¿Ley Mordaza 2?

Un mes después de los fatídicos eventos del 11 de setiembre del 2001 el Presidente George W. Bush firmaba y anunciaba con bombos y platillos la famosa «PATRIOT Act», un cuerpo normativo destinado, como lo dicen sus siglas, a fortalecer y a unir al Estado brindando herramientas que permitan interceptar y obstruir el terrorismo, sin duda un noble y justificado fin que  contaría con todo el respaldo de la población.

Sin embargo, el problema en dicha experiencia no fueron los fines, sino los medios empleados. En efecto, la aprobación de la PATRIOT Act generó mucha polémica en Estados Unidos por los medios utilizados para lograr los objetivos trazados. Así, se otorgó mayores atribuciones de supervisión, fiscalización a las entidades del Estado a fin que éstas monitoreen transacciones financieras o vigilen, detengan y deporten a inmigrantes sospechosos de actos terroristas y se introdujo el concepto de «terrorismo doméstico». Diversas entidades de la sociedad civil, tales como el Electronic Frontier Foundation (EFF), Electronic Privacy  Information Center (EPIC) y American Civil Liberties Union (ACLU) cuestionaron duramente la norma al incurrir en severas violaciones constitucionales tales como la Cuarta Enmienda por la utilización de medios desproporcionados que ponían en riesgo aspectos como la privacidad de los ciudadanos.

Aparentemente existe un notable y reciente entusiasmo por parte de nuestro Congreso por regular la red (lease Ley Mordaza y Ley de Banda Ancha) y una inusual cobertura en la prensa de situaciones vinculadas al uso de Internet (lease Caso Rudy Palma) que nos traen a la mente a la situación ocurrida en Estados Unidos en el año 2001. El denominador común en el caso peruano es que se pretende utilizar el derecho penal, quizás la herramienta legal más extrema, para intentar combatir el cibercrimen y nuevas practicas delictivas, sin embargo,  no parece existir una reflexivo y equilibrado análisis de los medios utilizados.

Recientemente revisando la página del Congreso encontramos dos curiosos proyectos de ley que no sabemos si motivados por los hechos antes mencionados se aventuran a regular nuevos delitos informáticos. Nos referimos a los proyectos de ley 034/2011 y 307/2011 de la Comisión de Justicia y Derechos Humanos del Congreso cuyo pre-dictamen fue programado para discusión el día de hoy tal como consta en la agenda de sesiones de la Comisión. Curiosamente se distingue a ambos proyectos como propuestas para  «sancionar penalmente las conductas que afectan de manera relevante la confianza en la informática«.

De la lectura tanto de los proyectos de ley como del pre-dictamen de la Comisión llaman nuestra atención tres artículos en particular, que nos traen reminiscencias «bushísticas»:

Artículo 26: Agente encubierto en el ciberespacio
Con autorización del fiscal, de acuerdo con las circunstancias del caso, se puede emplear el correo electrónico de un detenido por pornografía infantil o por practicar cualquier otro acto ilícito valiéndose de la internet, con el objeto de suplantarlo y obtener más información que ayude a identificar a las demás personas con quienes comete los actos ilícitos mencionados en la presente Ley y el Código Penal, en lo que corresponda.

Artículo 27: Acceso a información de los protocolos de internet
No se encuentra dentro del alcance del secreto de las comunicaciones la información relacionada con la identidad de los titulares de telefonía móvil; los números de registro del cliente, de la línea telefónica y del equipo; el tráfico de llamadas y los números de protocolo de internet (números IP). Por lo tanto, las empresas proveedoras de servicios
de telefonía e internet debe proporcionar la información antes señalada conjuntamente con los datos de identificación del titular del servicio que corresponda, a la Policía Nacional del Perú o al Ministerio Público dentro de las cuarenta y ocho horas de recibido el requerimiento, bajo responsabilidad, cuando estas instituciones actúen en el cumplimiento de sus funciones.

Artículo 28: Intervención y control de las comunicaciones y documentos privados
La facultad otorgada al fiscal para solicitar al juez penal la intervención y control de las comunicaciones, establecida en la Ley 27697, Ley que otorga facultad al fiscal para la intervención y control de comunicaciones y documentos privados en caso excepcional, también puede ser ejercida en la investigación de los delitos informáticos regulados en la presente Ley. En los lugares en los que haya entrado o entre en vigencia el Nuevo Código Procesal Penal, se aplicaran las reglas de este código para la intervención de las comunicaciones.

El secreto de las comunicaciones en nuestro país se encuentra regulado en el artículo 2 inciso 10 de la Constitución Política del Perú en los siguientes términos:

10.   Al secreto y a la inviolabilidad de sus comunicaciones y documentos privados.

Las comunicaciones, telecomunicaciones o sus instrumentos sólo pueden ser abiertos, incautados, interceptados o intervenidos por mandamiento motivado del juez, con las garantías previstas en la ley. Se guarda secreto de los asuntos ajenos al hecho que motiva su examen.

Los documentos privados obtenidos con violación de este precepto no tienen efecto legal.

Los libros, comprobantes y documentos contables y administrativos están sujetos a inspección o fiscalización de la autoridad competente, de conformidad con la ley. Las acciones que al respecto se tomen no pueden incluir su sustracción o incautación, salvo por orden judicial.

En el sector telecomunicaciones la norma aplicable que desarrolla dicha disposición constitucional es la Resolución 111-2009-MTC/03 .

Aspectos que preocupan de las disposición contenidas en ambos proyectos de ley:

  1. Se fortalecen las facultades y atribuciones de los fiscales para la persecución de delitos informáticos pero no se aprecian garantías mínimas que, a fin de preservar derechos fundamentales como el debido proceso y la privacidad, deben quedar claramente establecidas tal como lo ordena la norma constitucional.
  2. El artículo 27 del pre-dictamen de la Comisión reduce el ámbito de aplicación del secreto de las comunicaciones en contra de lo establecido en la norma constitucional y en la Resolución 111-2009-MTC/03 con lo cual «la información de los protocolos de Internet», de ser aprobados los proyectos de ley, no requeriría mandato motivado de un juez y deberá ser proporcionada a la Policía y Ministerio Público en un plazo de 48 horas de recibido el requerimiento.

No sabemos a ciencia cierta si nos encontramos frente a una Ley Mordaza No. 2 con dosis de PATRIOT Act, lo cierto es que, si bien son atendibles y justificados los fines de persecución del delito, ello debe en todo momento ir de la mano con lo establecido en el marco constitucional y las garantías previstas en dicho cuerpo normativo, lo cual no queda muy claro en los proyectos antes mencionados.

Congreso peruano regula la Neutralidad de Red (nuevamente)

Pleno de Congreso de la República

El último viernes, literalmente minutos antes de terminar la legislatura 2012-1, se aprobó la Ley de Promoción de la Banda Ancha y Construcción de la Red Dorsal Nacional de Fibra Óptica (en adelante, la «Ley») en el Congreso  por 72 votos a favor, cero en contra y 25 abstenciones.

En su primera parte, la Ley señala el deber del Estado de promover la Banda Ancha y su aprovechamiento por todos. A continuación, declara de necesidad pública e interés nacional la construcción de una Red Dorsal de Fibra Óptica y establece una serie de reglas sobre el desarrollo, financiamiento y utilización de esta red dorsal. Esta era una política que se había prometido desde la campaña electoral, sobre la cual incluso se había dado un Decreto Supremo durante el gobierno anterior y que ahora está materializándose con normas específicas.

