Universidad Nacional Mayor de San Marcos

Facultad de Ingeniería de Sistemas e Informática

Unidad de Posgrado
Lima, Perú

Normas Aplicables a la Auditoria de

Sistemas

Dr. Igor Aguilar Alonso

 Agenda
1. Introducción
2. Control gubernamental
3. Base legal
4. Estándar ISO 19011
5. Objetivos de la ASI
6. Control Interno (CI)
7. Metodologías de ASI
8. Áreas de revisión
9. Normas y regulaciones
CONTROL GUBERNAMENTAL
CONCEPTO
El Control gubernamental consiste en la supervisión, vigilancia y
verificación de los actos y resultados de la gestión pública, en atención
al grado de eficiencia, eficacia, transparencia y economía en el uso y
destino de los recursos y bienes del Estado, así como del cumplimiento
de las normas legales y de los lineamientos de política y planes de acción
evaluando los sistemas de administración, gerencia y control, con fines de
su mejoramiento a través de la adopción de acciones preventivas y
correctivas pertinentes (Art. 6º de la Ley Nº 27785 “Ley Orgánica del
Sistema Nacional de Control y de la Contraloría General de la
República”).

TIPOS DEL CONTROL GUBERNAMENTAL

1. Control Interno.
2. Control Externo.
CONTROL INTERNO
El control interno comprende las acciones de cautela previa,
simultánea y de verificación posterior que realiza la entidad sujeta
a control, con la finalidad que la gestión de sus recursos, bienes y
operaciones se efectúe correcta y eficientemente. Su ejercicio es
previo, simultáneo y posterior.
El control interno previo y simultáneo compete exclusivamente a
las autoridades, funcionarios y servidores públicos de las
entidades como responsabilidad propia de las funciones que le
son inherentes, sobre la base de las normas que rigen las
actividades de la organización y los procedimientos establecidos en
sus planes, reglamentos, manuales y disposiciones institucionales,
los que contienen las políticas y métodos de autorización, registro,
verificación, evaluación, seguridad y protección (Art. 7º de la Ley
Nº 27785 “Ley Orgánica del Sistema Nacional de Control y de la
Contraloría General de la República”).
CONTROL EXTERNO

Se entiende por control externo el conjunto de políticas, normas,

métodos y procedimientos técnicos, que compete aplicar a la
Contraloría General y otros órganos del Sistema por encargo o
designación de ésta, con el objeto de supervisar, vigilar y verificar la
gestión, la captación y el uso de los recursos y bienes del Estado.

Se realiza fundamentalmente mediante acciones de control con

carácter selectivo posterior (Art. 8º de la Ley Nº 27785 “Ley
Orgánica del Sistema Nacional de Control y de la Contraloría
General de la República”).
BASE LEGAL
NORMATIVIDAD DEL SISTEMA DE IMPLEMENTACION

Ley N° 28716

R.C. N° 320 R.C. N° 458 LEY Nº 29749

2006 - CG 2008- CG 2011

Aprueba Aprueba Guía para la Modifica el

Normas de Implementación del Articulo 10 de
Control SCI de las Entidades la Ley Nº
Interno del Estado. 28716
DECRETO LEGISLATIVO LEY Nº 29743
MODIFICACIÓN DEL ART. 10
LEY DE CONTROL INTERNO Nº 28716
Publicado el 09 de julio de 2011
 DECRETO LEGISLATIVO LEY Nº 29743 MODIFICACIÓN DEL ART. 10
LEY DE CONTROL INTERNO Nº 28716
Publicado el 09 de julio de 2011

Articulo 1. Modificación del articulo 10 de la ley 28716, ley del

control interno.
Sustituyese el cuarto párrafo del articulo 10 de la ley 28716, ley del
control interno.
Articulo 10. competencia normativa de la contraloría General de la
República
(….)
El marco normativo y la normativa técnica de control que emite la
contraloría General de la República en el proceso de implementación
del sistema de control interno, toma en cuenta la naturaleza de las
funciones de las entidades, proyectos de inversión, actividades y
programas sociales que estas administran.
Articulo 2. Derogación
Derogase los artículos 2 y 3 del decreto de urgencia que
Modifica del articulo 10 de la ley 28716, ley del control
interno. Así como cualquier disposición que se oponga o resulte
incompatible con la presente ley.
OBJETO DE LA LEY Nº 28716

 Regular la elaboración, aprobación, implantación,

funcionamiento, perfeccionamiento y evaluación del
Control Interno en las Entidades del Estado.

 Cautelar y fortalecer los sistemas administrativos y

operativos con acciones y actividades de control previo
simultáneo y posterior, contra los actos y prácticas
indebidas o de corrupción, propendiendo al debido y
transparente logro de los fines, objetivos y metas
institucionales.
ÁMBITO DE APLICACIÓN :
De cumplimiento obligatorio por las entidades sujetas al Sistema
Nacional de Control, entre ellas las entidades del estado. 

