obligaciones (responsabilidad derivada de la informatica
tiene algun libro o pagina recomendable para la responsabilidad civil derivada de la actividad informatica
Respuestas
tavos Usuario VIP
Creado: 03/11/06
La siguiente es una ponencia del
CVII CONGRESO INTERNACIONAL DE DERECHO DE DAÑOS
RESPONSABILIDADES EN EL SIGLO XXI
Impacto de la globalización. El rol del Estado.
Constitucionalización de los nuevos derechos.
Responsabilidad del cesionario en materia de prestación de servicios de información crediticia
Por Mario Masciotra
SUMARIO:
El dispositivo del Decreto 1558/2001 que reglamenta el art. 16 de la Ley 25.326 al contemplar que “En el caso de los archivos o bases de datos públicos conformadas por cesión de información suministrada por entidades financieras, administradoras de fondos de jubilaciones y pensiones y entidades aseguradoras, de conformidad con el artículo 5º, inciso 2, de la Ley Nº 25.326, los derechos de rectificación, actualización, supresión y confidencialidad deben ejercerse ante la entidad cedente que sea parte en la relación jurídica a que se refiere el dato impugnado”, vulnera lo prescripto expresamente en el inc. 4 del art. 11 que impone la responsabilidad solidaria y conjunta del cedente y cesionario por la observancia de las obligaciones legales y reglamentarias.
El titular de los datos personales afectados debe hallarse habilitado para ejercer los derechos consagrados por la regulación legal contra todos aquellos que detentan y difunden información violatoria de los principios de calidad de los datos consagrados por la Ley de Protección de los Datos Personales, por cuanto quienes utilizan y se benefician con la actividad informática, deben asumir los riesgos de la misma.
En atención a la naturaleza de la responsabilidad emergente de la actividad que desarrollan las empresas que suministran a terceros información proporcionada por entidades financieras, administradoras de fondos de jubilaciones y pensiones y entidades aseguradoras, que su finalidad es comercializar y lucrar con dicha información y detentando aquéllas una relación de supremacía respecto del afectado –titular de los datos personales- considero que las mismas deben responsabilizarse plenamente por la información suministrada a terceros que incumple la regulación legal.
En la misma situación se encuentra el B.C.R.A. respecto de los datos que almacena en la “Central de Riesgo Crediticio” provenientes de los bancos y entidades financieras en virtud de ser el ente que administra dicha base de datos y reviste la calidad de autoridad de contralor de las instituciones que llevan a cabo la calificación de sus deudores.
A fin de otorgar una tutela real y efectiva a los titulares de los datos personales y que nuestra normativa se adecue a la doctrina moderna y principios legislativos vigentes estimo que se debe incorporar al inciso 3 del art. 26 de la Ley 25.326 la obligación por parte de los responsables de los archivos, registros o bancos de datos que prestan servicios de información crediticia, de notificar al afectado, en el plazo de diez días desde dicho registro, una referencia de los datos que hubiesen sido incluídos, y se les informará de su derecho a recabar, rectificar, ampliar o suprimir la información que le concierne, en los términos de la ley.
La admisibilidad de ésta exigencia tiene su fundamento en la naturaleza de la actividad informática por cuanto las empresas que prestan servicios de información crediticia deben asumir los riesgos y los costos de su propia actividad empresarial, entre los cuales se encuentra el de llevar a cabo el seguimiento y actualización de aquélla y el de permitir que los titulares de los datos personales se hallen en condiciones reales de ejercer los derechos a conocer, acceder, rectificar, actualizar y suprimir que regula la normativa legal.
Contemplar tal situación afianzará la garantía instrumental prevista en el art. 43, tercer párrafo de nuestra Carta Magna, máxime teniendo en cuenta la situación de desigualdad existente, por cuanto las características de las tecnologías modernas y su enorme potencial genera que quienes comercializan la información de tercero gozan de una posición económica que sumado al “poder informático” ínsito por el patrimonio de que detentan –la información acumulada-, les otorga una franca y profunda superioridad frente a los titulares de los datos personales, víctimas de una violación flagrante de sus derechos fundamentales, por un comportamiento del que son totalmente ajenos..
Introducción.
La información sobre solvencia patrimonial reviste una importancia singular para la actividad comercial y financiera, habida cuenta de su estrecha vinculación con el saneamiento y protección del crédito.
La situación económica-financiera y los datos relativos al cumplimiento o no de obligaciones, de quien requiera un préstamo, o pretenda adquirir un bien cuyo precio deba ser satisfecho a plazo o desea celebrar una locación, asume una vital relevancia para la concreción definitiva de la relación contractual. La naturaleza de los bienes que componen su acervo patrimonial, su capacidad de pago, su grado de endeudamiento y sus antecedentes en materia de cumplimiento obligacional, son recaudos elementales a satisfacer para el otorgamiento o nó del crédito requerido, la compra o locación pretendida.
La aparición y funcionamiento de bancos de datos comerciales que suministran antecedentes crediticios, patrimoniales y judiciales provenientes de cámaras empresariales, registros, archivos judiciales y mesas receptoras de juicios, proporcionan importantes elementos para evaluar la solvencia económica y crediticia de una persona física o jurídica y su información deviene imprescindible –aunque a veces es insuficiente- para decidir la materialización de determinadas operaciones comerciales o financieras.
La prestación de servicios de información crediticia se justifica, entre otras causas por el notorio aumento de los índices de morosidad, sumado a la lentitud de la justicia; la existencia de multiplicidad de operadores que suministran el mismo tipo bienes y servicios y las ventajas que producen, aunque indirectas, a favor de los consumidores, desde que facilitan el saneamiento del mercado disminuyendo los costos.(1)
Durante años la ausencia de normativa legal no impidió que nuestros tribunales ratificaran la licitud del almacenamiento de antecedentes comerciales o bancarios de personas físicas y jurídicas y su ulterior cesión a terceros, por cuanto se consideró que dicha información “no son datos inherentes a la personalidad que se hallen amparados por el principio de la confidencialidad; por el contrario, el suministro de los mismos no está vedado, sino que resulta acorde con la protección y el saneamiento del crédito”.(2)
A la par del reconocimiento de su licitud, el desarrollo y difusión de las empresas dedicadas a proporcionar información crediticia generó serios cuestionamientos en orden a la calidad, pertinencia y vigencia de los datos que almacenaban y transmitían.
En el ámbito legislativo se presentaron diferentes iniciativas tendientes a otorgar un marco legal a las bases de datos financieros, como asimismo innumerables proyectos en materia de protección de datos personales y de reglamentación de la acción de hábeas data consagrada en el tercer párrafo del art. 43 de la Constitución Nacional.
Por su parte, la doctrina ha afirmado que así como es bueno que los acreedores no se vean sorprendidos por personajes que aparecen disfrazados de buenos deudores cuando han dejado un tendal de deudas, es gravísima la restricción del crédito que suelen generar estos tipos de informes, máxime en un mercado donde la escasez del crédito o el exceso de exigencias y garantías suele arrojar a los emprendedores –llámese pymes- en las garras del circuito parabancario.
Es frecuente –continúan afirmando LORENTE y TRUFFAT- algún abuso puntual que ha debido padecer más de un ciudadano cumplidor que un día se sorprendió con la negativa de un crédito porque un avalado –a quien se creía fiel pagador- no satisfizo su débito y los reclamos al avalista fueron al domicilio constituído. Esto sin entrar en alguna perversión gerencial, como cuestionar la asistencia financiera a una sociedad porque su presidente se sentaba en el mismo directorio que otra persona que, a su vez, presidía un tercera empresa en “concurso preventivo”.(3)
CIFUENTES asevera que: “No es aconsejable ética y económicamente, legalizar en una sociedad las llamadas "listas negras", como son los que en materia de solvencia económica, confiabilidad comercial y antecedentes penales, se recopilan por particulares sin autorización del titular, dedicándose al lucro en la transmisión a terceros, vendiendo los datos”.(4)
De ahí, que la regulación legal de los bancos de datos de riesgo crediticio haya sido, sin lugar a dudas, uno de los reclamos exigidos con mayor ahínco y perentoriedad por vastos sectores de la sociedad.
Sancionada la Ley 25.326 de “Protección de los Datos Personales”(5) ésta contempla en los cinco incisos del art. 26 la prestación de servicios de información crediticia. Siguiendo las pautas de la doctrina y legislación española prevé que la misma puede versar sobre: a) datos personales de carácter patrimonial relativos a la solvencia económica y al crédito (Inc. 1) y b) datos personales relativos al cumplimiento o incumplimiento de obligaciones de contenido patrimonial (Inc. 2). En los restantes incisos alude al derecho de acceso del titular de los datos (Inc. 3); al derecho al olvido (Inc. 4) y eximición del consentimiento del titular de los datos para la cesión a terceros de la información crediticia (art. 5).
Información de carácter patrimonial relativos a la solvencia económica y al crédito.
El informe de solvencia crediticia exige un pormenorizado análisis y la evaluación de una serie de factores, tales como: pagos (relación existente entre la cantidad de atrasados incurridos, respecto al total de referencias de pago); tendencia de las ventas (referenciando períodos anteriores); estructura legal (S.A., SRL, cotización pública y otras categorías); demandas (cantidades de juicios, quiebras, etc.); tiempo operando en el mercado, en años; tendencias en utilidad neta y en patrimonio neto, crecimiento en capital de trabajo e índice de liquidez.
La evaluación del riesgo crediticio surgirá de la sumatoria de los factores ponderados más un valor de riesgo adicional determinado por elementos subjetivos que son de consideración del analista. Es decir, que ello exige una opinión fundada y practicada conforme a los principios de la técnica contable.
La mayor parte de las empresas que prestan servicios de información crediticia se limitan a proporcionar las calificaciones que efectúan los bancos acreedores, las cuales se registran en el Banco Central de la República Argentina en una base de datos denominada “Central de deudores del sistema financiero”, no efectuando en la generalidad de los casos análisis alguno de los índices aludidos.
Al respecto debemos señalar que a partir del mes de septiembre de 1997 el BCRA modificó el régimen informativo sobre la situación de los deudores de entidades financieras, unificando la “Central de Riesgo” (6) y la “Central de Información Crediticia” (7) en un único sistema cuya denominación es “Deudores del Sistema Financiero”. La información de todos los deudores del sistema financiero respecto de los créditos otorgados por las entidades financieras se halla reglamentado en la Comunicación “A” 2729 de julio de 1998, complementado por la Comunicación “A” 2930.(8)
El art. 10 de la Ley de competitividad N° 25.413(9), dejó sin efecto la Base de Datos de Cuentacorrentistas Inhabilitados que administra el BCRA, aunque dicha normativa no elimina la base de datos de la “Central de Riesgo Crediticio”, antes mencionada, que se encuentra en Internet y a través de la venta de discos compactos, ilustra la situación en que se encuentran todos los deudores –personas físicas y jurídicas- del sistema financiero.
Datos personales de carácter patrimonial relativos a la solvencia económica y al crédito obtenidos de fuentes accesibles al público.
Conforme a la normativa legal, ésta información puede ser obtenida: a) de fuentes accesibles al público; b) facilitadas por el interesado o c) contar con el consentimiento del titular de los datos personales.
Los mayores inconvenientes los genera la información recolectada a través de las fuentes accesibles al público, es decir la que se encuentra a disposición de cualquier interesado en consultarla. Es la que consta en Registros Públicos, -respecto de la titularidad y las condiciones de dominio de los inmuebles, vehículos y embarcaciones-, en los bancos y bases de datos del B.C.R.A. que antes mencionáramos, Inspección de Justicia, Archivo de Juicios Universales, de las mesas receptoras de juicios en los diferentes fueros, entre otros.
Con relación a la información obtenida en éstas últimas, debemos señalar las serias deficiencias en que se incurre habitualmente, por cuanto las organizaciones que suministran información comercial general y crediticia de personas físicas y jurídicas, elaboran su base de datos con información generalmente no consolidada.
En efecto, las mismas almacenan y transmiten datos proporcionados por la Mesa General de Entradas de la Cámara Nacional en lo Comercial, en la que constan las demandas sorteadas para su tramitación, sin verificarse si las mismas fueron realmente iniciadas en el Juzgado desinsaculado para su radicación, ni tampoco se lleva a cabo un seguimiento de las acciones judiciales instauradas tendientes a determinar el resultado de las mismas, salvo el caso de las quiebras o concursos en que los Juzgados intervinientes comunican su levantamiento al Registro de Juicios Universales.
Consecuentemente, la base de datos de las empresas que prestan información crediticia es generada, en materia de antecedentes judiciales, en función de lo que surge de un registro de sorteo de demandas, careciéndose de un registro de terminación de juicios.
Los peligros del “modus operandi” de los titulares de los bancos de datos que prestan servicios de información crediticia, ya lo advirtió FALCON, cuando planteó que no queda claro porqué las empresas comerciales que lucran con estos datos pueden almacenar y ceder cualquier dato personal, económico o financiero, sin el correlativo deber de llevar a cabo un seguimiento y actualización. No hay ninguna razón para cargar este trámite a los particulares, sino sólo el desprecio por la persona.(10)
Contar con información veraz, actualizada y adecuada apuntala el saneamiento del sistema crediticio y de comercialización de bienes de un país al disminuir el riesgo sobre dichas operaciones. En tal sentido, se ha sostenido que: “Las empresas que prestan servicios de suministro de antecedentes comerciales o bancarios, deben extremar los medios de seguridad en el flujo de la información que brindan, evitando suministrar informaciones falsas o inexactas”.(11)
Suministrar información no consolidada, incompleta y desactualizada, genera daños incalculables a víctimas inocentes, esencialmente por aquéllos, más apremiados por el crédito a fin de satisfacer sus necesidades de consumo –operarios, empleados, autónomos- o de desarrollo comercial o industrial, el caso de pequeños comerciantes e industriales, las denominadas pymes, sectores éstos que han sido y son los más afectados por la globalización, la economía de mercado y la reestructuración del Estado, con la consecuente privatización de sus empresas, trípode que impera y rige nuestra actividad económica a partir de la década del noventa del siglo que acaba de finalizar.
Y no sólo la información inexacta, incompleta y desactualizada genera perjuicios, sino también aquélla que es veraz y cierta, pero por su naturaleza debe ser reservada y no proporcionada a terceros.
Es sabido que determinadas acciones judiciales por su naturaleza y las medidas que allí se solicitan, deben mantenerse durante un determinado lapso en calidad de reservadas y sustraerse del conocimiento público.
En efecto, conforme lo dispone el art. 52 del Reglamento para la Justicia en lo Comercial que reglamenta el funcionamiento de la oficina de sorteos a cargo del jefe de la Mesa General de Entradas, el listado de las demandas allí iniciadas (12) serán públicas, con excepción de las medidas cautelares, diligencias preliminares y pedidos de secuestros de bienes prendados –art.39 de la ley 12.962- que se editarán por separado manteniéndose reservadas. No obstante tal prohibición, hasta mediados de 1999 la Mesa General de Entradas del fuero aludido, procedía a expedir listados de demandas sorteadas que tenían como objeto medidas cautelares y secuestro prendario.
Por otra parte, las demandas ejecutivas en las que se solicitan medidas cautelares y las ejecuciones prendarias en las que se requiera el secuestro de bienes, revisten el carácter de públicas, por lo que puede darse el caso que el demandado conozca la interposición de una acción judicial, antes que el accionante haya podido trabar las cautelares peticionadas en el escrito de inicio y adopte medidas tales como la enajenación de bienes u ocultación de ellos, posibilitando que se torne imposible o incierto el cobro de créditos legítimos.
Para evitar tales situaciones debería extenderse el carácter de reservadas a las demandas cualquiera sea su naturaleza y que contengan medidas cautelares y su reserva sea peticionada por el demandante.(13) Recordemos que el art. 64 del Reglamento para la Justicia Nacional dispone que sólo podrán revisar los expedientes las partes, sus abogados, apoderados, representantes legales y los peritos designados en aquellos que contengan actuaciones administrativas que tengan carácter reservado y los expedientes referentes a cuestiones de derecho de familia (divorcio, filiación, nulidad de matrimonio, pérdidas de la patria potestad, tenencia de hijos, alimentos, insania, etc.), así como aquellos cuya reserva se ordene especialmente), como asimismo aquéllas en que se soliciten medidas cautelares.(14)
Ejercicio de los derechos de rectificación, actualización o supresión y el cesionario de los datos.
Estos derechos contemplados en el art. 16 de la Ley 25.326, constituyen el correlato lógico a los principios de exactitud, pertinencia y finalidad que consagran la regulación legal y configuran el complemento imprescindible e integrativo del derecho de acceso, pues éste carecerá de sentido e interés si el afectado, una vez constatada la existencia de información que viola los principios de calidad de datos consagrados por la regulación legal, carezca de la facultad de solicitar y obtener la rectificación, ampliación, actualización o la cancelación de la información registrada en el archivo o banco de datos.
El Decreto 1558/2001 al reglamentar aquélla norma en su segundo párrafo prescribe que: “En el caso de los archivos o bases de datos públicos conformadas por cesión de información suministrada por entidades financieras, administradoras de fondos de jubilaciones y pensiones y entidades aseguradoras, de conformidad con el artículo 5º, inciso 2, de la Ley Nº 25.326, los derechos de rectificación, actualización, supresión y confidencialidad deben ejercerse ante la entidad cedente que sea parte en la relación jurídica a que se refiere el dato impugnado. Si procediera el reclamo, la entidad respectiva debe solicitar al B.C.R.A., a la SUPERINTENDENCIA de AFJP o a la de SEGUROS DE LA NACIÓN, según el caso, que sean practicadas las modificaciones necesarias en sus bases de datos. Toda modificación debe ser comunicada a través de los mismos medios empleados para la divulgación de la información”.