La verdadera estrella de esta Ley, que bien puede ser una metáfora de los errores en su investigación y sustento, la encontramos en este artículo:

Artículo 6.— Libertad de uso de aplicaciones o protocolos de Banda Ancha
Los proveedores de acceso a Internet respetarán la neutralidad de red por la cual no pueden de manera arbitraria bloquear, interferir, discriminar ni restringir el derecho de cualquier usuario a utilizar una aplicación o protocolo, independientemente de su origen, destino, naturaleza o propiedad.
El Organismo Supervisor de Inversión Privada en Telecomunicaciones – OSIPTEL determina las conductas que no serán consideradas arbitrarias, relativas a la neutralidad de red.

Se trata de la primera vez que una norma legal peruana habla explícitamente del tan polémico principio de neutralidad de red. Sin embargo, no es la primera vez que un concepto parecido está regulado por las normas legales peruanas. En el mismo sentido, desde el año 2005, el artículo 7 del Reglamento de Calidad de los Servicios Públicos de Telecomunicaciones aprobado mediante Resolución de Consejo Directivo Nº 040-2005-CD/OSIPTEL señalaba:

Artículo 7.— Los operadores locales que brinden servicio de Internet y/o ISP’s no podrán bloquear o limitar el uso de alguna aplicación, en ningún tramo (Usuario-ISP-ISP-Usuario) que recorra determinada aplicación. Esta prohibición alcanza al tráfico saliente y entrante internacional, salvo aquellas a solicitud expresa del abonado o usuario y/o algunos casos excepcionales por motivos de seguridad, los cuales deben ser comunicados y estarán sujetos a aprobación de OSIPTEL

En otras palabras, la nueva Ley de Banda Ancha intenta regular un tema que ya está regulado por OSIPTEL hace siete años. La existencia de esta norma anterior no aparece ni por asomo en su Exposición de Motivos ni en el Dictamen favorable de la Comisión. Pero incluso, se trata de una regulación mucho más restrictiva que la que tenemos vigente. Sobre el punto, toda la investigación y sustento que demuestra la Exposición de Motivos se limita a tres párrafos y la cita a la Ley chilena, donde solo uno de ellos habla de neutralidad de red señalando:

Aquí surge el nuevo concepto de neutralidad de red, donde el usuario final (persona o empresa) de hoy en día no debe tener un costo elevado para acceder al internet para suministrar contenidos o servicios a su elección; los operadores por ningún motivo, deberán bloquear o degradar servicios legales, en particular los de voz sobre IP, que compiten con sus propios servicios. Es necesario abordar estas cuestiones de la gestión del tráfico, el bloqueo y la degradación, la calidad del servicio y la transparencia de las aplicaciones. Los obstáculos de la neutralidad de red son: bloqueo o regulación del tráfico, congestión del tráfico y falta de transparencia.

En este párrafo confuso toma «prestadas» frases textuales una comunicación de la Comisión de Comunicaciones al Parlamento Europeo  del año pasado donde, todo lo contrario, se concluía que no resultaba apropiado regular la neutralidad de red por la falta de información sobre cómo las nuevas normas del Paquete Telecom funcionarán en el mercado comunitario. Hubiese resultado provechoso que quienes elaboraron la Exposición de Motivos de la Ley de Banda Ancha leyerán también esta parte del documento que citan:

La neutralidad de la red afecta a varios derechos y principios consagrados en la Carta de Derechos Fundamentales de la Unión Europea, en particular el respeto de la vida privada y familiar, la protección de los datos personales y la libertad de expresión e información. Por este motivo, cualquier propuesta legislativa en este ámbito estará sometida a una evaluación en profundidad de su impacto sobre los derechos fundamentales y su conformidad con la mencionada Carta[9].

La eventual regulación adicional no debe actuar como elemento disuasorio de la inversión ni de los modelos de negocio innovadores, pero sí favorecer un uso más eficiente de las redes y crear nuevas oportunidades de negocio a distintos niveles de la cadena del valor de internet, al tiempo que preserva para los consumidores la ventaja que supone poder elegir unos productos de acceso a internet ajustados a sus necesidades.

En su versión original, como fue presentado en el Proyecto de Ley de la Bancada Nacionalista, el artículo establecía la obligación de neutralidad de red exclusivamente para la Red Dorsal de Fibra Óptica. Probablemente, un exceso de entusiasmo y una pobre investigación motivaron a la Comisión de Transportes y Comunicaciones a querer ampliar la obligación de neutralidad de red para todas las redes de banda ancha colisionando, con ello, con la regulación pre existente del OSIPTEL.

Será precisamente tarea del OSIPTEL definir este problema. Históricamente, el Regulador había venido esquivando pronunciarse sobre cómo debemos de leer el artículo 7 del Reglamento de Calidad y solo se tiene noticia de un caso de poca trascendencia donde intentó aplicarse. Ahora será el encargado de determinar qué prácticas de gestión de red no serán consideradas «arbitrarias», en los términos de la nueva ley de Banda Ancha.

Resulta una verdadera lástima que, mientras en otros países se llevaron a cabo procesos de consulta pública y se realizaron serias investigaciones de mercado, en Perú se haya vuelto a tocar legislativamente este tema sin mayor debate ni difusión. Ya sucedió hace siete años cuando OSIPTEL dio el Reglamento de Calidad y nunca nadie comprendió en realidad de qué trata esa norma. Lamentablemente, empezamos a acostumbrarnos a que los gallos y la media noche sean nuestros legisladores estrella.

Más información

Foto: Congreso de la República (CC BY)

Arcos Dorados, Hamburguesas Rey y mercados de dos caras (II)

Segunda entrega -con varios meses de atraso- de nuestro análisis con relación de la resolución de la Comisión de Libre Competencia de Indecopi en el caso McDonald’s contra el Jockey Plaza y Burger Kig. En anterior oportunidad (Arcos Dorados, Hamburguesas Rey y mercados de dos caras (I)) señalamos como nos había llamado la atención el escaso análisis realizado por la Comisión respecto de los mercados de centros comerciales, a pesar de partir de un marco teórico muy sugerente. También nos extrañó que toda la jurisprudencia y doctrina citada por la Comisión no sólo no respaldara su posición final, sino que la contradecía abiertamente. No obstante más cosas llamaron nuestra curiosidad.

Sobre el mercado afectado

Aquí los de la Comisión se ponen bravos y presentan una idea de mercado afectado que podemos resumir con la siguiente frase: «la hamburguesa es la hamburguesa«. Para la Comisión, el mercado afectado es el de hamburguesas de las marcas McDonald’s, Burger King y Bembos en el Jockey Plaza. Nada más.

La Comisión considera que si bien es posible afirmar que existe cierta similitud entre las hamburguesas y el resto de productos de comida rápida (pizza, pollo o chifa), no ha encontrado evidencia que acredite que esta similitud implique indiferencia por parte del consumidor sobre las características físicas y de sabor de esos productos.

Son varias las cosas que se podrían decir sobre este análisis de la Comisión, pero lo primero es su falta de pulcritud.

Como primer punto, si bien inicialmente la Comisión incorpora el análisis de los mercados de dos caras, en algún momento de la resolución se produce una especie de olvido de este marco teórico y se salta a un análisis, digamos, tradicional. Si partimos de la idea de que estamos frente a un mercado de dos caras, es evidente que al propietario de la plataforma que enfrentará a dos demandas (en este caso el Jockey Plaza) le importará no sólo presentar una oferta atractiva que le permita vencer a otras plataformas, sino también le interesará generar un alto nivel de competencia dentro de la misma plataforma, de este modo la hace más atractiva, y al hacerlo tendrá más clientes y podrá cobrar más a los que deseen alquilar espacios comerciales. Por ejemplo, a Amazon le interesa poco que con su Kindle se pueda leer sólo las novelas Foster Wallace, por el contrario tratará de presentar la mayor oferta de autores posible; así, tampoco le interesará tener en su catálogo sólo libros de Macmillan sino también los de otras casas editoras (Macmillan Blitzkrieg). Poco le interesa al Jockey Plaza excluir a Mc Donald´s si con ello reduce el nivel de competencia intraplataforma.