RESPONSABILIDAD
Inobservar la Ley N° 28716, genera responsabilidad
administrativa funcional, y da lugar a la imposición de la sanción
de acuerdo a la normativa aplicable, sin perjuicio de la
responsabilidad civil o penal a que hubiere lugar, de ser el caso.
OBLIGACIONES Y RESPONSABILIDADES

 Son obligaciones del Titular y funcionarios de la entidad, relativas

a la implantación y funcionamiento del control interno:

a) Velar por el cumplimiento de las funciones y actividades con

sujeción a la normativa aplicable. 
b) Organizar, mantener y perfeccionar el sistema y las medidas de
control interno, verificando la efectividad y oportunidad de su
aplicación.
c) Demostrar y mantener probidad y valores éticos en el
desempeño de los cargos, promoviéndolos en toda la
organización.
d) Documentar y divulgar internamente las políticas, normas y
procedimientos de gestión y control interno.
e) Disponer inmediatamente las acciones correctivas
pertinentes, ante cualquier evidencia de desviaciones o
irregularidades.
f) Implementar oportunamente las recomendaciones y
disposiciones emitidas por la propia entidad y los órganos del
Sistema Nacional de Control.
g) Emitir las normas específicas aplicables a la entidad, de
acuerdo a su naturaleza, estructura y funciones, para la
aplicación en las principales áreas de la actividad.
SISTEMA DE CONTROL INTERNO

Acciones, actividades, planes, políticas, normas, registros,

organización, procedimientos y métodos, incluyendo la
actitud de las autoridades y el personal, organizados e
instituidos en cada entidad, para la consecución de los
objetivos siguientes:
OBJETIVOS
1. Promover y optimizar la eficiencia, eficacia, transparencia y
economía de las operaciones, así como la calidad de los
servicios.
2. Cuidar y resguardar los recursos y bienes contra pérdida,
deterioro, uso indebido, actos ilegales, y todo hecho irregular o
situación perjudicial.
3. Cumplir la normatividad aplicable.
4. Garantizar la confiabilidad y oportunidad de la información.
5. Fomentar e impulsar la práctica de valores institucionales.
6. Promover el cumplimiento de rendir cuenta por los fondos y
bienes públicos encomendados y/o por una misión u objetivo
encargado.  
COMPONENTES DEL SISTEMA DE CONTROL INTERNO

Las Normas de Control Interno son 37, agrupadas en cinco

(5) componentes, como sigue:

1.- Ambiente de Control 8

2.- Evaluación de Riesgos 4

Componentes

3.- Actividades de Control Gerencial 10

4.- Información y Comunicación 9

4.- Información y Comunicación
5.- Supervisión 6

Total de Normas 37
 Órgano de Control Filosofía y Integridad y
Institucional Dirección Valores éticos

Asignación de AMBIENTE DE Administración

autoridad y
CONTROL estratégica
responsabilidad

Competencia Administración de Estructura

profesional los RR.HH. Organizacional

Es el ambiente en que las personas desarrollan sus

actividades y cumplen con sus responsabilidades de control.
COMPONENTE: EVALUACIÒN DE RIESGO

Planeamiento de
Identificación
la administración
de riesgos
De los riesgos El riesgo se define
como la posibilidad
de que un evento
ocurra y afecte de
Respuesta Valoración de manera adversa el
Al riesgos Los riesgos
logro de los
objetivos de la
INSTITUCION.
COMPONENTE: ACTIVIDADES DE CONTROL GERENCIAL
SON LAS POLITICAS Y PROCEDIMIENTOS QUE AYUDAN ASEGURAR
LOS PROCESOS EVALUACIÒN.

Controles
Segregación sobre el
de funciones acceso a
recursos o
Procedimiento archivos
Evaluación Verificación
de
costo- y
autorización
beneficio conciliación
y aprobación
Controles Documentación
Evaluación
de procesos,
para las de
actividades y
desempeño
TIC tareas
Revisión de
procesos,
Rendición de
actividades y
cuenta
tareas
COMPONENTE: INFORMACION Y COMUNICACIÓN

Funciones y Calidad y Comunicación

Flexibilidad Canales de
características suficiencia Interna
al cambio comunicación
de la de la
información Información

RELACIONADO A LA OBTENCIÒN DE INFORMACIÒN

ACCESIBLES,CONFIABLE Y OPORTUNA.

Información y Sistema de Archivo Comunicación

responsabilidad Información Institucional externa
NORMAS Y REGULACIONES
 CARÁCTER OBLIGATORIO
 INCUMPLIMIENTO SANCIONABLE

 DERECHOS y OBLIGACIONES
 VOLUNTARIAS

 REQUERIMIENTOS

CONTRACTUALES
 CONSENSO PROFESIONAL

 “BUENAS PRÁCTICAS” de la

INDUSTRIA o SECTOR
OTRA LEGISLACIÓN
INTERNACIONAL
ESTÁNDAR ISO 19011 – 2011
Directrices para la auditoría de Sistemas de Gestión

LSSI - Ley 34/2002 de 11 de julio, de servicios

de la sociedad de la información y comercio
electrónico

LEY de PROPIEDAD INTELECTUAL

LEY de TELECOMUNICACIONES

LEY de FIRMA ELECTRÓNICA

OTRAS NORMAS…
Estándar ISO 19011 – 2011
Directrices para la auditoría de Sistemas de Gestión.
Procesos para la gestión de un programa de auditoría
Planear
Establecer los objetivos del programa

Establecer el programa de auditoría:

• Roles y responsabilidades de las personas que gestionan
el programa de auditoria
• Competencias de la persona que gestiona el programa de
auditoria.
• Establecer el alcance del programa de auditoria.
• Identificar y evaluar los riesgos del programa de
auditoria.
• Establecer procedimientos para el programa de auditoria.
• Identificar los recursos para el programa de auditoria.
Hacer

Implementación del programa de

Competencias y
auditoría: evaluación de
• Generalidades. auditores
• Definición de los objetivos, alcance y criterios para
una auditoria individual. (Capítulo 7)
• Selección de los métodos de auditoria.
• Selección de los miembros del equipo auditor.
• Asignación de responsabilidades de una auditoria Realización de
individual al líder del equipo auditor. una auditoria
• Gestionar el resultado del programa de auditoria.
• Gestionar y mantener registros del programa de (Capítulo 6)
auditoría.
Verificar

