diversos

9 algoritmos que permiten crear claves simétricas aunque los más famosos son el DES, el 3DES y el RC4. Estos sistemas de cifrado simétrico se basan, en términos generales, en crear diversas llaves (algunas de longitud variable) que sucesivamente encriptan el mensaje de tal forma que hacen muy difícil acceder al contenido cifrado. 3. Es práctico este sistema de cifrado de clave simétrica?.- Es claro que este sistema no es nada práctico para realizar muchas operaciones ya que, además de problemas de seguridad que indicaremos, comporta que el vendedor tiene que emplear múltiples claves (de hecho: tantas como compradores). 4. Es seguro el sistema de cifrado de clave simétrica?.- No, ya que además de los problemas de seguridad relacionados con la misma clave (p.e.: al enviar la clave al otro interesado, de seguridad en que la clave se mantiene secreta, etc.), los sistemas de clave simétrica se basan en una pauta que (con más pronto o más tarde) puede ser descifrada por terceros. 5. Qué límites tienen los sistemas de cifrado de clave simétrica?.- Ha de tenerse presente que, junto a lo dicho, los sistemas de clave simétrica no permiten identificar al sujeto con el que hemos conectado, sino simplemente el contenido del mensaje, ni tampoco pueden atestiguar la autoría de la orden de compra (por lo que existen problemas de autenticación) CIFRADO ASIMÉTRICO 1. En qué consiste el sistema de cifrado de clave asimétrica?.- Para superar los anteriores problemas asociados a las claves de cifrado simétricas se ha desarrollado un segundo sistema denominado sistema asimétrico (conocido también como de llave pública o doble llave ) basado en el empleo de dos claves: una pública y otra privada. La existencia de dos claves (una para cifrar, y otra para descifrar) es la razón de la denominación de este sistema. 2. Cómo funciona el sistema de cifrado de clave asimétrica?.- Las claves asimétricas son distintas a las claves simétricas ya que, en vez de una única clave que se emplean tanto para cifrar como para descifrar, existen dos claves que, en definitiva, son dos números relacionados matemáticamente por un algoritmo (el algoritmo matemático más empleado actualmente es el RSA que se corresponde con los apellidos de sus descubridores: Rivest, Shamir y Adelman). La idea esencial es que ambos números (el denominado público y el privado ) están relacionados matemáticamente de forma que, para cada llave (o número) pública, sólo existe una llave (o número) privada que coincida. De esta forma es posible, utilizando un programa de cálculo matemático, emplear una de estas claves (la llave pública) y cifrar un mensaje que, al enviarse, sólo puede descifrarse por quien conozca el número o llave privada relacionada (llave privada), y viceversa (es decir, el mensaje cifrado con mi llave privada servirá de firma digital del mensaje enviado [ya que también acreditará que sólo yo lo he podido enviar] y permitirá que todo aquél que emplee la llave pública asociada pueda descifrarlo). 3. Que se consigue cifrando con la llave pública de alguien?.- Al emplear un documento cifrado con la llave pública de otra persona (p.e.: A envía a B un

10 documento cifrado con la llave pública de este último), sólo quien posea la llave privada asociada a esa llave pública podrá conseguir descifrarlo (p.e.: sólo B podrá, con su llave privada, descifrar el documento que le ha enviado A con la llave privada de B ). Con otras palabras, mientras que la llave pública permite a cualquiera cifrar un mensaje, sólo la llave privada asociada puede descifrarlo ya que el conocimiento de una llave no comporta el conocimiento de la otra. 4. SEGURIDAD DE LA CONTRAPARTE: LA AUTENTICIDAD CONCEPTOS GENERALES 1. Pueden los sistemas de cifrado asegurar que la información que me han enviado ha sido enviada por cierta persona?.- No, los sistemas de cifrado sólo imponen sistemas que hacen ininteligible un texto. 2. Cómo puede asegurarse que la información enviada por alguien ha sido enviada por esa persona?.- Para conseguir este objetivo se necesita que el documento esté firmado ya que la firma, en general, permite constatar la identidad del que suscribe un documento. El problema radica que cuando los documentos se envían por medio electrónico (p.e.: un contrato, la aceptación de una oferta, etc.) no podrá recurrirse a la firma ordinaria sino que deberá buscarse un sustituto. 3. Qué sustitutos existen?.