Lo anterior, es importante para entrar a unsegundo nivel de análisis. Es un hecho que todos los locales de venta de comida rápida del Jockey, por lo menos los que se asientan en el FoodCourt, ofrecen la misma combinación de carbohidratos, grasas animales y agua azucarada con gas. Llámese como se le quiera llamar o el formato que se le quiera dar, es evidente que todos ellos compiten entre diaria en intensamente. No es correcto cuando se señala que las hamburguesas son un bien diferenciado del resto de productos de comida rápida, la propia experiencia de los consumidores reta este dicho. Decenas de veces me he presentado en el FoodCourt del Jockey con la intención de comer una hamburguesa y he terminado frente a una combinación de chifa, un sándwich de pollo o incluso hasta con un combo de comida cubana. Ya se me dirá cuál es la «enorme» diferencia entre una Big Crunch de KFC y una Wooper del Burger King.

Finalmente, se contradice la Comisión cuando señala que existe similitud entre la hamburguesa y la pizza, pollo o chifa; y, a reglón seguido afirma, que no existe evidencia que acredite que esta similitud implique indiferencia. Otro error, que pareciera que busca estrechar de forma poco rigurosa el mercado afectado. He revisado la frondosa jurisprudencia de Indecopi sobre Libre Competencia y en ninguna resolución he logrado encontrar a la indiferencia como un elemento de análisis válido para incorporar -o excluir- a un bien como parte del mercado. Por el contrario, lo que se exige es únicamente su razonable sustitución. La definición de mercado desde un punto de vista de las características físicas de un bien conduce a definir al mercados de un modo excesivamente estrecho y por lo tanto errado.

Al respecto destacamos lo señalado en el blog especializado marcafreak sobre el particular (Final Feliz):

«¿Es realmente Burger King el formato interesado en no tener como vecino a McDonald’s? Resulta inevitable notar que el principal competidor de la cadena del payaso Ronald no es necesariamente otra ‘hamburguesería’. Al respecto existe una mayor ‘afinidad’ entre el público objetivo de McDonald’s y el de KFC, franquicia que también opera en el Jockey Plaza y también forma parte del grupo Delosi (al igual que Burger King y Pizza Hut).»

Entre lo que dice la Comisión y lo señalado por marcafreak, le creo a freak, «la hamburguesa no es la hamburguesa».

La determinación del daño: taumaturgia pura

Con relación al cálculo de la multa la Comisión nos entrega una pieza de taumaturgia clásica y por lo tanto indescifrable. Una vez que la Comisión se persuadió del hecho dañoso, tocaba imponer la sanción. No intentaré reproducir la farragosa metodología inventada para determinar el cálculo de la multa.

No obstante, lo curioso de la fórmula del cálculo de la multa planteada por la Comisión, es que para determinar la cuota de mercado que Burger King hubiera tenido en un escenario sin restricción, se utiliza el ingreso bruto anual obtenido por Bembos, Mc Donald´s y Burger King en sus establecimientos free standing de Lima. Es decir, en aquellas plazas expulsadas del mercado relevante por la propia Comisión. Resulta por lo demás contradictorio que los establecimientos del tipo free standing no formen parte del mercado relevante, pero sí constituyan una medida válida para determinar el daño del mercado.

Se sanciona a quien no tiene dominancia

La Comisión decide finalmente sancionar con 564.4 UITs a Burger King y con 100 UITs al Jockey Plaza. Es decir, en otra curiosidad, se impone la sanción más alta a una empresa cuya dominancia no se ha determinado. Efectivamente, en su análisis, la Comisión consideró suficiente para sancionar la práctica, la determinación de la posición de dominio en el mercado de arrendamiento de espacios en el Jockey Plaza para la venta de hamburguesas similares a las de McDonald´s y no realizó ningún esfuerzo para hacer lo propio en el mercado de hamburguesas.

Resulta paradójico, que si el mercado relevante es el de locales comerciales para la venta de hamburguesas similares a las de McDonald´s en el Jockey Plaza, se termine sancionando en mayor medida, no a quien ostenta poder en dicho mercado, sino a quien participa en un mercado no investigado.

Como punto final un remedio anticonstitucional

Como medida correctiva, la Comisión declara inoponible el compromiso de no contratar con Mc Donald´s y ordena al Jockey Plaza que se abstenga de celebrar contratos que incluyan la obligación de no contratar con una empresa en particular, siempre que ostente posición de dominio, que esta conducta pueda generar efectos negativos para la competencia y el bienestar de los consumidores, y que no cuente con una justificación comercial válida para ello.

No vamos a entrar a desgranar la segunda parte de la medida correctiva, una perogrullada que no merece mayor comentario, pues no dice otra cosa que el Jockey Plaza tiene que cumplir la ley.  Sin embargo, sobre la primera parte algo podemos decir.

La medida correctiva se fundamenta en la Sentencia del Tribunal Constitucional del caso Ferretería Salvador (STC No. 1963-2006-PA/TC), sin embargo, la misma nos lleva a una conclusión bien distinta, pues no habilita a Indecopi para declarar la invalidez de los contratos, lo que hace cuando en esta oportunidad declara inoponible determinado compromiso contractual, capacidad que nuestra legislación reserva únicamente a los tribunales de justicia ordinarios. Lo mismo ha dicho el Poder Judicial al resolver el caso DINOS.

Veremos qué es lo que dice el Tribunal, aunque es clara mi posición. No obstante, dado que tengo muy caros amigos empujando uno de los lados en este grasoso pleito, espero que ganen los buenos.

Rudy Palma, hacker por accidente

3055389463_029e344d5c_o

De niño vi muchas veces en la televisión el clásico ochentero WarGames (John Badham, 1983). En la película, un adolescente hábil con las computadoras intenta infiltrarse en la red de su proveedor de videojuegos favoritos para probar su próximo juego Global Thermonuclear War antes de su lanzamiento. Por accidente, termina conectándose a una red militar y el juego que piensa que está jugando en realidad podría desencadenar la tercera guerra mundial. Cuando el Estado lo descubre, es detenido e interrogado bajo los cargos de espionaje y de colaboración con los rusos. El funcionario que lo interpela no le cree cuando le dice que él solo estaba jungado. ¿Cómo lo logró? Adivinando que la contraseña de acceso sería el nombre del hijo de una de las personas cuyo nombre aparecía en la carpeta. Era un hacker, sí, porque descubrió una puerta trasera del sistema pero él quería hackear a una empresa de videojuegos y no poner en riesgo la seguridad nacional. Era un hacker con suerte.

Rudy Palma, nuestro así llamado primer ciber-hacker-periodista-2.0, es todo lo contrario: no es un hacker y tuvo muy mala suerte. Este caso ha llamado mi atención por varias razones. Creo que cometió un delito, como él mismo lo ha confesado. Sin embargo, también creo que no hemos comprendido exactamente de qué trata este caso, la forma tendenciosa en la que han sido consignados los cargos y las implicancias que esto tiene para todos.

Las contraseñas

Rudy Palma tiene 35 años y antes de trabajar en Perú 21, según su perfil de LinkedIn, había trabajado en el Ministerio de la Mujer y en el Instituto Prensa y Sociedad. Quizás por su experiencia laboral o por mera intuición, un día se le ocurrió que podía acceder a cuentas de correos ajenas usando como contraseña el nombre del usuario del correo. A todos nos ha pasado: nos dan una cuenta de correo o los datos de acceso a cierto sistema y por dejadez o desconocimiento nunca cambiamos la contraseña. Aprovechando esta mala costumbre, Rudy Palma tuvo acceso a las cuentas de correo de varios ministros y autoridades de alto rango. Según informes, se ha determinado que accedió hasta veinticinco veces en un solo día a la cuenta del Ministro de Comercio Exterior y Turismo.