Conforme a la normativa transcripta el afectado por una información falsa, inexacta, desactualizada, impertinente o en violación a la ley -como puede ser la situación de morosidad emergente de un crédito satisfecho hace más de dos años, registrada en una empresa que presta servicios de información crediticia, almacenada según información proporcionada por el BCRA, en atención al erróneo informe que le suministrara una entidad bancaria- sólo se halla autorizado a reclamar la rectificación, actualización o supresión contra ésta última, que fue la causante de transmitir originariamente dicha información. Los ulteriores cesionarios y cedentes –como pueden ser el BCRA y la empresa que transmite información crediticia, en el caso antes planteado- no se hallan sometidos a reclamo alguno.
Alcance de la responsabilidad del cesionario.
El inc. 4 del art. 11 de la LEY 25.326 establece que “El cesionario quedará sujeto a las mismas obligaciones legales y reglamentarias del cedente y éste responderá solidaria y conjuntamente por la observancia de las mismas ante el organismo de control y el titular de los datos de que se trate.”
El Decreto reglamentario N° 1558/2001 en su parte pertinente edicta: “El cesionario a que se refiere el artículo 11, inciso 4, de la Ley Nº 25.326, podrá ser eximido total o parcialmente de responsabilidad si demuestra que no se le puede imputar el hecho que ha producido el daño.” Los términos de la norma reglamentaria se ajustan a la Directiva Comunitaria 95/46 cuyo art. 23, en materia de “Responsabilidad”, prescribe: “1. Los Estados miembros dispondrán que toda persona que sufra un perjuicio como consecuencia de un tratamiento ilícito o de una acción incompatible con las disposiciones nacionales adoptadas en aplicación de la presente Directiva, tenga derecho a obtener del responsable del tratamiento la reparación del perjuicio sufrido. 2. El responsable del tratamiento podrá ser eximido parcial o totalmente de dicha responsabilidad si demuestra que no se le puede imputar el hecho que ha provocado el daño.”
Los riesgos que genera la actividad informática son enormes y quien moviliza la energía informática, se beneficia y lucra con ella a través de un desarrollo empresarial, debe responder por el daño que ocasiona la difusión de una información inexacta, incompleta o desactualizada.
Es sabido que la relación entre el afectado –titular de datos personales- y la empresa que suministra información crediticia a terceros genera una responsabilidad extracontractual, de carácter objetiva, encontrándose sujeto al régimen estatuído en el art. 1113, párrafo 2°, parte segunda del Código Civil, sea que se considere la informática como una cosa riesgosa –es una forma de energía y por ende, contemplado en el art. 2311, párrafo 2° del mencionado cuerpo legal- o bien que se considere al procesamiento electrónico de datos personales una actividad altamente riesgosa por su utilización- por lo que corresponde una responsabilidad objetiva fundada en la teoría del riesgo creado.(15)
En las “Jornadas de Responsabilidad por Daños en Homenaje al profesor doctor Jorge Bustamante Alsina”, desarrolladas los días 28, 29 y 30 de Junio de 1990 en la Universidad del Museo Social se debatió exhaustivamente la responsabilidad civil por ilicitudes informáticas en el procesamiento de datos personales, sosteniéndose que en la órbita extracontractual la reparación se funda: a) Para los elaboradores y explotadores del banco de datos en un factor de atribución subjetivo; cuando la información es inexacta, el error evidencia la culpa, invirtiéndose la carga de la prueba. En el supuesto que el daño derive del riesgo o vicio de la cosa empleada, el factor de atribución es objetivo (tesis suscripta por Kemelmajer de Carlucci, Ámela, Parellada, Stodart de Sassin, Lezana, Mazzarella, Beckerman, Vazquez Ferreira, Guarnieri y Di Benedetto); b) En el riesgo o vicio de la cosa, con fundamento en el art. 1113, párr. 2°, parte 2ª del Código Civil (posición defendida por Alejandro Borda y Messina de Estrella Gutierrez); c) En que el procesamiento electrónico de datos personales constituye una actividad riesgosa por su forma de utilización, siendo un supuesto de responsabilidad objetiva fundado en el art. 1113, párr. 2°, parte 2° del Código Civil (postura sostenida por Meza, Acoglia, Boragina, Lloveras de Resk, Gonzalez Gomez, Rosanna Stiglitz, Mansilla, Bravo y Gimenez).(16)
Nuestros tribunales han sostenido que la mala utilización de los datos informáticos constituye una actividad riesgosa que autoriza la aplicación de la normativa contenida en el art. 1113 del Código Civil.(17)
Por otra parte, debe tenerse en cuenta que el titular de los datos personales no se halla en una situación de paridad frente a quienes recaban, ceden y tratan la información concerniente a él, sea bancos, BCRA., Superintendencia de AFJP o de Seguros o empresas que prestan servicios de información crediticia.(18) Estas, amen de un mayor poder económico que les permite hallarse dotada de suficiente e idóneo personal e infraestructura técnica conforme a las exigencias de su actividad, revisten un carácter profesional; condición que las responsabiliza de manera especial, en tanto la superioridad técnica que detentan, les imponen el deber de obrar con mayor prudencia y pleno conocimiento de la actividad y les exige una diligencia acorde con su objeto haciendal y con la organización adecuada para desarrollar su giro.
La conducta de aquéllas no puede apreciarse con los parámetros exigibles a un neófito, sino de acuerdo al estandar de responsabilidad agravada que el profesional titular de una empresa con alto nivel de especialización tiene frente al usuario. Este es el criterio jurisprudencial de nuestros tribunales imperante en materia de responsabilidad de bancos, entidades financieras y administradoras del sistema de tarjeta de créditos.(19)
El dispositivo del Decreto 1558/2001 que reglamenta el art. 16 de la Ley 25.326 al contemplar el ejercicio de los derechos de rectificación, actualización, supresión y confidencialidad exclusivamente limitado a la entidad cedente vulnera lo prescripto expresamente en el inc. 4 del art. 11 que impone la responsabilidad solidaria y conjunta del cedente y cesionario por la observancia de las obligaciones legales y reglamentarias.
El titular de los datos personales afectados debe hallarse habilitado para ejercer los derechos consagrados por la regulación legal contra todos aquellos que detentan y difunden información que incumple la normativa legal, por cuanto quienes utilizan, se benefician y lucran con la actividad informática, deben asumir los riesgos de la misma.
Responsabilidad de las empresas prestatarias de información crediticia.
La información almacenada en la base de datos de la “Central de Riesgo Crediticio”, que administra el B.C.R.A. es extraída por las empresas que suministran información crediticia sin ningún tipo de contralor; dicha información no consolidada y sin verificar es incluída en su propia base de datos, para ulteriormente ser transmitida a terceros. Tal como lo hemos expresado, la evaluación del riesgo crediticio exige una opinión fundada y practicada conforme a los principios de la técnica contable. La realidad nos indica que aquéllas se limitan a proporcionar las calificaciones que efectúan los bancos acreedores registradas en la mencionada base de datos.
Las empresas toman la información en “crudo”, al decir de PEYRANO, es decir, tal cual se halla consignada y sin requerir confirmación de la fuente originaria ni requerir otro respaldo. La ley 25.326 -afirma aquél- protege de manera retaceada los derechos de los titulares de los datos personales, por cuanto los que suministran información crediticia no están obligados a confirmar la exactitud de una información recabada antes de registrarla, “sin perjuicio de las eventuales responsabilidades derivadas de la incorporación lisa y llana de “datos riesgosos” por parte de una entidad que lucra con tal actividad”. (20)
Lo mismo sucede respecto de la información referida a antecedentes judiciales. Los datos recolectados de las mesas receptoras de juicios, no se hallan sujetos a ningún control, pues las empresas que prestan información crediticia no verifican si la demanda sorteada ha sido efectivamente iniciada y el resultado de la misma; no hay seguimiento alguno acerca de la acción judicial promovida.
En atención a la naturaleza de la responsabilidad emergente de la actividad que desarrollan las empresas que suministran a terceros información proporcionada por entidades financieras, administradoras de fondos de jubilaciones y pensiones y entidades aseguradoras, que su finalidad es comercializar y lucrar con dicha información –la que debe considerarse como un “bien” en cuanto tiene un valor patrimonial por cuanto se compra y se vende-(21) y detentando aquéllas una relación de supremacía respecto del afectado –titular de los datos personales- consideramos que las mismas responden plenamente por la información suministrada a terceros que viola los principios de calidad de los datos consagrados por la regulación legal y que impone que los mismos deben ser:
a) veraces y por ende, actualizados;
b) adecuados, pertinentes, significativos y no excesivos con relación al ámbito y finalidad para los que se hubieren obtenido;
c) utilizados para las mismas finalidades que motivaron su recepción;
d) no tener una antigüedad mayor a cinco años, plazo que se reduce a dos años cuando el deudor cancele o de otro modo extinga la obligación.
La naturaleza de la actividad informática conlleva inexorablemente a que las empresas que prestan servicios de información crediticia deben asumir los riesgos y los costos de su propia actividad empresarial, entre los cuales se encuentra el de llevar a cabo la verificación, el seguimiento y la actualización de la información.
Responsabilidad del Banco Central de la República Argentina.
Esta entidad, tal como lo hemos expresado administra la “Central de Riesgo Crediticio”, recepcionando la información que remiten los bancos y entidades financieras que proceden a calificar a sus deudores.
Su responsabilidad resulta clara y evidente por ser el ente que administra dicha base de datos y además reviste la calidad de autoridad de contralor de las entidades financieras, que son las suministran la información cuestionada.
En esa inteligencia, se ha sostenido que: “El B.C.R.A. se reconoce el ente rector de una base de datos cuyo contenido es regulado a través del dictado de numerosas Comunicaciones en base a las cuales, y en lo que a nuestro caso específico respecta, las entidades financieras agrupan a los clientes morosos. Siendo ello así, no basta para eximir de responsabilidad al ente de control, en tanto ello comporta un incumplimiento de su deber como tal, la simple alegación de no haber efectuado la calificación motivo de la presente acción, puesto que resulta responsable cuando por omisión, y aún sin elaborar materialmente la información, no desempeñó su cometido de fiscalizar la actividad desarrollada por el banco codemandado en punto a la clasificación de sus clientes, coadyuvando una situación irregular, que en caso concreto causa un evidente perjuicio al amparista. Consecuentemente, concurren los extremos a fin de que el BCRA sea parte de la relación jurídica sustancial, confirmando la resolución impugnada en cuanto rechaza la excepción de falta de legitimación”.(22)
Derecho del titular de los datos a solicitar las informaciones registradas.
De acuerdo a lo dispuesto en inc. 3 del art. 26 de la Ley 25.326 los titulares de los datos personales se hallan autorizados a solicitar al responsable o usuario del banco de datos las informaciones, evaluaciones y apreciaciones que sobre el mismo hayan sido comunicadas durante los últimos seis meses, como asimismo los datos del cesionario en la hipótesis de tratarse de datos obtenidos por cesión.
La facultad prevista en este dispositivo es una consecuencia necesaria del derecho de información y de acceso que contemplan los arts.13 y 14, a efectos de posibilitar el ejercicio de los derechos de rectificación, actualización o supresión que prevé el art. 16.
El art. 29 de la ley española 15/99 a diferencia de la regulación nacional contempla la obligación de los responsables de ficheros que tratan datos de carácter personal relativos al cumplimiento o incumplimiento de obligaciones dinerarias facilitados por el acreedor o por quién actúe por su cuenta o interés, de notificar a los interesados, sin necesidad de que éstos lo soliciten, respecto de los que hayan registrado datos de carácter personal en ficheros, en el plazo de treinta días desde dicho registro, una referencia de los que hubiesen sido incluídos y se les informará de su derecho a recabar información de la totalidad de ellos, en los términos establecidos en la ley. Lamentablemente esta norma no fue trasladada a nuestra regulación legal.
La Ley de Registros Privados sancionada en DINAMARCA el 8 de junio de 1978, en su art.10 prevé que las oficinas de información sobre solvencia crediticia se encuentran obligadas a notificar dentro de las cuatro semanas posteriores al registro a la persona cuyos datos fueron recolectados por primera vez, salvo que se trata de datos básicos –nombre, dirección, empleo o profesión- o que estuviesen publicados en un registro público.(23)
La Directiva Comunitaria 95/46/CE en su art. 11 establece que cuando los datos no han sido recabados del propio interesado los Estados miembros dispondrán que el responsable del tratamiento o su representante deberán, desde el momento del registro de los datos o, en caso de que se piense comunicar datos a un tercero, a más tardar, en el momento de la primera comunicación de datos, comunicar al interesado por lo menos la información que se enumera, salvo si el interesado ya hubiera sido informado de ello. Dicha obligación no rige cuando la información al interesado resulte imposible o exija esfuerzos desproporcionados o el registro o la comunicación a un tercero estén expresamente prescritos por ley. En tales casos, los Estados miembros establecerán las garantías apropiadas.
En nuestro país los interesados toman conocimiento del registro de los datos personales de carácter patrimonial relativos a la solvencia económica y al crédito, recién cuando una institución bancaria o financiera les deniega sorpresivamente un crédito o el co-contratante le comunica su intención de no perfeccionar el vínculo contractual –venta, cesión, locación, etc.- pretendido, por aparecer aquellos en los registros de las empresas proveedoras de informes comerciales, como deudores o demandados de un crédito, del que podían ignorar su situación de mora o de la iniciación de las acciones judiciales instauradas con motivo del mismo.
El Decreto reglamentario N° 1558 establece: “En el caso de archivos o bases de datos públicos dependientes de un organismo oficial destinadas a la difusión al público en general, se tendrán por cumplidas las obligaciones que surgen del artículo 26, inciso 3, de la Ley 25.326 en tanto el responsable de la base de datos le comunique al titular de los datos las informaciones, evaluaciones y apreciaciones que sobre el mismo hayan sido difundidas durante los últimos seis (6) meses”.
La deficiencia que observo en el dispositivo sancionado radica en que no ha impuesto a los responsables de los archivos, registros o bancos de datos que prestan servicios de información crediticia, la obligación de notificar a los titulares de los datos personales –sin necesidad de que éstos lo soliciten- de la información registrada concerniente a ellos, tal como lo prescriben las legislaciones europeas y la Directiva Comunitaria 95/46.
A fin de otorgar una tutela real y efectiva a los titulares de los datos personales y que nuestra normativa se adecue a la doctrina moderna y principios legislativos vigentes entendemos que se debe incorporar al inciso 2 la obligación por parte de los responsables de los archivos, registros o bancos de datos que prestan servicios de información crediticia, de notificar al afectado, en el plazo de diez días desde dicho registro, una referencia de los datos que hubiesen sido incluídos, y se les informará de su derecho a recabar, rectificar, ampliar y sustituir los datos que le conciernen, en los términos de la ley.
La admisibilidad de ésta exigencia tiene su fundamento en la naturaleza de la actividad informática –sea que se considere a la misma como una cosa riesgosa o bien al procesamiento electrónico de datos personales como una actividad altamente riesgosa por su utilización- y consecuentemente, las empresas que prestan servicios de información crediticia deben asumir los riesgos y los costos de su propia actividad empresarial, entre los cuales se encuentra el de llevar a cabo el seguimiento y actualización de aquélla y el de permitir que los titulares de los datos personales se hallen en condiciones reales de ejercer los derechos a conocer, acceder, rectificar, actualizar y suprimir que regula la normativa legal.
Contemplar tal situación afianzará la tutela constitucional prevista en el art. 43, tercer párrafo de nuestra Carta Magna, máxime teniendo en cuenta que las empresas dedicadas al tratamiento y comercialización de datos de terceros gozan de una posición económica, que sumado al “poder informático” que conlleva el patrimonio que detentan –la información acumulada-, les otorga una franca y profunda superioridad frente a los titulares de los datos personales.
La naturaleza de los derechos afectados nos obliga a no permanecer indiferentes y encontrar un equilibrio en los intereses enfrentados, a fin de obtener soluciones que concreten los valores de justicia e igualdad. El esfuerzo de todos los que de una manera u otra nos hallamos involucrados con la disciplina jurídica –abogados, jueces, docentes, estudiantes, investigadores, legisladores, políticos, etc- debe estar destinado a elevar el Estado de Derecho en un Estado de Justicia, como enfática e incesantemente lo reclama el Maestro MORELLO.(24)
NOTAS
(1) QUEIPO de LLANO, Gustavo, “La necesidad de la información automatizada en la actividad económica y sus límites”, en Actualidad Informática Aranzadi, n°28, Julio 98, p.3, cit. por Aída KEMELMAJER de CARLUCCI en fallo de SCMendoza, Sala I, abril 15 de 1999, “Huertas, Juan C. c/ CO.DE.ME en L.L. Gran Cuyo, 1999, p.599.
(2) CNCom., sala E, 20.3.97, Lapilover, Hugo D. c. Organización Veraz SA., en E.D. 173-20.
(3) LORENTE, Javier A. y TRUFFAT, Edgardo D., “El derecho a la exactitud de la información y el crédito”, E.D. 173-88.
(4) CIFUENTES, Santos, “Derecho personalísimo a los datos personales”, L.L., 1997-E-1323.