Monitorear el programa de auditoría

Actuar
Revisar y mejorar el programa de auditoría
Actividades típicas de la auditoría
Inicio de la auditoria:

• Generalidades.
• Establecer contacto inicial con el auditado.
• Determinar la viabilidad de la auditoría

Preparación de actividades de
auditoría:

• Revisión de documentos en la preparación para la

auditoria
• Preparación del plan de auditoria.
• Asignación del trabajo al equipo de auditoria.
• Preparación de los documentos de trabajo.
Actividades típicas de la auditoría

Realización de las actividades de

auditoría:

• Generalidades.
• Realización de la reunión de apertura.
• Revisión documental durante la realización de
auditoria.
• Comunicación durante la auditoria.
• Asignación de roles y responsabilidades de guías
y observadores.
• Recolección y verificación de información.
• Generación de hallazgos de auditoria.
• Preparación de conclusiones de auditoria.
• Realización de reunión de cierre.
Proceso para recolectar y verificar la información

Fuente de información

Recolección por medios de muestreo apropiado

Evidencia de auditoría

Evaluación contra criterios de la auditoría

Hallazgos de auditoría

Revisión

Conclusiones de la auditoría
LEY DE SERVICIOS DE LA
SOCIEDAD DE LA INFORMACION Y
COMERCIO ELECTRONICO - LSSI
OBJETO DE LA LSSICE
La Ley define un concepto amplio de «servicios de la sociedad de
la información», que engloba:
 La contratación de bienes y servicios por vía electrónica.
 El suministro de información por dicho medio (como el que
efectúan los periódicos o revistas que pueden encontrarse en la
Red)
 Las actividades de intermediación relativas a la provisión de
acceso a la Red, a la transmisión de datos por redes de
telecomunicaciones, a la realización de copia temporal de las
páginas de Internet solicitadas por los usuarios, al alojamiento
en los propios servidores de información, servicios o
aplicaciones facilitados por otros o a la provisión de
instrumentos de búsqueda o de enlaces a otros sitios de Internet.
 Cualquier otro servicio que se preste a petición individual de
los usuarios (descarga de archivos de vídeo o audio...), siempre
que represente una actividad económica para el prestador.

Estos servicios son ofrecidos por los operadores de

telecomunicaciones, los proveedores de acceso a Internet, los
portales, los motores de búsqueda o cualquier otro sujeto que
disponga de un sitio en Internet a través del que realice alguna de
las actividades indicadas, incluido el comercio electrónico.
LSSICE LEY 34/2002 DE SERVICIOS DE LA SOCIEDAD
DE LA INFORMACIÓN Y DE COMERCIO ELECTRÓNICO
Transposición de la Directiva Europea 200/31/CE

Se establecen nuevas responsabilidades y obligaciones para

aquellas empresas que realicen actividades económicas a través de
sus páginas web, relativas entre otras a:
 La prohibición expresa de envío de correos electrónicos
publicitarios no solicitados o expresamente consentidos.

 El deber de inscribir los dominios de Internet a los registros

públicos.

 La obligación de incluir, en la página Web, información genérica

para facilitar el contacto de los usuarios y las administraciones
públicas con el prestador del servicio.
ÁMBITOS DE APLICACIÓN

La ley se aplicará a los prestadores de servicios de la sociedad de la

información establecidos en otro Estado miembro de la UE o del
EEE cuando el destinatario de los servicios radique en España y los
servicios afecten a las materias siguientes:
 Derechos de propiedad intelectual o industrial.

 Emisión de publicidad por instituciones de inversión

colectiva.

 Actividad de seguro directo realizada en régimen de

derecho de establecimiento o en régimen de libre prestación
de servicios.
 Obligaciones nacidas de los contratos celebrados por
personas físicas que tengan la condición de consumidores.

 Régimen de elección por las partes contratantes de la

legislación aplicable a su contrato.

 Licitud de las comunicaciones comerciales por correo

electrónico u otro medio de comunicación electrónica
equivalente no solicitadas.
LSSICE LEY 34/2002 DE SERVICIOS DE LA SOCIEDAD
DE LA INFORMACIÓN Y DE COMERCIO ELECTRÓNICO

 Consagra el deber de facilitar al cliente, información referente al

proceso de contratación electrónica, en los instantes anterior y
posterior a la celebración del contrato.
 Se da carácter público al registro de nombres en internet.

Aspectos positivos:
 Se apuesta por el arbitraje de consumo como medio delimitador de
conflictos, en lugar de la justicia ordinaria.
 Se apuesta por la autorregulación y los códigos de conducta.
 Se prohíbe el spam.
 Se requiere para que en un breve espacio de tiempo, todos los
ciudadanos posean "acceso funcional a Internet”.
LSSICE: CONTENIDOS

Ámbito de aplicación: prestadores de servicios

 Prestación de servicios de la sociedad de la información

 Comunicaciones comerciales por vía electrónica

 Contratación por vía electrónica

 Solución judicial y extrajudicial de conflictos

 Información y control

 Infracciones y sanciones
OBJETO DE LA LEY
La regulación del régimen jurídico de los servicios de la sociedad
de la información y de la contratación por vía electrónica
Es de aplicación a los prestadores de servicios establecidos en
España, la UE o el EEE (se entiende que el prestador o alguna de
sus sucursales se haya inscrito en el Registro Mercantil o en otro
Registro público español) . También de otros países que dirijan sus
servicios específicamente al territorio español quedan sujetos,
salvo que contravenga lo establecido en tratados internacionales
Servicios excluidos del ámbito de aplicación de la Ley:

A. Servicios de Notarios y Registradores de Propiedad y

Mercantiles en el ejercicio de respectivas funciones públicas.
B. Juegos de azar que impliquen apuestas de valor económico.
C. Servicios prestados por abogados y procuradores en ejercicio
de sus funciones de representación y defensa en juicio.
PRESTADORES DE SERVICIOS

La prestación de servicios no está sujeta a autorización previa,

pero están sujetos a la responsabilidad civil, penal y
administrativa (no por la información almacenada que no sea
suya).
Se podrá interrumpir el servicio para:

 Salvaguardar del orden público.