Los encargados de sistemas, cuya labora es precisamente cuidar la seguridad de la red, lógicamente niegan esta teoría. Ellos dicen que las contraseñas eran “muy complejas”, dando a entender que era imposible que se llegue a ellas por deducción y que seguramente Rudy Palma debió de apelar a recursos más sofisticados. Traen a nuestra cabeza imágenes de hackers amaneciéndose frente a computadoras llenas de códigos. Yo creo que es una defensa apresurada para no asumir la responsabilidad que les toca por tener prácticas tan malas respecto del manejo de contraseñas y la seguridad de su red. ¿Se imaginan que Google les diese por defecto una contraseña igual a su nombre de usuario cuando abren una cuenta en Gmail? ¿No pensarían que es una irresponsabilidad de su parte?

Ya sé que suena ilógico creer que varias decenas de autoridades públicas coincidan todos en tener como contraseña para sus cuentas de correo electrónico su propio nombre de usuario. Pero suena todavía menos coherente pensar que alguien con la capacidad y el tiempo para quebrar sofisticadas estructuras de seguridad accedería a estas cuentas de correo: (i) desde la computadora de su trabajo, (ii) vía web (HTTP) y no a través de otro protocolo menos rastreable, y, (iii) sin usar una máscara de IP. Incluso los pedófilos y los estafadores, en el peor de los casos, operan desde una cabina Internet. Peor aún, ¿se  imaginan a un hacker reenviándose estos correos electrónicos a una cuenta de correo que asociada a su nombre y apellido? En una de sus últimas declaraciones filtradas por la prensa, Rudy Palma dijo que también intentó acceder a las cuentas de correo de Palacio de Gobierno pero desistió porque la página tardaba demasiado en cargar.

La pista

Apoya la teoría de las contraseñas adivinadas el que, aparentemente desde el 2008, Rudy Palma hacía lo mismo con distintas cuentas y entidades sin levantar la más mínima sospecha por parte de sus víctimas o los encargados de sistemas. Al haber adivinado la contraseña, el periodista se conectaba como si fuese el propio usuario y no generaba ninguna respuesta anómala por parte del servidor de correo. Si hubiese roto algún sistema de seguridad, hubiese dejado una huella lo suficientemente severa como para no pasar desapercibido cuatro años.

En muchos casos, pudo haber configurado alguna regla en el buzón de correo para que todos los correos que le lleguen sean reenviados a su cuenta, con lo que no necesitaba saber en todo momento las contraseñas. En otros, parece que tuvo la suerte de que esas cuentas de correo no cambien de contraseña durante ciertos periodos de tiempo. Les apuesto a que muchas todavía siguen teniendo la misma contraseña.

Según el reportaje de Caretas, alguien amenazó al Ministro de Educación Silva Martinot con revelar cierta información de su vida privada a la que había tenido acceso a través de su correo electrónico institucional. El Ministro, al comprobar que efectivamente se trataban de sus correos, recurrió al área de sistemas del Ministerio para averiguar cómo pudieron filtrarse. Recién entonces vieron la lista de las IPs desde donde se había accedido al correo del Ministro y descubrieron, entre ellas, que aparecía una que correspondía al diario Perú 21.

El Ministro llevó estos registros al diario y, a su vez, el personal de sistemas de Perú 21 identificó que dichos accesos al correo del ministro provenían desde la computadora de Rudy Palma. Inmediatamente, el diario despidió al redactor y lo puso a él y a su computadora a disposición de la Fiscalía. Luego, emitió un comunicado de prensa en donde se desvinculaban de haber participado directa o indirectamente en estos hechos. Palma no negó los hechos, reconoció haber accedido a esas cuentas y declaró haber actuado en solitario.

Si no hubiese sido por este intento de chantaje, nadie hubiese notado hasta ahora la actividad silenciosa aunque torpe de Rudy Palma. Hasta donde se conoce, no se ha logrado vincular a Palma con los correos amenazadores recibidos por el Ministro Silva Martinot aunque sí se ha encontrado que algunos de estos fueron reenviados desde la cuenta del Ministro a la de Palma. La revista Caretas publica hoy que, incluso luego de la detención del periodista, el Ministro seguía recibiendo los mismos mensajes de chantaje.

Los cargos

Rudy Palma usaba esta información como insumo para elaborar notas periodísticas para el diario donde trabajaba como redactor de Economía. Una forma bastante heterodoxa de conseguir exclusivas, sin duda. Las investigaciones han encontrado varias de estas noticias filtradas, como cambios de funcionarios, proyectos normativos y agendas de reuniones.

Por estos hechos, Rudy Palma está siendo procesado como presunto autor de tres delitos distintos: (i) violación de la correspondencia, (ii) delito informático en la modalidad de utilización indebida del sistema informático, y (iii) delito contra el Estado y la Defensa Nacional en la modalidad de revelación de secretos nacionales.

Violación de la correspondencia

El artículo 161 del Código Penal señala que el que “abre, indebidamente, una carta, un pliego, telegrama, radiograma, despacho telefónico u otro documento de naturaleza análoga” que no le está dirigido, “o se apodera indebidamente de alguno de estos documentos, aunque no esté cerrado” comete el delito de violación de correspondencia. En este caso, el correo electrónico se entiende como un medio análogo y el tipo penal encaja perfectamente con los hechos. Todos estamos de acuerdo, conforme a la confesión de Palma, que cometió el delito de violación de la correspondencia. Este delito tiene como pena máxima dos (2) años.

Delito informático

El caso del delito informático es un poco más complejo. Según el artículo 207-A del Código Penal, se considera delito informático utilizar o ingresar indebidamente a una base de datos, sistema o red de computadoras o cualquier parte de la misma, para diseñar, ejecutar o alterar un esquema u otro similar, o para interferir, interceptar, acceder o copiar información en tránsito o contenida en una base de datos. Es decir, el Código considera tanto el ingreso indebido como la utilización indebida (entiendo: no autorizada) de una base de datos, sistema o red de computadoras con la finalidad de interferir, interceptar, acceder o copiar información.

Según los hechos, Palma habría ingresado de forma no autorizada (indebida) a una cuenta de correo electrónico (parte de una base de datos) con la finalidad de acceder y copiar información ahí contenida. Este delito tiene como pena máxima dos (2) años. Si lo hizo con la finalidad de obtener un beneficio económico, como podría argumentarse en este caso, la pena se extiende a tres (3) años.

Difusión de Secretos Nacionales

La imputación más polémica es la de revelación de secretos nacionales. En concreto, la Fiscalía cree que al haber tenido acceso y usado como base para elaborar notas periodísticas una Agenda de Consejo de Ministros, detalles sobre la negociación de un tratado comercial con Venezuela y la entrada al país de una unidad naval y personal militar de Chile se habrían revelado secretos nacionales. Este delito tiene como pena máxima quince (15) años, la misma que le corresponde a las lesiones por violencia familiar, la trata de personas y la violación de persona en estado de inconsciencia.

Creo que la Fiscalía confunde la calificación de “secreto nacional”, que el Código Penal define como aquellos secretos que el interés de la República exige guardar, con la información prohibida de ser revelada para el régimen de publicidad de los actos estatales. La Ley de Transparencia y Acceso a la Información pública distingue, en su artículo 15, tres tipos de información que están exceptuadas del régimen de transparencia: (i) secreta: información militar o de inteligencia previamente clasificada por los funcionarios autorizados para hacerlo; (ii) reservada: información cuya revelación originaría un riesgo a la seguridad e integridad territorial del Estado y la defensa nacional en el ámbito externo, al curso de las negociaciones internacionales y/o la subsistencia del sistema democrático previamente clasificada; y, (iii) confidencial: aquella que afecte a terceros o contenga consejos, recomendaciones u opiniones producidas como parte del proceso deliberativo y consultivo previo a la toma de una decisión de gobierno.