(5)Sancionada el 4.10.2000, promulgada parcialmente el 20.10.2000 y publicada en B.O. 2.11.2000.
(6) Comunicación “A” 2216 de septiembre de 1994 que implementa un sistema de clasificación de deudores mayores de $200.000.
(7) Comunicaciones “A” 2384 y 2389, vigente a partir de marzo de 1996 que obliga a los bancos a suministrar información de todos los deudores.
(8) Pueden ser consultadas en http://www.bcra.gov.ar/.
(9) Sancionada y promulgada el 24.3.2001, B.O. 26.3.2001, EDLA-2001-A-132.
(10) FALCON, Enrique M., “Hábeas data y agencias de informes”, en Revista de Derecho Procesal, N°5, p.177,Ed. Rubinzal-Culzoni, Bs. As. 2000.
(11) CNCiv., sala A, 26.2.2001, Browne de Russi, Susana B. y otro c. Org. Veraz SA. s. hábeas data”, en E.D. 193-21.
(12) En realidad se trata de demandas sorteadas, que no en todos los casos constituye la efectiva iniciación de las mismas, por cuanto el peticionante goza de un plazo de tres días para presentar la demanda ante el tribunal asignado.
(13) MASCIOTRA, Mario “La prestación de servicios de información crediticia a tenor de lo dispuesto en la ley 25.326”, en E.D. 11.7.2002.
(14) La situación provocada por la “publicidad de los juicios iniciados ante la Cámara Nacional de Apelaciones en lo Comercial”, ha motivado que la Asociación de Abogados de Buenos Aires, con fecha 5.6.2001 resuelva: “1)Dirigirse a las autoridades de Superintendencia de la Cámara Nacional de Apelaciones en lo Comercial solicitando la modificación de su Reglamento Interno de modo que en los listados o informes que emita diariamente solo se informen los juicios que efectivamente han sido presentados en los juzgados asignados, o en su defecto, de continuar con la actual práctica, se consigne que “la información obrante en sus registros consiste exclusivamente en el nombre de las partes, objeto del juicio y monto del litigio, cuya solicitud de asignación de juez interviniente ha sido resuelta en la fecha, quedando a cargo de las empresas de bancos de datos y/o interesados la realización de la compulsa de las actuaciones para constatar el estado de las mismas” aclaración que debe ser obligatoriamente incluída en toda distribución o cesión de estos informes; 2) Sugerir también a la Cámara Nacional de Apelaciones en lo Comercial que emita listados diarios sobre la base de informes que requiera a los Juzgados Nacionales de Primera Instancia del fuero sobre la conclusión de las causas en trámite; 3) Expresar públicamente la preocupación de la AABA por las consecuencias negativas que la utilización arbitraria de estos informes provoca en los derechos de consumidores y usuarios que ven restringidos o vedado su acceso al crédito sobre la base de informes sobre acciones judiciales supuestamente iniciadas, que en numerosos casos, no revelan siquiera un incumplimiento cierto de obligaciones, lo que se contradice con los principios de calidad de los datos personales introducidos por la Ley 25.326; 4) Cursar nota a la Cámara de empresas que nuclea dichas organizaciones y emitir una declaración respecto al uso que hacen de la información obtenida”. Resolución N°1/01 de la AABA, Revista “PLENARIO, publicación de la Asociación de Abogados de Buenos Aires, N°54, Abril/Julio de 2001, p. 39/40)
(15) STIGLITZ, Gabriel A. y STIGLITZ, Rosana M., “Responsabilidad civil por daños derivados de la informática”, en LL. 1987-E, Sec. Doctrina, p. 795.
(16) BORDA, Alejandro “La responsabilidad extracontractual por ilicitudes informáticas en las Jornadas de Homenaje a Jorge Bustamante Alsina”, E.D.139-936)
(17) CNCiv., sala F, 6.2.2002, “Ravina., Arturo O. c. Organización Veraz SA. s. daños y perjuicios”, por voto del Dr. Fernando POSSE SAGUIER, al que adhirió Elena I. HIGTON de NOLASCO, en disidencia el Dr. Ricardo L. BURNICHON, quien sostuvo la aplicación de los arts. 1109 y 1067 del C. Civil, que requieren que se demuestre que el daño proviene de la imprudencia o negligencia del accionado. L.L. 16.4.2002.
(18) La desigualdad esencial de los sujetos enfrentados y a la que se busca equilibrar mediante la actuación jurisdiccional, constituye uno de los elementos que caracteriza a la justicia protectora, al decir de RIVAS, y en la que está inserta la acción de hábeas data. RIVAS, Adolfo A. “Hábeas data”, Libro de ponencias del XX Congreso Nacional de Derecho Procesal celebrado del 5 al 9 de octubre de 1999, en San Martín de los Andes, Neuquen, p.346.
(19) CNCom,sala B 26.4.2001, Rodriguez, Luis M. y otros c. Bco. de Galicia y Bs. As. s. ordinario, E.D. 25.10.2001.
(20) CApel.CC Rosario, sala IV, 8.8.2001, Alessi, Ezio D. C. Organización Veraz SA. s. hábeas data”, E.D. 22.3.2002. En dichas actuaciones ante la actitud reticente y morosa del BBV Banco Francés, que no suministró la información requerida judicialmente, se ordenó a dicha institución y al B.C.R.A, a pesar de no ser partes en las mismas, a que arbitren las medidas conducentes, a efectos de que resulte removido definitivamente el dato cuestionado.
(21) DALL’AGLIO, Edgardo, “Los contratos informáticos. Particularidades”, en Revista “Ius”, año 1986, N° 38, p. 151.
(22) Cám.Fed. de Córdoba, sala A, 8.6.99, “Pastor, Gabriel E. c. BCRA. y Bco. Francés SA.”, en Semanario Jurídico T° 81-1999-B-179, con nota de PICASSO, Sebastián y WAJNTRAUB, Javier H., “La protección de los datos personales en un acertado decisorio”; en sentido contrario: CNCom., sala D, 10.8.2002, Bachrach, Pedro c. B.C.R.A., causa n° 54547/97, citado por PICASSO, Sebastián, “El Banco Central y la imposición de costas en la acción de hábeas data”, en L.L. 26.7.2002)
(23) CORREA, Carlos M., BATTO, Hilda N., CZAR de ZALDUENDO, Susana y NAZAR ESPECHE, Félix A., “Derecho informático”, p.273, Ed. Depalma, 1994.
(24) MORELLO, Augusto M., “Los abogados”, Abeledo-Perrot, Bs. As., 1999, pág. XXV.
CVII CONGRESO INTERNACIONAL DE DERECHO DE DAÑOS
RESPONSABILIDADES EN EL SIGLO XXI
Impacto de la globalización. El rol del Estado.
Constitucionalización de los nuevos derechos.
Responsabilidad del cesionario en materia de prestación de servicios de información crediticia
Por Mario Masciotra
SUMARIO:
El dispositivo del Decreto 1558/2001 que reglamenta el art. 16 de la Ley 25.326 al contemplar que “En el caso de los archivos o bases de datos públicos conformadas por cesión de información suministrada por entidades financieras, administradoras de fondos de jubilaciones y pensiones y entidades aseguradoras, de conformidad con el artículo 5º, inciso 2, de la Ley Nº 25.326, los derechos de rectificación, actualización, supresión y confidencialidad deben ejercerse ante la entidad cedente que sea parte en la relación jurídica a que se refiere el dato impugnado”, vulnera lo prescripto expresamente en el inc. 4 del art. 11 que impone la responsabilidad solidaria y conjunta del cedente y cesionario por la observancia de las obligaciones legales y reglamentarias.
El titular de los datos personales afectados debe hallarse habilitado para ejercer los derechos consagrados por la regulación legal contra todos aquellos que detentan y difunden información violatoria de los principios de calidad de los datos consagrados por la Ley de Protección de los Datos Personales, por cuanto quienes utilizan y se benefician con la actividad informática, deben asumir los riesgos de la misma.
En atención a la naturaleza de la responsabilidad emergente de la actividad que desarrollan las empresas que suministran a terceros información proporcionada por entidades financieras, administradoras de fondos de jubilaciones y pensiones y entidades aseguradoras, que su finalidad es comercializar y lucrar con dicha información y detentando aquéllas una relación de supremacía respecto del afectado –titular de los datos personales- considero que las mismas deben responsabilizarse plenamente por la información suministrada a terceros que incumple la regulación legal.
En la misma situación se encuentra el B.C.R.A. respecto de los datos que almacena en la “Central de Riesgo Crediticio” provenientes de los bancos y entidades financieras en virtud de ser el ente que administra dicha base de datos y reviste la calidad de autoridad de contralor de las instituciones que llevan a cabo la calificación de sus deudores.
A fin de otorgar una tutela real y efectiva a los titulares de los datos personales y que nuestra normativa se adecue a la doctrina moderna y principios legislativos vigentes estimo que se debe incorporar al inciso 3 del art. 26 de la Ley 25.326 la obligación por parte de los responsables de los archivos, registros o bancos de datos que prestan servicios de información crediticia, de notificar al afectado, en el plazo de diez días desde dicho registro, una referencia de los datos que hubiesen sido incluídos, y se les informará de su derecho a recabar, rectificar, ampliar o suprimir la información que le concierne, en los términos de la ley.
La admisibilidad de ésta exigencia tiene su fundamento en la naturaleza de la actividad informática por cuanto las empresas que prestan servicios de información crediticia deben asumir los riesgos y los costos de su propia actividad empresarial, entre los cuales se encuentra el de llevar a cabo el seguimiento y actualización de aquélla y el de permitir que los titulares de los datos personales se hallen en condiciones reales de ejercer los derechos a conocer, acceder, rectificar, actualizar y suprimir que regula la normativa legal.
Contemplar tal situación afianzará la garantía instrumental prevista en el art. 43, tercer párrafo de nuestra Carta Magna, máxime teniendo en cuenta la situación de desigualdad existente, por cuanto las características de las tecnologías modernas y su enorme potencial genera que quienes comercializan la información de tercero gozan de una posición económica que sumado al “poder informático” ínsito por el patrimonio de que detentan –la información acumulada-, les otorga una franca y profunda superioridad frente a los titulares de los datos personales, víctimas de una violación flagrante de sus derechos fundamentales, por un comportamiento del que son totalmente ajenos..
Introducción.
La información sobre solvencia patrimonial reviste una importancia singular para la actividad comercial y financiera, habida cuenta de su estrecha vinculación con el saneamiento y protección del crédito.
La situación económica-financiera y los datos relativos al cumplimiento o no de obligaciones, de quien requiera un préstamo, o pretenda adquirir un bien cuyo precio deba ser satisfecho a plazo o desea celebrar una locación, asume una vital relevancia para la concreción definitiva de la relación contractual. La naturaleza de los bienes que componen su acervo patrimonial, su capacidad de pago, su grado de endeudamiento y sus antecedentes en materia de cumplimiento obligacional, son recaudos elementales a satisfacer para el otorgamiento o nó del crédito requerido, la compra o locación pretendida.
La aparición y funcionamiento de bancos de datos comerciales que suministran antecedentes crediticios, patrimoniales y judiciales provenientes de cámaras empresariales, registros, archivos judiciales y mesas receptoras de juicios, proporcionan importantes elementos para evaluar la solvencia económica y crediticia de una persona física o jurídica y su información deviene imprescindible –aunque a veces es insuficiente- para decidir la materialización de determinadas operaciones comerciales o financieras.
La prestación de servicios de información crediticia se justifica, entre otras causas por el notorio aumento de los índices de morosidad, sumado a la lentitud de la justicia; la existencia de multiplicidad de operadores que suministran el mismo tipo bienes y servicios y las ventajas que producen, aunque indirectas, a favor de los consumidores, desde que facilitan el saneamiento del mercado disminuyendo los costos.(1)
Durante años la ausencia de normativa legal no impidió que nuestros tribunales ratificaran la licitud del almacenamiento de antecedentes comerciales o bancarios de personas físicas y jurídicas y su ulterior cesión a terceros, por cuanto se consideró que dicha información “no son datos inherentes a la personalidad que se hallen amparados por el principio de la confidencialidad; por el contrario, el suministro de los mismos no está vedado, sino que resulta acorde con la protección y el saneamiento del crédito”.(2)
A la par del reconocimiento de su licitud, el desarrollo y difusión de las empresas dedicadas a proporcionar información crediticia generó serios cuestionamientos en orden a la calidad, pertinencia y vigencia de los datos que almacenaban y transmitían.
En el ámbito legislativo se presentaron diferentes iniciativas tendientes a otorgar un marco legal a las bases de datos financieros, como asimismo innumerables proyectos en materia de protección de datos personales y de reglamentación de la acción de hábeas data consagrada en el tercer párrafo del art. 43 de la Constitución Nacional.
Por su parte, la doctrina ha afirmado que así como es bueno que los acreedores no se vean sorprendidos por personajes que aparecen disfrazados de buenos deudores cuando han dejado un tendal de deudas, es gravísima la restricción del crédito que suelen generar estos tipos de informes, máxime en un mercado donde la escasez del crédito o el exceso de exigencias y garantías suele arrojar a los emprendedores –llámese pymes- en las garras del circuito parabancario.
Es frecuente –continúan afirmando LORENTE y TRUFFAT- algún abuso puntual que ha debido padecer más de un ciudadano cumplidor que un día se sorprendió con la negativa de un crédito porque un avalado –a quien se creía fiel pagador- no satisfizo su débito y los reclamos al avalista fueron al domicilio constituído. Esto sin entrar en alguna perversión gerencial, como cuestionar la asistencia financiera a una sociedad porque su presidente se sentaba en el mismo directorio que otra persona que, a su vez, presidía un tercera empresa en “concurso preventivo”.(3)
CIFUENTES asevera que: “No es aconsejable ética y económicamente, legalizar en una sociedad las llamadas "listas negras", como son los que en materia de solvencia económica, confiabilidad comercial y antecedentes penales, se recopilan por particulares sin autorización del titular, dedicándose al lucro en la transmisión a terceros, vendiendo los datos”.(4)
De ahí, que la regulación legal de los bancos de datos de riesgo crediticio haya sido, sin lugar a dudas, uno de los reclamos exigidos con mayor ahínco y perentoriedad por vastos sectores de la sociedad.
Sancionada la Ley 25.326 de “Protección de los Datos Personales”(5) ésta contempla en los cinco incisos del art. 26 la prestación de servicios de información crediticia. Siguiendo las pautas de la doctrina y legislación española prevé que la misma puede versar sobre: a) datos personales de carácter patrimonial relativos a la solvencia económica y al crédito (Inc. 1) y b) datos personales relativos al cumplimiento o incumplimiento de obligaciones de contenido patrimonial (Inc. 2). En los restantes incisos alude al derecho de acceso del titular de los datos (Inc. 3); al derecho al olvido (Inc. 4) y eximición del consentimiento del titular de los datos para la cesión a terceros de la información crediticia (art. 5).
Información de carácter patrimonial relativos a la solvencia económica y al crédito.
El informe de solvencia crediticia exige un pormenorizado análisis y la evaluación de una serie de factores, tales como: pagos (relación existente entre la cantidad de atrasados incurridos, respecto al total de referencias de pago); tendencia de las ventas (referenciando períodos anteriores); estructura legal (S.A., SRL, cotización pública y otras categorías); demandas (cantidades de juicios, quiebras, etc.); tiempo operando en el mercado, en años; tendencias en utilidad neta y en patrimonio neto, crecimiento en capital de trabajo e índice de liquidez.
La evaluación del riesgo crediticio surgirá de la sumatoria de los factores ponderados más un valor de riesgo adicional determinado por elementos subjetivos que son de consideración del analista. Es decir, que ello exige una opinión fundada y practicada conforme a los principios de la técnica contable.
La mayor parte de las empresas que prestan servicios de información crediticia se limitan a proporcionar las calificaciones que efectúan los bancos acreedores, las cuales se registran en el Banco Central de la República Argentina en una base de datos denominada “Central de deudores del sistema financiero”, no efectuando en la generalidad de los casos análisis alguno de los índices aludidos.
Al respecto debemos señalar que a partir del mes de septiembre de 1997 el BCRA modificó el régimen informativo sobre la situación de los deudores de entidades financieras, unificando la “Central de Riesgo” (6) y la “Central de Información Crediticia” (7) en un único sistema cuya denominación es “Deudores del Sistema Financiero”. La información de todos los deudores del sistema financiero respecto de los créditos otorgados por las entidades financieras se halla reglamentado en la Comunicación “A” 2729 de julio de 1998, complementado por la Comunicación “A” 2930.(8)
El art. 10 de la Ley de competitividad N° 25.413(9), dejó sin efecto la Base de Datos de Cuentacorrentistas Inhabilitados que administra el BCRA, aunque dicha normativa no elimina la base de datos de la “Central de Riesgo Crediticio”, antes mencionada, que se encuentra en Internet y a través de la venta de discos compactos, ilustra la situación en que se encuentran todos los deudores –personas físicas y jurídicas- del sistema financiero.
Datos personales de carácter patrimonial relativos a la solvencia económica y al crédito obtenidos de fuentes accesibles al público.
Conforme a la normativa legal, ésta información puede ser obtenida: a) de fuentes accesibles al público; b) facilitadas por el interesado o c) contar con el consentimiento del titular de los datos personales.