 Proteger de la salud pública .

 Asegurar el respeto a la dignidad de la persona y al principio de

no discriminación.

 Proteger la juventud y de la infancia.

Debe haber constancia registral del nombre de dominio. Del
prestatario se debe saber:

a) Su nombre o denominación social; su residencia o domicilio

b) Los datos de su inscripción en el Registro.
c) Si es una actividad sujeta a un régimen de autorización
administrativa previa, los datos de esta.
d) Si ejerce una profesión regulada deberá indicar los datos de
Colegio, su Titulación, el país donde se obtuvo y en su caso la
homologación y las normas de ejercicio de esa profesión.
COMUNICACIONES COMERCIALES VÍA ELECTRÓNICA

Las comunicaciones comerciales realizadas por vía electrónica

deberán ser claramente identificables como tales.

Quedan prohibidas las comunicaciones comerciales no solicitadas

realizadas a través de correo electrónico o medios de comunicación
electrónica equivalentes.

Si el prestador pretende utilizar la información posteriormente para

el envío de comunicaciones comerciales, deberá ponerlo en
conocimiento del prestatario.

El soporte electrónico en que conste un contrato celebrado por vía

electrónica será admisible en juicio como prueba documental.
El soporte electrónico en que conste un contrato celebrado por vía
electrónica será admisible en juicio como prueba documental.

El oferente está obligado a confirmar la recepción mediante:

a) El envío de un acuse de recibo por correo electrónico, en

el plazo de 24 horas siguientes a la recepción de la
aceptación

b) La confirmación, por un medio equivalente, tan pronto

como el aceptante haya completado dicho procedimiento,
siempre que la confirmación pueda ser archivada por su
destinatario.
CONTRATACIÓN POR VÍA ELECTRÓNICA
Los contratos celebrados por esta vía electrónica tienen los efectos
previstos por el ordenamiento jurídico, cuando cuente con el
consentimiento de las partes.

Para que sea válida la celebración de contratos por vía electrónica

no será necesario el previo acuerdo de las partes sobre la
utilización de estos medios.

Este requisito se entenderá satisfecho si el contrato o la información

se contiene en un soporte electrónico.

No será de aplicación a los contratos relativos al derecho de

familia y sucesiones y los contratos que requieran por Ley la
intervención de órganos jurisdiccionales (Notarios, Registradores
de la Propiedad y Mercantiles o autoridades públicas).
El oferente está obligado a confirmar la recepción mediante:

 El envío de un acuse de recibo por correo electrónico, en el

plazo de 24 horas siguientes a la recepción de la aceptación

 La confirmación, por un medio equivalente, tan pronto como

el aceptante haya completado dicho procedimiento, siempre
que la confirmación pueda ser archivada por su destinatario.
SOLUCIÓN JUDICIAL Y EXTRAJUDICIAL DE CONFLICTOS

Contra las conductas contrarias a la Ley podrá interponerse acción de

cesación

 Las personas físicas o jurídicas titulares de un derecho o interés

legítimo.

 Los grupos de consumidores o usuarios afectados.

 Las asociaciones de consumidores y usuarios.

 El Ministerio Fiscal.

 El Instituto Nacional de Consumo y (similares en las CC.AA. Y

Ayuntamientos.)

 Entidades similares en otros Estados de la UE.

LEY DE LA FIRMA
ELECTRONICA
Desde muchos años atrás, la seguridad en las comunicaciones
preocupa al hombre.
Su desarrollo ha venido propiciado por necesidades militares, tales
como:

 Grecia: Guerra entre Esparta y Atenas, se usó la escítala.

 Carlomagno: incrustaba signos falsos en sus mensajes.
 Napoleón: asignaba números a las letras o grupos de letras
 T. Jefferson: utilizaba discos cilíndricos en los que estaban
impresas las letras del abecedario
 César: se merece una mención aparte, fue uno de los primeros
en utilizar de un modo útil e inteligente la criptografía: sustituía
cada letra por la que ocupaba tres puestos más adelante en el
abecedario
 Hoy se utilizan métodos más sofisticados:
SISTEMAS DE CLAVE
SIMÉTRICA
 Método de sustitución
 Método de permutación
 Estenografía (Ocultar mensajes dentro de otros)
 Mixtos: Mezcla sustitución y permutación. Máquina “Enigma”

SISTEMAS DE CLAVE ASIMÉTRICA

 Opera sobre una clave privada y una clave pública
 Hoy ya no se envían los mensajes literalmente, sino resúmenes
para lo que se utilizan funciones resumen (Hash)