- Los sustitutos de la firma tradicional sobre un documento en papel son varios aunque su seguridad no es la misma. Así es posible imaginar mecanismo que permitan digitalizar la firma manual (insertando una imagen escaneada de una firma autógrafa) aunque este sistema es mucho menos seguro que los basados en soluciones técnicas complejas como ocurre con la firma electrónica. 4. Qué es la firma electrónica?.- Consiste en un conjunto de caracteres electrónicos que se unen al documento enviado (o se asocian funcionalmente con dicha información) y que acreditan a su receptor que el mensaje ha sido formalmente emitido por cierta persona (autentica al emisor) y que no ha sido modificado o alterado durante el recorrido (acredita la integridad). 5. Cuantas modalidades de firma electrónica existen?.- Según nuestra normativa existen dos clase de firma electrónica: la básica y la avanzada. Su diferencia radica en que esta última tiene más valor ya que permite la identificación del que ha enviado el mensaje (ya que la ha creado mediante un sistema electrónico que está bajo su exclusivo control que acostumbra a denominarse dispositivo de creación de firma con una clave privada). 6. Qué se necesita para emitir un documento con firma digital avanzada?.- Además de un navegador que lo permita (p.e.: Netscape o Explorer 4.0 o versiones superiores), debe acudirse a una entidad certificadora de firmas que, tras comprobar su identidad, le facilita un juego de llaves (pública y privada) y le expide un certificado. 7. Se necesita un certificado para recibir un documento digitalmente firmado?.-

11 No, aunque sí se necesitará conocer la llave pública de la entidad de certificación que emitió el certificado (y que nos autentica que el mensaje pertenece a ese emisor) así como la llave pública del certificado con el que se ha firmado el mensaje. 8. Puede modificarse un documento con firma digital?.- No, ya que cuando la llave pública comprueba el documento enviado detecta si ha sido modificado o alterado después de haberse generado con la llave privada correlativa. 9. Qué prueba la firma electrónica?.- La firma digital sólo prueba que cierto documento enviado a través de un medio electrónico (p.e.: Internet) fue creado empleando la llave privada de cierta persona por lo que, en realidad, no permite asegurar que fue realmente enviado por ese sujeto. Es por ello que el sistema de seguridad tiene que basarse en otra idea: en considerar que la llave privada sólo se conoce por su legítimo titular y que, por tanto, sólo éste pudo enviar ese documento. Este efecto se denomina de no repudio o, lo que es lo mismo, impide negar el envío de un mensaje a quien lo cifró con su llave privada (p.e.: A envía, con su llave privada, un mensaje a B quien, con la llave pública asociada a la anterior, descifra el mensaje y tiene certeza de que el mensaje fue enviado por A ya que sólo él conoce la llave privada asociada) CERTIFICACION DE SERVIDORES 1. Qué es un certificado?.- Es un archivo digital que se une al documento enviado y que acredita (autentica) la identidad de su emisor. Su finalidad es, por tanto, eliminar la incerteza sobre la identidad de un emisor de información (p.e.: del servidor web de un vendedor, etc). 2. Quién emite el certificado?.- Los certificados se emiten por algunas entidades denominadas Autoridades de certificación. 3. Cómo sé que la empresa con la que estoy en contacto es realmente la que dice ser?.- La forma más simple es acceder a la información sobre seguridad que nos ofrece el navegador sobre el lugar con el que se está en contacto. La forma de conocer si el servidor es seguro (es decir: está certificado que le corresponde según una entidad de certificación) depende del navegador que se emplee. Por ejemplo, si el que utilizamos es el Nestcape Navigator (en una versión superior a la 4.x) debe teclearse el icono de seguridad que aparece en la barra superior del navegador. La pantalla que aparece muestra el nivel de seguridad ofrecido por el servidor del vendedor permitiendo conocer, por tanto, si la página a la que hemos accedido está encriptada, o no, y, por tanto, (1) si el mensaje que enviemos es seguro y (2) si el servidor con el que hemos contactado es el que dice ser. 4. Cómo reconoce mi navegador un servidor seguro?.- Las entidades de certificación (p.e.: Agencia de Certificación Electrónica, IPS, Verisign, etc.) están registradas y las claves públicas de las más importantes acostumbran a estar incorporadas al navegador de tal forma que, al tratar con un servidor seguro, se entabla comunicación con la entidad de certificación que acredita su existencia e identidad (y que, lógicamente, antes ha establecido un contrato con dicha entidad de certificación para acreditarse).

