La Fe Pública en los Procesos de Micrograbación Digital del Régimen Legal Peruano
La Fe Pública en los Procesos de Micrograbación Digital del Régimen Legal Peruano
Introducción
Reconocer la existencia de la sociedad de la información parte de aceptar que la información tiene ahora, más que nunca, una función central en todos los ámbitos del quehacer humano. Esto se hace evidente con la presencia, cada vez mayor, de redes y sistemas de información globales que hacen que se viva de una manera distinta. De ahí que no se pueda entender el rol actual de la información sin sus equipos y conexiones, tanto así, que parece ser que en ciertos casos son los equipos y las conexiones lo importante. Esta situación nos lleva a indagar necesariamente sobre las técnicas que ponen a la información en el centro mismo de la discusión.
Partiendo de entender que la sociedad no establece el sentido del cambio tecnológico y que la aplicación de una tecnología específica no determina un modelo de sociedad, se concluye que para comprender a una sociedad es indispensable conocer sus instrumentos técnicos. Un ejemplo de ello es el fenómeno Internet, que de ser originariamente una herramienta con fines académicos y aptitud claramente anti comercial, paso a convertirse en fundamento del comercio electrónico y de la nueva economía.
En ese sentido y debido a que el Derecho es la principal técnica de organización de la vida social, la aplicación de la tecnología de la información ineludiblemente tiene que tener un correlato jurídico. En consecuencia, la interacción entre la tecnología de la información y el ordenamiento jurídico ha ocasionado una nueva normativa en los sistemas legales contemporáneos, cuyo propósito has sido y es regular su uso y aplicación.
Es así que en 1991 el gobierno peruano dicta el Decreto Legislativo 681 con el objeto de reglar el uso de tecnologías avanzadas en materia de archivo de documentos e información. Para dicho dispositivo se considera necesario dar valor legal a los documentos convertidos a microformas elaboradas a partir de procesos técnicos de micrograbación o microfilmación, ello con el fin de propiciar el crecimiento de la inversión privada. El citado decreto, modificado en 1996 por la Ley 26612, define el concepto demicrograbación como aquel "proceso técnico por el cual se obtienen microformas" y define las microformas, en especial las obtenidas mediante procedimientos informáticos, como aquellas imágenes digitalizadas de documentos, grabadas en medios físicos mediante procesos informáticos de modo tal que puedan ser vistas y leídas con equipos visores e impresas. Asimismo, regula la función que deben cumplir los funcionarios de la fe publicada en la operación de los procesos de micrograbación. En ese sentido, dispone que dichos funcionarios sean los fedatarios juramentados o notarios diplomados o certificados técnicamente en la elaboración de microformas.
En resumen, el artículo 7 del Decreto Legislativo 681 dispone que los procesos de micrograbación se efectúen bajo la dirección y responsabilidad de los depositarios de la fe pública. El artículo 26 del Decreto Supremo 009-92-JUS, reglamento del Decreto Legislativo 681, les asigna la facultad de supervisar los procesos de micrograbación, así mismo, dispone que cumplan con la obligación de hacer las comprobaciones necesarias para dar fe de lo actuado durante todo el procesamiento técnico de grabación, y sin embargo, los exime de la obligación de estar presentes durante el desarrollo del mismo, otorgándoles la facultad de emplear ayudantes técnicos. Por último, les impone la obligación de verificar, con métodos suficientes, los resultados de las micrograbaciones.
Este artículo propone analizar, a partir de la naturaleza de los procesos de micrograbación a cargo de los representantes de la fe pública informática, los elementos que conforman los procesos técnicos de micrograbación en cumplimieno de los requisitos dispuestos en la Norma Técnica Peruana 392.030-2aprobada mediante la Resolución de la Comisión de Reglamentos Técnicos y Comerciales 0074-2005-CRT-INDECOPI.
El análisis propuesto se enfoca en la intervención del representante de la fe pública en los procesos de micrograbación, lo que supone plantear los siguientes problemas:
- ¿Cuál es el contexto social y tecnológico que explica y sustenta la creación del régimen del uso de las tecnologías avanzadas en materia de archivo de documentos e información y el de la institución del representante de la fe pública informática?
- ¿Cuál es la naturaleza jurídica y técnica de la microforma digital?
- ¿Cuál es la naturaleza de la dirección que ejerce el representante de la fe pública sobre los procesos técnicos de micrograbacion en medios de archivo electrónico y cual el alcance de su responsabilidad?
- ¿Cuáles son las providencias razonables para ejercer de manera eficiente la supervisión de los procesos de micrograbación?
- ¿Cómo se informa el representante de la fe pública sobre la ejecución del proceso de micrograbación y cuáles son los métodos idóneos para una comprobación que permita dar fe de lo actuado?
- ¿Con qué información debe contar el representante de la fe pública para comprobar la seguridad de la información en los procesos de micrograbación y verificar que los resultados cumplen con los requisitos exigidos?
Sostenemos la hipótesis que el representante de la fe pública informática debe, necesariamente, conocer el concepto de la auditoría informática con el fin de darle sustento al ejercicio eficiente de la dirección de los procesos de micrograbación a su cargo.
De otro lado, que la responsabilidad del representante de la fe pública informática se ciñe a las tareas de supervisión, comprobación y verificación. En consecuencia, el método que debe conocer, y eventualmente emplear, es el de la auditoría informática. Esta afirmación excluye del ámbito de actuación del representante a los mecanismos de control propiamente dicho, exclusión que se sustenta en el método de segregación de responsabilidades que recoge el Código de buenas prácticas para la gestión de la seguridad de la información, contenido en la Norma Técnica Peruana ISO/IEC 17799: 2007.
Para el desarrollo de estas hipótesis se aborda inicialmente el tema de la Gestión electrónica de Documentos, con el fin de entender el contexto social y tecnológico en el que se da la regulación del uso de la tecnología informática en materia de archivo de documentos e información.
Seguidamente se analiza la naturaleza de los documentos, en especial del documento electrónico en la medida que se trata del elemento central del proceso de micrograbacíón y el producto final del mismo, esto es, la microforma.
A continuación, se lleva a cabo una exposición analítica del régimen legal peruano establecido a partir del Decreto Legislativo 681 para así describir la naturaleza de la microforma, en especial la llamada digital, y su naturaleza jurídica; tocando en este punto la noción de fe pública y los requisitos para la certificación de los sistemas de producción y la autorización requerida para las organizaciones propietarias de los documentos originales, las empresa de servicio especializados de archivo y las notarías autorizadas.
Por último, el articulo se centra en el método que sustenta el ejercicio de la fe pública sobre los procesos de micrograbación, para analizar la relación entre el control interno y la auditoría en las organizaciones, en especial la referida a la informática y, dentro de aquélla, la referida a la seguridad de la información y el control de calidad.
1 La gestión electrónica de documentos
1.1. La gestión del conocimiento en las organizaciones
En la actualidad, las tecnologías de la información ocupan un lugar muy destacado en cualquier organización constituyendo un elemento indispensable para una gestión eficiente y requiriendo importantes inversiones. La adaptación al uso de estas nuevas tecnologías pasa por modelos teóricos que se basan en una adecuada gestión de los activos intangibles y el capital intelectual, lo que se conoce como la gestión del conocimiento o de la información. El concepto gestión de la información se aplica tanto a las informaciones creadas por las propias organizaciones, como a las que recibe o adquiere de fuentes externas. Del conjunto de información de una organización, se distinguen la que es codificada de la documental.
La información codificada es aquella vinculada a los datos o base de datos computacionales y se caracteriza por ser factual, estructural y porque requiere para su análisis la deducción aritmética o lógica. La información documental, a su vez, se vincula a soportes como el papel, el microfilme o los formatos digitales. Esta última es la información de que trata la gestión de documentos.
Para una gestión eficiente de la información y el conocimiento se debe organizar y conseguir un buen sistema de gestión documental. En ese sentido, de debe tomar en consideración que los documentos no sólo contienen texto, también gráficos, tablas, hojas de cálculo, firmas, logos, fotos y otros símbolos.
En las organizaciones, tanto la información codificada como la documental se clasifican en cinco tipos:
- Operacional: es la necesaria para la dirección de los procesos de gestión; aquélla que registra transacciones (por ejemplo; formularios, diseño de datos, instrucciones, procedimientos de trabajo, etc.).
- De gestión: la que facilita a los directores referencias útiles para la toma de decisiones y la formulación de cambios.
- Profesional: aquella necesaria para mantener al personal informado y debidamente capacitado.
- De grupos de trabajo: la que se intercambia para hacer posible el trabajo en equipo.
- De registro de actividades: mantenida como evidencia para investigaciones, auditorías o defensa judicial.
"El término gestión documental o gestión de documentos puede tener distintos significados en el contexto empresarial. En la mayor parte de los casos se entiende como la gestión de los "papeles" que, en casi todos los ámbitos, desbordan la capacidad de las personas para guardarlos y encontrarlos cuando los buscan. En otros, con un nivel tecnológico más alto, el concepto de gestión documental se asocia a digitalización de imágenes y a escáneres que milagrosamente hacen desaparecer los papeles. Pero, gestión documental es esto, y algo más."[i]
Desde un punto de vista práctico el ámbito de aplicación de un sistema de gestión documental obliga a considerar de manera integral a los archivos en papel, los documentos electrónicos y las bases de datos. De hecho en cualquier organización coexisten estas tres realidades, de forma tal que no se pueden dar soluciones parciales.
1.2. Automatización de los sistemas de gestión documental
En los años 60 del siglo pasado, con la llegada de las máquinas de fax que son principalmente un medio de comunicación de imágenes electrónicas, se dio inicio al uso de la tecnología de compresión de datos para la captura o entrada a los sistemas de gestión de documentos y que, en la actualidad, ha sido adaptada al uso de los escáneres. Luego, a principio de los años 70, para el almacenamiento de las imágenes electrónicas, se grababa el documento como imagen analógica en cintas de vídeo, haciendo uso de la computadora con el fin de indizar las imágenes para su posterior recuperación.
"Otro grupo que antecede quizás con más éxito a los sistemas de la imagen electrónica del documento, fue el grupo descrito como micro fax, transmisión de microimagen, videomicrografía o sistemas electrónicos micrográficos, que combinaban las capacidades del fax con el almacenamiento en microfilme de imágenes miniaturizadas. Microfax transmite imágenes de microformas."[ii]
A partir de la aplicación de esa tecnología se concibió el término microforma, usado para definir cualquier formato de filme, papel o, en general, cualquier soporte físico que contenga micro imágenes.