52
CLASES DE TRANSFERENCIAS ELECTRÓNICAS

 Seguridad física vs. Seguridad jurídica

CLASES:
1. De fondos
2. De datos

 Desde el punto de vista legal, existe una gran inseguridad

jurídica en torno a ambas formas de transferencias, lo que
representa una obstaculo para su implantación efectiva y
global en la sociedad.
 La respuesta que ha ofrecido el Derecho a uno y otro tipo de
transferencia ha sido muy distinta: están reguladas las
transferencias electrónicas de datos, pero no las de fondos.
Datos personales
TRANSFERENCIAS ELECTRÓNICAS
DE DATOS
(Firma Electrónica)
Índice:
1. Definiciones.
2. Clases de FE y efectos que se desprenden de
su uso.
3. Certificados electrónicos
4. Prestadores de servicios de certificación
FIRMA ELECTRÓNICA

 La firma electrónica (F.E.) ofrece la solución a la autenticidad,

integridad, confidencialidad y no rechazo del mensaje en las
Transferencias Electrónicas de Datos.
 La regulación de la F.E. recae en la Ley 59/2003, de 19 de
diciembre. Ley, a diferencia del pago electrónico.
 Objetivo: generar en el ámbito digital las condiciones de
seguridad y confianza necesarias para estimular el desarrollo
de los servicios de la Sociedad de la Información, en particular,
de la Administración y del comercio electrónico.
DEFINICIONES
Firma electrónica: es el conjunto de datos, en forma electrónica,
consignados junto a otros o asociados con ellos, que pueden ser
utilizados como medio de identificación del firmante (entorno
internet).

Firma electrónica avanzada: es la firma electrónica que permite

identificar al firmante y detectar cualquier cambio ulterior de los
datos firmados, que está vinculada al firmante de manera única y a
los datos a que se refiere y que ha sido creada por medios que el
firmante mantiene bajo su exclusivo control.

Firma electrónica reconocida: es la firma electrónica avanzada

basada en un certificado reconocido y generada mediante un
dispositivo seguro de creación de firma.
Datos de creación de firma (clave privada): son los datos únicos,
como códigos o claves criptográficas privadas, que el firmante
utiliza para crear la firma electrónica.

Datos de verificación de firma (clave pública): son los datos,

como códigos o claves criptográficas públicas, que se utilizan para
verificar la firma electrónica.

Prestador de servicios de certificación: es la persona física o

jurídica que expide certificados electrónicos o presta otros servicios
en relación con la firma electrónica.

Certificado electrónico: es un documento firmado

electrónicamente por un prestador de servicios de certificación que
vincula unos datos de verificación de firma a un firmante y
confirma su identidad.
Certificados reconocidos: son los certificados electrónicos
expedidos por un prestador de servicios de certificación que cumpla
los requisitos establecidos en esta ley en cuanto a la comprobación
de la identidad y demás circunstancias de los solicitantes y a la
fiabilidad y las garantías de los servicios de certificación que
presten.
CLASES DE FIRMA ELECTRÓNICA

 Firma electrónica (“simple o sencilla”) “el conjunto de datos,

en forma electrónica, consignados junto a otros o asociados con
ellos, que pueden ser utilizados como medio de identificación
del firmante”.

 Firma electrónica avanzada, aquella “que permite identificar

al firmante y detectar cualquier cambio ulterior de los datos
firmados, que está vinculada al firmante de manera única y a los
datos a que se refiere y que ha sido creada por medios que el
firmante puede mantener bajo su exclusivo control”.

 Firma electrónica reconocida, aquella “firma electrónica

avanzada basada en un certificado reconocido y generada
mediante un dispositivo seguro de creación de firma”. 62
De estas definiciones pueden extraerse, tres conclusiones:
 La FER debe cumplir dos requisitos (estar basada en un
certificado reconocido y ser generada mediante un dispositivo
seguro de creación de firma), que no se le exigen, ni a la firma
electrónica simple, ni a la firma electrónica avanzada. Estos
requisitos le añaden calidad y la hacen más segura.
 Las FEA podrá pertenecer a una firma electrónica reconocida o
no, dependiendo de que cumpla los requisitos exigidos a esta
última.
 La firma electrónica (simple) y la firma electrónica avanzada, se
distinguen porque la FEA puede identificar al firmante, detectar
cualquier cambio en los mensajes, vincularse al firmante de
manera única y a los datos a los que se refiere, y garantizar que
ha sido creada por medios que el firmante puede mantener bajo
su estricto control, mientras que la firma electrónica (simple) no.
EFECTOS JURÍDICOS DE LA F.E.
 La ley equipara los efectos de la firma electrónica
RECONOCIDA a los de la firma manuscrita (art. 3.4 LFE).
 Así, todo se reduce a un problema de prueba: bastará con
demostrar que se utilizó una FER para desplegar efectos.

 ¿Qué ocurre si la firma utilizada no es reconocida? (Art. 3.9)

 No se le negarán efectos jurídicos a una firma que no sea
FER. La firma electrónica “sencilla” y la FEA no gozan de
una equiparación “automática” a la manuscrita.
 Habrá que probar todos los extremos de la firma electrónica:
seguridad, autenticidad, integridad datos.
 El soporte en que se hallen los datos firmados electrónicamente
será admisible como prueba en juicio.
 ¿Qué ocurre si en juicio se impugna la autenticidad de una F.E.?
 Si la F.E. es reconocida simplemente se comprobará que el
prestador de servicios de certificación prestaba sus servicios
de certificación cumpliendo con todas las garantías exigidas
por la ley. Importancia de los “sellos de garantía”
 Si la f.e. no es reconocida, habrá que estar a lo que el artículo
326 LECv establece para los supuestos en que se impugnan
documentos privados. Habrá que comprobar específicamente
que cumple con la autenticidad, integridad, confidencialidad
de datos.