12 5. Qué es el SSL?.- El SSL (acrónimo de Secure Sockets Layer) es un protocolo creado por Netscape que, empleando cifrado, permite (1) identificar y garantizar al comprador que el servidor con el que está conectado es el del vendedor (mediante una entidad de acreditación) y (2) mantener la integridad de la información transmitida a ese vendedor. La gran mayoría de los navegadores aceptan el SSL (entre ellos Internet Explorer 2.1 o las versiones superiores, Netscape Navigator 2.0 y sus versiones superiores). 6. Qué limites tiene el SSL?.- Mediante el SSL, y además de otros inconvenientes (p.e.: el comprador tiene que introducir todos los datos de la tarjeta con cada compra, etc), el vendedor no puede tener certeza de la identidad del comprador ni tampoco probar que cierto comprador le ha remitido una orden de compra. 7. Qué es el SET?.- El SET (acrónimo de la expresión inglesa Secured Electronic Transaction equivalente a Transacción electrónica segura) es un nuevo protocolo impulsado por diversas empresas (p.e.: VISA, Mastercard, IBM, Netscape, Microsoft, RSA, etc.) que persigue autentificar todas las partes relacionadas en una transacción comercial realizada en Internet (esto es: vendedor, comprador, y la pasarela de pagos que permite interactuar con la red bancaria) mediante certificados digitales expedidos por autoridades certificadoras. 8. Qué ventajas ofrece el SET frente al SSL?.- Las ventajas que ofrece el SET frente al SSL se centran, esencialmente, en que (1) permite verificar la identidad tanto del servidor del vendedor como la identidad del comprador lo que, obviamente, es una ventaja para el comercio virtual; (2) posibilita obtener la autorización de la entidad financiera para realizar el pago on line de los bienes adquiridos, por lo que el vendedor está seguro de la disponibilidad económica de esa venta; y (3) que los datos de tarjeta de crédito no sean accesibles al vendedor sino, exclusivamente, a la entidad de crédito que otorga la autorización, por lo que el comprador está seguro que la entidad vendedora no podrá capturar sus datos financieros. 9. Qué necesito para instalar un certificado SET?.- A diferencia de SSL, la instalación de un certificado SET requiere la instalación en el navegador del consumidor de un software especial que pueda gestionarlos. Esta aplicación informática se denomina electronic wallet (cartera electrónica) y su finalidad es acreditar (también) al comprador frente al vendedor. 10. Empleando SET, puede la tienda virtual acceder a mis datos financieros?.- Al emplearse SET, a diferencia de SSL, la entidad vendedora no accede a los datos financieros del vendedor ya que la información se cifra en dos paquetes distintos: por un lado, la relativa a la orden de compra (p.e.: bien adquirido, dirección de envío, etc.) y, por otra, los datos financieros de la tarjeta de crédito con la que se realiza la compra (p.e.: titular, número, fecha de expiración, etc). Esta última, llamada certificado SET del titular, no se dirige al vendedor por lo que se garantiza la confidencialidad de estos datos. 11. Cuantos certificados SET existen?.- Básicamente son tres. En primer lugar, el certificado SET del titular de la tarjeta de crédito que, en esencia, son un certificado

13 emitido por la entidad de crédito que actúa como una representación electrónica de una tarjeta de crédito y donde los datos referentes a la tarjeta (que están cifrados) se entregan por el comprador a la pasarela de pagos. En segundo término, los certificados SET de comercio, que se emiten por la entidad de crédito con la que el vendedor haya trabado un acuerdo. Y, en tercer lugar, los certificados de pasarela de pagos, que son los destinados a los vendedores (autenticando la identidad del comprados y la autorización) y compradores (autenticando la identidad del servidor del vendedor). 12. Qué desarrollos se prevén para el SET?.- Uno de los más esperados es la creación de tarjetas inteligentes que incorporen el SET y, por tanto, puedan introducirse en dispositivos creados al efecto p.e.: terminales de venta en los comercios, en disqueteras de los ordenadores, etc.) para asegurar la transacción. 13. Cuál de ambos sistemas (SSL o SET) está más extendido?.