Posteriormente, fue durante los años 70 y los 80 que el desarrollo de sistemas de cómputo más complejos, orientados hacia el almacenamiento y recuperación de datos, renovó el interés por las micro imágenes. Así mismo, el desarrollo de las microondas, satélites, cables coaxiales y otras tecnologías de las comunicaciones, crearon la infraestructura necesaria para la transmisión en alta velocidad de grandes volúmenes de micro imágenes. Esos desarrollos llevaron a implementar el sistema conocido por las siglas CAR (acrónimo de Computer Assisted Retrieval), que empleaba una base de datos automatizada asociada a un índice de las imágenes grabadas en microformas.
Fue a partir de la mitad de los años 80 que el almacenamiento digital se desarrolla incesantemente. La atención se enfoca en las necesidades de los usuarios de las Computadoras Personales (PC por sus siglas en inglés) y sus redes de trabajo. Además, surgieron nuevos enfoques para el diseño de los sistemas de almacenamiento masivo en discos magnéticos como, por ejemplo, la tecnología conocida como RAID (acrónimo de Redundant Array of Inexpensive Disks[iii]) que permite el uso de múltiples discos que funcionan de manera redundante y, más significativamente, la de los medios de almacenamiento óptico. En las redes de PC, la función de un sistema de almacenamiento masivo es ordenar archivos y mantenerlos en un directorio o en una base de datos en los que se indique sus nombres y sus respectivas direcciones para una recuperación eficiente por los usuarios.
Así, al final de 1994 y principio de 1995 aparece el concepto de Gestión Electrónica de Informaciones de Documentos Existentes -GEIDE- usado en Francia de manera equivalente al de Gestión Electrónica de Documentos. La APROGED[iv] define a la GEIDE como: "[...] ni una aplicación informática ni un fin en sí misma, sino más bien un conjunto de herramientas y de técnicas que permiten clasificar, gestionar y almacenar unos documentos a partir de las aplicaciones informáticas en el marco normal de las actividades de la empresa."[v]
"[La] Gestión Electrónica Documental; [es un] sistema de tratamiento de la documentación que combina la imagen con información textual asociada a ella, permitiendo el almacenamiento, recuperación y reproducción de los documentos de modo automatizado."[vi]
"Un sistema de gestión de documentos en gran escala capaz de gestionar documentos desde la creación o captura hasta la destrucción necesaria para proveer algunas o todas las facilidades del sistema que en general se compone de: Captura del documento; Indización del documento y perfil; Almacenamiento y backup del documento; Gestión de los datos, control del acceso y control de la versión, Índices de búsqueda; Recuperación del documento; Muestra, edición y signatura del documento; Impresión y copia del documento; Distribución del documento; Flujo de trabajo y procedimientos de automatización; Control de la retención y disponibilidad del documento."[vii]
Así planteada la gestión electrónica de documentos, ésta requiere que en las organizaciones se implanten sistemas que cumplan las siguientes características:
- Reglar el almacenamiento de los documentos en directorios organizados racionalmente y el acceso a los mismos.
- Eliminar copias y versiones redundantes.
- Asegurar la integridad de los documentos.
- Buscar y recuperar documentos.
1.3. Soluciones tecnológicas para la Gestión Electrónica de Documentos
En la actualidad, las soluciones tecnológicas para la Gestión Electrónica de Documentos responden adecuadamente al requerimiento de racionalización en materia de gestión de documentos e información. La variedad de esas soluciones permite, no solo a las grandes organizaciones sino también a pequeñas empresas y a trabajadores independientes, gestionar el conjunto de sus documentos sin replantear su organización y sin cargar su presupuesto. Estas soluciones incorporan, a menudo, software o aplicaciones para la puesta en común de documentos e información y la comunicación entre el personal de un grupo de trabajo. Las soluciones también responden a necesidades específicas de una categoría profesional o una actividad.
Generalmente, los sistemas integrados en la Gestión Electrónica de Documentos se componen en cinco módulos: entrada, almacenamiento, control, salida y distribución.
- La entrada o captura, se realiza comúnmente con el escaneo de las imágenes de documentos correspondientes y su conversión en un flujo de datos digitales o bits.
- El almacenamiento, se basa en la indexación de las imágenes capturadas de manera que éstas sean debidamente identificadas para su recuperación posterior a requerimiento de los usuarios. Los dispositivos de almacenamiento utilizados son: los discos magnéticos para los documentos que aún se encuentran activos (editables), los discos ópticos para grabar grandes volúmenes de documentos que aún puedan ser reorganizados o eliminados y los discos WORM (acrónimo de Write Once Read Many[viii]) para el mantenimiento de una copia maestra de cada documento, principalmente para propósitos legales y de auditoría. Los índices correspondientes se gestionan en bases de datos y se almacenan en discos magnéticos.
- El control comprueba cómo son capturados, almacenados e indexados los documentos; debe estar integrado al diseño de la base datos que gestiona los índices con el objeto de asegurar una eficiente recuperación, visualización e impresión de los documentos. También suele utilizarse software de control del flujo de trabajo para permitir a los usuarios especificar por quién y en qué secuencia deben interactuar los documentos y los procesos.
- La salida generalmente es la visualización de las imágenes representadas en una rejilla rectangular o matriz de píxeles en un monitor de computadora, papel u otro dispositivo de representación. Otras opciones incluyen imágenes gráficas para microfilme, formatos de cinta y disquetes.
- La distribución ésta referida actualmente al uso de redes locales de computadoras e Internet, por ser éstos los medios más eficientes para ese propósito.
En resumen, estos módulos básicos son los métodos utilizados para digitalizar los documentos originales, comprimir/descomprimir las imágenes obtenidas, gestionarlas mediante una base de datos, visualizarlas, imprimirlas y transmitirlas a través de redes locales o de telecomunicaciones.
2 Los documentos electrónicos
2.1. Noción de documento
Según la concepción de documento elaborada por CARNELUTTI, éste es "una cosa u objeto que mediante la intervención de la actividad del hombre, es capaz de representar un hecho".[ix]
En la concepción moderna, documento se puede definir como "todo registro sobre un soporte material de un mensaje en lenguaje destinado a la comunicación, para expresar con claridad la voluntad de las partes mediante signos, jeroglíficos o algún modo similar."[x]
Para ROUANET, un documento es: "un objeto normalmente escrito en el que, por tanto, se plasma algo mediante letras u otros signos trazados o impresos sobre el papel u otra superficie, pero que excepcionalmente puede no ser escrito; y es un objeto en el que puede representarse un hecho natural o un acuerdo de voluntades (hecho voluntario, arte o negocio) o ser el resultado de una actividad o de un procedimiento".[xi]
En las definiciones expuestas resulta evidente que la idea de soporte documental trasciende al papel y que, por ende, éste constituye cualquier elemento o substrato material sobre el cual es asentada la información.
Para el análisis del concepto de documento la doctrina distingue dos elementos constitutivos; el corpus, o sea lo corporal, aquello sobre lo que consta una grafía o una representación gráfica de un hecho, y el docet, o sea el conocimiento, aquello que el autor expresa al destinatario. A su vez, en el elemento corporal se distingue el soporte material, que puede ser mueble (documento propiamente) o inmueble (monumento), y la grafía, que se incorpora al soporte material y que representa algún hecho distinto del corpus. En el elemento intelectual o docet también se distingue, por un lado, la intencionalidad del autor de expresar algo y, por otro, la efectiva expresividad constante del documento, por la que se transmite al destinatario el pensamiento del autor.
Con relación a la función que cumple el documento, la doctrina distingue una representativa de unaindicativa. La primera reproduce en el documento el hecho, de forma tal, que es perceptible por los sentidos, tradicionalmente mediante la escritura, y, actualmente, mediante la fotografía, el cine, el vídeo, la informática, etc. Por su parte, la función indicativa da a conocer el hecho recurriendo al entendimiento humano.
Una última definición del documento, atendiendo a su causa final, es la que LEVIEN expone de manera sintética: "recorded information structured for human comprehension".[xii] Ese mismo autor distingue los documentos sustanciales, basados en papel o materiales similares, de los insustanciales, por ejemplo, los electrónicos.
Desde la perspectiva del ordenamiento jurídico, GIANNTONIO escribe que éste, en primer lugar:
"[...] toma en consideración la actividad de documentación a causa de su importancia social y dicta a su respecto la disciplina bajo diversos perfiles. [...] disciplina las varias especies de documentos, su forma, su eficacia como medio de prueba y, a veces, como condición de validez de los actos jurídicos; mediante las normas penales prevé y pena los delitos de adulteración y tutela la fe pública, o sea, la confianza de cada uno en la genuinidad, autenticidad y veracidad de los documentos y, por tanto, en su eficacia.
En segundo lugar, el ordenamiento dicta una serie de normas para la conservación de los documentos de particular importancia y para llevar los archivos apropiados; se trata de normas extraídas sustancialmente de las reglas de la ciencia de la archivística.
En tercer lugar, el ordenamiento prevé una serie de institutos enderezados a tornar posible el conocimiento de las situaciones jurídicas representadas por los documentos respecto del mayor número de personas, como la notificación, la publicación y la publicidad; y prevé inclusive el derecho por parte de los interesados de utilizar los documentos mismos en virtud del instituto procesal de la exhibición o el deber de la Administración pública de proporcionar a los solicitantes los documentos idóneos para constituir certeza pública, tales como las copias, los extractos y los certificados."[xiii]
2.2. Formalidades y ciclo vital del documento
Las organizaciones, en general, y las empresas, en particular, tienen la necesidad de conservar documentos relativos a su actividad y mantener el registro sistemático de su información, siendo sus principales registros: el libro de actas, el libro diario, el libro de inventarios y el libro mayor.
La multiplicación de las actividades de las organizaciones en los últimos tiempos ha dado lugar a dos tipos de dificultades, el registro, almacenamiento y conservación de una gran cantidad de documentos y la necesidad de ordenar y vincular entre sí un número cada vez más creciente de registros.