Los mayores inconvenientes los genera la información recolectada a través de las fuentes accesibles al público, es decir la que se encuentra a disposición de cualquier interesado en consultarla. Es la que consta en Registros Públicos, -respecto de la titularidad y las condiciones de dominio de los inmuebles, vehículos y embarcaciones-, en los bancos y bases de datos del B.C.R.A. que antes mencionáramos, Inspección de Justicia, Archivo de Juicios Universales, de las mesas receptoras de juicios en los diferentes fueros, entre otros.
Con relación a la información obtenida en éstas últimas, debemos señalar las serias deficiencias en que se incurre habitualmente, por cuanto las organizaciones que suministran información comercial general y crediticia de personas físicas y jurídicas, elaboran su base de datos con información generalmente no consolidada.
En efecto, las mismas almacenan y transmiten datos proporcionados por la Mesa General de Entradas de la Cámara Nacional en lo Comercial, en la que constan las demandas sorteadas para su tramitación, sin verificarse si las mismas fueron realmente iniciadas en el Juzgado desinsaculado para su radicación, ni tampoco se lleva a cabo un seguimiento de las acciones judiciales instauradas tendientes a determinar el resultado de las mismas, salvo el caso de las quiebras o concursos en que los Juzgados intervinientes comunican su levantamiento al Registro de Juicios Universales.
Consecuentemente, la base de datos de las empresas que prestan información crediticia es generada, en materia de antecedentes judiciales, en función de lo que surge de un registro de sorteo de demandas, careciéndose de un registro de terminación de juicios.
Los peligros del “modus operandi” de los titulares de los bancos de datos que prestan servicios de información crediticia, ya lo advirtió FALCON, cuando planteó que no queda claro porqué las empresas comerciales que lucran con estos datos pueden almacenar y ceder cualquier dato personal, económico o financiero, sin el correlativo deber de llevar a cabo un seguimiento y actualización. No hay ninguna razón para cargar este trámite a los particulares, sino sólo el desprecio por la persona.(10)
Contar con información veraz, actualizada y adecuada apuntala el saneamiento del sistema crediticio y de comercialización de bienes de un país al disminuir el riesgo sobre dichas operaciones. En tal sentido, se ha sostenido que: “Las empresas que prestan servicios de suministro de antecedentes comerciales o bancarios, deben extremar los medios de seguridad en el flujo de la información que brindan, evitando suministrar informaciones falsas o inexactas”.(11)
Suministrar información no consolidada, incompleta y desactualizada, genera daños incalculables a víctimas inocentes, esencialmente por aquéllos, más apremiados por el crédito a fin de satisfacer sus necesidades de consumo –operarios, empleados, autónomos- o de desarrollo comercial o industrial, el caso de pequeños comerciantes e industriales, las denominadas pymes, sectores éstos que han sido y son los más afectados por la globalización, la economía de mercado y la reestructuración del Estado, con la consecuente privatización de sus empresas, trípode que impera y rige nuestra actividad económica a partir de la década del noventa del siglo que acaba de finalizar.
Y no sólo la información inexacta, incompleta y desactualizada genera perjuicios, sino también aquélla que es veraz y cierta, pero por su naturaleza debe ser reservada y no proporcionada a terceros.
Es sabido que determinadas acciones judiciales por su naturaleza y las medidas que allí se solicitan, deben mantenerse durante un determinado lapso en calidad de reservadas y sustraerse del conocimiento público.
En efecto, conforme lo dispone el art. 52 del Reglamento para la Justicia en lo Comercial que reglamenta el funcionamiento de la oficina de sorteos a cargo del jefe de la Mesa General de Entradas, el listado de las demandas allí iniciadas (12) serán públicas, con excepción de las medidas cautelares, diligencias preliminares y pedidos de secuestros de bienes prendados –art.39 de la ley 12.962- que se editarán por separado manteniéndose reservadas. No obstante tal prohibición, hasta mediados de 1999 la Mesa General de Entradas del fuero aludido, procedía a expedir listados de demandas sorteadas que tenían como objeto medidas cautelares y secuestro prendario.
Por otra parte, las demandas ejecutivas en las que se solicitan medidas cautelares y las ejecuciones prendarias en las que se requiera el secuestro de bienes, revisten el carácter de públicas, por lo que puede darse el caso que el demandado conozca la interposición de una acción judicial, antes que el accionante haya podido trabar las cautelares peticionadas en el escrito de inicio y adopte medidas tales como la enajenación de bienes u ocultación de ellos, posibilitando que se torne imposible o incierto el cobro de créditos legítimos.
Para evitar tales situaciones debería extenderse el carácter de reservadas a las demandas cualquiera sea su naturaleza y que contengan medidas cautelares y su reserva sea peticionada por el demandante.(13) Recordemos que el art. 64 del Reglamento para la Justicia Nacional dispone que sólo podrán revisar los expedientes las partes, sus abogados, apoderados, representantes legales y los peritos designados en aquellos que contengan actuaciones administrativas que tengan carácter reservado y los expedientes referentes a cuestiones de derecho de familia (divorcio, filiación, nulidad de matrimonio, pérdidas de la patria potestad, tenencia de hijos, alimentos, insania, etc.), así como aquellos cuya reserva se ordene especialmente), como asimismo aquéllas en que se soliciten medidas cautelares.(14)
Ejercicio de los derechos de rectificación, actualización o supresión y el cesionario de los datos.
Estos derechos contemplados en el art. 16 de la Ley 25.326, constituyen el correlato lógico a los principios de exactitud, pertinencia y finalidad que consagran la regulación legal y configuran el complemento imprescindible e integrativo del derecho de acceso, pues éste carecerá de sentido e interés si el afectado, una vez constatada la existencia de información que viola los principios de calidad de datos consagrados por la regulación legal, carezca de la facultad de solicitar y obtener la rectificación, ampliación, actualización o la cancelación de la información registrada en el archivo o banco de datos.
El Decreto 1558/2001 al reglamentar aquélla norma en su segundo párrafo prescribe que: “En el caso de los archivos o bases de datos públicos conformadas por cesión de información suministrada por entidades financieras, administradoras de fondos de jubilaciones y pensiones y entidades aseguradoras, de conformidad con el artículo 5º, inciso 2, de la Ley Nº 25.326, los derechos de rectificación, actualización, supresión y confidencialidad deben ejercerse ante la entidad cedente que sea parte en la relación jurídica a que se refiere el dato impugnado. Si procediera el reclamo, la entidad respectiva debe solicitar al B.C.R.A., a la SUPERINTENDENCIA de AFJP o a la de SEGUROS DE LA NACIÓN, según el caso, que sean practicadas las modificaciones necesarias en sus bases de datos. Toda modificación debe ser comunicada a través de los mismos medios empleados para la divulgación de la información”.
Conforme a la normativa transcripta el afectado por una información falsa, inexacta, desactualizada, impertinente o en violación a la ley -como puede ser la situación de morosidad emergente de un crédito satisfecho hace más de dos años, registrada en una empresa que presta servicios de información crediticia, almacenada según información proporcionada por el BCRA, en atención al erróneo informe que le suministrara una entidad bancaria- sólo se halla autorizado a reclamar la rectificación, actualización o supresión contra ésta última, que fue la causante de transmitir originariamente dicha información. Los ulteriores cesionarios y cedentes –como pueden ser el BCRA y la empresa que transmite información crediticia, en el caso antes planteado- no se hallan sometidos a reclamo alguno.
Alcance de la responsabilidad del cesionario.
El inc. 4 del art. 11 de la LEY 25.326 establece que “El cesionario quedará sujeto a las mismas obligaciones legales y reglamentarias del cedente y éste responderá solidaria y conjuntamente por la observancia de las mismas ante el organismo de control y el titular de los datos de que se trate.”
El Decreto reglamentario N° 1558/2001 en su parte pertinente edicta: “El cesionario a que se refiere el artículo 11, inciso 4, de la Ley Nº 25.326, podrá ser eximido total o parcialmente de responsabilidad si demuestra que no se le puede imputar el hecho que ha producido el daño.” Los términos de la norma reglamentaria se ajustan a la Directiva Comunitaria 95/46 cuyo art. 23, en materia de “Responsabilidad”, prescribe: “1. Los Estados miembros dispondrán que toda persona que sufra un perjuicio como consecuencia de un tratamiento ilícito o de una acción incompatible con las disposiciones nacionales adoptadas en aplicación de la presente Directiva, tenga derecho a obtener del responsable del tratamiento la reparación del perjuicio sufrido. 2. El responsable del tratamiento podrá ser eximido parcial o totalmente de dicha responsabilidad si demuestra que no se le puede imputar el hecho que ha provocado el daño.”
Los riesgos que genera la actividad informática son enormes y quien moviliza la energía informática, se beneficia y lucra con ella a través de un desarrollo empresarial, debe responder por el daño que ocasiona la difusión de una información inexacta, incompleta o desactualizada.
Es sabido que la relación entre el afectado –titular de datos personales- y la empresa que suministra información crediticia a terceros genera una responsabilidad extracontractual, de carácter objetiva, encontrándose sujeto al régimen estatuído en el art. 1113, párrafo 2°, parte segunda del Código Civil, sea que se considere la informática como una cosa riesgosa –es una forma de energía y por ende, contemplado en el art. 2311, párrafo 2° del mencionado cuerpo legal- o bien que se considere al procesamiento electrónico de datos personales una actividad altamente riesgosa por su utilización- por lo que corresponde una responsabilidad objetiva fundada en la teoría del riesgo creado.(15)
En las “Jornadas de Responsabilidad por Daños en Homenaje al profesor doctor Jorge Bustamante Alsina”, desarrolladas los días 28, 29 y 30 de Junio de 1990 en la Universidad del Museo Social se debatió exhaustivamente la responsabilidad civil por ilicitudes informáticas en el procesamiento de datos personales, sosteniéndose que en la órbita extracontractual la reparación se funda: a) Para los elaboradores y explotadores del banco de datos en un factor de atribución subjetivo; cuando la información es inexacta, el error evidencia la culpa, invirtiéndose la carga de la prueba. En el supuesto que el daño derive del riesgo o vicio de la cosa empleada, el factor de atribución es objetivo (tesis suscripta por Kemelmajer de Carlucci, Ámela, Parellada, Stodart de Sassin, Lezana, Mazzarella, Beckerman, Vazquez Ferreira, Guarnieri y Di Benedetto); b) En el riesgo o vicio de la cosa, con fundamento en el art. 1113, párr. 2°, parte 2ª del Código Civil (posición defendida por Alejandro Borda y Messina de Estrella Gutierrez); c) En que el procesamiento electrónico de datos personales constituye una actividad riesgosa por su forma de utilización, siendo un supuesto de responsabilidad objetiva fundado en el art. 1113, párr. 2°, parte 2° del Código Civil (postura sostenida por Meza, Acoglia, Boragina, Lloveras de Resk, Gonzalez Gomez, Rosanna Stiglitz, Mansilla, Bravo y Gimenez).(16)
Nuestros tribunales han sostenido que la mala utilización de los datos informáticos constituye una actividad riesgosa que autoriza la aplicación de la normativa contenida en el art. 1113 del Código Civil.(17)
Por otra parte, debe tenerse en cuenta que el titular de los datos personales no se halla en una situación de paridad frente a quienes recaban, ceden y tratan la información concerniente a él, sea bancos, BCRA., Superintendencia de AFJP o de Seguros o empresas que prestan servicios de información crediticia.(18) Estas, amen de un mayor poder económico que les permite hallarse dotada de suficiente e idóneo personal e infraestructura técnica conforme a las exigencias de su actividad, revisten un carácter profesional; condición que las responsabiliza de manera especial, en tanto la superioridad técnica que detentan, les imponen el deber de obrar con mayor prudencia y pleno conocimiento de la actividad y les exige una diligencia acorde con su objeto haciendal y con la organización adecuada para desarrollar su giro.
La conducta de aquéllas no puede apreciarse con los parámetros exigibles a un neófito, sino de acuerdo al estandar de responsabilidad agravada que el profesional titular de una empresa con alto nivel de especialización tiene frente al usuario. Este es el criterio jurisprudencial de nuestros tribunales imperante en materia de responsabilidad de bancos, entidades financieras y administradoras del sistema de tarjeta de créditos.(19)
El dispositivo del Decreto 1558/2001 que reglamenta el art. 16 de la Ley 25.326 al contemplar el ejercicio de los derechos de rectificación, actualización, supresión y confidencialidad exclusivamente limitado a la entidad cedente vulnera lo prescripto expresamente en el inc. 4 del art. 11 que impone la responsabilidad solidaria y conjunta del cedente y cesionario por la observancia de las obligaciones legales y reglamentarias.
El titular de los datos personales afectados debe hallarse habilitado para ejercer los derechos consagrados por la regulación legal contra todos aquellos que detentan y difunden información que incumple la normativa legal, por cuanto quienes utilizan, se benefician y lucran con la actividad informática, deben asumir los riesgos de la misma.
Responsabilidad de las empresas prestatarias de información crediticia.
La información almacenada en la base de datos de la “Central de Riesgo Crediticio”, que administra el B.C.R.A. es extraída por las empresas que suministran información crediticia sin ningún tipo de contralor; dicha información no consolidada y sin verificar es incluída en su propia base de datos, para ulteriormente ser transmitida a terceros. Tal como lo hemos expresado, la evaluación del riesgo crediticio exige una opinión fundada y practicada conforme a los principios de la técnica contable. La realidad nos indica que aquéllas se limitan a proporcionar las calificaciones que efectúan los bancos acreedores registradas en la mencionada base de datos.
Las empresas toman la información en “crudo”, al decir de PEYRANO, es decir, tal cual se halla consignada y sin requerir confirmación de la fuente originaria ni requerir otro respaldo. La ley 25.326 -afirma aquél- protege de manera retaceada los derechos de los titulares de los datos personales, por cuanto los que suministran información crediticia no están obligados a confirmar la exactitud de una información recabada antes de registrarla, “sin perjuicio de las eventuales responsabilidades derivadas de la incorporación lisa y llana de “datos riesgosos” por parte de una entidad que lucra con tal actividad”. (20)
Lo mismo sucede respecto de la información referida a antecedentes judiciales. Los datos recolectados de las mesas receptoras de juicios, no se hallan sujetos a ningún control, pues las empresas que prestan información crediticia no verifican si la demanda sorteada ha sido efectivamente iniciada y el resultado de la misma; no hay seguimiento alguno acerca de la acción judicial promovida.
En atención a la naturaleza de la responsabilidad emergente de la actividad que desarrollan las empresas que suministran a terceros información proporcionada por entidades financieras, administradoras de fondos de jubilaciones y pensiones y entidades aseguradoras, que su finalidad es comercializar y lucrar con dicha información –la que debe considerarse como un “bien” en cuanto tiene un valor patrimonial por cuanto se compra y se vende-(21) y detentando aquéllas una relación de supremacía respecto del afectado –titular de los datos personales- consideramos que las mismas responden plenamente por la información suministrada a terceros que viola los principios de calidad de los datos consagrados por la regulación legal y que impone que los mismos deben ser:
a) veraces y por ende, actualizados;
b) adecuados, pertinentes, significativos y no excesivos con relación al ámbito y finalidad para los que se hubieren obtenido;
c) utilizados para las mismas finalidades que motivaron su recepción;
d) no tener una antigüedad mayor a cinco años, plazo que se reduce a dos años cuando el deudor cancele o de otro modo extinga la obligación.
La naturaleza de la actividad informática conlleva inexorablemente a que las empresas que prestan servicios de información crediticia deben asumir los riesgos y los costos de su propia actividad empresarial, entre los cuales se encuentra el de llevar a cabo la verificación, el seguimiento y la actualización de la información.
Responsabilidad del Banco Central de la República Argentina.
Esta entidad, tal como lo hemos expresado administra la “Central de Riesgo Crediticio”, recepcionando la información que remiten los bancos y entidades financieras que proceden a calificar a sus deudores.
Su responsabilidad resulta clara y evidente por ser el ente que administra dicha base de datos y además reviste la calidad de autoridad de contralor de las entidades financieras, que son las suministran la información cuestionada.
En esa inteligencia, se ha sostenido que: “El B.C.R.A. se reconoce el ente rector de una base de datos cuyo contenido es regulado a través del dictado de numerosas Comunicaciones en base a las cuales, y en lo que a nuestro caso específico respecta, las entidades financieras agrupan a los clientes morosos. Siendo ello así, no basta para eximir de responsabilidad al ente de control, en tanto ello comporta un incumplimiento de su deber como tal, la simple alegación de no haber efectuado la calificación motivo de la presente acción, puesto que resulta responsable cuando por omisión, y aún sin elaborar materialmente la información, no desempeñó su cometido de fiscalizar la actividad desarrollada por el banco codemandado en punto a la clasificación de sus clientes, coadyuvando una situación irregular, que en caso concreto causa un evidente perjuicio al amparista. Consecuentemente, concurren los extremos a fin de que el BCRA sea parte de la relación jurídica sustancial, confirmando la resolución impugnada en cuanto rechaza la excepción de falta de legitimación”.(22)
Derecho del titular de los datos a solicitar las informaciones registradas.
De acuerdo a lo dispuesto en inc. 3 del art. 26 de la Ley 25.326 los titulares de los datos personales se hallan autorizados a solicitar al responsable o usuario del banco de datos las informaciones, evaluaciones y apreciaciones que sobre el mismo hayan sido comunicadas durante los últimos seis meses, como asimismo los datos del cesionario en la hipótesis de tratarse de datos obtenidos por cesión.