Cuando el Código Penal alude a secretos que el interés de la República exige guardar y le asigna una pena de quince (15) años está pensando en información secreta de especial cuidado y previamente clasificada como tal por parte de las autoridades competentes. Los documentos cuyo contenido supuestamente Palma divulgó, por el contrario, más parecen información reservada (autorización de entrada de militares extranjeros) y cuya revelación no está en capacidad de poner en riesgo las relaciones internacionales ni el orden interno. La información que Palma reveló es tan confidencial como lo son las actas de sus propias declaraciones en este caso, a los que la prensa ha tenido acceso y difundido indiscriminadamente como en tantos casos, o como lo es cualquier expediente administrativo en trámite de Indecopi u Osiptel.

Lo siguiente

Si lo difundido por la prensa es cierto, Palma no es un hacker. Podría decirse que incluso su conocimiento sobre redes informáticas y buzones de correo es limitada. Me recuerda mucho más a Chris Chaney, ese treintañero aburrido y desempleado de un suburbio de Estados Unidos, quien respondiendo a las preguntas de verificación de identidad logró acceder a las cuentas de correo electrónico de Scarlett Johansson, Mila Kunis, entre otras celebridades, y filtrar sus fotografías personales. Él tampoco quiso ser un hacker, recién tuvo una computadora propia a los veinte años, y su curiosidad lo llevó a una condena de sesenta años en prisión.

Hay muchos que han visto en este caso un enseñamiento contra un medio de prensa o la excusa perfecta para introducir regulación más estricta sobre la prensa. De hecho, ciertas irregularidades procesales y la inclusión del delito de revelación de secretos estatales no parecen fortuitas.

Yo creo que, si se desestima el cargo de los secretos estatales, esta es una oportunidad excelente para el Estado de demostrar cómo se puede impartir justicia y condenar a periodistas por delitos que efectivamente cometieron sin poner el riesgo las garantías para la libertad de expresión. Mientras tanto, Rudy Palma ha sido trasladado al penal que le corresponde y espera su proceso. En su foto de perfil en Facebook ahora hay un perro.  Otra de sus fotos es una ilustración donde se lee: El mundo necesita de gente que ame lo que hace.

Ilustración: Ben Heine (C)

Perú, el Peter Pan tecnológico

Hago eco y refraseo el título de un excelente post del doctor César Luna Victoria, para sumar a la interesante lista de temas que propone algunos adicionales.

El autor señala lo siguiente:

Peter Pan tiene miedo de crecer. El Perú también. Es verdad que nuestra economía crece. Ahí están las cifras. Sin embargo, ese cuerpo económico adolescente, que se cree ya adulto joven, sigue viviendo como niño. No me refiero a la ilusión, a la creatividad, a la imaginación y a la ternura que nunca se debieran perder. Me refiero a la malcriadez, al egoísmo, a la pataleta. Y por ser infantiles nos estamos perdiendo la oportunidad de crecer. Digo, de madurar. (…)

¿Qué hacer? Las reformas pendientes, llamadas de segunda generación precisamente porque vienen después del crecimiento económico. Reforma del sistema político, para que los partidos ofrezcan gerentes de lo público y no el vergonzante desfile de delincuentes infiltrados como congresistas. Reforma del sistema cívico, para que las normas se cumplan porque estamos convencidos de que el bien público asegura mejor lo privado. Protegernos en instituciones, más que en personas. Salud, educación y justicia  para que existan oportunidades para todos.

Todos estamos de acuerdo con estas reformas. ¿Por qué el Gobierno no las implementa? Porque anda ocupado en otras cosas, aquellas que lo mantienen en popularidad. Las reformas pendientes no huelen a economía, pero son indispensables para asegurar el crecimiento. Madurar como país es una tarea de generaciones. Debemos hacer la parte que nos toca. Ésa es la herencia que debemos dejar a nuestros hijos. No sólo un buen PBI per cápita.

Si bien ando fuera del país desde hace algún tiempo, reviso con bastante detenimiento las noticias principales peruanas y, con mucho pesar, debo confesar que éstas no pasan de cubrir el accidente de tránsito del día o los tremendos conflictos sociales gestionados con «audacia» por el gobierno y la preocupante problemática del VRAE. Curiosamente áreas de experiencia del actual mandatario ya sea por formar parte de sus promesas de campaña o dada su formación militar.

Lo hemos dicho reiteradas veces, ¿que hay de las carreteras de la información?¿que hay de una apuesta seria por la tecnología como eje promotor de desarrollo para el país, para así no seguir intercambiando espárragos por iPads? ¿Por qué no reestructurar el gabinete y convertir el Ministerio de Transportes y Comunicaciones en uno de Tecnologías de la Información y Comunicaciones como lo ha hecho Colombia con bastante éxito? Colombia tiene un problema en la actualidad quizás tan o más grave que el tuvimos nosotros en los noventas con la inseguridad creada por Sendero Luminoso sin embargo ello no ha impedido a dicho gobierno dar a la ciencia y a las tecnologías de la información un lugar digno en el gabinete y en las políticas públicas que la han hecho acreedora de diversos reconocimientos internacionales.

Sigamos con las preguntas, ¿qué resultados concretos luego de la advertencia en el CADE 2011de nuestro serio déficit en innovación? Lamentablemente, poco o nada. Todo esfuerzo para promover el desarrollo de la Sociedad de la Información en el país, la ciencia y la tecnología está restringido a esfuerzos aislados y débiles que cuenta con igualmente débil soporte del Estado. Cuando alguien me dice pero para qué Internet si primero es necesario tener agua y luz, puedo decirles, si es cierto, quizás suene prioritaria la tarea de llevar agua y luz a lugares remotos pero es igualmente importante llevar acceso al conocimiento y la educación, que con mucha agua y mucha luz no se logra. La ciencia, las tecnologías de la información y la innovación son ejes transversales que impactan positivamente en el país y esto no es novedad. Se trata de las carreteras para llevar el conocimiento.

Lamentablemente no parece que exista una clara visión del gobierno por apostarle a estos temas mientras seguimos sufriendo el rezago en los indicadores internacionales. ¿Donde están las reformas de segunda generación señor Presidente en materia de comunicaciones, tecnología e innovación? Es una realidad, señores, las materias primas se acaban y si no existe el respaldo de sólidas políticas públicas en las materias expuestas, estamos destinados a ser los Peter Pan tecnologícos, esos que nunca quisieron madurar y crecer y que prefirieron mantenerse analógicos mirando pasivamente la evolución global digital. Como sostiene válidamente el eurodiputado español José Ignacio Salafranca, en estos tiempos «la materia prima es la materia gris». ¿Qué estamos esperando?

El Perú y las tecnologías de la información #fail

La presente es una nota muy corta que simplemente recopila algunos recientes y reveladores indicadores sobre el Perú y su en el uso y manejo de las tecnologías de la información. Saque sus propias conclusiones.