Las organizaciones están obligadas no sólo a efectuar los registros contables que la ley prescribe, sino también a hacerlo regularmente y observando las formas que a este propósito se establecen. Esas formalidades pueden ser de naturaleza intrínseca o extrínseca; las formalidades intrínsecas se refieren al contenido de los libros y conciernen a las reglas que rigen el registro de los asientos, por su parte, las formalidades extrínsecas se refieren a los libros en su conjunto y, a su vez estas últimas pueden ser preventivas o sucesivas, las preventivas se deben cumplir antes de iniciar el registro y las sucesivas en períodos fijos y determinados.
Todas las formalidades expuestas responden a exigencias de control. Por ejemplo, el sellado y la numeración de cada hoja son para evitar la eliminación de operaciones registradas; la prohibición de cancelar, tarjar o borrar, para evitar las adulteraciones. Los ejemplos expuestos se fundan en la rigidez que caracteriza a la escritura en papel, ya que una vez impresa, no puede ser modificada sino mediante prácticas evidentes, por ello la garantía de seguridad que da su implementación queda sin sustento con el uso de medios electrónicos, por cuanto la escritura en dichos medios se realiza de forma no rígida, es decir, puede ser modificada sin dejar evidencia aparente. A pesar de ello, las organizaciones utilizan los sistemas informáticos con el fin de contener en un espacio reducido un gran número de documentos, efectuar operaciones de búsqueda de documentos de modo más eficiente y, finalmente, mejorar la distribución, intercambio y publicación de los documentos.
Por lo general todos los registros son documentos, pero no todos los documentos son considerados suficientemente significantes para ser registrados. Para llevar a cabo una gestión eficiente, las organizaciones deben identificar el ciclo vital en el que se encuentra cada documento en el conjunto definido como registros corporativos. Fundamentalmente son registrados los documentos legales, de auditoría, de significado histórico y de valor patrimonial. En consecuencia, habrá diferentes patrones de uso para las diferentes clases de documentos.
Con relación al patrón de uso, se puede identificar tres etapas en el ciclo vital del documento:
- La de creación o captura, identificación e indexación.
- La de uso, control y distribución.
- La de almacenamiento a largo plazo y disponibilidad.
2.3. Naturaleza del documento electrónico
Documento electrónico es toda información integrada a un soporte electrónico con un registro digital permanente, de modo que pueda ser recuperado en papel u otros soportes, o en virtud de éstos, descifrando las señales digitales que los originaron. "Esbozaremos el concepto de documento electrónico como la fijación en un soporte electrónico de información, que queda registrada en la memoria auxiliar del computador, incluyendo en este concepto los medios de recuperación de la información."[xiv]
En un sentido estricto la naturaleza del documento electrónico se determina en virtud de su creación sobre la base de impulsos electrónicos, su conservación en la memoria digital de una computadora o en un dispositivo electrónico de almacenamiento y en el hecho que sólo pueda ser perceptible y comprensible mediante un proceso de traducción del código binario que lo representa.
En ese mismo sentido los documentos electrónicos pueden ser distinguidos con relación a su grado de conservación, de un lado, aquéllos contenidos en las memorias de acceso aleatorio de una computadora, que son mudables y que se cancelan automáticamente al apagar aquélla, de otro lado, los contenidos en cintas y discos magnéticos o en memorias de masa y que permanecen hasta el momento en que una acción procede a cancelarlos, así mismo, los contenidos en memorias de sólo lectura y que están destinados a permanecer inalterables en el tiempo.
"Una categoría particular de documentos electrónicos en sentido estricto está constituida por aquellos documentos expresamente construidos para el uso de las terminales de un sistema, como, por ejemplo, las tarjetas magnéticas para acceder a un sistema de ventas o a una cuenta corriente bancaria".[xv]
En el mismo sentido, también se distingue al documento creado directamente por la computadora del creado por medio de ésta.
"En el primer caso el elaborador no se limita a materializar una voluntad, una decisión, una regulación de intereses ya formada, sino que, conforme a una serie de datos y parámetros y a un adecuado programa, decide, en el caso concreto, el contenido de la regulación de intereses. Es éste el caso del contrato o, más en general, del negocio jurídico concluido mediante un elaborador o entre elaboradores [...]
Diverso es, en cambio, el caso en que el elaborador no forma pero documenta una regulación de intereses ya expresada en otras instancias o en otras formas; [...] Tal actividad de documentación puede asumir formas diversas. El documento, en efecto, puede ser memorizado en forma digital y contenido en la memoria central del elaborador o en las memorias de masa (o sea, en soportes, en general magnéticos, externos al elaborador, como cintas o discos)."[xvi]
En un sentido amplio, el documento electrónico es el creado mediante un dispositivo de salida de la computadora, por ejemplo una impresora, y es perceptible sin necesidad de un proceso de traducción. En este sentido, el documento electrónico es la digitalización magnética registrada sobre el soporte electrónico, cualquier representación de esta digitalización es sólo una representación del documento y no el documento mismo. Estos documentos son los llamados documentos informáticos y su característica esencial es que son perceptibles o legibles directamente por el usuario.
Desde el punto de vista jurídico los documentos informáticos se distinguen según su modo de elaboración. Por un lado, aquéllos memorizados a partir de un documento preexistente en papel, ya sea que la transcripción la realice un usuario o la propia computadora, por otro lado, aquéllos reproducidos como facsímil del documento original. En el primer caso, el resultado es un nuevo documento, aún si su contenido sea igual al del original, en el caso de facsímil, el resultado es una copia fiel de la forma y el contenido del original.
En la legislación peruana el documento electrónico se define de la manera siguiente: "Es la unidad básica estructurada de información registrada, publicada o no, susceptible de ser generada, clasificada, gestionada transmitida, procesada o conservada por una persona o una organización de acuerdo a sus requisitos funcionales, utilizando sistemas informáticos".[xvii]
2.4. Conservación de documentos en soporte informático
El documento electrónico es lógico e inmaterial. También llamado documento digital debido a la tecnología que lo sustenta, utiliza elementos de la electrónica y de la fotografía para fijar su imagen. En ese sentido se hace referencia a él como imagen o imagen de documento.
La imagen de documento, almacenada en medios de archivo electrónico, se diferencia según esté en formato raster, representado en una rejilla rectangular o matriz de puntos o píxeles usualmente capturados por un escáner, o en formato vectorial, hecha con primitivas geométricas[xviii] tales como puntos, líneas, curvas o polígonos utilizando software de diseño asistido por computadora. Esta diferencia es importante para efectos prácticos, si se toma en cuenta que dichos formatos no son compatibles entre si.
En los sistemas de Gestión Electrónica de Documentos se da un orden jerárquico de datos que, en un primer nivel, se agrupan en un archivo, sinónimo de documento o subconjunto de un documento. Un ejemplo de éste es la creación de un documento mediante un procesador de textos, que a menos que se divida, todos sus datos se almacenan en un solo archivo. En un segundo nivel, los datos se agrupan en una carpeta, la que contiene a más de un archivo con atributos comunes.
Otras categorías de documentos en un sistema de gestión electrónica son:
a) Documentos analógicos: aquéllos que deben ser digitalizados antes de ser gestionados.
b) Documentos digitales: los creados mediante una aplicación del propio sistema informático.
c) Documentos digitales capturados desde una red o un medio físico digital.
El uso de aplicaciones informáticas en la gestión documental trae como consecuencia la sustitución de documentos por bases de datos como soportes principales de la información valiosa. Esta sustitución es más evidente en entornos de negocio electrónico y de gobierno electrónico, en los que las relaciones con los clientes o ciudadanos se realizan a través de Internet.
"[...] no solamente se acude a la informática para registrar las informaciones y como ahorro de costes, sino que también es necesaria para determinadas operaciones, controles y cálculos que se apoyan y se reproducen documentalmente mediante técnicas informáticas y que no sería posible realizarlos si no fuera utilizándolas. Esto hace que, en muchas ocasiones, sea imprescindible el tener esta documentación e información sobre soportes informáticos."[xix]
Con relación a la conservación de los documentos electrónicos, es necesario que la conservación se haga conforme a normas que permitan comprobar la integridad del contenido y la veracidad de la información así como una correcta sistematización, orden y adecuación a los procesos informáticos a los que se someten. En consecuencia, la normalización constituye el mecanismo adecuado para que las organizaciones cuenten con especificaciones técnicas y criterios unificados que garanticen la calidad de sus documentos electrónicos. Así, la normalización cumple la función de homologar procedimientos de archivo, de identificación y de transcripción de documentos informáticos.
"De acuerdo con ello, se realizará el almacenamiento informático ―con unas instrucciones redactadas y archivadas― durante todo el tiempo que se tenga el soporte informático con los datos almacenados y se protegerán contra cualquier alteración y describirán las operaciones a las que han podido ser sometidos; así, se garantiza la veracidad, seguridad, confidencialidad y conservación de la información en ellos contenidos."[xx]
La necesidad de asegurar los documentos electrónicos almacenados como evidencia, más aún cuando éstos deben permanecer por un tiempo considerable, tuvo como resultado la normalización, cuyo origen se dio en el Reino Unido, de buenas prácticas tecnológicas y comerciales contenidas en los estándares siguientes:
- British Standard 7768:1994 - Gestión de sistemas de disco óptico (WORM) para el registro de documentos que podrán ser requeridos con evidencia.
- British Standard 7799:1995 - Código de Buenas Prácticas para la gestión de Seguridad de Información (Information Security Management).
2.5. Valor legal de los documentos electrónicos
Resulta obvio que los documentos almacenados en soportes informáticos presenten un mayor riesgo debido a lo fácil que es modificar su contenido, por ello su validez y originalidad no puede ser presumida a priori. De hecho, para que estos documentos sean legibles u observables se requiere de aplicaciones informáticas que procesen lógicamente el código digital y lo representen en pantalla o de manera impresa, lo que obliga a tomar medidas de seguridad que garanticen que el método y los procesos para la transmisión, desde la unidad central de proceso de la computadora a los dispositivos periféricos (pantalla, impresora, discos, etc.), reflejen el contenido original e íntegro del documento. De igual modo, en casos en que la transmisión sea a través de redes de computadoras, se hace necesario la implantación de los controles de integridad correspondientes.