- Por el momento el sistema de certificados SSL es el más extendido en España aunque parece que, en un futuro próximo, el SET se impondrá como sistema estándar. CAPÍTULO III ASPECTOS LEGALES 1. CONCEPTOS GENERALES 1. Puede cualquier empresa ofrecer bienes o servicios mediante el comercio electrónico? El Ministerio de Economía y Hacienda tiene competencia para autorizar las ventas a distancia. Este régimen de autorización es contrario al que está previsto genéricamente en la Propuesta de directiva sobre comercio electrónico, ya que este proyecto señala que cualquier empresa puede ofrecer sus servicios o bienes electrónicamente sin que las autoridades administrativas puedan exigirle una autorización previa o cualquier otro requisito especial. 2. Cómo funciona el registro español de empresas de venta a distancia? Hay un registro administrativo donde se tienen que inscribir las empresas de ventas a distancia, cuyas propuestas se difundan por medios que comprendan el terrritorio de más de una comunidad autónoma, siempre que, evidentemente, hayan sido autorizadas para el ejercicio de esta modalidad de venta por la comunidad autónoma donde la empresa tenga su domicilio social; y cuando exista, hayan sido inscritas en el registro autonómico correspondiente. 3. Qué obligaciones tienen las empresas de venta a distancia inscritas en el registro? Las empresas inscritas en el registro tienen que comunicar las variaciones que afecten a la naturaleza de la empresa o signifiquen un cambio de su objetivo, orientación o actividad de venta; las modificaciones en la composición y estructura de sus órganos de gobierno, y los datos de identificación correspondientes, si hace falta, de los nuevos

14 administradores; así como, sobre todo, los cambios de domicilio social y la apertura o cierre de establecimientos. 4. Qué datos debe facilitar la empresa o profesional que ofrezca la contratación electrónica de sus bienes o servicios? Los consumidores y autoridades competentes deben poder acceder con facilidad y de forma directa y permanente, como mínimo, a los datos siguientes: a) nombre b) dirección c) datos que permitan contactar con la empresa o profesional rápidamente, de forma directa y efectiva d) si se hallara inscrito en algún registro público (por ej. en el Registro Mercantil), deberá especificarse en cuál de ellos y su número de inscripción e) los precios deben estar indicados claramente y sin ambigüedades, haciendo constar de forma expresa si los impuestos y gastos de envío están incluidos. En su caso: f) si la actividad que desarrolle estuviera sujeta a algún régimen de autorización, los datos de la autoridad de supervisión g) los datos de inscripción en un colegio profesional h) título profesional expedido y Estado de expedición i) 5. Qué bienes o servicios pueden ofrecerse electrónicamente? No existe ninguna restricción especial sobre los bienes o servicios que se puedan ofrecer electrónicamente, mas allá, evidentemente, de las limitaciones establecidas con carácter general para ciertas clases de productos (por ej. el arículo 2.1 del Real Decreto 1416/94, de 25 de junio, por el cual se regula la publicidad de medicamentos de uso humano, que prohíbe la publicidad de medicamentos que no hayan obtenido la correspondiente autorización de comercialización, etc.) Otras materias que quedan excluidas del ámbito de aplicación del comercio electrónico y se regirán, por sus propias normas son: - las cuestiones relativas al ámbito fiscal y tributario. - los juegos de azar que impliquen apuestas de valor económico. - la protección de los datos personales y de las reglas de la competencia. - las actividades realizadas en el ámbito de la sociedad de la información por notarios y registradores de la propiedad y mercantiles, en el ejercicio de sus respectivas funciones públicas. - las actividades profesionales realizadas en el ámbito de la sociedad de la información por abogados y procuradores de los tribunales, en el ejercicio de la representación y defensa en juicio. 6. Qué derechos tiene el consumidor que adquiere bienes electrónicamente? La ley confiere diversos derechos a quien adquiere bienes a distancia y, concretamente, electrónicamente (por ej. el derecho a desistir de la compra en el plazo de 7 días, el derecho a recibir cierta información, etc.) Estos derechos, que se examinan a continuación, son irrenunciables, por lo que ni el proveedor del servicio puede obligar a no ejercerlos ni el comprador puede renunciar anticipadamente a su ejercicio.