65
CERTIFICADOS ELECTRÓNICOS
“un documento firmado electrónicamente por un prestador de
servicios de certificación que vincula una clave pública a un
firmante y confirma su identidad”.

 Problemas de las firmas electrónicas: la distribución segura de las

claves públicas y asegurar que quien utiliza una FE es
ciertamente quien dice ser que es.
 Para salvar esos problemas, Trusted Third Party o TTP. Es un
tercero, el “Prestador de servicios de Certificación”, que expide
un certificado, garantizando la autenticidad de las personas.
CLASES:

1. Certificado Electrónico “sencillo o simple”

2. Certificado Electrónico reconocido. Su importancia es que
son necesarios para las FER.

 Los certificados Electrónicos Reconocidos deben cumplir

requisitos especiales establecidos en la ley. Debe indicar: que es
reconocido, Código del certificado, FEA del prestador,
identificación del firmante, clave pública del firmante, comienzo
y fin de su validez, límites de uso del certificado, valor máximo
de las transacciones.
Vigencia del certificado

Son causas de extinción del certificado (Art. 8):

1. Expiración del período de validez que figura en el certificado.
2. Revocación formulada por el firmante.
3. Violación o puesta en peligro del secreto de los datos de
creación de firma del firmante o del prestador de servicios de
certificación o utilización indebida de dichos datos por un
tercero.
4. Resolución judicial o administrativa que lo ordene.
5. Cese en la actividad del prestador de servicios de certificación
salvo que, previo consentimiento expreso del firmante, la
gestión de los certificados electrónicos expedidos por aquél
sean transferidos a otro prestador de servicios de certificación.
 Son causas de suspensión temporal del certificado (Art. 9):
 La solicitud del firmante.
 Una resolución judicial, la existencia de dudas, etc.

Expedición a favor de personas jurídicas

 Responsable del certificado y de la clave privada la personas
física solicitante
 El nombre de la persona física aparece en el certificado
 El certificado debe utilizarse para todas las actuaciones
propias del giro o tráfico ordinario de la persona jurídica
solicitante
 No exceder los límites del certificado

 La persona jurídica actúa por sí misma en el mercado, sin

representante legal de intermediario
 Cuando se excedan los límites del certificado, “la persona
jurídica quedará vinculada frente a terceros sólo si los asume
como propios o se hubiesen celebrado en su interés. En caso
contrario, los efectos de dichos actos recaerán sobre la persona
física responsable de la custodia de los datos de creación de
firma, quien podrá repetir, en su caso, contra quien los hubiera
utilizado”.
 Genera muchas dudas
PRESTADORES DE SERVICIOS DE CERTIFICACIÓN

CONCEPTO:

“ Se considera a la persona física o jurídica que expide certificados

electrónicos o presta otros servicios en relación con la firma
electrónica”. (Art. 2.2 LFE)

 Personas jurídicas privadas y también la Administración.

Fábrica Nacional de Moneda y Timbre (FNMT).
Actividad de Certificación

 No está sujeta a autorización previa

 No obstante, los prestadores que quieran pueden “acreditarse”

 Procedimiento totalmente voluntario (Art. 26 LFE).

 Conviven prestadores “acreditados” con “no
acreditados”.
 El procedimiento trata de favorecer los sellos de calidad
Servicio de información de prestadores (Mº. de Industria)
PRESTADORES DE SERVICIOS DE CERTIFICACIÓN

Obligaciones del prestador

a) No almacenar ni copiar los datos de creación de firma de la

persona a la que hayan prestado sus servicios.
b) Mantener un directorio actualizado de certificados.
c) Garantizar la disponibilidad de un servicio de consulta
sobre la vigencia de los certificados rápido y seguro.
OBLIG. PRESTADOR CERTIFICADOS RECONOCIDOS:

a) Garantizar que pueda determinarse con precisión la fecha y la

hora en las que se expidió un certificado o se extinguió o
suspendió su vigencia.
b) Emplear sistemas y productos fiables que garanticen la
seguridad técnica.
c) Tomar medidas contra la falsificación de certificados.
d) Conservar registrada por cualquier medio seguro toda la
información y documentación relativa a un certificado
reconocido.
Cese de la actividad
 Comunicación a los firmantes y al Ministerio de Ciencia y
Tecnología. Plazo: 2 meses antes del cese.
 Podrá ceder la gestión de los certificados válidos a otro
prestador con consentimiento de los titulares.

Responsabilidad de los prestadores

 Exigible a todo tipo de prestador de certificación. Art. 22 LFE.
 Prestador responde de los daños causados “a cualquier persona”.
 Titular del certificado (quien tiene la clave privada)
 Usuario del certificado (quien usa la clave pública)
 Cualquier tercero (a quienes haya suplantado el titular del
certificado.)
 Responsabilidad. Contractual o extracontractual.
 La carga de la prueba de la diligencia recae sobre el prestador.

Exención de Responsabilidad de los prestadores

a) Los datos que deban consignarse en el certificado y que le
haya facilitado el firmante no sean veraces.
b) El firmante no notifique modificaciones importantes.
c) El firmante no haya conservado con la diligencia debida los
datos de creación de firma.
d) El firmante no haya solicitado la suspensión o revocación del
certificado, si tenía dudas razonables sobre la
confidencialidad de su clave.
e) El firmante utiliza los datos de creación de firma una vez
expirado el período de validez del certificado.
Supervisión y control de la Administración Pública

 La Admón. podrá controlar que el prestador cumple con la ley.