Todo esto no es óbice para reconocer que el documento electrónico, en estricto sentido jurídico, se considera y valida como cualquier otro documento tradicionalmente aceptado. Lo anterior no significa que el juez o funcionario deba, en todos los casos, atribuirle plena admisibilidad, sino sólo como consecuencia de valorar su autenticidad y las medidas de seguridad en su proceso y almacenamiento. Se considera que un documento es auténtico cuando se comprueba que no ha sido adulterado. En consecuencia, la seguridad de la información contenida el documento será mayor cuando la posibilidad de alterarla se hace más difícil y más fácil verificar la adulteración y reconstituir la original. El valor jurídico del documento electrónico debe tomar en cuenta intereses contrapuestos, así, por una parte, la eficaz y extendida utilización de la tecnología de la información, y por otra, la tutela de la confianza de los operadores económicos y de los ciudadanos en general.
En la mayoría de las legislaciones de Latinoamérica se reconoce un sistema para la valoración de la prueba, según el cual, se limita la admisibilidad a determinados medios de prueba, y de éstos, a algunos se les determina una eficacia a priori recurriendo a la presunción de su validez. En particular, dicha presunción se le atribuye a los documentos escritos, y sobre todo una eficacia peculiar, al que tiene su origen en un acto público y a la escritura privada. En efecto, la eficacia probatoria del documento públicoes plena con relación a la procedencia del funcionario que lo crea, a las declaraciones de las partes y a los demás hechos certificados por el funcionario. Dicha eficacia, para ser destruida, requiere de un procedimiento especial para demostrar su invalidez como prueba. De otro lado, la eficacia probatoria deldocumento privado está sujeta a la condición de que éste sea reconocido por el suscriptor o que esté autenticado por notario o que la suscripción sea reconocida como autentica en un proceso especial de verificación.
En ese sentido, GIANNANTONIO expresa:
"[lo] que resulta relevante para que exista escritura es la fijación sobre soporte material de un mensaje en un lenguaje destinado a la comunicación; y desde tal punto de vista no se puede desconocer que un documento electrónico puede asumir el valor de acto escrito [...]
Se podría objetar que en el documento electrónico en sentido estricto no hay una representación material en cuanto los bit que constituyen "el alfabeto" del lenguaje electrónico son entidades magnéticas no perceptibles por los "sentidos humanos"; y se podría agregar que el lenguaje electrónico mismo no es un verdadero lenguaje, o sea, un medio de comunicación, porque como no puede ser percibido, entonces no puede ser comprendido; porque éste, en definitiva, no está destinado a comunicar algo a seres humanos, sino sólo a hacer funcionar una máquina.
Sin embargo, ambas objeciones me parecen infundadas. Los bit de la escritura electrónica son entidades magnéticas y, por tanto, a su manera, realidades materiales, aun cuando no perceptibles por los sentidos humanos.
Además, aun cuando la realidad de las señales magnéticas puede ser fácilmente cancelada, especialmente en las llamadas memorias volátiles, puede, por otro lado, ser "fijada" de varios modos [...] hasta adquirir una persistencia material superior a la de un común documento sobre papel."[xxi]
Para valorar los documentos electrónicos como medios de prueba, el funcionario o juez deberá evaluar las características de seguridad de la información, éstas son: autenticidad, integridad, no repudio, confidencialidad y veracidad.
- La autenticidad del documento permite asegurar su origen y destino. Los documentos públicos se presumen auténticos o indubitados salvo prueba en contrario, lo que impone convicción al funcionario o juez. El fundamento de esta imposición radica en entender que el registro público de un documento o información, o su revisión por funcionario público, da a suponer que es auténtico y que el funcionario ha procedido correctamente en su actuación. En cambio no se presume que los documentos privados sean auténticos, salvo en determinados supuestos. Por ejemplo, si se trata de una carta, un correo electrónico o un artículo de periódico, se presume que éstos han sido creados por quien aparece como autor, aún si no se ve la firma autógrafa. En ese sentido, el artículo 8° de la Decisión 351 de la Comunidad Andina estipula: "Se presume autor, salvo prueba en contrario, la persona cuyo nombre, seudónimo u otro signo que la identifique, aparezca indicado en la obra". Si bien dicha Decisión es una disposición para procesos relacionados con la propiedad intelectual, coincidimos con RIOFRÍO en que, al no definir un campo de acción limitado y sí definir qué debe entenderse por obra, se aplica dicha presunción de autoría a todo documento.
- La integridad del documento se determina cuando la información contenida, al momento de su elaboración, permanece y no ha sido alterada. Esta característica garantiza que el documento no ha sido adulterado durante su envío, recepción o archivo. La seguridad de ésta se funda en la permanencia de los datos en el documento. Existirá mayor seguridad cuando más difícil sea alterar el contenido y cuando más evidente sea la adulteración. El documento original es aquél cuya forma y contenido corresponde al momento de su elaboración. Al equiparar los documentos íntegros con los originales, la ley permite desmaterializar los documentos en papel para conservarlos en soportes informáticos.
- El no repudio[xxii] es una garantía concebida en el derecho anglosajón como consecuencia del avance tecnológico. Es "la capacidad de probar a una tercera parte que una determinada comunicación ha sido originada, admitida y enviada a una determinada persona"[xxiii]. "Si la autenticidad prueba quién es el autor de un documento y cual es su destinatario, el no repudio prueba que el autor envió la comunicación y que el destinatario la recibió"[xxiv]. Supone la necesaria confirmación o acuse de recibo certificado por tercero, que impide el rechazo de las partes. El no repudio implica la idea de temporalidad, ya que teniendo la capacidad procesal de probar la recepción del documento, también prueba cuando se recibió.
- La confidencialidad garantiza que el documento solo puede ser leído por su destinatario, asegurando que nadie que no esté autorizado conozca su contenido. La confidencialidad constituye un derecho y una garantía sobre los documentos y las comunicaciones. Depende directamente de la voluntad del autor, ya que solo a éste le corresponde determinar quienes serán sus destinatarios hasta el extremo de poder mantener y exigir su reserva.
- La veracidad, que a diferencia de la autenticidad y la integridad no depende del medio o soporte del documento, está vinculada al contenido. La información veraz es aquella que manifiesta y declara el ser de las cosas. Con relación al documento público, GAETE desarrolla una interesante categorización de la verdad que contiene: la impuesta, la supuesta y la puesta. "[...], la verdad impuesta se refiere en esencia, al hecho que motiva su otorgamiento y a la fecha del documento público, y que es propiamente un hecho jurídico"[xxv]. La verdad supuesta alude a las presuncionesiuris tantum sobre los hechos conocidos y corroborados materialmente por el funcionario público, pero de los que no puede afirmar su veracidad o falsedad y que son: la identidad de las partes, sus capacidades y aptitudes y las declaraciones que manifiestan su voluntad de dar, hacer o no hacer algo. Por último, la verdad puesta, "es propiamente el principio de prueba por escrito y dentro de él caen las declaraciones de verdad de las partes"[xxvi].
2.6. La seguridad del documento electrónico
Algunos autores argumentan que la naturaleza inmaterial de los documentos electrónicos y su aparente falta de suscripción, son las causas que justifican la no aceptación de los soportes informáticos como medios de prueba en los procesos judiciales o administrativos. Esa posición se sustenta, especialmente, en la falta de autenticidad y en la mutabilidad de su forma y contenido. Sin embargo, para debatir dichos argumentos coincidimos con DAVARA en la siguiente afirmación:
"La seguridad física y lógica, y consecuentemente jurídica, que puede proporcionar la electrónica, es sorprendente y abre nuevos campos de estructuración, interpretación, e incluso, creación del derecho. El problema no está en la electrónica, ni en las comunicaciones, y, es posible que ni siquiera en la legislación, el problema es de formación y adecuación de personas y medios a la exigente realidad que puede proporcionar hasta una mayor credibilidad al derecho y a la administración de justicia."[xxvii]
En efecto, si bien para la documentación tradicional existen medidas de seguridad que garantizan la no modificación de su contenido, como por ejemplo, la legalización de los libros, las firmas y sellos y el uso de marcas de control que evitan que se escriba en un lugar determinado o que se pueda modificar lo escrito, los efectos de éstas pueden ser igualmente alcanzados, o en ocasiones superados, utilizando controles y marcas lógicas en los documentos grabados en soporte informático. De hecho actualmente los sistemas informáticos incorporan medidas de seguridad que evitan la adulteración de los documentos y registros, como es el caso del control sobre el acceso no autorizado al sistema o la garantía de la confidencialidad en los casos en que ésta sea exigible. En definitiva, el modo más eficaz para asegurar la autenticidad, confidencialidad e integridad del documento electrónico es mediante el uso de técnicas criptográficas que permiten, por ejemplo, volverlo ininteligible para quienes no conozcan la clave y el algoritmo de codificación. Con la aplicación de esas técnicas el funcionario o juez puede reconocer pleno valor probatorio a los documentos electrónicos.
- La firma electrónica
La función probatoria de la firma manuscrita es acreditar la aceptación o recepción de un documento, asegurando, en cierta medida, que éste es íntegro -es decir, que no ha sido adulterado-; sin embargo, cabe la posibilidad de alterarlo al añadir palabras o frases y en caso de comprender varias hojas y no estar rubricadas, al sustituir éstas.
En igual sentido, la firma electrónica sirve para identificar al autor del documento electrónico mediante un conjunto de datos asociados al suscriptor que pasan a formar parte del documento, de manera tal, que garantiza su exclusiva pertenencia.
"Cuando un documento lleva asociado esos datos, puestos por quien le ha generado, signados como si de una firma manual se tratara pero realizada por medios electrónicos, podemos tener la seguridad de que ese documento ha sido realizado por esa persona y le podemos identificar como autor del mismo."[xxviii]
En consecuencia, la función de la firma electrónica es garantizar la identificación de la persona que interviene en un negocio realizado por medio informático y que el documento que acredita ese acto es íntegro. La firma electrónica se caracteriza por un par de métodos, uno que asocia una clave a una persona de forma que utilizándola se pueda decir que ésta ha suscrito electrónicamente el documento y otro que comprueba que efectivamente esa misma persona es la que firmó el documento. Además, para dar mayor seguridad a la firma, se recurre a las técnicas criptográficas con el objeto de cifrar los datos.