15 2. EL RÉGIMEN DE LA OFERTA 1. Qué es una oferta comercial en el ámbito de la sociedad de la información? Es cualquier forma de comunicación destinada a proporcionar, directa o indirectamente, bienes o servicios o la imagen de una empresa, organización o persona con una actividad comercial, industrial, artesanal o de profesión liberal. 2. Cual es el contenido mínimo de la oferta comercial realizada a distancia? Toda oferta de contrato a distancia tiene que contener necesariamente: a) la identidad del proveedor. b) las características especiales del producto. c) el precio del bien y, si se da el caso, el coste del transporte. d) la forma de pago. e) las modalidades de entrega del bien adquirido o la ejecución del servicio. f) la advertencia, salvo que resulte evidente (por ej. por teléfono), que la aceptación de la oferta empleando una técnica de comunicación a distancia tiene carácter oneroso (es decir: comporta el pago de la comunicación). g) el plazo de validez de la oferta. h) informar al consumidor de la existencia (salvo ciertos casos marginales) de un derecho de desistimiento que le permitirá resolver el contrato durante un periodo de 7 días, a contar desde el día en que recibió los bienes o se celebró el contrato del servicio. En el caso de que se realicen ofertas promocionales (por ej. descuentos, primas, regalos, etc.), se tiene que identificar con claridad de que se trata de una oferta así; y también de las condiciones necesarias para beneficiarse. De la misma manera, tienen que identificarse claramente los concursos o juegos de promoción. 3. Se pueden realizar ofertas comerciales no solicitadas por vía electrónica? Nada impide que las empresas hagan estas ofertas siempre que, primero, las identifiquen con claridad como tales en el momento en que el destinatario las reciba, y segundo, que el destinatario no haya manifestado expresamente que no desea recibirlas (por ej. incluyéndose en una lista Robinson respecto de los proveedores de servicios vinculados por esta lista). 3. EL RÉGIMEN DE LA ACEPTACIÓN 1. Qué peculiaridades tiene la aceptación de una oferta a distancia? La principal característica es la asincronia entre oferta y aceptación o, lo que es lo mismo, la necesaria existencia de un plazo de tiempo entre la realización de la oferta por parte del empresario (por ej. mediante su anuncio general en la red o a través de un mensaje electrónico dirigido expresamente al consumidor) y la aceptación por parte del consumidor. 2. Tiene el consumidor que aceptar de forma expresa una oferta a distancia? Sí, ya que en ningún caso la falta de respuesta a la oferta de venta a distancia podrá considerarse como aceptación. De esta manera, todo mensaje dirigido al consumidor tiene que contestarse, necesariamente, de manera afirmativa para poder entender que el consumidor ha aceptado comprar un producto o recibir un servicio.