El World Economic Forum publicó hace unos días el  «Global Information Technology Report 2012: Living in hyper connected world». Perú figura en el puesto. Algunas perlas:

    1. INDICATOR RANK /142 VALUE
      1st pillar: Political and regulatory environment
      1.01 Effectiveness of law-making bodies* …………………………..140 ………1.9
      1.02 Laws relating to ICT* …………………………………………………79 ………3.7
      1.03 Judicial independence* ……………………………………………..119 ………2.6
      1.04 Efficiency of legal system in settling disputes* …………….107 ………3.0
      1.05 Efficiency of legal system in challenging regs* ……………..90 ………3.2
      1.06 Intellectual property protection* ………………………………..122 ………2.5
      1.07 Software piracy rate, % software installed …………………….67 ……….68
      1.08 No. procedures to enforce a contract ………………………….106 ……….41
      1.09 No. days to enforce a contract ……………………………………..45 ……..428
    2. 3rd pillar: Infrastructure and digital content
      3.01 Electricity production, kWh/capita ………………………………93 ..1,139.4
      3.02 Mobile network coverage, % pop. ………………………………..75 …….97.1
      3.03 Int’l Internet bandwidth, kb/s per user………………………..80 ………8.5
      3.04 Secure Internet servers/million pop. …………………………..77 …….14.2
      3.05 Accessibility of digital content* …………………………………..91 ………4.6
    3. 5th pillar: Skills
      5.01 Quality of educational system* …………………………………..128 ………2.6
      5.02 Quality of math & science education* …………………………135 ………2.4
      5.03 Secondary education gross enrollment rate, % ……………..56 …….91.6
      5.04 Adult literacy rate, % …………………………………………………89 …….89.6
    4. 6th pillar: Individual usage
      6.01 Mobile phone subscriptions/100 pop. …………………………..73 …..100.1
      6.02 Individuals using Internet, %……………………………………….76 …….34.3
      6.03 Households w/ personal computer, % ………………………….80 …….22.7
      6.04 Households w/ Internet access, % ……………………………….80 …….14.0
      6.05 Broadband Internet subscriptions/100 pop. …………………82 ………3.1
      6.06 Mobile broadband subscriptions/100 pop. …………………..62 ………4.5
      6.07 Use of virtual social networks* …………………………………….79 ………5.1
    5. 7th pillar: Business usage
      7.01 Firm-level technology absorption* ……………………………….62 ………4.9
      7.02 Capacity for innovation* ……………………………………………..99 ………2.7
      7.03 PCT patents, applications/million pop. ………………………..88 ………0.2
      7.04 Extent of business Internet use* ………………………………….88 ………4.7
      7.05 Extent of staff training* ………………………………………………75 ………3.9
    6. 8th pillar: Government usage
      8.01 Gov’t prioritization of ICT* ………………………………………..101 ………4.2
      8.02 Importance of ICT to gov’t vision* ………………………………93 ………3.5
      8.03 Government Online Service Index, 0–1 (best) ……………..44 …….0.41

El comentario general del informe sobre Perú es el siguiente: «Despite the economic growth that Peru has experienced in the past year, at 106th place the country still lags significantly behind in terms of ICT. An insufficiently developed and expensive (141st) ICT infrastructure (86th) coupled with a low-quality educational system (128th) hinders the preparedness of Peru to make an effective use of ICT. As a result, the use of ICT by all three actors—individual, business, and government—is still low (81st), and despite relatively good framework conditions for entrepreneurship (56th), the potential economic impacts are not yet accruing«.

Como indica la Sociedad Nacional de Industrias al comentar el citado informe «Si nos comparamos con nuestros vecinos de Latinoamérica, somos superados por Ecuador (96), Guatemala (98) y El Salvador (103). Los mejor ubicados de esta parte del mundo son Chile (39), Uruguay (44), Panamá (57), Costa Rica (58) y Brasil (65). Perú solo supera a Venezuela (107), Paraguay (111), Bolivia (127) y Nicaragua (131), e incluso estamos al lado de países de Africa y Medio Oriente que exhiben una pobre perfomance en TIC como Pakistan (102), Namibia (105), Camboya (108), Zambia (109), Mali (126), Etiopía (130), por mencionar algunos«.

Naciones Unidas recientemente publicó el informe «United Nations E-Government Survey 2012» donde figuramos en  puesto 82 de 190 bajando 19 posiciones con respecto al informe anterior. Destacan a nivel regional Chile (39), Colombia (43) y Uruguay (50).

¿Si hemos dado una lección en temas gastronómicos al mundo porque no apostar por la tecnología como eje de desarrollo económico y social?

 

Hablando de protección de datos personales en serio: datosperu.org

Cualquiera que ha buscado en Internet el nombre una persona o empresa ha llegado alguna vez a una página como DatosPerú.org (o UniversidadPeru). Se trata de páginas que muestran bases de datos de personas y empresas, indicando en detalle su información legal y fiscal (gerentes, locales, vinculadas). Casi desde su inicio, estas páginas son vistas con preocupación por muchas personas que sienten vulnerada su privacidad viendo tanta información sobre uno mismo en Internet. En un país donde los secuestros y extorsiones son tan frecuentes, resulta una preocupación válida. ¿Son legales estas páginas? ¿Qué se puede hacer frente a ellas?

En principio, DatosPerú no contiene información secreta ni prohibida de ser publicada. De hecho, contiene información a la que cualquiera tiene acceso. Solo ha agrupado información que ya se encontraba disponible en SUNAT y en los portales de otras instituciones del Estado, es decir, información pública. La cantidad de información personal disponible públicamente es aún mayor que la mostrada en DatosPeru.

  • SUNAT (nombre, DNI, dirección, omisiones tributarias, teléfono),
  • ESSALUD (nombres, fecha y año de nacimiento),
  • INFOgob (fotografías, filiación política, declaración jurada y currículo, en el caso de candidatos), y,
  • Páginas Blancas (direcciones y teléfonos)

Todo eso sin pagar un sol. Porque si se dispone de dinero, están a nuestra disposición las bases de datos de Registros Públicos (propiedades, hipotecas, autos, empresas, accionistas), Reniec (registro civil) y la tan temidas centrales de riesgo como Infocorp. ¿Por qué es pública toda esta información? Todas estas bases de datos existen o están disponibles por disposición de alguna norma de orden legal, que ordena su publicidad para proteger la seguridad jurídica o el comercio.

Nuestra Ley de Protección de Datos Personales (.pdf) considera como dato personal a toda información sobre una persona natural que la identifica o la hace identificable, distinguiéndolo de los datos sensibles calificados como datos biométricos que por sí mismos pueden identificar al titular, raza, ingresos económicos, opiniones o convicciones políticas, religiosas, filosóficas o morales, afiliación sindical e información relacionada a la salud o a la vida sexual.

Un tratamiento de datos personales como el que realiza DatosPerú debería de ser autorizado previamente por el titular. Sin embargo, el que realiza SUNAT, RENIEC o EsSalud no necesita de ninguna autorización porque se encuentra exceptuados del ámbito de aplicación de la Ley.

¿Qué pasa entonces con la información contenida en bases de datos públicas cuando son reproducidas por privados? El artículo 14 precisa que «no se requerirá consentimiento del titular cuando se  trate de datos personales contenidos o destinados a ser contenidos en fuentes accesibles para el público«. En otras palabras, si algún dato personal ya está contenido en una «fuente accesible para el público», no será necesario que el titular autorice su tratamiento. Las fuentes accesibles para el público son bancos de datos personales de administración pública o privada, que pueden ser consultados por cualquier persona, y que deberían de estar establecidas por el reglamento.

El problema es que la tan anunciada Ley de Protección de Datos Personales aún no tiene reglamento y, por ende, no sabemos cuáles serán las fuentes accesibles para el público. En julio se encargó su elaboración a una Comisión y se le otorgó un plazo de ciento viente (120 días), que venció a inicios de este año. Sin embargo, no resulta difícil imaginar que el Reglamento reconocerá la base de datos de SUNAT como una fuente accesible para el público. Lo que significa que, con o sin Ley, será poco lo que podamos hacer frente a páginas como DatosPerú.

La página del gobierno estadounidense que reúne a las iniciativas de Open Data gubernamentales alrededor del mundo la ha registrado como la iniciativa oficial del Estado Peruano. Frente a esto, dos entidades de la sociedad civil han hecho la consulta formal al Estado sobre si DatosPerú está gestionado por el Gobierno. Les adelanto la respuesta: no lo está. Lo que, como todo parece indicar, no significa que su actividad sea ilegal.