El cifrado supone la aplicación de un proceso que convierte en ilegibles los datos para cualquiera que no conozca la clave. Las técnicas criptográficas emplean algoritmos para el cifrado y su correspondiente descifrado, existiendo, en líneas generales, dos clases de cifrado: el de clave simétrica y el de clave asimétrica. En el de clave simétrica se utiliza una sola clave tanto para cifrar como para descifrar los datos, por ello tanto el suscriptor como el destinatario deben conocer la misma clave lo que obliga a que la relación establecida sea de total y absoluta confianza. Por el contrario, en el cifrado de clave asimétricase utilizan dos claves, una para cifrar y otra para descifrar, de manera que el conocimiento de una no permita deducir la otra. Las claves empleadas se denominan clave pública, que es con la que se cifra, yclave privada, con la que se descifra, de tal manera que un documento suscrito con una clave pública solamente podrá ser autenticado por la clave privada que le corresponde. La clave privada se mantiene en secreto, en tanto que la pública es, como su nombre indica, de conocimiento público. La aplicación del cifrado de clave asimétrica a la firma electrónica es lo que se conoce como firma digital.
3 Régimen legal peruano sobre el uso de tecnología en archivo de documentos
La archivología define con el término archivo al conjunto orgánico de documentos creados en correspondencia a la actividad de una organización. El origen del archivo es connatural a la actividad de las organizaciones, no requiere de un presupuesto extraordinario para su formación o incremento a diferencia, por ejemplo, de la biblioteca. En cuanto a su medida, ésta depende de cuanto mayor o menor sea la gestión de la organización propietaria.
El documento de archivo o archivado se crea siempre con relación a otros documentos, siendo que la mayoría de las veces un documento aislado o fuera de su serie carece de valor. Tomando en consideración la definición de documento de archivo, expuesta en el Diccionario de Terminología Archivística del Consejo Internacional de Archivos, se puede afirmar que éste es toda información registrada con independencia de su formato y del soporte que la contiene, creada, recibida, mantenida y conservada por una organización o individuo en el ejercicio de sus funciones y para sus necesidades. En consecuencia, se puede deducir que el contexto en el que se origina el documento de archivo es lo que lo distingue del simple documento. Es el contexto el que le confiere su valor como prueba, como condición intrínseca referida a los ámbitos administrativo, legal o fiscal. Desde esta perspectiva CASELLAS considera que, si bien toda información registrada (recorded information) es un documento (document), no todos los documentos son documentos de archivo (records), porque no todos representan una transacción, tramitación o acción efectuada entre dos partes sobre algún asunto concreto.
En el Perú, con la promulgación del Decreto Legislativo 681 en octubre de 1991 se regló el uso de las tecnologías avanzadas en materia de archivo de documentos e información. El citado dispositivo considera la necesidad de regular el uso de estas tecnologías con el fin de propiciar el crecimiento de la inversión privada, haciendo posible un ahorro considerable en costes y dando valor legal a los documentos archivados en microformas elaboradas mediante procesos técnicos de micrograbación o microfilmación. A partir de 1996, con la promulgación del Decreto Legislativo 827, el régimen del Decreto Legislativo 681 se aplica también sobre el sistema de archivos oficiales con el objetivo de modernizar la gestión pública, incrementar la eficiencia y productividad de sus servicios y otorgar mayor seguridad al sistema registral.
3.1. Microforma
En la actualidad, la aplicación de la tecnología en la gestión de documentos e información se sustenta en la reproducción de imágenes compactas, con el fin de hacer más eficiente el almacenamiento y la disposición de los documentos. En la ley peruana las imágenes producidas con el empleo de esta tecnología son definidas con el término microforma.
La palabra microforma es propia del estudio de la archivística. CAVALCANTI expresa que, en términos generales, microforma se usa para cualquier formato de filme (o papel) que contenga micro imágenes. En definitiva, es un término genérico para cualquier medio que contiene imágenes. En la vigésimo segunda edición del Diccionario de la Lengua Española no se registra el término microforma, sin embargo una definición afín corresponde al término microcopia: "Copia fotográfica de tamaño muy reducido, que se ha de leer o examinar mediante un aparato óptico que amplía considerablemente la imagen", y una segunda acepción es: "Reproducción de textos por este procedimiento".
Según cita de BADELL, José Martínez de Sousa define microforma como: "término genérico con que se designan las reproducciones reducidas de documentos, que para ser leídas deben ampliarse en un aparato lector o proyector"[xxix]. A su vez, las normas de descripción bibliográfica ISBD (NBM) -International Standard Bibliographic Description (Non Book Materials)-, definen microforma como: "el microrregistro de un texto o de cualquier otro documento visual"[xxx].
La definición del término en la legislación peruana se presenta en el primer artículo del Decreto Legislativo 681, modificado por la Ley 26612:
"MICROFORMA: Imagen reducida y condensada, o compactada, o digitalizada de un documento, que se encuentra grabado en un medio físico técnicamente idóneo, que le sirve de soporte material portador, mediante un proceso fotoquímico, informático, electrónico, electromagnético, o que emplee alguna tecnología de efectos equivalentes, de modo que tal imagen se conserve y pueda ser vista y leída con la ayuda de equipos visores o métodos análogos; y pueda ser reproducida en copias impresas, esencialmente iguales al documento original. Están incluidos en el concepto de microforma tanto los documentos producidos por procedimientos informáticos o telemáticos en computadoras o medios similares como los producidos por procedimientos técnicos de microfilmación siempre que cumplan los requisitos establecidos en la presente ley."
Tomando en consideración la definición antes citada y el objeto del presente artículo, se hace necesario determinar qué tipo de microforma es el objeto de investigación. En ese sentido, si bien el uso de la tecnología informática se aplica tanto a los procedimientos técnicos de microfilmación como a los informáticos propiamente, las técnicas de auditoría informática son requeridas por los representantes de la fe pública principalmente para estos últimos, ello con el objetivo de cumplir, de manera cabal, con la obligación de dirigir los procesos de micrograbación.
Partiendo de esa delimitación se puede afirmar, parafraseando la definición de microforma del Decreto Legislativo 681, que la microforma es la imagen digitalizada de un documento, esto es, traducida mediante proceso informático a código binario y grabada en un disco óptico de modo que pueda ser presentada en pantalla de computadora o impresa. En definitiva, se trata de aquella que la doctrina denominamicroforma digital.[xxxi]
3.2. La microforma como documento jurídico
El régimen del Decreto Legislativo 681 incluye requisitos para el reconocimiento legal de las microformas y su valor como prueba. Así, las siguientes son las características que permiten reconocer a determinada microforma valor legal probatorio:
- Que reproduzcan con fidelidad e integridad los documentos originales en imágenes.
- Que los soportes materiales que almacenan las microformas mantengan cualidades de durabilidad, inalterabilidad y fijeza similares a los de los documentos originales.
La fidelidad se refiere a la exactitud en la reproducción y la integridad a la seguridad de una reproducción cabal. La durabilidad es la cualidad referida al tiempo mínimo que debe transcurrir antes de que la imagen se degrade, en tanto que la fijeza se relaciona a la persistencia de la misma.
Es preciso tomar en cuenta que el régimen del Decreto Legislativo 681 establece expresamente que para la elaboración de microformas digitales se debe contar con sistemas de seguridad de la información. Ello con el propósito de salvaguardar la inalterabilidad e integridad de las mismas. Igualmente dispone que cuando en la microforma digital se incluya firma electrónica, ésta debe ser inalterable, fija, durable y su autenticidad comprobable en forma indubitable. Las características de esa firma electrónica se cumplen con el uso del cifrado de clave asimétrica o firma digital, concepto que ya fue expuesto en el capítulo anterior.
Asimismo, para la obtención de las características arriba reseñadas, dispone que el Instituto Nacional de Defensa de la Competencia y la Protección de la Propiedad Intelectual (INDECOPI) apruebe, adopte o incorpore normas técnicas correspondientes, las que, para el caso de las microformas digitales están comprendidas en la "Norma Técnica Peruana 392.030-2:2005 MICROFORMAS. Requisitos para las organizaciones que operan sistemas de producción de microformas. Parte 2: Medios de archivo electrónico, 2a Edición" del 22 de setiembre de 2005.
Las microformas digitales, elaboradas y almacenadas con arreglo a lo dispuesto en el régimen del Decreto Legislativo 681, sustituyen a los documentos originales para todos los efectos legales. Las copias impresas de dichas microformas, autenticadas por el funcionario depositario de la fe pública, tienen el mismo valor legal, en juicio o fuera de él, que los documentos originales y además son idóneas para el reconocimiento judicial de su contenido y firma así como para el cumplimiento de mandatos judiciales de exhibición de documentos. Las copias autenticadas de microformas se consideran válidas para auditorías privadas o públicas, pueden ser válidamente exhibidas ante auditores, inspectores o autoridades. Por último, también tienen valor probatorio en la transferencia electrónica de fondos y la transferencia electrónica de datos.
3.3. La fe pública
La vida en sociedad hace necesario asegurar una cierta estabilidad en las relaciones jurídicas, esa seguridad hace posible que aquellas relaciones sean consideradas evidentes y permanentes, esto evita que sucedan posteriores dudas sobre su existencia o naturaleza. De hecho, el simple transcurrir del tiempo hace desaparecer los elementos que intervinieron en el origen de las relaciones, por lo común, los de orden personal. Es debido a la temporalidad inherente a los actos jurídicos que el Estado recurre a la creación de determinados organismos que ejercen la función de dar autenticidad a esos mismos actos, esto es, ejercer la función de dar fe pública.
La fe es esencialmente creencia y, como tal, supone un elemento de voluntad de quien la profesa. Sin embargo cuando esta fe se hace pública, pierde su característica volitiva y se manifiesta como una imposición del poder público, poder mediante el cual se atribuye a determinadas personas la cualidad de veracidad en todo aquello que afirman o atestiguan. La fe pública no se funda en el convencimiento que se tiene sobre la verdad del acto, sino en la verdad oficial que se acepta obligatoriamente por imposición del Estado.
La fe pública la ejercen los funcionarios a los que se les atribuyen ciertas prerrogativas, las que se pueden categorizar en dos tipos: las que corresponden a todo empleado público en cuanto a sus declaraciones con relación al régimen de su dependencia y a los testimonios y copias que expidan sobre documentos por éstos custodiados en oficinas a su cargo y por razón de su oficio.