16 3. Cómo se realiza un pedido por vía electrónica? El prestador del servicio debe acusar recibo del pedido del destinatario sin demora indebida y por vía electrónica. Además, sólo se considerará que tanto el pedido como el acuse de recibo han sido recibidos cuando las partes a las que se dirigen puedan tener acceso a los mismos. El prestador de servicios deberá poner a disposición del destinatario del servicio los medios técnicos adecuados, eficaces, accesibles que le permita identificar y corregir los errores de introducción de datos, antes de realizar el pedido. 4. Qué pasa si el vendedor envía el producto sin que el consumidor lo haya acepatado expresamente? Cuando el vendedor envíe un bien al consumidor sin que éste lo haya acepatado expresamente, el consumidor podrá optar entre devolverlo o retenerlo sin necesidad de abonar el precio que pide el vendedor. Este régimen severo no se aplica, evidentemente, cuando el envío haya sido como resultado del error del vendedor (por ej. se equivoca en la dirección, etc.) En este último supuesto, cuando haya recibido el bien tendrá que guardarlo a disposición del vendedor durante el plazo de 1 mes desde que se le comunicó que el envío fue a causa de un error, y tendrá derecho a que el vendedor le indemnice con una cantidad igual al 10 por ciento de su valor de venta. En el caso de que no pagase la indemnización en el plazo de 1 mes, el consumidor podrá hacerlo suyo definitivamente sin pagar cantidad alguna. 5. Cuándo se entiende que se ha celebrado el contrato electrónicamente? La Propuesta de directiva sobre comercio electrónico indica que en los casos en los que el proveedor exija que el comprador manifieste su voluntad a través de medios electrónicos (por ej. tecleando una tecla del ordenador o un icono), el contrato se entenderá celebrado cuando el comprador (o destinatario de los servicios) reciba por vía electrónica una notificación del prestador de servicios haciendo un aviso de recepción de la aceptación de la oferta y, además, haya confirmado la recepción del aviso de recepción. Se entiende que el aviso de la recepción ha sido hecho y la confirmación está hecha cuando las partes a las cuales vayan dirigidos puedan tener acceso a él. 4. EL RÉGIMEN DE LA ENTREGA DEL BIEN Y DEL PAGO 1. Cuándo se tiene que realizar la entrega del bien adquirido? Si no se indica ninguna fecha específica en la oferta del contrato, el vendedor tendrá que entregar el bien solicitado (o servicio requerido) dentro de los 30 días siguientes al de la recepción de la aceptación expresa realizada por el consumidor. 2. Qué sucede cuando el vendedor no puede entregar el bien o prestar el servicio solicitado? En el caso de que el proveedor no pudiese entregar el bien solicitado (por ej. que las existencias se hayan agotado, etc.) tiene que comunicarlo al consumidor que podrá recuperar el dinero que haya abonado (por ej. como adelanto de un sofá con una tapicería especial, etc.) en un plazo máximo de 30 días. No obstante, existe la posibilidad de que, en el futuro, España autorice que los proveedores suministren un bien o un servicio de calidad y precio equivalente cuando esta posibilidad se hubiese previsto en la oferta o al celebrarse el contrato.

17 3. Qué tiene que recibir el consumidor? El bien o producto adquirido con todos sus accesorios, además de la información escrita, en la lengua utilizada en la oferta de la contratación, sobre los siguientes aspectos: 1. Los datos informativos que se tenían que facilitar con la oferta de venta. 2. La dirección de uno de los establecimientos del vendedor y su domicilio social (a los efectos de que conozca el sitio donde puede plantear las reclamaciones). 3. Las condiciones de pago escalonado o de crédito. 4. Entregar el llamado documento de desistimiento o documento de revocación que podrá utilizar el consumidor en el plazo legal para desitir del contrato. Este documento tiene que identificar claramente su naturaleza (es decir, que sirve para ejercer el derecho de desistimiento) y tiene que indicar la persona y la dirección a la que se tiene que enviar, así como los datos de identificación del contrato y de los contratantes. 5. Factura, recibo u otro documento en el cual consten los derechos o garantías especiales del comprador y la parte del precio que, si se da el caso, haya recibido. 6. Tratándose de un contrato de duración indeterminada celebrado a distancia, las condiciones en que se puede rescindir. 