Actualización (14/03): En el Proyecto de Reglamento de la Ley de Protección de Datos se reconoce como una fuente de acceso público a la base de datos de SUNARP y a «todo otro registro o base de datos calificado como público». Por tanto, todos los datos contenidos en estas bases de datos pueden ser tratados libremente.

Ilustración: Charlie Collins (CC BY-ND)

Derecho al olvido: Alfacs Vacances contra Google Spain por Miquel Peguera

Miquel Peguera mantiene uno de los blogs, en mi opinión, mas interesantes sobre responsabilidad de Internet Service Providers (ISP). Miquel es profesor Agregado de Derecho Mercantil en la Universitat Oberta de Catalunya (Barcelona, España) y Doctor en Derecho por la Universidad de Barcelona (2006), con una tesis doctoral sobre la responsabilidad de los intermediarios en la Sociedad de la Información. Los invitamos a revisar este interesante aporte de Miquel con relación al famoso «derecho al olvido» que tanto se ha venido discutiendo en Europa a propósito del caso Alfacs Vacances contra Google Spain. ¡Muchas gracias Miquel!

Derecho al olvido: Alfacs Vacances contra Google Spain
por Miquel Peguera

Quiero aprovechar la amable invitación de Óscar Montezuma a participar en el blog para referir brevemente una reciente sentencia dictada en España en relación con el llamado “derecho al olvido”. Se trata de la sentencia de 23 de Febrero de 2012 del Juzgado de Primera Instancia de Amposta (Tarragona) en el caso del camping Los Alfaques contra Google Spain.

El demandante es la sociedad mercantil “Alfacs Vacances S.L.”, titular de un camping situado cerca de Tarragona. En 1978, el camping sufrió un terrible accidente. Un camión que transportaba líquido altamente inflamable ardió en llamas cuando circulaba por la autopista que pasa junto al camping. Como consecuencia de la explosión y de la enorme bola de fuego que se extendió sobre el camping fallecieron más de 200 personas y muchas otras resultaron heridas por quemaduras graves. A pesar de que el accidente ocurrió hace ya más de 30 años, y de que el camping no tuvo ninguna responsabilidad en el mismo, cuando alguien busca en Google “Camping Los Alfaques”, los primeros resultados se refieren precisamente al accidente, apareciendo incluso cuatro terroríficas imágenes de cuerpos carbonizados. Ciertamente no es la mejor publicidad para atraer nuevos clientes.

La empresa titular del camping interpuso una demanda civil contra Google Spain S.L. alegando que el orden y el modo en que Google decide mostrar los resultados de la búsqueda constituyen una intromisión ilegítima en su derecho al honor. En la demanda, Alfacs S.L. pedía que se condenara a Google Spain S.L. a cesar en su conducta supuestamente vulneradora del derecho al honor de la demandante, así como una indemnización por los daños morales sufridos.

Del caso resulta interesante señalar lo siguiente:

a) El demandante no era una persona física, sino una sociedad mercantil, y por tanto no se trataba de una cuestión de protección de datos personales, que son exclusivamente los referidos a personas físicas. La mayoría de reclamaciones contra Google por los resultados del buscador se han basado en el derecho a la protección de datos personales y se han tramitado ante la Agencia Española de Protección de Datos. En este caso, en cambio, se trataba de un procedimiento por violación del derecho al honor, planteado ante la jurisdicción civil.

b) El demandante no dirigió su demanda contra las fuentes originales de las noticias o reportajes sobre el accidente. Entendió que tales fuentes se hallan protegidas por la libertad de expresión. Su reclamación fue sólo contra Google, por considerar que el modo en que el buscador selecciona y presenta los resultados perjudica al honor de la sociedad demandante.

c) La demanda no se dirigió contra la compañía estadounidense Google Inc., sino exclusivamente contra su filial española, la sociedad Google Spain, S.L.

El juez admitió el argumento de la demandada de que quien gestiona el buscador es en realidad la compañía californiana Google Inc., mientras que su filial española desarrolla exclusivamente tareas de promoción y marketing. Así pues, la demanda fue desestimada íntegramente, sin llegar a entrar en el fondo del asunto, al considerar el juez que Google Spain S.L. carecía de legitimación pasiva. Habida cuenta de que la acción se basaba en las opciones adoptadas por el buscador y que solicitaba, además de una indemnización, el cese de dicha conducta para lo sucesivo, el juez entendió que resulta improcedente dirigir esas peticiones contra Google Spain, puesto que al no intervenir en la selección de los resultados, no puede ser responsable de los mismos, ni puede tampoco impedir que sigan apareciendo en el futuro.

¿Qué hubiera ocurrido si la demanda se hubiera dirigido contra la matriz, Google Inc.? El precedente más claro está en el caso conocido como Palomo v. Google, (sentencia de 13 de mayo de 2009 del Juzgado de Primera Instancia número 19 de Madrid, confirmada en apelación por la sentencia de la Audiencia Provincial de Madrid, de 19 de Febrero de 2010).

En este caso, una persona demandó a Google Inc. por determinados resultados que enlazaban a informaciones de carácter difamatorio. El tribunal consideró que Google Inc. quedaba protegida por la norma de exclusión de responsabilidad establecida en el artículo 17 de la Ley de Servicios de la Sociedad de la Información (LSSI)

Según la sentencia, Google no tuvo conocimiento efectivo del carácter ilícito de los contenidos enlazados, y por tanto cumplió con los requisitos establecidos en el artículo 17 para quedar libre de responsabilidad. De acuerdo con una interpretación estricta de dicho artículo, para que un proveedor de servicios de enlaces tenga conocimiento efectivo de que el contenido al que enlaza es ilícito, es preciso que previamente se haya dictado una orden judicial o administrativa que declare la ilicitud de dicho contenido, cosa que no había sucedido en el caso. Por otra parte, el tribunal analizó la debatida cuestión de si la LSSI resulta aplicable a Google Inc. y consideró que sí, basándose en que Google Inc. tiene una sociedad filial con establecimiento permanente en España (Google Spain S.L.).

Oscar Montezuma nos trae más SOPA en «El Cristal Roto»

Guillermo Jara, alumno de la Facultad de Derecho de la UP realizó una entrevista a Óscar Montezuma (@androide_negro) y columnista de Blawyer, la entrevista pueden ver en «El cristal roto«, es un blog dedicado principalmente -aunque no exclusivamente- al análisis de normas y proyectos de normas que tengan incidencia en la actividad empresarial.

La entrevista sintetiza la opinión de Óscar sobre las leyes SOPA (Stop Online Piracy Act  – Ley para el cese de la piratería en línea) y PIPA (Protect Intellectual Propery Act Ley para la protección de la propiedad intelectual) análisis que el autor ya ha realizado en anteriores entradas en Blawyer:  Luego de SOPA y PIPA ¿qué viene o debería venir?Actualización: ¿Quien financia la SOPA?  y La SOPA que definiría el futuro de Internet.

[vsw id=»rBS1AmHPgi8″ source=»youtube» width=»425″ height=»344″ autoplay=»no»]

Arcos Dorados, Hamburguesas Rey y mercados de dos caras (I)

En noviembre del año pasado -y luego de poco más de cuatro años de investigación, que se dice pronto- la Comisión de Libre Competencia de INDECOPI emitió la esperada Resolución (aquí) en el caso seguido por Operaciones Arcos Dorados de Perú S.A. (McDonald’s) contra Administradora Jockey Plaza Shopping Center S.A. (Jockey Plaza), Sigdelo S.A. (Burger Kig) y otros; por abuso de posición de dominio en la modalidad de negativa injustificada a contratar.