 Los prestadores deberán entregar a la Admón. la información
que ésta pueda solicitarles.

Infracciones y sanciones
 Muy graves: expedir certificados reconocidos sin comprobar,
incumplir obligaciones causando daños a terceros. 600000 €.
 Graves: incumplir obligaciones sin causar daños a tercero,
resistirse a la inspección. De 150000 € a 300000 €.
 Leves: incumplir obligaciones sin dar lugar a infracciones
graves o muy graves. Hasta 30000 €.
 Sanciones graves y muy graves son publicadas en el BOE.
LEY DE LA PROPIEDAD
INTELECTUAL
Sistema de Derecho de autor

+ =

Es el ejercicio responsable de nuestro trabajo que nos permita

asegurar lo siguiente:
 Proteger en forma efectiva el derecho de autor
 Promover una cultura de respeto al derecho del autor.
Derechos Constitucionales

 Libertad de información

 Libertad de creación intelectual, artística, técnica y científica

 El Estado propicia el acceso a la cultura y fomenta su desarrollo

y difusión.
Papel de la Autoridad Competente de DA

 Velar por el acceso a la información y el desarrollo cultural de

los ciudadanos.

 Informar y formar a nuestros usuarios sobre la protección de los

derechos de autor y su importancia para preservar la actividad
creativa y cultural de la sociedad.
¿POR QUÉ EL ESTADO PROTEGE LA PROPIEDAD
INTELECTUAL?

 Hoy en día, los bienes intangibles vienen cobrando gran

importancia en una economía moderna y globalizada, al punto
que ya se habla de una economía de la creación basada en
industrias culturales y creativas.
 La riqueza no solo se basa en productos tangibles y contables.
 Hoy son los intangibles los que impulsan el desarrollo y los
que proyectan la sociedad humana hacia un futuro distinto.
 Al Estado y a toda la comunidad le interesa proteger la
propiedad intelectual, porque considera que no sólo se
esta premiando la creatividad de sus ciudadanos sino
también se está reconociendo el esfuerzo y los aportes que
los mismos hacen para el bienestar general. 83
 La propiedad intelectual incorpora la creatividad en el
producto bruto interno de los países. A su vez, la protección
legal fomenta las grandes ideas enviando un mensaje a la
imaginación humana: ser creativo es premiado con el éxito
en el mercado.
 Es una preocupación a nivel mundial que cada país cuente
con un sistema que garantice la propiedad sobre los
elementos creativos
 El Perú ha asumido compromisos internacionales,
subregionales y multinacionales, a través de la adoptación
del Convenio de Berna y el Acuerdo ADPIC a fin de
asegurar a los autores y demás titulares una efectiva
protección.
PROTECCION DEL DERECHO DE AUTOR
Se protege las creaciones que son producto del ingenio humano,
que por su originalidad constituyen obras.

SUJETO DE PROTECCION

AUTOR: Ser humano que crea la obra.

No se consideran autores: LAS INSTITUCIONES.

 EJEMPLOS DE OBRAS PROTEGIDAS
 Novelas,
 Cuentos, poemas y otros similares
 Conferencias
 Composiciones musicales
 Obras teatrales

EJEMPLO DE OBRAS PROTEGIDAS

 Esculturas
 Dibujos, pinturas
 Obras de arquitectura
 Software
 Fotografías
 Películas
 Artesanías
NO ESTÁN PROTEGIDAS
 Los textos oficiales de carácter legislativo, administrativo o
judicial, ni las traducciones oficiales de los mismos, sin
perjuicio de la obligación de respetar los textos y citar la fuente.

 Las ideas contenidas en las obras literarias o artísticas, los

procedimientos, métodos de operación o conceptos matemáticos
en sí, los sistemas o el contenido ideológico o técnico de las
obras científicas, ni su aprovechamiento industrial o comercial.

 Las noticias del día, pero, en caso de reproducción textual,

deberá citarse la fuente de donde han sido tomadas.

 Los simples hechos o datos

Marco Legal Nacional e Internacional

 Decisión Andina 351 de la Comisión del Acuerdo de Cartagena.

 Tratados Internacionales: Berna, Roma WCT, WPPT, Acuerdo de los
ADPIC.
 Ley sobre Derechos de Autor (Decreto Legislativo 822) Modificada por
Leyes 27729, 27861 y 28571)
 Código Penal, Arts. 217º y sgtes y su modificatoria por Ley 28289.
 Ley de democratización del Libro y Fomento de la Lectura y su
Reglamento (Ley 28086 y D.S. 010-2004-ED)
 Ley del Artista, intérprete y ejecutante y su Reglamento.- (Ley 28031
y D.S. 058-2004-PCM)
 Texto Unico de Procedimientos Administrativos (TUPA) del Indecopi)
Reforma Legislativa 2008

 Decreto Legislativo 1033 que Aprueba la Ley de Organización

y Funciones del INDECOPI
 Decreto Legislativo 1076 que aprueba la Modificación del
Decreto Legislativo 822
 Decreto Legislativo 1092 que Aprueba Medidas en Frontera
para la Protección de los Derechos de Autor y Derechos Conexos
y los Derechos de Marcas.
Ley de Lucha contra la Piratería.- Ley 28289

 Modifica los Artículos 217º, 218º, 219º del Código Penal

Delitos contra los Derechos de Autor.
 Eleva los mínimos legales de la pena privativa de la libertad
prevista para dichos delitos, de 2 a 4 años.
 Extiende el ámbito de acción de la Comisión de Lucha contra
los Delitos Aduaneros, incorporando a la piratería.
 Encarga a la SUNAT-Aduanas el seguimiento en lo
concerniente a la importación de discos ópticos en blanco.
Impacto del DA frente a las nuevas Tecnologías

Mundo Analógico Mundo Digital

Reproducción = Reproducción =

Distribución = Distribución =

Com. Pública = Com. Pública =

Transformación = Transformación =
Derechos conexos o afines

Derechos Conexos (o afines): tienen por finalidad proteger el

esfuerzo y el aporte creativo, técnico u organizativo de aquellas
personas o instituciones que ponen las obras a disposición del
público.
Derechos Conexos al Derecho de Autor

 Derecho de los Artistas Intérpretes y Ejecutantes.