La facultad prevista en este dispositivo es una consecuencia necesaria del derecho de información y de acceso que contemplan los arts.13 y 14, a efectos de posibilitar el ejercicio de los derechos de rectificación, actualización o supresión que prevé el art. 16.
El art. 29 de la ley española 15/99 a diferencia de la regulación nacional contempla la obligación de los responsables de ficheros que tratan datos de carácter personal relativos al cumplimiento o incumplimiento de obligaciones dinerarias facilitados por el acreedor o por quién actúe por su cuenta o interés, de notificar a los interesados, sin necesidad de que éstos lo soliciten, respecto de los que hayan registrado datos de carácter personal en ficheros, en el plazo de treinta días desde dicho registro, una referencia de los que hubiesen sido incluídos y se les informará de su derecho a recabar información de la totalidad de ellos, en los términos establecidos en la ley. Lamentablemente esta norma no fue trasladada a nuestra regulación legal.
La Ley de Registros Privados sancionada en DINAMARCA el 8 de junio de 1978, en su art.10 prevé que las oficinas de información sobre solvencia crediticia se encuentran obligadas a notificar dentro de las cuatro semanas posteriores al registro a la persona cuyos datos fueron recolectados por primera vez, salvo que se trata de datos básicos –nombre, dirección, empleo o profesión- o que estuviesen publicados en un registro público.(23)
La Directiva Comunitaria 95/46/CE en su art. 11 establece que cuando los datos no han sido recabados del propio interesado los Estados miembros dispondrán que el responsable del tratamiento o su representante deberán, desde el momento del registro de los datos o, en caso de que se piense comunicar datos a un tercero, a más tardar, en el momento de la primera comunicación de datos, comunicar al interesado por lo menos la información que se enumera, salvo si el interesado ya hubiera sido informado de ello. Dicha obligación no rige cuando la información al interesado resulte imposible o exija esfuerzos desproporcionados o el registro o la comunicación a un tercero estén expresamente prescritos por ley. En tales casos, los Estados miembros establecerán las garantías apropiadas.
En nuestro país los interesados toman conocimiento del registro de los datos personales de carácter patrimonial relativos a la solvencia económica y al crédito, recién cuando una institución bancaria o financiera les deniega sorpresivamente un crédito o el co-contratante le comunica su intención de no perfeccionar el vínculo contractual –venta, cesión, locación, etc.- pretendido, por aparecer aquellos en los registros de las empresas proveedoras de informes comerciales, como deudores o demandados de un crédito, del que podían ignorar su situación de mora o de la iniciación de las acciones judiciales instauradas con motivo del mismo.
El Decreto reglamentario N° 1558 establece: “En el caso de archivos o bases de datos públicos dependientes de un organismo oficial destinadas a la difusión al público en general, se tendrán por cumplidas las obligaciones que surgen del artículo 26, inciso 3, de la Ley 25.326 en tanto el responsable de la base de datos le comunique al titular de los datos las informaciones, evaluaciones y apreciaciones que sobre el mismo hayan sido difundidas durante los últimos seis (6) meses”.
La deficiencia que observo en el dispositivo sancionado radica en que no ha impuesto a los responsables de los archivos, registros o bancos de datos que prestan servicios de información crediticia, la obligación de notificar a los titulares de los datos personales –sin necesidad de que éstos lo soliciten- de la información registrada concerniente a ellos, tal como lo prescriben las legislaciones europeas y la Directiva Comunitaria 95/46.
A fin de otorgar una tutela real y efectiva a los titulares de los datos personales y que nuestra normativa se adecue a la doctrina moderna y principios legislativos vigentes entendemos que se debe incorporar al inciso 2 la obligación por parte de los responsables de los archivos, registros o bancos de datos que prestan servicios de información crediticia, de notificar al afectado, en el plazo de diez días desde dicho registro, una referencia de los datos que hubiesen sido incluídos, y se les informará de su derecho a recabar, rectificar, ampliar y sustituir los datos que le conciernen, en los términos de la ley.
La admisibilidad de ésta exigencia tiene su fundamento en la naturaleza de la actividad informática –sea que se considere a la misma como una cosa riesgosa o bien al procesamiento electrónico de datos personales como una actividad altamente riesgosa por su utilización- y consecuentemente, las empresas que prestan servicios de información crediticia deben asumir los riesgos y los costos de su propia actividad empresarial, entre los cuales se encuentra el de llevar a cabo el seguimiento y actualización de aquélla y el de permitir que los titulares de los datos personales se hallen en condiciones reales de ejercer los derechos a conocer, acceder, rectificar, actualizar y suprimir que regula la normativa legal.
Contemplar tal situación afianzará la tutela constitucional prevista en el art. 43, tercer párrafo de nuestra Carta Magna, máxime teniendo en cuenta que las empresas dedicadas al tratamiento y comercialización de datos de terceros gozan de una posición económica, que sumado al “poder informático” que conlleva el patrimonio que detentan –la información acumulada-, les otorga una franca y profunda superioridad frente a los titulares de los datos personales.
La naturaleza de los derechos afectados nos obliga a no permanecer indiferentes y encontrar un equilibrio en los intereses enfrentados, a fin de obtener soluciones que concreten los valores de justicia e igualdad. El esfuerzo de todos los que de una manera u otra nos hallamos involucrados con la disciplina jurídica –abogados, jueces, docentes, estudiantes, investigadores, legisladores, políticos, etc- debe estar destinado a elevar el Estado de Derecho en un Estado de Justicia, como enfática e incesantemente lo reclama el Maestro MORELLO.(24)
NOTAS
(1) QUEIPO de LLANO, Gustavo, “La necesidad de la información automatizada en la actividad económica y sus límites”, en Actualidad Informática Aranzadi, n°28, Julio 98, p.3, cit. por Aída KEMELMAJER de CARLUCCI en fallo de SCMendoza, Sala I, abril 15 de 1999, “Huertas, Juan C. c/ CO.DE.ME en L.L. Gran Cuyo, 1999, p.599.
(2) CNCom., sala E, 20.3.97, Lapilover, Hugo D. c. Organización Veraz SA., en E.D. 173-20.
(3) LORENTE, Javier A. y TRUFFAT, Edgardo D., “El derecho a la exactitud de la información y el crédito”, E.D. 173-88.
(4) CIFUENTES, Santos, “Derecho personalísimo a los datos personales”, L.L., 1997-E-1323.
(5)Sancionada el 4.10.2000, promulgada parcialmente el 20.10.2000 y publicada en B.O. 2.11.2000.
(6) Comunicación “A” 2216 de septiembre de 1994 que implementa un sistema de clasificación de deudores mayores de $200.000.
(7) Comunicaciones “A” 2384 y 2389, vigente a partir de marzo de 1996 que obliga a los bancos a suministrar información de todos los deudores.
(8) Pueden ser consultadas en http://www.bcra.gov.ar/.
(9) Sancionada y promulgada el 24.3.2001, B.O. 26.3.2001, EDLA-2001-A-132.
(10) FALCON, Enrique M., “Hábeas data y agencias de informes”, en Revista de Derecho Procesal, N°5, p.177,Ed. Rubinzal-Culzoni, Bs. As. 2000.
(11) CNCiv., sala A, 26.2.2001, Browne de Russi, Susana B. y otro c. Org. Veraz SA. s. hábeas data”, en E.D. 193-21.
(12) En realidad se trata de demandas sorteadas, que no en todos los casos constituye la efectiva iniciación de las mismas, por cuanto el peticionante goza de un plazo de tres días para presentar la demanda ante el tribunal asignado.
(13) MASCIOTRA, Mario “La prestación de servicios de información crediticia a tenor de lo dispuesto en la ley 25.326”, en E.D. 11.7.2002.
(14) La situación provocada por la “publicidad de los juicios iniciados ante la Cámara Nacional de Apelaciones en lo Comercial”, ha motivado que la Asociación de Abogados de Buenos Aires, con fecha 5.6.2001 resuelva: “1)Dirigirse a las autoridades de Superintendencia de la Cámara Nacional de Apelaciones en lo Comercial solicitando la modificación de su Reglamento Interno de modo que en los listados o informes que emita diariamente solo se informen los juicios que efectivamente han sido presentados en los juzgados asignados, o en su defecto, de continuar con la actual práctica, se consigne que “la información obrante en sus registros consiste exclusivamente en el nombre de las partes, objeto del juicio y monto del litigio, cuya solicitud de asignación de juez interviniente ha sido resuelta en la fecha, quedando a cargo de las empresas de bancos de datos y/o interesados la realización de la compulsa de las actuaciones para constatar el estado de las mismas” aclaración que debe ser obligatoriamente incluída en toda distribución o cesión de estos informes; 2) Sugerir también a la Cámara Nacional de Apelaciones en lo Comercial que emita listados diarios sobre la base de informes que requiera a los Juzgados Nacionales de Primera Instancia del fuero sobre la conclusión de las causas en trámite; 3) Expresar públicamente la preocupación de la AABA por las consecuencias negativas que la utilización arbitraria de estos informes provoca en los derechos de consumidores y usuarios que ven restringidos o vedado su acceso al crédito sobre la base de informes sobre acciones judiciales supuestamente iniciadas, que en numerosos casos, no revelan siquiera un incumplimiento cierto de obligaciones, lo que se contradice con los principios de calidad de los datos personales introducidos por la Ley 25.326; 4) Cursar nota a la Cámara de empresas que nuclea dichas organizaciones y emitir una declaración respecto al uso que hacen de la información obtenida”. Resolución N°1/01 de la AABA, Revista “PLENARIO, publicación de la Asociación de Abogados de Buenos Aires, N°54, Abril/Julio de 2001, p. 39/40)
(15) STIGLITZ, Gabriel A. y STIGLITZ, Rosana M., “Responsabilidad civil por daños derivados de la informática”, en LL. 1987-E, Sec. Doctrina, p. 795.
(16) BORDA, Alejandro “La responsabilidad extracontractual por ilicitudes informáticas en las Jornadas de Homenaje a Jorge Bustamante Alsina”, E.D.139-936)
(17) CNCiv., sala F, 6.2.2002, “Ravina., Arturo O. c. Organización Veraz SA. s. daños y perjuicios”, por voto del Dr. Fernando POSSE SAGUIER, al que adhirió Elena I. HIGTON de NOLASCO, en disidencia el Dr. Ricardo L. BURNICHON, quien sostuvo la aplicación de los arts. 1109 y 1067 del C. Civil, que requieren que se demuestre que el daño proviene de la imprudencia o negligencia del accionado. L.L. 16.4.2002.
(18) La desigualdad esencial de los sujetos enfrentados y a la que se busca equilibrar mediante la actuación jurisdiccional, constituye uno de los elementos que caracteriza a la justicia protectora, al decir de RIVAS, y en la que está inserta la acción de hábeas data. RIVAS, Adolfo A. “Hábeas data”, Libro de ponencias del XX Congreso Nacional de Derecho Procesal celebrado del 5 al 9 de octubre de 1999, en San Martín de los Andes, Neuquen, p.346.
(19) CNCom,sala B 26.4.2001, Rodriguez, Luis M. y otros c. Bco. de Galicia y Bs. As. s. ordinario, E.D. 25.10.2001.
(20) CApel.CC Rosario, sala IV, 8.8.2001, Alessi, Ezio D. C. Organización Veraz SA. s. hábeas data”, E.D. 22.3.2002. En dichas actuaciones ante la actitud reticente y morosa del BBV Banco Francés, que no suministró la información requerida judicialmente, se ordenó a dicha institución y al B.C.R.A, a pesar de no ser partes en las mismas, a que arbitren las medidas conducentes, a efectos de que resulte removido definitivamente el dato cuestionado.
(21) DALL’AGLIO, Edgardo, “Los contratos informáticos. Particularidades”, en Revista “Ius”, año 1986, N° 38, p. 151.
(22) Cám.Fed. de Córdoba, sala A, 8.6.99, “Pastor, Gabriel E. c. BCRA. y Bco. Francés SA.”, en Semanario Jurídico T° 81-1999-B-179, con nota de PICASSO, Sebastián y WAJNTRAUB, Javier H., “La protección de los datos personales en un acertado decisorio”; en sentido contrario: CNCom., sala D, 10.8.2002, Bachrach, Pedro c. B.C.R.A., causa n° 54547/97, citado por PICASSO, Sebastián, “El Banco Central y la imposición de costas en la acción de hábeas data”, en L.L. 26.7.2002)
(23) CORREA, Carlos M., BATTO, Hilda N., CZAR de ZALDUENDO, Susana y NAZAR ESPECHE, Félix A., “Derecho informático”, p.273, Ed. Depalma, 1994.
(24) MORELLO, Augusto M., “Los abogados”, Abeledo-Perrot, Bs. As., 1999, pág. XXV.
Ademas de esto me parecio interesante lo siguiente:
INTRODUCCIÓN
En las relaciones contractuales que surgen día a día en el mercado informático aparecen conflictos que tienen su origen en problemas de comunicación entre las partes, exceso de confianza o a veces incluso de desconfianza y desequilibrio en el nivel de conocimientos técnicos, entre otras causas.
Vamos a efectuar un rápido análisis de los dos "entornos" en los que más habitualmente plantean reclamaciones judiciales el suministrador o el usuario de productos o servicios informáticos.
Intentaremos localizar las causas de estos conflictos al mismo tiempo que hacemos un repaso de los proyectos legislativos existentes en la actualidad y de las sentencias que hemos podido recopilar.
A. RESPONSABILIDAD CIVIL POR PRODUCTOS Y SERVICIOS INFORMATICOS DEFECTUOSOS.
1. PRODUCTOS INFORMATICOS
1.1 HARDWARE
La compraventa de ordenadores y periféricos no entraña ninguna dificultad a la hora de diseñar el esquema de responsabilidades aplicable a un defecto oculto o a un daño causado por un mal funcionamiento.
El ordenador es equiparable a cualquier otro producto, y le son aplicables por lo tanto las normas relativas a los demás bienes muebles que son objeto de transmisión en el mercado.
Es de destacar, en este sentido el cambio que se va a producir próximamente al entrar en vigor la ley de transposición de la Directiva 85/374/CEE sobre responsabilidad civil por daños causados por productos defectuosos.
Los aspectos más importantes del Proyecto de Ley, que entró el pasado 12 de mayo de 1994 en el Senado, son los siguientes:
1) Se entiende por producto defectuoso aquél que no ofrece la seguridad que cabría legítimamente que esperar, teniendo en cuenta de forma especial su presentación, el uso razonablemente previsible del mismo y el momento de su puesta en circulación.
En el caso del hardware, son realmente trascendentes los dos últimos aspectos.
Un usuario con poca formación en materia informática se muestra a menudo excesivamente optimista frente a las prestaciones que puede ofrecerle un ordenador. El que se inicia como usuario informático sabe que no coincide exactamente con la realidad aquella frase que decía: "tocas una tecla y ya está", pero ello no impide que a veces se contagie por la ilusión de acceder a una nueva tecnología con el convencimiento interno de que todas sus expectativas se verán satisfechas. Por ello, entendemos que el desarrollo del concepto "uso razonablemente previsible" permitirá diferenciar las aptitudes de un equipo informático para satisfacer las necesidades de usuario de acuerdo con unas especificaciones técnicas establecidas y no con unas expectativas subjetivas apartadas de la funcionalidad media.
Por otro lado, el momento de la puesta en circulación es decisivo para analizar a quién debe corresponder el riesgo de la obsolescencia. Aunque un producto no podrá ser considerado defectuoso por el solo hecho de el mismo producto se ponga posteriormente en circulación de forma más perfeccionada, de acuerdo con el artículo 3.2 del proyecto.
2) Entre las causas de exoneración de la responsabilidad del fabricante o del importador de un equipo informático cabe destacar la de que el estado de los conocimientos científicos y técnicos existentes en el momento de la puesta en circulación no permitía apreciar la existencia del defecto.
3) Son ineficaces frente al perjudicado las cláusulas de exoneración o de limitación de la responsabilidad civil por productos defectuosos.
4) La responsabilidad del fabricante o importador podrá deducirse o suprimirse en función de las circunstancias del caso, si el daño causado fuera debido conjuntamente a un defecto del producto y a culpa del dañado o de una persona de la que éste deba responder civilmente.Es de destacar la labor efectuada por los tribunales arbitrales de consumo en la resolución de divergencias causadas por la adquisición de productos informáticos. En muchos casos, el mal funcionamiento del equipo se debe a defectos de escasa entidad cuya reclamación por la vía judicial sería mucho más onerosa.
Deben diferenciarse aquí las reclamaciones que tienen su origen en un defecto del producto, de aquéllas en las que el equipo funciona correctamente, pero no se ajusta a las necesidades del usuario, es decir, se ha entregado un "aliud pro alio"
En este caso debemos distinguir entre el usuario que simplemente adquiere un ordenador y el que contrata una solución. En el primer caso estaremos ante una simple compraventa pero en el segundo concurrirá además un contrato de consultoría, caracterizado por el encargo que hace el usuario para que el suministrador le asesore sobre el producto que se ajuste más a sus necesidades. Aunque este caso corresponde más a un supuesto de servicios informáticos, es habitual ver reclamaciones en las que se solicita la resolución de un contrato de compraventa alegando que el suministrador había incumplido su obligación de entregar un equipo que cumpliese las expectativas del usuario, entendiendo que al existir un desequilibrio entre los conocimientos de ambas partes, debía corresponder al suministrador la elección del equipo más idóneo.