Contra todo pronóstico, la Comisión declaró fundada la denuncia de McDonald’s contra el centro comercial Jockey Plaza y Burger King y sus representantes, además, calificó la infracción como grave y sancionó a las empresas denunciadas con multas de 564.4 y 100 UITs, respectivamente, y, a sus representantes con una multa de 5 UIT a cada uno.

La decisión tiene relevancia de cara a los temas que tratamos cotidianamente en este espacio, pues al igual que los centros comerciales -como el Jockey Plaza- los mercados tecnológicos son del tipo de dos caras (two sided makets), un refinamiento teórico desarrollado simultáneamente por Geoffrey Parker y Marshall Van Alstyne (Information Complements, Substitutes, and Strategic Product Design) para el mercado del software y por Jean-Charles Rochet y Jean Tirole (Platform competition with two-sided markets) para analizar los mercados de tarjetas de crédito. Es sobre la base de este refinamiento que la Comisión ha analizado la denuncia de McDonald’s.

Uno podría esperar que luego de cuatro años de incubar la solución de este caso, el análisis de la Comisión fuera refinado, sólido en sus fundamentos económicos, carezca de contradicciones y permita sostener un modelo de actuación para los agentes del mercado de cara a situaciones similares. Lamentablemente, de todo ello carece la Resolución de INDECOPI. La Resolución es rústica, sus criterios económicos son cuestionables, tiene numerosas contradicciones estructurales y el mensaje de cara a los agentes del mercado no puede ser de lo mas contradictorio. Vayamos a los hechos.

Los Hechos

En de febrero de 1997, el Jockey Plaza suscribió con Burger King cuatro contratos de arrendamiento respecto de igual número de locales ubicados en el Jockey Plaza. De acuerdo con los mencionados acuerdos, el Jockey Plaza se obligó expresamente a no arrendar locales comerciales a McDonald’s en ningún lugar del Centro Comercial.  El plazo de duración de esta obligación era de 20 años.

A partir del año 2000, McDonald’s envía diversas comunicaciones para que el Jockey Plaza le arriende un local comercial; lógicamente, el Jockey se niega a hacerlo alegando la existencia del contrato con Burger King. No está en discusión que los acuerdos existen y que el Jockey Plaza se negó a arrendar un local McDonald’s.

Los mercados de dos caras

Un mercado de dos caras o two sided market es aquel en el que los usuarios de una empresa reciben externalidades de otros usuarios que utilizan la misma plataforma. Cada grupo de consumidores se relacionan con la plataforma de distribución. Pero además, los grupos que acceden a la plataforma se interaccionan ente sí.

Existen muchos ejemplos de este tipo de mercados como el de tarjetas de crédito, el audiovisual o el de centros comerciales. En los centros comerciales, se relacionan compradores y vendedores minoristas. Cuantos más compradores atraiga el centro comercial, mayor será la disposición a pagar de los vendedores minoristas por un local. Del mismo modo, cuanto mayor sea el número de tiendas establecidas en el centro comercial, mayor será el interés de los consumidores para desplazarse hacia él. En esta página hemos abordado varios casos de este tipo de mercados: Macmillan Blitzkrieg para el caso del Kindle; Cómo se financia la televisión pública para el caso del audiovisual; Nokia y las telcos enemigos íntimos, para los smartphones; y, En el mundo del todo es gratis, Microsoft ¿Un pionero? para los negocios gratuitos en Internet.

El mercado relevante

Uno de los aspectos más importantes al investigar una denuncia por abuso de posición de dominio es la determinación del mercado relevante. Una determinación equivocada o poco prolija del mercado relevante nos llevará a conclusiones equivocadas y a una solución que lejos de resolver el problema -si acaso lo hubiere- terminará por afectar el proceso competitivo.

Para la Comisión el mercado relevante está conformado por el arrendamiento de espacios en el Jockey Plaza para la venta de hamburguesas similares a las de McDonald´s. Es decir, nos encontramos ante un mercado relevante en exceso restrictivo, el Jockey Plaza se constituye casi como sinónimo de facilidad esencial y por ende de dominancia per se.

La Comisión llega a la conclusión anterior luego de advertir que el servicio solicitado por McDonald´s consiste en el arrendamiento de espacios en centros comerciales similares al Jockey Plaza para la venta de hamburguesas y que los consumidores acuden a los centros comerciales como el Jockey porque buscan una combinación de servicios entre los que se encuentran necesariamente las hamburguesas. Como no hay centros comerciales similares al Jockey, este centro comercial se constituye en el mercado relevante.

Sin embargo, los consumidores no acuden a un centro comercial como el Jockey Plaza buscando necesariamente una combinación abstracta y uniforme de bienes y servicios con hamburguesas dentro. Cada consumidor identifica una necesidad temporal y es en virtud de esa necesidad -y no de otra- que decide acudir a un centro comercial como el Jockey Plaza o a cualquier local que satisfaga esa necesidad particular.

La Comisión trata al centro comercial como si fuera una plataforma única, lo cual es correcto para el caso del mercado de tarjetas de crédito o el de videojuegos, pero no necesariamente es aplicable para los centros comerciales. Un centro comercial es en realidad una multiplataforma que no sólo compite con otras multiplataformas de igual dimensión, sino también con multiplataformas menores y otros establecimientos menores como los del tipo free standing, de acuerdo con la necesidad inmediata y temporal de los clientes. Es decir, un centro comercial trata de satisfacer a una demanda claramente heterogénea a partir de un catálogo de productos distribuidos de forma simultánea en varias de sus plataformas, algunas de las cuales pueden competir entre sí. Así, el Jockey plaza tiene varias plataformas competitivas, el patio de comidas es sólo una más, pero también lo son el nuevo Boulevard, los cines (con oferta de comida incluida), también  Happiland y Divercity y hasta el reciente centro médico Jockey Salud.

Es curioso que la Comisión cite en su Resolución cuatro sentencias americanas sobre casos similares al que investiga y no repare que en ninguna de ellas las cortes utilizaron su análisis de mercado relevante.

En el caso Recetas por Menos v. Five Development (368 F.Supp.2d 124 (2005)) citado por la Comisión, en el que se analizó la legalidad de un acuerdo de exclusiva entre una cadena de farmacias y un centro comercial en Puerto Rico, la Corte del Distrito -con encomiable simpleza- fustigó el mercado relevante presentado por los demandantes (el centro comercial cuyo acceso se les negaba) rechazando la posibilidad de que el mercado relevante no fuera otra cosa que la «zona de competencia efectiva», donde los competidores están dispuestos a concurrir por el consumidor potencial, y no sólo el área del mercado donde se ubica una sola empresa. Contando sólo con una farmacia dentro del centro comercial, esta área no es económicamente significativa y por lo tanto no podrá definir los linderos del mercado relevante.

La defensa de la estructura competitiva

Para terminar, es importante repetir el análisis que realiza la Corte de Distrito puertoriqueña en el caso citado respecto de la pretensión de los demandantes, la que considera está orientada más que a defender el proceso competitivo a obtener el acceso a una ubicación que consideran ideal. Sin embargo, la Corte recordó sobre el particular que los reclamos de violación de la competencia no se preocupan por las ofensas dirigidas contra el interés privado de una empresa individual, sino contra una conducta que impide la competencia. Es evidente que las leyes antimonopolio se aprobaron para la protección de la competencia, no de un competidor particular. Finaliza diciendo la Corte que el daño al mercado no significa una simple pérdida de negocio o incluso la desaparición de un competidor, sino un deterioro de la estructura competitiva del mercado. Precisamente el camino contrario al transitado por la Comisión en esta oportunidad.

Seguiremos analizando el caso en una siguiente entrada. Lo peor está por venir.