 Derecho de los Productores de Fonogramas
 Derecho de los Organismos de Radiodifusión
 Otros derechos conexos:
 Imágenes en movimiento
 Meras fotografías.
Derechos reconocidos a los titulares de derechos
 El titular del derecho de autor tiene libertad para utilizar su
creación como desee (siempre y cuando dicho uso no infrinja
la ley) y para impedir a terceros que utilicen ese objeto de su
propiedad.

 El titular tiene derecho a autorizar a terceros el uso de su

obra (que la reproduzcan, que la distribuyan, que la
comuniquen o que la transformen)
 Se trata por tanto de derechos EXCLUSIVOS
Atribuciones de los titulares de derechos
Existen derechos que no se pueden ceder a terceros.

 Derechos morales: son irrenunciables e inalienables

Los titulares de los derechos de autor pueden cederlos sus

derechos a terceros.

 Derechos de explotación: se pueden ceder a terceros

Ejemplo: el autor de una obra literaria que cede a un editor el

derecho de distribución de su obra.
Derechos del autor
 Derechos morales
 Derechos patrimoniales

Derechos morales
 Paternidad
 Divulgación
 Integridad
Derechos patrimoniales (derechos de explotación)
 Reproducción
 Distribución
 Comunicación pública
 Traducción, adaptación u otra transformación
Tiempo de duración de los derechos de autor
 Los derechos de explotación de la obra durarán toda la vida del
autor y setenta años después de su muerte o declaración de
fallecimiento.

 Existen obras póstumas, seudónimas y anónimas.

 Los derechos de explotación de las obras anónimas o
seudónimas durarán setenta años desde su divulgación lícita.
Efectos del vencimiento del plazo de protección

Dominio público: las obras pasan a dominio público una vez se

han extinguidos los derechos de explotación.

Una obra en dominio público pueden ser utilizadas por cualquiera,

siempre y cuando se respete la autoría y la integridad de la obra.
Limites al derecho de explotación
Límites a los derechos de autor: casos establecidos por la
legislación en los que se pueden ejercer los actos de explotación
sin requerir:
 La autorización del titular del derecho de autor, o
 El pago de una compensación económica al titular

Los límites no son derechos del usuario

Los límites pueden ejercerse siempre y cuando cumplan con la

Prueba de las Tres Pasos
Prueba de los tres pasos del Convenio de Berna: criterio de
aplicación de los límites a los derechos de autor.

Establece:

Es cuando se pueden ejercer dichos límites:

1. Que sean en casos concretos.
2. Que no perjudiquen injustificadamente intereses legítimos
de los titulares.
3. Que no entren en conflicto con la explotación normal de la
obra.
USO LÍCITO DE OBRAS

• Es ilícita la reproducción, comunicación, distribución u

otra modalidad de explotación de una obra, en forma
parcial o total, que se realice sin el CONSENTIMIENTO
PREVIO y por ESCRITO del autor o titular del derecho
de autor.
Usos que no requieren autorización
Dichas excepciones se pueden resumir en las siguientes.

Uso doméstico

 Cuando la obra se use en un ámbito exclusivamente

doméstico, y no exista un interés económico directo o
indirecto

Uso Personal
 Fotocopiado parcial de obra para uso personal.
 Reproducción de obra audiovisual o musical para
uso personal.
Fotocopia para fines de enseñanza
 En instituciones educativas, siempre que sean
artículos o fragmento de obras, y no se vendan.
Registro Nacional de los Derecho de Autor y
Derechos Conexos. Registro Facultativo.

 En la Oficina de Derechos de Autor se llevará el Registro

Nacional de Derecho de Autor y Derechos Conexos, donde
podrán inscribirse las obras del ingenio y los demás bienes
intelectuales protegidos por la Ley, así como los convenios o
contratos que confieran, modifiquen, transmitan, graven o
extingan derechos patrimoniales.
REGISTRO DE OBRAS
 El registro no es obligatorio, porque el derecho de autor nace
desde la creación de la obra.

VENTAJAS DEL REGISTRO

 Constituye un medio de prueba.
 Es un medio de publicidad de la obra
INFRACCIONES

“PIRATERIA”

 CAUSAS
 Económicas
 Sociales

 CONSECUENCIAS
 Afecta al Autor de la creación.
 Afecta al Estado.
 Afecta a la Sociedad.
Niveles de Piratería en el Perú
 Discos Musicales: 70- 80%
del mercado (2012)
 Software: 70% del mercado
 Películas: 75% del mercado
(2009)
Se ha agudizado la falsificación
de otros productos como:
 El pisco.
 Medicinas.
 conservas de pescado.
 Marcas de calzado.
 Ropa de vestir.
 entre otros.
Gracias por su atención
Igor Aguilar Alonso
iaguilar@zipi.fi.upm.es
Igor.aguilar@reip.org.pe
Blog: Igor Aguilar Alonso