Al usuario le corresponde la carga de la prueba para demostrar la existencia de un contrato previo de consultoría y en la valoración de los medios que aporte deberá tenerse en cuenta la finalidad profesional o doméstica de la adquisición del equipo, el nivel de conocimientos informáticos, el contenido de la oferta del suministrador, la información facilitada por el usuario, etc.
Atendiendo a las reclamaciones estudiadas para la realización de este artículo, podríamos clasificar las causas de la divergencia en las siguientes:
A. Existencia de defectos:
A.1 Defectos de diseño:
- Elección de componentes inadecuados
- Problemas de compatibilidad
- Insuficiencia en la capacidad de memoria RAM, velocidad del microprocesador, capacidad de disco duro, entorno gráfico, etc.
A.2 Defectos de fabricación:
- Componentes defectuosos
- Soldaduras o contactos defectuosos
- Información insuficiente sobre el uso del producto.
A.3 Defectos de instalación:
- Imputables al fabricante.
- Imputables al distribuidor o instalador
- Imputables al usuario
B. Solución global inadecuada
C. Insuficiencia de la información facilitada por el usuario
D. Mal uso por parte del usuario
1.2. SOFTWARE
Cuando hablamos del software como producto nos referimos a los paquetes standard, y su tratamiento no difiere mucho, en cuanto a la responsabilidad del fabricante, de los productos de hardware a los que hemos hecho referencia en el apartado anterior.
En este caso cobra mayor importancia el problema de las expectativas del usuario, ya que, mientras la concepción de cuáles son las funciones de un ordenador está clara para la mayoría de usuarios, las dudas sobre la idoneidad de un programa de ordenador pueden ser importantes si no media el asesoram iento de un profesional informático.
Dentro de los niveles de adaptación de un programa a las necesidades de un usuario determinado cabe distinguir:
- El paquete estándar, cuyo grado de adaptación es mínimo, por ir dirigido a una pluralidad de usuarios. En este caso, la responsabilidad del fabricante del producto por la idoneidad de sus funciones, es decir, por el grado de satisfacción de las necesidades del usuario, acostumbra a estar excluida, por la heterogeneidad de las prestaciones que necesita cada usuario. El suministrador sólo será responsable de la idoneidad del programa cuando haya efectuado un análisis previo de las necesidades del usuario y haya aconsejado la adquisición de ese paquete de forma errónea. Estaríamos ante el caso, antes comentado, del servicio de consultoría previo que puede acompañar a la adquisición de un producto informático.
- El paquete standard personalizado, o adaptado a un cliente concreto. En este caso el nivel de satisfacción del usuario es superior, pero cabe también la posibilidad de error en la elección de esta solución y no la de un desarrollo a medida. Generalmente estamos ante un contrato híbrido, formado por una licencia de uso y un arrendamiento de obra consistente en la adaptación del programa. El origen de algunas reclamaciones en las que se solicitaba la resolución de un contrato de esta naturaleza ha estado en la excesiva confianza del suministrador en la flexibilidad del programa, en una afán comercial por vender un producto determinado o en una indefinición del usuario respecto a sus necesidades informáticas.
- El programa desarrollado para un cliente específico, en el que el usuario tiende a esperar que todas sus necesidades se vean satisfechas. Este tipo de contratación será objeto de un estudio específico en el apartado de servicios informáticos.
Para concluir, una sentencia que resalta los riesgos de la contratación verbal en materia de informática. Se trata de un caso en el que el usuario de una aplicación vertical destinada al sector de Administradores de Fincas solicita a su suministrador el código fuente del programa que hasta esa fecha venía utilizando en código objeto. El Administrador de Fincas dispone de un informático en plantilla que precisa el código fuente para efectuar ciertas adaptaciones del programa. Tras pactar verbalmente las condiciones de la entrega y el aplazamiento del pago, el usuario recibe el código fuente, pero transcurrido un tiempo, el informático que debía efectuar la modificación, se ve incapaz de hacerlo, por exigir tal operación unos conocimientos técnicos superiores a los que realmente tenía. Ante la imposibilidad de sacar provecho al referido código fuente sin un desembolso mayor y estando pendientes las cantidades aplazadas, el usuario decide devolverlo al suministrador, solicitando la resolución del contrato.
Tras las correspondientes negociaciones y requerimientos notariales el suministrador interponde una demanda contra el usuario exigiendo el pago de las cantidades aplazadas. El usuario contesta y reconviene solicitando la resolución del contrato por considerar que el suministrador tenía la obligación de instalar el código fuente a satisfacción del cliente y que dicha obligación se ha incumplido al haberse entregado el código fuente en sus soportes y no haberse efectuado la puesta en marcha. El Juzgado de 1ª Instancia, acudiendo a las obligaciones del suministrador en el contrato relativo al código objeto, e interpretando ampliamente la palabra instalación como puesta en marcha a satisfacción del cliente, entiende que el suministrador ha incumplido el contrato y que procede la resolución del mismo. Apelada la sentencia, ésta es ratificada por la Audiencia Provincial.
Entendemos que todo ello se habría evitado si el suministrador hubiese establecido contractualmente que su obligación se limitaba a la entrega del código fuente, corriendo a cargo del usuario la adaptación e instalación del mismo. No obstante, es evidente que falta una unificación de la terminología informática desde el punto de vista de su significación jurídica, por lo que se hace aconsejable el típico apartado de definiciones en los contratos.
2. SERVICIOS INFORMÁTICOS
2.1 DESARROLLO DE SOFTWARE
2.1.1 Métodos de análisis y de diseño
Los problemas que más habitualmente originan desacuerdos en los proyectos informáticos son los siguientes:
- Inicio de la programación sin análisis funcional: A pesar de que parece increíble que ello pueda ocurrir, el exceso de confianza entre las partes, o la aparente ausencia de dificultad de un proyecto, hacen que, en ocasiones se inicie la fase de programación sin que ambas partes hayan planteado los objetivos a alcanzar ni se hayan descrito las funciones que el programa deberá llevar a cabo para satisfacer las necesidades del cliente.
- En otras ocasiones se ha realizado un análisis funcional, pero la metodología empleada ha sido incorrecta, por lo que el análisis es defectuoso o insuficiente.
- En muchos casos, la propia inexperiencia del usuario no le permite conocer cuales son exactamente sus necesidades, por lo que la información recibida por la empresa de desarrollo es incompleta y obliga a constantes replanteamientos del proyecto.
- También se da la circunstancia de que el usuario dispone de experiencia e incluso de personal informático propio, pero los cambios de criterio sobre la estrategia de la empresa a largo plazo o los cambios de interlocutor son los que originan los cambios en el proyecto.
Teniendo en cuenta que un cambio funcional a mitad de un proyecto obliga a replantear aspectos básicos del mismo, y por lo tanto, a empezar de nuevo módulos enteros del mismo, será fácil comprender que, cuando concurre una de las circunstancias antes descritas, o el usuario acabe pagando un precio superior al inicialmente presupuestado, o la empresa informática acabe el proyecto con una pérdida importante de dinero. Todo ello suponiendo que una de las partes no haya solicitado la resolución del contrato con anterioridad a la finalización.
Por ello, en la difícil tarea de atribuir la responsabilidad del fracaso del proyecto, habrá que tener en cuenta los siguientes elementos:
- Nivel de formación y experiencia informática de ambas partes.
- Existencia o no en la plantilla del usuario de técnicos informáticos que participen activamente en la fase de análisis funcional.
- Empleo de una metodología de análisis y diseño correcta.
- Nivel de rotación del personal de ambas partes asignado al proyecto.
- Existencia de circunstancias internas o externas que incidan en el proyecto: fusión de empresas, cambios organizativos, cambios legislativos, etc.
Hay que añadir que una parte importante de la carga probatoria relativa a este tipo de demandas se ha centrado en demostrar si la relación contractual pivotaba sobre la base de un arrendamiento de servicios o de un arrendamiento de obra, es decir, si la empresa informática estaba obligada a una prestación o a un resultado.
Es evidente que toda prestación de actividad tiende a un resultado, pero de lo que se trata es de determinar si el resultado ha sido incorporado en el contrato y, en caso afirmativo cuál de los posibles resultados, hasta el punto de que el obligado se comprometa a conseguirlo.
La regulación del Código Civil y la jurisprudencia aplicable no podían escapar a la "vis atractiva" de la obra inmobiliaria, por lo que tal régimen ha resultado en ocasiones poco esclarecedor.
Merece, por ello un estudio aparte el proyecto legislativo que pretende subsanar esta insuficiencia.
2.1.2 Proyecto de modificación del Código Civil
De acuerdo con el Proyecto de Ley publicado el pasado 12 de abril de 1994 en el Boletin Oficial de las Cortes, por el que se modifica la regulación del Código Civil sobre los contratos de servicios y de obra, los puntos más destacados de la reforma son:
El artículo 1.583 del Proyecto define el contrato de servicios como aquél en el que una de las partes se obliga, a cambio de una retribución, a realizar determinada actividad considerada en si misma y no por su resultado.
Por otro lado, el artículo 1.588 del Proyecto define el contrato de obra como aquél mediante el cual el contratista se obliga a ejecutar determinada obra a cambio de la prestación convenida, entendiéndose por obra la construcción, reparación o transformación de una cosa, así como la obtención de cualquier otro resultado convenido por las partes.
Cabe resaltar la novedad introducida por el Proyecto al ampliar el concepto de obra no sólo a la construcción de una cosa, sino también a su reparación o transformación.
Piénsese que parte de los esfuerzos probatorios en las demandas de este tipo consisten en demostrar que la adaptación de un programa standard a las características específicas de un determinado usuario constituye un arrendamiento de obra.
Recordemos el supuesto antes comentado del contrato híbrido formado por la cesión del derecho de uso de un programa de ordenador standard y el arrendamiento de obra consistente en su personalización.
Es importante el régimen establecido para la entrega, la recepción y la presunción de aprobación. Así, el artículo 1.592 establece que la obra deberá ser realizada y puesta a disposición del comitente en el plazo convenido.
A tal fin, deberá el contratista comunicar al comitente la conclusión de la obra, para que proceda a su recepción, que se realizará en el momento que ambos convengan o, en otro caso, al concluir los diez días siguientes. En la recepción podrá el comitente, con los asesoramientos que estimare pertinentes, formular reservas, señalando los vicios manifiestos que apreciare, o rechazarla.
Si no hubiese existido recepción expresa, se entenderá que la recibe y aprueba si transcurren sin protesta otros diez días.
Sigue el sistema anterior respecto a la obra hecha a satisfacción del usuario, en el sentido de que se entiende reservada la aprobación, a falta de conformidad a la decisión de peritos que nombren las partes.
La aprobación explícita o implícita excluye la responsabilidad del contratista por los vicios o defectos que al tiempo de la recepción de la obra fueren manifiestos, y también por los que no lo fueren si quién aprobó la obra hubiera podido conocerlos fácilmente por razón de su oficio o profesión.
Tampoco responderá el contratista de los vicios o defectos imputables al comitente ni de los que se deban a la mala calidad de los materiales elegidos o aportados por éste, si el contratista hubiera advertido esta circunstancia antes de utilizarlos o de incorporarlos a la obra.
De existir vicios o defectos de los que deba responder el contratista el comitente podrá optar entre rebajar una cantidad proporcional del precio o exigir que aquéllos sean corregidos por el contratista; en este caso y si no los corrige en plazo prudencial, después de haber sido requerido, o si la reparación no permite demora, podrá hacerlo el comitente con cargo al contratista.
Debe tenerse en cuenta que en muchos casos los defectos son de imposible corrección debido a que:
-o bien la especial forma de trabajar de la empresa informática impide la continuación del proyecto por un tercero.
-o bien la pérdida de confianza entre las partes impide el acuerdo y la transmisión de información necesarios para la corrección.
Por ello el Proyecto prevé que cuando los vicios o defectos hagan la cosa inadecuada para su uso normal o convenido o resulten de imposible corrección, podrá, además el comitente optar por la resolución del contrato.
En este caso, si la obra queda incorporada a cosa propia del comitente, el contratista tendrá derecho a reclamar la utilidad que la obra reporte al comitente sin que exceda de su coste. Todo ello sin perjuicio de la obligación del contratista de indemnizar daños y perjuicios si procediere.
Se tendrán por no puestas las cláusulas que excluyan o limiten la responsabilidad del contratista por vicios o defectos de la obra.
El plazo de prescripción de estas acciones es de tres años a partir de la recepción de la obra.
Otra importante novedad es que en el caso de que el comitente desista, por su sola voluntad de la obra ya empezada, deberá indemnizar al contratista todos sus gastos y trabajo, así como el beneficio que habría obtenido de haberla terminado.
Respecto a los cambios funcionales y aumentos de carga comentados con anterioridad, el Proyecto establece que las variaciones en el encargo requerirán la conformidad de ambas partes. No obstante, el contratista deberá atenerse a las ordenadas por el comitente que, sin alterar sustancialmente la obra, supongan aumento o disminución que no exceda de la décima parte del presupuesto. En tal caso, quedará modificado proporcionalmente el precio y, si el contratista lo pidiera, se modificará adecuadamente el plazo de ejecución de la obra.
Esta última regla se aplicará cuando las variaciones vengan impuestas por exigencias legales técnicas o para respetar derechos de terceros. Si suponen aumento o disminución que exceda de la cuarta parte del presupuesto, cualquiera de las partes podrá desistir del contrato. Si es el contratista el que desiste tendrá derecho al coste de la obra realizada. Si es el comitente, deberá el precio de la misma.
A continuación se introduce la novedad a nuestro juicio más importante aplicable al desarrollo de software, la penalización de una de las partes por su falta de previsión. Hemos dicho anteriormente que la empresa informática no debe ser responsable de la falta de previsión del usuario en el momento de describir sus necesidades. Al mismo tiempo la empresa informática debe tener en cuenta la posible obsolescencia del programa y el natural crecimiento o evolución del usuario.
El Proyecto de modificación del Código Civil resuelve el asunto estableciendo que si las variaciones se deben a falta de previsión de alguna de las partes, ésta indemnizará los daños y perjuicios y quedará privada de la facultad de desistir.
2.1.3. Propuesta de Directiva sobre Services Liability
Al igual que existe una Directiva Comunitaria sobre responsabilidad por productos defectuosos, existe una Propuesta de Directiva relativa a la responsabilidad de los prestadores de servicios, de contenido similar.
El concepto de servicio queda definido como cualquier transacción realizada con finalidad comercial o mediante un servicio público y de forma independiente, onerosa o gratuita, que no tenga como objeto directo y exclusivo la fabricación de bienes muebles o la transferencia de derechos reales o de propiedad intelectual.
El perjudicado deberá demostrar el daño y la relación causal entre la prestación del servicio y el daño.
El prestador de un servicio no puede limitar o excluir su responsabilidad.
Los derechos de los perjudicados se extinguirán en el plazo de cinco años desde la fecha de prestación del servicio.
2.1.4. Aspectos procesales: la prueba pericial
Los procedimientos relativos a la resolución de contratos de desarrollo de software tienen especiales dificultades en el periodo de práctica de la prueba. No todas las reclamaciones que se producen afectan a proyectos previstos para el entorno PC.
Cuando se trata de grandes configuraciones, de programas extremadamente complejos, de lenguajes de programación poco conocidos o de sistemas operativos en los que hay pocos especialistas, a la tarea de buscar un perito imparcial y conocedor de la materia se une la incertidumbre sobre si va a aceptar el cargo o no.
Hay que tener en cuenta que en muchos casos, la emisión del informe pericial implica muchas horas de dedicación, y el perito es generalmente un profesor de informática o un profesional que tiene su propio trabajo que atender. Además, si la parte condenada en costas es insolvente, es difícil que el perito llegue a cobrar sus honorarios.
Todo ello hace que, en los casos de prueba pericial compleja, exista una cierta desmotivación del perito para aceptar el cargo. No obstante, debemos resaltar el trabajo efectuado hasta la fecha por la Asociación de Técnicos de Informática ATI, en la localización de peritos informáticos para la Administración de Justicia y en la unificación de metodologías periciales. En el número 103 de la revista NOVATICA se hace un magnífico estudio monográfico sobre la llamada auditoría pericial.
Pero a la dificultad de encontrar un perito idóneo se une la de la escasez de tiempo para la práctica de la prueba pericial. Los plazos de los juicios declarativos son totalmente insuficientes para oficiar a la correspondiente universidad o asociación profesional, preparar la terna, insacular, aceptar el cargo, analizar el programa objeto del litigio y emitir un informe. Por ello, en este tipo de procedimientos siempre se acaba acudiendo a las medidas para mejor proveer.
Fijémonos por ejemplo en esta propuesta de pericial: Pericial informática: Consistente en que por un perito técnico en informática, designado por la Asociación de Técnicos de Informática, ATI, con domicilio en c/ Padilla 66, 3-D, Madrid 28006, y experto en lenguaje YYYY, emita dictamen acerca de los siguientes extremos:
1) Grado de veracidad de las siguientes afirmaciones:
En el método de diseño informático XXXX el cliente participa activamente en la fase de análisis funcional.
En el dicho método XXXX, los dirigentes de la compañía cliente fijan los objetivos a perseguir por el estudio del proyecto y toman las decisiones entre las posibles soluciones que se presentan como alternativas para obtener y satisfacer sus objetivos.
Los usuarios del sistema informático del cliente indican las necesidades detectadas en la ejecución de tareas y comunican la forma en que se efectúan dichas tareas.
Si el cliente incumple su obligación de comunicar sus necesidades reales en la fase de análisis, el proyecto deberá ser revisado en la fase de desarrollo.