En otro orden, la ley también concede de manera expresa prerrogativas a determinados funcionarios llamados por tal causa fedatarios. Ello constituye la denominada fe pública especial. Los fedatarios testimonian o dan fe, como testigos excepcionales, y autorizan la verdad del acto sin formar parte del mismo o de la realidad del objeto, sin tenerlo en su poder. La fe pública especial es de dos tipos: la ejercida por los secretarios judiciales y la extrajudicial o notarial. Esta última constata actos cuya finalidad sea constituir, modificar o extinguir relaciones jurídicas.
"La fe pública extrajudicial o notarial tiene un depositario preeminente, el notario; pero también es desempeñada por otras personas que no son notarios, en la mayoría de los casos funcionarios públicos con competencias autenticadoras y, en algún supuesto, autoridades, en cuanto personas investidas de carácter o representación por su empleo o mérito."[xxxii]
El Diccionario de Derecho usual de Guillermo Cabanellas define como fedatario a "quien da fe pública; como el notario y otros funcionarios, cuando se trata de cuestiones extrajudiciales, [...][xxxiii]"
El artículo 3° del Decreto Legislativo 681 dispone que los fedatarios juramentados y los notarios certificados como idóneos técnicamente para dirigir los procesos de micrograbación, son los funcionarios de la fe pública para efectos del uso de las tecnologías avanzadas en materia de archivo. Además, el artículo 26° del Decreto Supremo 009-92-JUS detalla la responsabilidad de dichos funcionarios, estableciendo su obligación de tomar las "providencias razonables para la supervisión del proceso de micrograbación", de manera de hacer "las comprobaciones necesarias para dar fe de lo actuado y emitir las actas de conformidad". Asimismo y tomando en cuenta la temporalidad de los actos que constituyen el proceso de producción de microformas o micrograbación, el mencionado Decreto Supremo dispone que no están obligados a estar presentes durante todo el procesamiento de grabación, pero sí los obliga a verificar con métodos suficientes y, de considerar necesario, con el empleo de ayudantes técnicos, los resultados del proceso y consecuentemente suscribir las actas que correspondan.
3.4. Certificación de sistemas de producción de microformas digitales
Como ya se ha expuesto, el régimen del Decreto Legislativo 681 dispone que el INDECOPI, en el ejercicio de su función de ente público de normalización, establezca mediante aprobación, adopción o incorporación de normas técnicas, requisitos para la elaboración o producción de microformas. Bajo ese orden, el Decreto Supremo 002-98-ITINCI de 18 de febrero de 1998 estableció el carácter obligatorio de las normas técnicas aprobadas como requisitos para el otorgamiento del certificado de idoneidad técnica para la elaboración de microformas, tanto en micropelícula y microfichas como en medios de archivo electrónico. Posteriormente y sólo con relación a la modalidad de microformas en medios de archivo electrónico o microformas digitales, la Resolución de la Comisión de Reglamentos Técnicos y Comerciales 0074-2005-CRT-INDECOPI de 8 de setiembre de 2005, reemplazó la norma aprobada por la segunda edición de la NTP 392.030-2.
El propio Decreto Legislativo 681 dispuso asimismo que el INDECOPI sea el órgano encargado de otorgar los certificados de cumplimiento y de idoneidad técnica a quienes acrediten contar con los medios técnicos adecuados para la producción de microformas. En ese sentido, mediante el Decreto Supremo 002-98-ITINCI se aprobó como procedimiento para el otorgamiento del certificado de idoneidad técnica el Reglamento para la Certificación del Sistema de Producción y Almacenamiento de Microformas, que a su vez fue aprobado mediante Resolución de la Comisión de Reglamentos Técnicos y Comerciales 070-97/INDECOPI-CRT del 23 de diciembre de 1997.
En consecuencia, la Norma Técnica Peruana 392.030-2:2005 es de cumplimiento obligatorio para la certificación de la idoneidad técnica de los sistemas de producción y almacenamiento de microformas en medios de archivo electrónico y, por tanto, es el estándar para la evaluación de la estructura organizativa, el personal, los recursos, los procesos, los procedimientos y los ambientes asociados al mismo. Su campo de aplicación se centra en el uso del medio de archivo informático, que según definición de la propia norma: "es el medio con aptitud para contener archivos en formato digital"[xxxiv], lo que incluye discos ópticos tipo CD-R, CD-ROM, DVD, WORM u otros medios físicos de iguales o superiores propiedades, conocidos o por desarrollarse.
También forma parte del campo de aplicación de la citada norma técnica, la evaluación de los sistemas de seguridad de la información, los controles y los planes de contingencia físicos y lógicos aplicados al personal, recursos, procesos, procedimientos, ambientes, software, hardware, estaciones de trabajo, fuentes de emisión, recepción y redes asociados a los sistemas de producción de microformas en medios de archivo electrónico.
El presente estudio hace un análisis de la línea de producción de microformas tomando como referencia los objetivos trazados inicialmente, los que se aplican especialmente a los procesos técnicos de micrograbación digital. Partiendo de ese enfoque, los métodos de auditoría informática son utilizados como herramientas para la supervisión de los procesos y la verificación de sus resultados. Sin embargo, tomando en consideración que el tratamiento en las normas citadas no siempre distingue entre las responsabilidades sobre los procesos de producción y los de almacenamiento, algunos métodos de auditoría analizados también son aplicables a esos últimos.
Según el régimen del Decreto Legislativo 681 pueden solicitar la certificación de idoneidad técnica para la producción de microformas, las organizaciones propietarias o autoras de los documentos a procesar, sean personas jurídicas de derecho privado o de derecho público. También pueden solicitar la certificación las sociedades anónimas de servicios de archivos especializados y las notarías autorizadas.
Mediante el proceso de certificación, los organismos de certificación acreditados por el Servicio Nacional de Acreditación del INDECOPI verifican si el sistema de producción de microformas de la organización que solicita el certificado de idoneidad técnica, cumple, para el caso de las microformas digitales, con los requisitos de la Norma Técnica Peruana 392.030-2:2005. Los requisitos de dicha norma técnica se categorizan en dos tipos: generales y técnicos. Además, se establecen requisitos con relación a la seguridad de la información, la intervención de los representantes de la fe pública y los procedimientos.
a) Requisitos generales
El primer requisito se cumple documentando las especificaciones técnicas del sistema de producción en el Manual del Sistema de Elaboración de Microformas. En dicho manual se debe identificar debidamente a los autores y a los responsables de su aprobación, así como la fecha y número de edición, además, deberá describir a la organización, indicar el personal responsable y sus funciones dentro del sistema de elaboración y la ubicación de la línea o líneas de producción. Se entiende por línea de producción al conjunto de procesos, procedimientos y recursos de software y hardware integrados como una unidad de producción para la elaboración de microformas. Asimismo, debe identificar la tecnología de los equipos y los medios de archivo electrónico a utilizar y describir los procesos del sistema, indicando expresamente la participación de los representantes de la fe pública.
La organización solicitante debe estar constituida legalmente y será la responsable, en caso tenga la condición de propietaria de los documentos originales, de gestionar directamente el sistema de producción de microformas o, como empresa especializada o notaría autorizada, mediante un contrato de servicios. En el caso de ser propietaria de la documentación, la organización debe tener implementado unSistema Integral de Administración de Documentos de Archivo, cuyo responsable y personal encargado cuenten con funciones debidamente documentadas. Por su parte, las empresas especializadas en servicios de producción de microformas deben contar con un sistema de elaboración de microformas dirigido por un responsable ejecutivo, cuyas funciones y responsabilidad así como las del personal encargado de los procesos, estén debidamente especificadas y documentadas. En ambos casos, los solicitantes deben contemplar lo establecido por la legislación archivística y disponer medidas que aseguren que su personal esté libre de influencias nocivas que puedan afectar la confidencialidad y la calidad del trabajo.
Con relación a la contratación de servicios de producción de microformas, es requisito que la empresa o notaría con la que se contrate haya obtenido previamente la certificación y que los términos del acuerdo incluyan cláusulas en las que la organización propietaria establezca las especificaciones que, como mínimo, deba cumplir la prestadora del servicio.
b) Requisitos técnicos
Los requisitos técnicos se exponen en función a los seis subprocesos que forman parte del sistema de producción de microformas, estos son: generación de documentos originales, preparación de documentos, captación de imágenes, indización, digitalización y grabación.
- Generación de documentos originales
Para la generación de documentos, la organización propietaria debe mantener un registro de las clases y cantidad de los documentos originales a convertir en microformas, indicando para cada clase, el medio que los soporta. El registro debe incluir, para el caso de impresos, las dimensiones originales y, para el caso de los documentos electrónicos, la magnitud en bytes así como las dimensiones y el formato en que deben ser impresos. El registro de datos e información que identifica a los documentos originales debe cumplir con las normas de la propia organización, las del Sistema Nacional de Archivos y las normas técnicas internacionales. La metodología de identificación de los documentos originales es la base para el subproceso de indización sucesivo.
En el caso de documentos electrónicos originales con firma digital obtenidos a través de redes, se requiere el uso del parámetro Tiempo Universal Coordinado (UTC por sus siglas en inglés) para determinar la fecha y hora de recepción en el sistema y como indicador para su numeración correlativa.
Para cada línea de producción se debe documentar, como mínimo, las especificaciones siguientes: clases de documentos originales, ubicación o procedencia de los mismos, local, tecnología empleada, formatos de imagen, medios de soporte de las microformas y, según el caso, la arquitectura de las redes conectadas y las técnicas de cifrado de las firmas electrónicas o digitales aplicadas.
- Preparación de documentos
Es requisito indispensable para este subproceso documentar las especificaciones necesarias que aseguren la integridad de los documentos originales, considerando aspectos como la propiedad, procedencia, cantidad y formatos. Asimismo, las especificaciones que faciliten el control de calidad posterior, para ello suelen agruparse los documentos en lotes. Cada lote se deberá conformar en función a las "características similares [con las] que han sido producidos, colectados, ordenados o transmitidos [los documentos] bajo procesos o condiciones esencialmente uniformes"[xxxv] y enumerar los documentos consecutivamente para facilitar la detección de extravíos.
También es necesario documentar y autorizar la aplicación de medidas correctivas para subsanar defectos detectados previamente, por ejemplo, imágenes faltantes en caso de documentos foliados, fragmentación del documento, notas o mensajes sobrepuestos o la necesidad de fotocopiado para mejorar la legibilidad.