4. Cuándo se tiene que pagar? La norma general es que el pago del bien adquirido tiene que ser simultáneo a su entrega (por ej. al recibirlo mediante correo, reembolso, etc.) y que, por lo tanto, sólo se podrá exigir el pago anticipado cuando se trate de un pedido que se haya elaborado con algún elemento diferenciador para un cliente concreto y a su solicitud (por ej. unas estanterías con unas medidas determinadas, etc.) 5. Cómo se paga cuando se contrata electrónicamente? Hay dos grandes modalidades. La primera es el pago electrónico que, habitualmente, se lleva a cabo autorizando el cargo de la cantidad en una tarjeta de crédito o de débito (facilitando su número y otros datos) y la segunda consiste en el pago a la hora de recibir el producto o de realizar el servicio (por ej. en el momento de recibir el libro que se compró electrónicamente y que fue enviado por el proveedor contrarrembolso). VER Qué especialidades presenta el pago mediante tarjeta de crédito? Cuando se paga a través de tarjeta de crédito y ésta no se presentó directamente al vendedor o no se pudo identificar electrónicamente, el titular podrá exigir la anulación del cargo al vendedor o a la entidad emisora de la tarjeta, para que deshaga la operación y abone la cantidad endeudada. De esta manera se pretende dar una solución a los casos de utilización ilegítima de las tarjetas de crédito. Es por este motivo que cuando la compra sea realizada efectivamente por el titular de la tarjeta y éste solicite la anulación irregular del cargo, tendrá que indemnizar al vendedor por los daños y perjuicios que le haya ocasionado.

18 5. EL DERECHO A DESISTIR 1. En qué consiste el derecho a desistir de un contrato? La normativa vigente permite, salvo lo que se dirá más adelante, que el consumidor que haya adquirido un bien a distancia pueda desistir libremente del contrato dentro del plazo de 7 días, aunque también se tiene que tener presente que nada impide que el vendedor establezca en la oferta un plazo más amplio. Este plazo se amplía a 3 meses cuando el vendedor no haya cumplido con la obligación informativa expuesta. 2. Desde cuándo se computa este plazo de 7 días para desistir? En el caso de la adquisición de bienes a distancia, el plazo de 7 días se computa desde que se recibió el producto solicitado. Cuando, en cambio, se trate de la contratación de servicios, el plazo se computa desde el día en que se celebró el contrato o se cumplieron las obligaciones informativas expuestas. 3. Cómo se ejerce este derecho a desistir del contrato? La ley no exige ningún requisito especial, y, por lo tanto, se tendrá que entender que el consumidor desea desistir del contrato cuando remita el documento de revocación a la persona indicada o, entre otros métodos, cuando le comunique su voluntad de resolver el contrato dentro del plazo mediante una carta certificada, burofax o escrito entregado en el establecimiento físico del vendedor y sellado por el empresario y sus representantes. 4. Es necesario expresar los motivos por los cuales se desiste del contrato? No. El consumidor es libre de desitir dentro del plazo antes citado, sin necesidad de informar al vendedor de las razones que le han llevado a adoptar esta decisión. 5. Qué pasa cuando se desiste del contrato? Los efectos más relevantes son dos: 1. La obligación lógica de devolver el producto que se haya adquirido, teniendo que pagar el consumidor los gastos directos de la devolución (por ej. correo, mensajero, etc.) y, si se da el caso, una indemnización por los desperfectos que haya sufrido el objeto comprado. 2. El segundo es que el ejercicio de este derecho de desitimiento siempre comportará la resolución del contrato de financiación que haya podido acordarse con el vendedor para adquirir el bien o producto deseado. Se tiene que tener en cuenta también que el ejercicio del derecho de desistimiento no afectará a los contratos de financiación que se hubiesen podido acordar con otros sujetos ajenos al vendedor (por ej. un banco que le prestó el dinero para comprar el bien, etc.) 6. Cómo y cuándo tendrá que devolver el vendedor el importe pagado? Lógicamente la devolución del bien al vendedor comportará que éste deba devolver al consumidor el precio que pagó menos, si se da el caso, el importe de la indemnización a la que hacíamos referencia anteriormente. El momento en el que se deba devolver esta cantidad depende de diversos factores pero la norma general es que sea simultáneo al momento en que se reciba la mercancía y, en todo caso, en un plazo máximo de 30 días. La devolución se deberá llevar a cabo mediante el mismo sistema utilizado en el pago; es decir, si se pagó en metálico, la devolución debería ser de esta manera y si se pagó a través de un cargo a la tarjeta de crédito, mediante su anulación (o reducción).