Si el cliente introduce cambios funcionales durante la fase de desarrollo se producirán inevitables replanteamientos y retrasos en el proyecto.
La fase final del método XXXX está destinada a la depuración y subsanación de errores.
El Business Process Engineering (BPR) consiste en un rediseño de procesos que comporta cambios organizativos importantes en una empresa y afecta a los proyectos informáticos que en ese momento se estén desarrollando.
2) Estudio de la auditoría o control de calidad efectuada por el usuario, y aportada como DOCUMENTO NUEVE de la contestación a la demanda, con el fin de comprobar:
si son correctas las conclusiones a las que llega el informe.
en caso de ser ciertas:
si los problemas detectados son o no, subsanables.
si los problemas detectados impiden totalmente el funcionamiento de la aplicación.
número de horas aproximado, que sería necesario para la subsanación de los problemas apreciados.
si se hace referencia a nuevas funciones no previstas en el Análisis Funcional de la aplicación AAAA.
3) Análisis de la aplicación actualmente explotada por el usuario, con el fin de comprobar:
Si se cumplen las especificaciones técnicas contenidas en el Análisis Funcional de la aplicación AAAA.
Si aparecen nuevas funciones no previstas en el Análisis Funcional de la aplicación AAAA.
Si están subsanados los errores descritos en la auditoría realizada por el usuairo, aportada como DOCUMENTO NUEVE de la contestación a la demanda.
4) Examen del sistema informático del usuario, con el fin de comprobar:
si en las historizaciones de la aplicación AAAA efectuadas por el usuario con posterioridad al mes de marzo de 1992 aparecen movimientos que tambien sean posteriores a esa fecha en los que se hayan utilizado los códigos de usuario 123456 asignados a los técnicos de la demandante y por lo tanto determinar si ésta estuvo trabajando en la aplicación AAAA con posterioridad al mes de marzo de 1992.
Si existe algún fichero o tarea informática efectuada con alguno de los anteriores códigos en el mismo periodo de tiempo.
Si los movimientos o ficheros informáticos realizados en el periodo antedicho y utilizando alguno de los códigos referidos contienen subsanaciones de incidencias de la aplicación AAAA.
Si la historización de la aplicación AAAA más cercana al mes de octubre de 1992 cumple las especificaciones funcionales contenidas en el Análisis Funcional de la aplicación AAAA
En esta propuesta de prueba pericial se encuentran casi todos los elementos que son objeto de análisis en un procedimiento de este tipo, por lo que consideramos interesante haberla reproducido en su totalidad, a pesar de su extensión.
2.1.5. El contrato de escrow
El contrato de depósito o escrow, tiene como finalidad garantizar al usuario el acceso al código fuente del programa cedido en el caso de desaparición de la empresa titular de los derechos de propiedad intelectual.
En algunos casos, también se garantiza la disponibilidad del código fuente para la prestación del servicio de mantenimiento en los supuestos de imposibilidad de prestación por el titular debido a una serie de causas enumeradas en el contrato.
Este contrato está basado en la protección de elementos integrantes del código fuente que no pueden ser protegidos por la propiedad intelectual sino por el mantenimiento de un estricto secreto sobre los mismos: métodos, sistemas de trabajo, soluciones específicas, uso combinado de utilidades, etcétera...
El régimen del escrow consiste en la entrega del programa fuente a un feadtario público o asociación profesional que se convertirá en depositario del programa, asumiendo la función de custodia.
El depositario asume la obligación de entregar al usuario designado en el contrato, o legitimado por una licencia de uso, el código fuente depositado, cuando concurran las circunstancias especificadas en el contrato de escrow.
El titular de los derechos de propiedad intelectual que efectúe el depósito deberá comunicar y depositar las actualizaciones o transformaciones que realice sobre el programa fuente depositado.
Asimismo, deberá comunicar al depositario cualquier cambio de domicilio o transmisión de los derechos de propiedad intelectual sobre el programa depositado, que se produzcan a partir de la fecha de depósito.
2.2 MANTENIMIENTO
A continuación efectuamos una reseña de las cuestiones relacionadas con la responsabilidad civil que afectan a un contrato de mantenimiento:
contenido del servicio de mantenimiento: la finalidad de esta cláusula es establecer una delimitación clara de las prestaciones que se contratan y de las que quedan excluidas del servicio de mantenimiento. Es interesante configurar estas prestaciones en el contrato como módulos independientes, de esta forma el contrato puede ajustarse al tipo de programa o equipo informático objeto del mantenimiento. Los módulos más habituales son los siguientes:
-Hot line.
-Adaptación a cambios legales.
-Corrección de errrores.
-Adaptación a cambios sectoriales.
-Nuevas versiones o actualizaciones.
-Recuperación de información.
-Servicio de back up.
-Detección y prevención de virus.
-Servicio de escrow.
-Responsabilidades de la empresa informática: además de las obligaciones correspondientes a cada módulo, la empresa que presta el servicio de mantenimiento acostumbrará a responsabilizarse de dar un plazo de respuesta en un determinado tiempo, de tener disponibilidad de personal especializado, de respetar la confidencialidad de los datos a los que tenga acceso, de no destruir información, de indemnizar al usuario en cao de destrucción de información, etc.
-Responsabilidades del usuario: el usuario acostumbra a estar obligado a facilitar la prestación del servicio de mantenimiento, a conservar la documentación y los discos originales del programa , a realizar copias de seguridad de forma periódica, a facilitar la información que le sea requerida, a nombrar un interlocutor y a notificar el traslado de los equipos.
Respecto a la responsabilidad de ambas partes por la cesión temporal de trabajadores en el caso de que ésta sea una práctica habitual de la compañía informática, nos remitimos a la recientemente aprobada Ley 14/1994 de 1 de junio, por la que se regulan las empresas de trabajo temporal, y que fue publicada en el B.O.E. de 2 de junio de 1994.
2.3. OUTSOURCING
A continuación efectuamos una reseña de las cuestiones relacionadas con la responsabilidad civil que afectan a un contrato de outsourcing:
Plan de acción: El plan de acción proporciona una oportunidad para que ambas partes reflejen el acuerdo alcanzado respecto a los objetivos que van a establecerse. A partir de su aceptación, constituirá la mejor referencia escrita a la que podrá acudirse para comprobar si los resultados de la colaboración son positivos.
Por ello es importante que el plan de acción reúna los siguientes requisitos:
Debe ser exhaustivo y detallado: Es indispensable que incluya todas las actividades que van a desarrollarse, los plazos previstos para cada fase y una previsión de las necesidades que puedan surgir a medio y largo plazo.
Debe estar integrado por el plan general de la empresa, y por lo tanto, ser fiel a la estrategia global de la misma.
Contendrá los objetivos a alcanzar y un orden de prioridades.
Irá firmado por las dos partes como prueba de la aceptación de su contenido.
Formará parte del contrato como anexo.
La división del contrato en módulos que representen las diferentes prestaciones a contratar facilitará la diferenciación entre ellas y definirá la existencia de un outsourcing total o parcial.
Dentro de las actividades relacionadas con el outsourcing destacan:
- consultoría.
- desarrollo de aplicaciones.
- implantación de aplicaciones.
- formación.
- mantenimiento: preventivo, correctivo y actualizaciones.
- operación.
- servicios de redes.
- servicios de back up.
Es importante definir las áreas o departamentos de la empresa que se verán involucrados en el outsourcing.
Es normal que el ámbito de aplicación esté constituido por la totalidad de la empresa aunque en ocasiones, la decisión de externalizar la gestión de los sistemas informáticos afecta sólo a determinados departamentos.
Resulta imprescindible establecer en el contrato la existencia de un interlocutor individual o colectivo al que se asignarán las siguientes misiones:
- interface entre la gerencia de la empresa y el socio tecnológico.
- comprobación del cumplimiento del plan de acción.
- coordinación global a través de reuniones periódicas.
- elaboración de informes sobre disponibilidad, tiempo de respuesta, calidad, etc.
- Garantías que acostumbran a incluirse:
- garantía de funcionamiento.
- garantía de idoneidad de la solución.
- garantía de economía de costes.
- control de calidad.
- disponibilidad/tiempo de respuesta.
- seguridad de datos/back up.
- garantía de acceso al código fuente/escrow.
-Plazos de entrega:
Es conveniente definir en los anexos correspondientes los plazos de finalización y entrega de cada prestación, siendo recomendable en ciertas ocasiones el establecimiento de cláusulas de penalización que aseguren la cobertura de los daños que pueda provocar el retraso.
Debe quedar estipulado quién asume los riesgos y responsabilidades derivados de la relación contractual.
Entre ellos destacan especialmente:
Riesgo de obsolescencia: es una característica propia del contrato de outsourcing la transmisión del riesgo de obsolescencia del sistema al suministrador del servicio.
Solución inadecuada: en los casos de outsourcing total, el socio tecnológico participa de las decisiones estratégicas relativas a la configuración del sistema, y define cuál es la solución más idónea para las necesidades presentes y futuras del usuario. En caso de elegir una opción incorrecta es lógico que la responsabilidad recaiga sobre el suministrador del servicio.
Mal funcionamiento: se definirán las responsabilidades y el tipo de daños de los que cada parte deberá responder.
Pérdida de datos: también se establecerá el régimen de responsabilidades respecto a la destrucción o a la pérdida de información.
Finalmente, es aconsejable incluir en el contrato la obligación de ambas partes de contratar un seguro de responsabilidad civil que cubra las responsabilidades que a cada una puedan corresponder.
B) RESPONSABILIDAD CIVIL POR INFRACCION DE LOS DERECHOS DE AUTOR RELATIVOS AL SOFTWARE.
1. TIPOS DE INFRACCION
1.1 Usuario final
Consiste en la reproducción no autorizada de un programa con el fin de utilizarlo en diversos ordenadores de la empresa.
El usuario puede realizar una copia de seguridad del programa, pero si la utiliza se convierte en una copia no autorizada.
1.2. Venta por correo
Este tipo de infracción la realizan normalmente aficionados a la informática que actúan de forma individual, aunque a veces pueden constituir una compañía mercantil o un club de usuarios.
En la mayoría de los casos se anuncian en revistas de anuncios de inserción gratuita o en prensa especializada en informática, ofreciendo la venta de programas de todo tipo y de videojuegos.
El origen de estas copias suele estar en la reproducción no autorizada de un original o de otras copias obtenidas mediante el mismo sistema.
1.3. Tienda de informática
En este caso la infracción puede consistir en la entrega de copias no autorizadas en disco flexible o ya instalados en el disco duro, como estímulo para la venta de ordenadores.
1.4 Centro de formación
La infracción puede consistir tanto en la entrega de copias no autorizadas a los alumnos como en la reproducción no autorizada de programas con el fin de instalarlas en los ordenadores de las aulas de formación.
1.5 Empleados desleales
La actividad infractora del empleado de una empresa de software consiste habitualmente en la comercialización no autorizada de un programa propiedad de la propia compañía en la que prestaba sus servicios. Este supuesto se diferencia del caso del distribuidor no autorizado en dos factores:
- El ex-empleado ha tenido acceso al código fuente y es probable que tenga una copia del mismo.
- El ex-empleado ha participado en el desarrollo del programa, por lo que es posible que reivindique algún derecho sobre el mismo.
La posesión del código fuente permitirá al ex-empleado modificar o enmascarar el programa con el fin de cambiar su apariencia externa y evitar la identidad con el original. En caso de reclamación, esta circunstancia obligará al actor a proponer un examen pericial del programa para determinar el grado de similitud y la existencia o no de una reproducción total o parcial.
Otra actividad del ex-empleado desleal que se ha convertido en habitual consiste en entrar en contacto con los clientes de la empresa titular del programa, con el fin de sustituir a ésta en el servicio de mantenimiento, para lo cual el infractor acostumbrará a realizar las siguientes acciones:
- Copia no autorizada del programa fuente.
- Modificación no autorizada del programa fuente.
- Compilación, reproducción y cesión no autorizadas del programa modificado.
2. RESEÑA DE SENTENCIAS
2.1 Sentencia firme del Juzgado de lo Penal Nº 20 de Barcelona de fecha 18 de octubre de 1993: "Reproducción, conforme al artículo 18 LPI la constituye la fijación del programa de ordenador en un disquette o en una cinta magnética, dado que los mismos son medios que permiten almacenar cualquier información codificada.
Es indiferente para la protección de los derechos de Propiedad Intelectual que la obra esté inscrita Registro de la Propiedad Intelectual, ya que la inscripción tiene carácter declarativo del derecho y no constitutivo.
Los actos externos y obetivos que determinan el elemento subjetivo del dolo son: la dedicación del acusado a la informática, es un profesional del medio que conoce las reglas que rigen el uso de los programas y la prohibición de copiar.
El acusado actuaba movido por el ánimo de lucro. Es evidente que la enseñanza privada constituye una actividad comercial que produce beneficios. Con la copia se reducían los costes del curso y aumentaba el margen de beneficio.
El artículo 37 LPI no tiene aplicación en relación a los programas de ordenador en virtud de los dispuesto en el artículo 99.2 LPI, en el que se indica que la reproducción, incluso para uso personal, exi-girá la autorización del titular.
El centro, como responsable civil subsidiario, deberá indemnizar a los perjudicados en la remuneración que habrían percibido de haber autorizado la explotación, de acuerdo con el artículo 125 LPI.
No consta acreditado que los titulares de los derechos de explotación sufrieran daños morales por el proceder del acusado. Distinto hubiera sido que se hubiera alterado la configuración inicial del programa, con menoscabo de imagen."
2.2 Sentencia del Juzgado de lo Penal nº 13 de Madrid, de fecha 21 de julio de 1993, ratificada por la Audiencia Provincial, Sección Sexta, el 22 de febrero de 1994: "De la relación de clientes, encriptada en el disco duro, y de los movimientos de sus cuentas corriente resulta que el acusado recibía abonos por giro postal por cantidades no elevadas, síntoma típico de pago a distancia y, por consiguiente, de ánimo de lucro.
No consta valoración económica de las copias ilícitas que permita comprobar la concurrencia de la agravante de "especial trascendencia económica". Pero la existencia de copias y ventas anteriores configuran un delito continuado.
El acusado deberá indemnizar a los perjudicados que han ejercitado la acción civil en el precio que tenían los programas copiados en la época de los hechos y en que fueron intervenidos al acusado."
2.3 Sentencia firme del Juzgado de lo Penal Nº 1 de León de fecha 2 de julio de 1993: "Es notoria la relevancia alcanzada por la difusión pública de la problemática relativa al fraude y la piratería informática, lo que no puede ser desconocido por el público en general y menos aún por quien es un experto en informática.
Y máxime cuando en la primera pantalla de los programas propiedad de la acusación aparece la mención Copyright. Deberá valorarse incluso el posible daño moral o desprestigio que para la firma titular de los derechos sobre los programas pudiera derivarse de la divulgación por el acusado de los programas no actualizados, dada la constante evolución y actualización a que se someten los programas técnicos."
2.4 Sentencia de la Audiencia Provincial de Valencia, Sección Cuarta, de fecha 29 de noviembre de 1993: "El delito provocado viene constituido por una inducción engañosa de un agente que incita a perpetrar un delito a quien previamente no tenía tal propósito, siendo la actividad del provocador determinante en la acción delictiva.
No existe quebranto del principio de legalidad cuando se trata de descubrir delitos ya cometidos, generalmente de tracto sucesivo, porque en tales casos el provocador no busca la comisión del delito, sino acreditar el ya cometido.
En orden a la responsabilidad civil, el artículo 534 Ter. del Código Penal contiene una remisión a lo establecido en la LPI, creando un patrón de medida al que el Juez de lo Penal, al estudiar la acción civil, ha de acudir."
Autor: Xavier Ribas, Contract-Soft onnet
I. INTRODUCCIÓN
En el tratamiento informático de los datos que se genera en las actividades comerciales electrónicas nos encontramos con diversos problemas en el campo jurídico, entre los cuales cabe mencionar la validez del consentimiento otorgado por medios electrónicos; la determinación del lugar, momento y perfección del contrato; prueba de la aceptación; autenticidad de las partes; el uso y validez los medios electrónicos de pago y la multiplicidad de sujetos intervinientes, supuesto éste en que se destaca la participación de los intermediarios encargados de suministrar los servicios informáticos para poner en contacto a los diferentes sujetos que deseen contratar por vía electrónica.
A medida que el comercio electrónico crece, deviene cada vez más importante definir los derechos, obligaciones y responsabilidades de las partes especialmente la de los intermediarios en el sistema de pagos. El desarrollo del comercio electrónico genera también riesgos derivados de los problemas inherentes a los sistemas electrónicos que sirven de instrumento para el intercambio de datos, los cuales son susceptibles de usos, abusos y errores por personas no autorizadas que pueden provocar graves perjuicios. Estos riesgos se acentúan especialmente cuando el comercio se desarrolla en redes abiertas como Internet, siendo los más importantes la suplantación del autor y fuente del mensaje, la alteración del mensaje durante la transmisión, la negativa de haberlo enviado o de recibido y la lectura por persona no autorizada. Esta situación requiere un estudio, de todas las eventualidades en el marco de la realización de la actividad, y la previsión de sus efectos jurídicos, distribuyendo el riesgo contractualmente, en caso de que ello sea factible.