En el caso particular de documentos electrónicos originales, debe identificarse a sus autores, las estaciones o módulos de trabajo autorizados, el sistema informático empleado, la hora y fecha de elaboración y su tamaño. Además, con relación a la seguridad integral de los documentos electrónicos que contengan enlaces o vínculos hacia otros documentos, la organización deberá documentar los procedimientos que aseguren la continuidad de dichos enlaces.
Este subproceso de preparación debe establecer y mantener un registro de todos los documentos, datos e información pertinentes.
- Captación de imágenes
Para la captación de imágenes de documentos originales impresos, el equipo de captura deberá estar configurado en la velocidad y resolución adecuada para el tipo y peso de los documentos, así como del estado físico y la legibilidad de los detalles. Se entiende por resolución[xxxvi] a la mayor o menor separación que puede apreciarse entre dos objetos próximos en un documento, ya sean tipos de letra o primitivas geométricas (líneas, curvas, polígonos, etc.)
La organización propietaria deberá especificar el patrón de resolución a utilizar como modelo de muestra en la captura de la imagen del documento original. Asimismo, la organización o empresa de servicio, según el caso, deberá documentar un programa de mantenimiento para el equipo de captura de imágenes y el término para el reemplazo oportuno del patrón de resolución.
Para el caso de los documentos electrónicos originales, la organización o empresa deberá utilizar una imagen digitalizada del patrón de resolución que defina el tamaño original de la imagen y, en caso sea aplicable, la relación de compresión, los modos del color, el brillo y el contraste de la misma.
- Indización
En esta fase, la organización propietaria de los documentos originales debe declarar por escrito las especificaciones sobre la metodología lógica y uniforme a aplicarse para la ordenación en índices de las microformas, ello con el objeto de recuperar de manera integra los documentos tratados.
La indización debe considerar el registro de la "[...] numeración correlativa o secuencia de recepción, de los documentos originales recibidos tanto en formatos físicos, como electrónicos asegurando la integridad en la recuperación de bibliotecas, colecciones, series documentales, expedientes, legajos, planillas, documentos, información, datos individuales o en conjunto, tratados como unidades."[xxxvii]
- Digitalización
En este subproceso se documentan las especificaciones de la aplicación informática de gestión con la que se organizan las imágenes capturadas previamente, en función a los resultados de los procesos de preparación e indización. Si es el caso, también será requisito especificar las condiciones de compresión de las imágenes.
El software empleado para la digitalización debe contar con licencia de uso con el fin de proteger los derechos de autor. En caso que el software sea propiedad de la organización o empresa especializada, éste debe ser evaluado en función a la norma técnica internacional correspondiente. Asimismo, el software que haya sido utilizado y que devino obsoleto se deberá conservar durante el período establecido en las disposiciones legales o reglamentarias, en las de la organización propietaria o en los términos contractuales que obliguen a la empresa de servicios o notaría autorizada.
Para el caso de las aplicaciones de firma digital se establece los siguientes requisitos: adoptar medidas de seguridad para evitar software malicioso conocido como virus informático, aplicar la autenticación criptográfica, registrar la fecha y hora y usar el mecanismo de no repudio.
- Grabación
Para llevar a cabo el subproceso de grabación se requiere la previa comprobación y revisión de los informes de auditoría informática sustentados en pistas de auditoría registradas en los archivos denominados log files[xxxviii] o audit trails[xxxix] y, de ser el caso, en la verificación de las firmas digitales.
En todos los subprocesos descritos anteriormente se requiere la aplicación de controles de calidad que aseguren la correcta identificación de las imágenes con relación a sus documentos originales, la recuperación y presentación en los medios visuales especificados, la integridad, la legibilidad y la ausencia de defectos.
c) Sistema de seguridad
Los procesos de micrograbación deben sujetarse a políticas, procedimientos y técnicas que aseguren la confidencialidad, integridad y disponibilidad de las microformas, para ello se debe cumplir con las especificaciones del Código de Buenas Prácticas para la Gestión de la Seguridad de la Informaciónaprobado por la Norma Técnica Peruana ISO/IEC17799 en aspectos relacionados al personal, las estaciones de acceso, las salidas, el software, los archivos y las aplicaciones informáticas que sean parte del sistema de producción de microformas.
En ese sentido, las organizaciones o empresas deben documentar sus programas de auditoría informática para comprobar el cumplimiento de los requisitos de idoneidad del sistema de producción de microformas y, asimismo, deberán evaluar la identificación y responsabilidad del personal, los intentos de acceso no autorizado y el uso no autorizado de estaciones de trabajo, programas y archivos. En caso sea aplicable, deberán evaluar las medidas de seguridad para la custodia de los medios de archivo electrónico mantenidos, conectados a servidores en línea o accesibles para consultas. Los registros e informes de auditoría informática deberán estar disponibles para examen e inspección hasta por un período previamente especificado.
También deberán documentar la aplicación de medidas correctivas que restablezcan la exacta operación del sistema de producción de microformas.
d) Intervención de los representantes de la fe pública
Para cada línea de producción de microformas las organizaciones o empresas de servicios deberán especificar el procedimiento de intervención de los representantes de la fe pública que asegure el ejercicio de las facultades de dirección, supervisión y verificación establecidas por la ley.
e) Procedimiento
Los organismos de certificación, acreditados por el Servicio Nacional de Acreditación del INDECOPI, son los autorizados para otorgar los Certificados de Idoneidad Técnica a los sistemas de producción de microformas. Las organizaciones propietarias, empresas de servicios especializados de archivo y las notarías autorizadas pueden solicitar certificación de idoneidad de sus sistemas de producción de microformas a los organismos de certificación, siguiendo el procedimiento aprobado por la Resolución 070-97-INDECOPI-CRT.
Mediante análisis de documentos, entrevistas y visitas a las áreas de trabajo, los inspectores de los organismos de certificación verifican si el sistema de producción de microformas de la organización solicitante cumple los requisitos de la NTP 392.020-2:2005, de las normas técnicas internacionales y de las especificaciones técnicas de la misma organización. Para efectos del procedimiento de certificación, la Norma Técnica Peruana 392.030-2 considera organización a aquella que se dedica a operar un sistema de producción de microformas en forma exclusiva o concurrentemente con otras actividades.
El organismo de certificación establece el procedimiento a seguir para la realización de las inspecciones y el otorgamiento del certificado, así como para las inspecciones periódicas que garantizan la continuidad de la certificación. Las etapas que debe seguir el procedimiento de certificación son: evaluación de los documentos del sistema, inspección del sistema e informe de inspección.
Los inspectores evalúan los documentos técnicos utilizados para la producción de microformas así como los certificados de conformidad de los equipos y productos, buscando una respuesta para cada requisito normativo. En esa fase se define claramente el alcance de la certificación en términos de los servicios o actividades de producción de microformas que opera la organización.
La inspección del sistema de producción de microformas busca obtener una visión general de la capacidad de la organización, la eficacia del control de calidad, la competencia del personal, los tipos de microformas y el cumplimiento de los requisitos. La documentación de la inspección se rige por una lista de verificación que incluye los requisitos técnicos y legales; además, se anotan observaciones sobre la estructura organizativa, el propio sistema de producción de microformas o sus procedimientos. Asimismo, los inspectores deben tomar nota de la o las actividades del sistema que sean ejecutadas por una empresa de servicios y se aseguran que aquella cumple con los requisitos materia de la certificación. En tanto que la subcontratación de servicios no exonera de responsabilidad a la empresa de servicios especializados de archivo, los inspectores pueden requerir inspecciones adicionales a esas empresas. Los inspectores deben solicitar la ejecución de pruebas para verificar la calidad de las microformas, el cumplimiento de los requisitos, la idoneidad del personal, el correcto uso de los equipos, los sistemas de seguridad, otros bienes y las condiciones ambientales de los procesos.
El informe contiene como mínimo el objeto de la certificación, un resumen del alcance y aspectos destacables, el listado de la documentación evaluada, las personas entrevistadas, la fecha, la ubicación del o los locales visitados y las conclusiones sobre la conformidad de la documentación, el sistema de producción y la recomendación o no de la certificación.
3.5. Autorización o aprobación
La certificación de idoneidad técnica es indispensable, más no suficiente, para que las organizaciones propietarias puedan, por si mismas o mediante contrato con empresas de servicios, organizar sus archivos en microformas y microarchivos. Además de la mencionada certificación, las organizaciones de derecho privado inscritas en el Registro Público del Mercado de Valores de la CONASEV[xl], deben ser autorizadas por ésta una vez que compruebe su idoneidad técnica y el cumplimiento de los requisitos legales. Asimismo, podrán ser autorizadas aquellas organizaciones privadas que no estando inscritas en el mencionado registro presenten estados financieros completos, y siempre que alcancen un volumen de operaciones fijado por la propia CONASEV. En el caso de organizaciones de derecho privado supervisadas por la Superintendencia de Banca, Seguros y AFP, éstas deberán ser autorizadas exclusivamente por dicha institución, bajo las mismas condiciones antes descritas.
Las organizaciones de derecho público interno comprendidas en el Gobierno Central, Gobiernos Regionales, Gobiernos Locales, Organismos Descentralizados Autónomos, Instituciones Públicas Descentralizadas y Sociedades de Beneficencia Pública deberán aprobar la conversión de sus archivos oficiales a microarchivos mediante Resolución Vice ministerial o del funcionario de mayor jerarquía según el caso .
Las empresas de servicios especializados de archivo y las notarías certificadas para brindar servicios de micrograbación o microarchivo deberán igualmente ser autorizadas por la Superintendencia de Banca y Seguros y AFP o la CONASEV, según sus servicios sean contratados por organizaciones de derecho privado supervisadas o registradas por esas instituciones.
Para obtener autorización, las organizaciones propietarias de derecho privado deberán contratar los servicios permanentes de un representante de la fe pública informática. Para el caso de las empresas de servicios especializados de archivo, deberán contratar de manera permanente los servicios de dos fedatarios juramentados o un notario con certificación de idoneidad técnica. Las notarías certificadas para brindar servicios de microarchivo deben contratar de manera permanente a un fedatario juramentado. Las organizaciones de derecho público deberán contar en su personal con dos fedatarios juramentados que, a su vez, sean funcionarios de cargo del archivo oficial.