19 7. Se puede establecer una sanción por ejercer el derecho a desistir del contrato? Está expresamente prohibido que el vendedor imponga una sanción al consumidor (por ej. el pago de cierta cantidad de dinero, etc.), en el caso que éste ejerza su derecho a desistir dentro del plazo establecido. Otra cuestión es que, como ya hemos visto anteriormente, el vendedor podrá exigir que el comprador pague los gastos directos de devolución (por ej. transporte, etc.) y, si se da el caso, indemnice por los desperfectos que pueda haber sufrido la mercancía devuelta. 8. Cuándo no se puede ejercer el derecho a desistir del contrato? Debe destacarse que, entre otros casos, el consumidor no podrá ejercer el derecho a desistir del contrato y, por lo tanto, no podrá obligar al vendedor a que le devuelva el precio pagado y acepte la devolución del objeto cuando los objetos comprados sean susceptibles de ser reproducidos o copiados con carácter inmediato (por ej. un libro, ya que se puede fotocopiar, un programa de ordenador que se puede duplicar, etc.), consistan en productos destinados a la higiene corporal o que, por razón de su naturaleza no se puedan devolver (por ej. las entradas para un espectáculo una vez que éste ya se haya producido, la prensa diaria, etc.). 6.GARANTÍAS 1. Qué garantía tienen los bienes adquiridos electrónicamente? Nuestro ordenamiento jurídico no ha previsto ningún régimen especial en materia de garantías sobre los objetos adquiridos a distancia. Por este motivo tendrá que aplicarse el régimen general previsto que dice que para los bienes de carácter duradero y con carácter general, la garantía debe cubrir un mínimo de 6 meses, excepto que, evidentemente, la naturaleza del bien lo impida (por ej. caduca antes de 6 meses) o exista una normativa específicamente aplicable. 7.SOLUCIÓN DE CONFLICTOS 1. Existen medios especiales para resolver los conflictos relacionados con contratos electrónicos? El ordenamiento jurídico español no contempla ningún sistema especial de resolución de conflictos entre el comprador y el proveedor del bien o servicio, por lo que se deberá acudir a las vías tradicionales como el recurso judicial o la solución arbitral, además de los acuerdos a los que puedan llegar las partes directamente. 2. Es posible recurrir al arbitraje de consumo en caso de disputa sobre un contrato electrónico? Nada impide que las partes en litigio se pongan de acuerdo para resolver sus diferencias sometiéndose a un arbitraje de consumo cuando se cumplan los requisitos establecidos por el funcionamiento del sistema arbitral de consumo. El arbitraje general también es otra vía que evita poner la disputa en conocimiento de los Tribunales de Justicia. Las instancias comunitarias están impulsando la utilización de estos mecanismos de solución extrajudicial de litigios, incluso a través de la vía electrónica la cual, en todo caso, deberá proporcionar garantías de procedimiento adecuadas a las partes afectadas.

20 8.LA CONTRATACIÓN ELECTRÓNICA INTERNACIONAL 1. Qué problemas particulares plantea? Las características del comercio electrónico facilitan los supuestos en los que el consumidor contrata con un empresario de otro Estado. Los problemas que plantea esta situación son diversos, aunque en este momento interesa destacar los dos siguientes: Qué tribunal es competente para conocer las disputas? y, en segundo lugar, qué ley deberá aplicar este tribunal?. Pero el principal problema es: compensa al consumidor el iniciar la lenta y costosa vía judicial teniendo en cuenta la cantidad que reclama? 2. Existe otra solución? Nada impide que las partes se sometan voluntariamente a un tribunal arbitral y a una determinada ley. De hecho, ésta parece ser la orientación que adopta la Propuesta de directiva sobre comercio electrónico.