II. PROBLEMÁTICA PLANTEADA.
Los principales problemas que se plantean con respecto a la responsabilidad civil en el comercio electrónico consisten de un lado en la falta de previsión legislativa y en el abuso de normas exoneratorias de responsabilidad, en tanto que la mayoría de los contratos que ofrecen servicios electrónicos son contratos de adhesión con cláusulas tipo, y del otro, la determinación de la persona sobre la cual recae la acción de responsabilidad. En este sentido, Solano Bárcenas afirma que la responsabilidad contractual en este caso implica la presencia de numerosos protagonistas: servidores, usuarios, productores, transportadores, etc. cuyas relaciones contractuales no están enmarcadas por disposiciones legislativas específicas y que tienden generalmente a abusar de las cláusulas de no responsabilidad. (1)
Cavanillas Múgica por su parte, señala dos peculiaridades en el marco de la responsabilidad originada con motivo del tráfico informático: En primer lugar, la multiplicación de los eventuales legitimados pasivos, como consecuencia de la aplicación de la tecnología informática, siendo ssusceptibles de acción de responsabilidad, fabricantes, vendedores, empresas de mantenimiento de cada uno de los componentes del hardware de cada usuario, el suministrador del software, el intermediario electrónico,el propietario de la línea empleada, el concesionario de la misma, etc. En segundo lugar alude a la complejidad tecnológica de los medios empleados que puede en muchos casos impedir o hacer demasiado costosa la prueba acerca de la fase del circuito en la que se ha producido la disfunción. Por lo que, a la pluralidad de sujetos a responder, se agrega la dificultad en la identificación del causante. (2)
Con relación al daño causado en la contratación electrónica, Bauza Reilly destaca que en la actividad telemática se plantea en la práctica, un gran problema para poder determinar tanto el daño como el hecho dañoso, dada la multiplicidad de elementos técnicos y humanos que intervienen en cualquier rutina, por simple que sea, en este sentido, la víctima del daño causado puede ser tanto el propio titular de la red (transportador), como los sujetos que actúan en cada extremo de la línea (servidor y usuario). Las principales dificultades en este ámbito, giran en torno a la relaciónde causalidad, lo que a su vez acarrea dificultades en torno a la determinación de los legitimados activos y pasivos y la extensión del daño resarcible. (3)
III. EL RÉGIMEN DE RESPONSABILIDAD APLICABLE.
a)A los proveedores de acceso o servidores: Dentro de los distintos intermediarios en la red, nos encontramos con el proveedor de acceso, con quien se contrata la conexión a la red y el centro servidor de información en la red, que comercializa información con los usuarios finales. Son sujetos que ofrecen sus servicios para poner en contacto a los intervinientes en el sistema de pagos, en este sentido, son agentes especializados en la prestación de un servicio.
Los intermediarios proporcionan servicios adicionales, haciendo operar la infraestructurade las telecomunicaciones sobre las que se realizan las transacciones, manteniendo sus respectivos convenios privados con el emisor, con el titular y el proveedor de bienes y servicios adherido al sistema de tarjetas. De estos sujetos, nos interesan principalmente el proveedor de acceso y el centro servidor, que en ocasiones puede ser la misma persona, originándose por lo tanto diversos supuestos de responsabilidad. En este caso, nos centraremos en el estudio de la posición jurídica del servidor que a la vez que comercializa la información, proporciona acceso a Internet.
El particular -en nuestro caso titular de la tarjeta- generalmente contrata con un proveedor de acceso (aun cuando también lo puede hacer directamente con el servidor) la conexión a Internet quien le asignará sus correspondientes claves de identificación (login y password). El acceso al servicio se realizará mediante el código del cliente y el password que son claves personales e intransferibles generadas por la empresa proveedora que da acceso a Internet, entendiendo que el cliente asume los riesgos por el quebrantamiento de la confidencialidad y el mal uso de las claves y códigos de acceso. La pérdida de la información por culpa o negligencia del proveedor de acceso o del servidor, según los casos, será su responsabilidad, en tal sentido, la empresa deberá responder no sólo ante el cliente, sino también ante terceros de los daños y perjuicios que se deriven de la manipulación incorrecta o no autorizada, que puedan provocar averías o deterioros en el servicio o pérdida o destrucción de la información. El particular puede contratar directamente la conexión a Internet con el servidor que desee, en algunos casos la conexión la ofrece el mismo emisor en forma gratuita, en este supuesto, corresponderá a éste la responsabilidad frente a su cliente por los fallos originados en el sistema.
Los servidores son terceros ajenos a las relaciones contractuales propias del contrato de tarjeta; en este sentido es importante analizar su actuación a objeto de determinar responsabilidad por la alteración o pérdida del mensaje durante su transmisión, en el entendido de que tienen la obligación protegerse frente a intrusiones e intentos de acceso no autorizados que puedan llegar a un uso fraudulento de la información transmitida.
Dentro del actual sistema de pagos con tarjeta no se prevé la intervención del servidor, no obstante en la Recomendación de la Comisión 88/590/CEE, de 17 de noviembre, relativa a los sistemas de pago y en particular a las relaciones entre titulares y emisores de tarjetas se regulan los casos de responsabilidad por fallos técnicos (imposibilidad de realizar una operación, detención de una operación) y a tal efecto el art. 7.1 establece la responsabilidad del emisor frente al titular por la no ejecución o ejecución incorrecta de las operaciones. En este sentido, el emisor asume responsabilidad en casos derivados de fallos de un terminal situado bajo el control de un comerciante y fallos del equipo instalado en la casa de un titular, de manera que responde no sólo de su técnica sino también de la técnica de terceros. Aun cuando algunas legislaciones cargan sobre el emisor todo el peso de la responsabilidad derivada de fallos técnicos, estimamos que en el caso de la intervención de los servidores el emisor no puede ser considerado responsable por la pérdida originada por una avería técnica del sistema de pagos si dicha avería puede imputársele al titular o a su servidor, o al del proveedor aceptante. Sobre la base de estos principios y tomando en consideración que el servidor es un tercero en el mecanismo de pago con tarjeta en el comercio electrónico, pensamos que la responsabilidad en el caso de un fallo técnico imputable al servidor, debe ser exigida por la parte que contrata con él y no por un tercero ajeno a esta relación contractual, quien deberá en todo caso reclamar responsabilidad directamente a la parte que corresponda, bien se trate del emisor, del proveedor aceptante o del titular. Claro es que posteriormente y en virtud de la relación contractual derivada del contrato informático que surge entre el servidor y la parte integrante del sistema se ejercerá la correspondiente acción de repetición y la debida responsabilidad por los daños y perjuicios ocasionados.
En una operación de comercio electrónico, la relación que une al servidor con cada una de las partes se encuadra bajo la figura atípica de los denominados contratos informáticos, por lo tanto hablamos de una responsabilidad contractual. Esta denominación ha sido adoptada por la doctrina para designar a los contratos cuyo objeto está constituido por bienes y servicios informáticos, entendiendo por tales "todos aquellos elementos que forman el sistema -ordenador- en cuanto al hardware, así como los bienes inmateriales que proporcionan las órdenes, datos, procedimientos e instrucciones, en el tratamiento automático de la información" , existiendo, por tanto, contratos sobre hardware, software y servicios informáticos distinguiéndose entre éstos, principalmente cuatro categorías: la compraventa, el suministro, el mantenimiento y el arrendamiento (de obra o de servicios). (4)
De acuerdo al contenido del contrato y a la naturaleza de los servicios prestados, podríamos decir que la relación contractual que une al servidor con cada una de las partes involucradas, es un contrato de arrendamiento o prestación de servicios informáticos, donde el servidor se obliga a ejecutar una determinada actividad. En los términos indicados en el art.1544 del CC., el servidor (arrendador) de cada una de las partes, en este caso, del titular, del proveedor de bienes y servicios, y del emisor(arrendatarios), se obliga a prestar un servicio (interconectar y suministrar la información en la red) a los diferentes usuarios a cambio de un precio cierto, configurándose una relación de tracto sucesivo que puede ser rescindida en cualquier momento por cualquiera de las partes.
La especialidad de los contratos informáticos radica en las obligaciones que asumen las partes, en este caso, además de las obligaciones propias del contrato de arrendamiento de servicios (la prestación del servicio y la remuneración), el servidor o el proveedor de acceso, deben cumplir las obligaciones de información sobre el funcionamiento del sistema para que el usuario pueda acceder a la información y manejarla correctamente y prevención sobre los riesgos y asesoramiento técnico, estando obligado el usuario por su parte a colaborar con el desarrollo del contrato cumpliendo con las instrucciones suministradas e informando al proveedor a tiempo sobre cualquier situación anómala. (5)
b). Al proveedor de servicios de certificación: En las operaciones realizadas con tarjetas en el denominado comercio electrónico seguro se adiciona el proveedor de servicios de certificación como "tercera parte de confianza" entre comprador y vendedor a objeto de garantizar la emisión, recepción y contenido del mensaje así como la identidad de las partes. Se trata de un tercero que intermedia en la comunicación certificando claves, validando fecha, hora y lugar, encriptando el documento electrónico con sus claves privadas para luego enviarlo a las partes quienes lo desencriptarán con la clave pública, posibilitando la prueba de la notificación, autoría, no repudio, autenticación, integridad, etc.
Entre las principales obligaciones de estos intermediarios se destacan la comprobación de la identidad y capacidad de la persona a favor de quien expide el certificado, la adopción de medidas necesarias contra la falsificación de certificados, el registro de toda la información relativa a un certificado, el deber de informar por escrito a los consumidores de las condiciones de utilización de los certificados, y la prohibición de almacenamiento y copia de las claves privadas.
En los términos previstos en el art. 6 de la Propuesta de Directiva sobre comercio electrónico y en el art. 12 del Proyecto de Régimen Uniforme para las Firmas Electrónicas de UNCITRAL, los proveedores de servicios de certificación, serán responsables por los daños directos ocasionados por incumplimiento de sus obligaciones ante cualquier persona que "razonablemente" confíe en el certificado en cuanto a exactitud en la información, cumplimiento de los requisitos establecidos en la futura Directiva, correspondencia entre la clave privada y la clave pública del titular del certificado, así como de la vigencia del par de claves. En materia de responsabilidad se hace necesaria la armonización de la normativa sobre responsabilidad ante la existencia de regímenes distintos de responsabilidad en los Estados miembros.
En el caso de los pagos realizados mediante tarjetas electrónicas, el proveedor de servicios de certificación mantiene una relación contractual principalmente con el emisor que es la parte verificadora del sistema que autoriza el pago con tarjeta, esto no obsta para que el titular de la tarjeta también pueda acceder a los servicios que presta esta entidad, solicitando su par de claves con el objeto se asegurar su intervenciónen el comercio electrónico, mediante el cifrado de su mensaje. El titular puede contratar directamente con el proveedor de servicios de certificación o por intermedio del emisor, quien lo puede ofrecer dentro de sus servicios,el problema que se deriva en estos casos es sobre la atribución de responsabilidad y en que medida es responsable el proveedor de servicios de certificación frente al cliente del emisor y el emisor frente a su propio cliente al servir de intermediario en la contratación.
En España se ha aprobado recientemente el la Ley sobre Firma Electrónica, donde se establecen las obligaciones, garantías y condiciones exigibles a los prestadores de servicios de certificación. Entre ellas destaca la necesidad de disponer de recursos económicos suficientes para afrontar "el riesgo de la responsabilidad por daños y perjuicios", tanto a los usuarios de sus servicios como a terceros afectados por éstos. El Ministerio de Fomento es el organismo encargado de controlar, a través la Secretaría General de Comunicaciones, el cumplimiento por los prestadores de servicios de certificación de estas obligaciones.
El proveedor de servicios de certificación interviene en las operaciones del denominado "comercio electrónico seguro", como tercera parte de confianza que emite certificados que, a la vez que sirven para distribuir la clave pública, sirven, de forma fundamental, para asociar, de forma segura, la identidad de una persona concreta a una clave pública determinada. (6). El proveedor de servicios de certificación, se involucra, primero, con los emisores, segundo, con el suscriptor y finalmente, con el tercero usuario.
El suscriptor es la persona física o jurídica titular del certificado emitido por el proveedor de servicios de certificación, cuyo nombre o seudónimo aparece incluido en el documento, quien posee legítimamente una clave privada que se corresponde con la clave pública contenida en el certificado. El tercero usuario es cualquier persona que confía en la firma digital creada por el suscriptor del certificado, y puede usar la clave pública incluida en el certificado para verificar que la firma digital fue creada con la correspondiente clave privada. En las operaciones realizadas con tarjetas electrónicas, el suscriptor puede ser el aceptante de la tarjeta o el titular, que a su vez pueden actuar también como terceros usuarios, en tanto que los emisores de la tarjeta y empresas propietarias de la marca además de suscriptores pueden actuar y de hecho en la actualidad actúan como autoridades de certificación, es el caso de Visa y MasterdCard.
De manera que tanto los titulares como los aceptantes de las tarjetas pueden contratar con los emisores en su función de proveedores de servicios de certificación independientemente de su desempeño como emisores o propietarios de la marca de tarjeta.
Como podemos observar, existe una clara relación contractual entre el proveedor de servicios de certificación y el suscriptor. En nuestra opinión, el contrato que los une es un contrato mixto, de obra por un lado, y de prestación de servicios, por el otro. De obra en lo relativo a la emisión de un certificado útil y válido, y de servicio en cuanto a la gestión de la revocación y otras eventualidades que pueda sufrir el certificado. (7)
Normalmente los derechos, obligaciones y responsabilidad de las partes estarán contenidos en el propio certificado y las declaraciones de prácticas de certificación.
Unas de las cuestiones esenciales de sistema de certificados es determinar la responsabilidad que el proveedor de servicios de certificación puede tener frente a los terceros que confían en un certificado por él emitido. En principio, se trata de una responsabilidad extracontractual, el problema de aplicar este tipo de responsabilidad, radica en la determinación de la naturaleza jurídica de esa responsabilidad, esto es si se trata de una responsabilidad objetiva o subjetiva. Si acudimos a las normas del sistema de responsabilidad objetiva, los daños ocasionados como consecuencia del certificado serían resarcidos con independencia de la diligencia del proveedor de servicios de certificación, salvo los derivados del mal uso de los usuarios; por el contrario, si aplicamos el sistema de responsabilidad basado en la noción de culpa se presenta el inconveniente de la escasez de medios del demandante para probar la negligencia. Ante esta situación, consideramos más conveniente aplicar el sistema de responsabilidad objetivo entendiendo que así lo considera el Proyecto de Régimen Uniforme para las Firmas Electrónicas de UNCITRAL, cuando indica que las autoridades certificadoras (como las denomina el Proyecto) son responsables frente a un tercero que "razonablemente" haya confiado en su gestión. Este sería el sistema más adecuado por razones de interés público, el grado de seguridad y confianza ofrecido a los usuarios y por el nivel de sofisticación que requieren estos entes para su funcionamiento. (8)
III. EL FACTOR DE ATRIBUCIÓN Y EL CARÁCTER DE LA RESPONSABILIDAD.
La utilización de instrumentos informáticos en general, y el intercambio de información por medios electrónicos, puede llevar a unas situaciones de responsabilidad que exigen se determine si ésta tiene un carácter subjetivo u objetivo, esto es, si para que exista dicha responsabilidad, es necesaria una actuación culposa, o no. Cuando nos encontramos ante un factor de atribución objetivo, la responsabilidad se atribuye basándose en factores que no tienen en cuenta la conducta del sujeto. Los factores de atribución objetivos tanto en el ámbito contractual como en el extracontractual de responsabilidad son varios, teniendo como nota común el hecho de no ser subjetivos, es decir, que prescinden de cierta manera de la idea de culpa.
Entre los mas comunes y que consideramos de aplicación al caso de la responsabilidad por operaciones en el comercio electrónico tenemos el riesgo creado y el deber de garantía o de seguridad. No obstante esta situación, es necesario aclarar que los factores objetivos de atribución no están absolutamente desconectados de la noción de culpa, ya que cuando se introduce en la actividad un elemento riesgoso, que puede causar daños independientemente de la actividad humana, es cuando más deben extremarse las medidas de precaución para evitar daños a terceros. (9)
Algunos autores como Stiglitz, entienden que la responsabilidad civil derivada de la informática, se basa en el riesgo creado, sea a través de la actividad, sea a través de las cosas (la energía informática). Otros, como Bustamante Alsina, entienden que en la responsabilidad civil derivada de la informática, el factor de atribución es la culpa, dado que no intervienen cosas riesgosas en la causación de daño. En Derecho Español, no se contempla el riesgo creado como factor de atribución de aplicación general en el Código Civil, sino que se lo considera en relación con ámbitos específicos de responsabilidad, tales como la circulación de vehículos de motor, la navegación aérea, los daños nucleares, el ejercicio de la caza. Se plantea entonces -entre otras- la cuestión del factor de atribución aplicable en los supuestos de daños causados con motivo de la actividad informática. La norma primordial del sistema de responsabilidad civil se encuentra en el artículo 1902 del Código Civil, que reza: "El que por acción u omisión causa daño a otro, interviniendo culpa o negligencia, está obligado a reparar el daño causado." Como bien puede observarse, el criterio legal en materia de responsabilidad gira alrededor de la noción de la culpa. No obstante la normativa legal, el Tribunal Supremo en ciertos casos ha ido suavizando el criterio de la culpa en favor de la víctima, comenzando por la inversión de la carga de la prueba, hasta llegar a admitir la aplicación de la teoría del riesgo, a través de la aplicación del artículo 1104 del Código Civil a la responsabilidad extracontractual, en el sentido de e