4 Ejercicio de la fe pública en el proceso de micrograbación
El ejercicio de la fe pública en el régimen del Decreto Legislativo 681 está regulado en el título III de dicho dispositivo legal, que corresponde a los procesos técnicos y formales. En dicho apartado, el artículo 7 establece: "Los procesos de micrograbación se deben efectuar bajo la dirección y responsabilidad de uno de los depositarios de la fe pública". En consecuencia, es el fedatario juramentado o el notario con certificación de idoneidad técnica el que encamina la intención y las operaciones del proceso de micrograbación, de manera tal que garantice la integridad de los documentos originales reproducidos y las cualidades de durabilidad, inalterabilidad y fijeza similares a las de los originales. Esta responsabilidad lo faculta a gobernar, regir y dar reglas para el manejo de las líneas de producción de microformas. Está obligado, así mismo, a verificar los resultados de los procedimientos técnicos empleados, debiendo cuidar y atender en lo que hace o decide, asumiendo la responsabilidad de supervisión sobre la ocurrencia de posibles yerros en el procedimiento de micrograbación o en las microformas producto del mismo. Además, debe satisfacer dudas, dificultades o demandas con relación al procedimiento a su cargo.
En igual sentido, el artículo 26 del Decreto Supremo 009-92-JUS dispone: "Los notarios y fedatarios tomarán las providencias razonables para la supervisión del proceso de micrograbación. [...] harán lascomprobaciones necesarias para dar fe de lo actuado [...] verifican, con los métodos que consideren suficientes, los resultados de las micrograbaciones; y suscriben las actas referidas en la Ley y en el Reglamento."
De todo ello se infiere que el funcionario de la fe pública debe ejercer la potestad de informarse sobre el proceso de micrograbación con el propósito de confirmar la exactitud del mismo, así mismo de examinar los informes de auditoría sobre el control de calidad de las microformas producidas con el fin de verificar el resultado.
Las funciones del representante de la fe pública sobre los procesos de micrograbación se circunscriben a las citadas, esto es, las contenidas en el artículo 7 del Decreto Legislativo 681 y en el artículo 26 de su reglamento. El ceñimiento resulta obvio en la medida en que, por principio, las funciones deben ser declaradas de manera taxativa.
Lo anteriormente expuesto plantea la siguiente cuestión, ¿cuáles son los métodos suficientes para llevar a cabo la dirección del proceso de micrograbación? La respuesta está dada en función al concepto de laauditoría informática.
4.1. El control interno y la auditoría informática
Según la definición del Diccionario de la Lengua de la Real Academia Española, método es el "modo de decir o hacer con orden una cosa".
Originalmente, el ejercicio del control interno dentro de las organizaciones no incluía actividades operativas con el objetivo de prevenir los riesgos que éstas enfrentan en el desarrollo de sus actividades, por lo que el ejercicio del control interno se limitaba, exclusivamente, a los contables y financieros. Con el transcurrir del tiempo y lo que hace algunos años significó la quiebra fraudulenta de organizaciones globales como el caso emblemático del escándalo ENRON[xli], los directores tomaron conciencia que para evitar la falta de control efectivo se debía actuar con iniciativa, para ello se debió revaluar y reestructurar los sistemas de control lo que llevó a tomar medidas de seguridad que garantizaran que los controles internos estuviesen diseñados adecuadamente para hacer frente a los retos del futuro y asegurar la integridad en el momento actual.
En este contexto, el control interno se define como "cualquier actividad o acción realizada manual y/o automáticamente para prevenir, corregir errores o irregularidades que puedan afectar al funcionamiento de un sistema para conseguir sus objetivos."[xlii]
"El concepto de sistema de control interno debe hacer parte integrante de los manuales de funciones y procedimientos de las organizaciones."[xliii]
"Actualmente los sistemas de información en los negocios están soportados en la informática, lo que aumenta las necesidades de control y hace surgir en las organizaciones, como medidas organizativas, el control interno informático.
El control interno informático puede definirse como el sistema integrado al proceso administrativo, en la planeación, organización, dirección y control de las operaciones con el objeto de asegurar la protección de todos los recursos informáticos y mejorar los índices de economía, eficiencia y efectividad de los procesos operativos computarizados."[xliv]
"Históricamente, los objetivos de los controles informáticos se han clasificado en las siguientes categorías:
· Controles preventivos: para tratar de evitar el hecho, como un software de seguridad que impida los accesos no autorizados al sistema.
· Controles detectivos: cuando fallan los preventivos, para tratar de conocer cuanto antes el evento. Por ejemplo, el registro de intentos de acceso no autorizados, el registro de la actividad diaria para detectar errores u omisiones, etc.
· Controles correctivos: facilitan la vuelta a la normalidad cuando se han producido incidencias. Por ejemplo, la recuperación de un fichero dañado a partir de las copias de seguridad."[xlv]
"Se entiende que un sistema de control interno es incompleto si no dispone de un adecuado componente de auditoría eficiente y efectivo, con la misión de monitorear permanentemente los demás controles internos del sistema y asesorar a la alta dirección, para que sea implementado el sistema de control interno oportunamente.
La auditoría se comporta esencialmente como Control Detectivo, debido a la identificación que hace de debilidades de control, cuando ejecuta las pruebas de auditoría a nivel de cumplimiento, sustantivas o de doble finalidad."[xlvi]
"La Auditoría Informática es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los recursos. De este modo la auditoría informática sustenta y confirma la consecución de los objetivos tradicionales de la auditoría:
· Objetivos de protección de activos e integridad de datos.
· Objetivos de gestión que abarcan, no solamente los de protección de activos sino también los de eficacia y eficiencia."[xlvii]
"La función de control interno se ve involucrada en la realización de los procedimientos de control y es una labor de día a día. La función de auditoría informática está centrada en la evaluación de los distintos aspectos que designe su PLAN AUDITOR, con unas características de trabajo que son las visitas concretas al centro [de cómputo], con objetivos concretos y, tras terminar su trabajo, la presentación del informe de resultados. Por tanto las características de su función son totalmente distintas. Lógicamente también sus métodos de trabajo."[xlviii]
La auditoría informática debe realizarse dentro del marco de la auditoría general. El objeto de la auditoría informática comprende:
- El estudio del sistema y un análisis de los controles organizativos y de procedimiento.
- La investigación y el análisis de las aplicaciones que se estén desarrollando o que ya estén implantadas.
- La comprobación de datos reales y resultados de los sistemas que se estén utilizando.
- La realización de auditorías de eficiencia y eficacia.
El estudio del sistema, su organización y procedimientos así como el del desarrollo de las aplicaciones que le dan soporte son acontecimientos especiales de la auditoría informática. El primero se realiza cada varios años o cuando se producen reestructuraciones importantes de secciones o departamentos dentro de la organización, el segundo, cuando se dan nuevos desarrollos o las aplicaciones existentes se someten a modificaciones importantes lo que suele suceder al cabo de largos intervalos. Sin embargo, como la auditoría informática forma parte de la auditoría general, una forma rutinaria se realiza como parte de la auditoría reglamentaria o interna de las empresas.
"Las auditorías informáticas de rutina forman parte de la certificación o de la auditoría de cumplimiento; en ellas, los auditores han de realizar pruebas suficientes para quedar satisfechos de la confianza que se pone en los procedimientos mecanizados que existen y de que los resultados que se obtienen son verdaderos y adecuados. Las auditorías de eficiencia determinan además si los procedimientos son correctos."[xlix]
Como primera acción de toda auditoría se lleva a cabo el compendio y lectura de la documentación del sistema o, si es el caso, se indaga por las modificaciones desde la inspección anterior. La condición para que un sistema sea posible de auditar es que exista un mínimo de documentación, ya que si no hubiese escrito nada respecto a la existencia de controles y del funcionamiento del mismo no se podrían realizar las tareas de comprobación. "La documentación es esencial para todas las personas que participan en un sistema mecanizado. La documentación es el medio de comunicar lo que hace el sistema y el trabajo que ha de hacerse"[l]
"Incluso los sistemas mejor definidos se acaban torciendo si no se llevan a cabo los controles ni las comprobaciones correspondientes. Las especificaciones deberán establecer el cometido y responsabilidad de los jefes y mandos intermedios para vigilar el sistema y hacer un seguimiento de ciertas actividades. La responsabilidad del control deberá centrarse a un nivel adecuado y efectivo. Los auditores comprobarán si el sistema dispone de suficientes controles de gestión y durante el trabajo de auditoría verificarán si se ejercen. También estudiarán si el sistema aporta la información necesaria a jefatura, para ayudarles a ejercer dicho control (por ejemplo, un análisis de los errores producidos durante el mes)."[li]
El representante de la fe pública, como director de la línea de producción de microformas, está obligado a informarse de las características del sistema a partir de los informes de auditoría, ello con el propósito de constatar el fiel cumplimiento de los elementos y evidencias que establece la ley y su reglamentos, las normas técnicas y las disposiciones internas de las organizaciones sobre los procesos de micrograbación.
Asimismo, debe comprobar a través de dichos informes los resultados que la ley exige para que las microformas:
- Reproduzcan los documentos originales de manera integra, en especial en el caso de las microformas digitales elaboradas bajo parámetros de seguridad de la información.
- Estén soportadas en medios que posean cualidades de durabilidad, inalterabilidad y fijeza similares a los de los documentos originales.
- Se puedan reproducir en papel o material similar, como copia fiel y exacta del documento original.
Para la comprobación de esos resultados es indispensable que los representantes de la fe pública conozcan y evalúen los informes de las auditorías de seguridad de la información y de control de calidad practicados sobre el proceso y sus resultados.
Los planes de auditoría deben prever la posibilidad de confabulación, por ello la responsabilidad de iniciar un evento dentro del proceso debe ser encargada por separado al de su autorización.
Los mecanismos de control para reducir el riesgo de un mal uso del proceso, ya sea deliberado o por negligencia, se implantan bajo el método de la segregación de tareas y áreas de responsabilidadcuando sea adecuado para reducir las oportunidades de una modificación no autorizada o no intencional de los documentos procesados, o el de un mal uso de los activos de la organización.[lii]
De lo expuesto se desprende que la fe pública, que calificaremos como informática, se ejerce exclusivamente poniendo en práctica la supervisión y comprobación de los informes de auditoría informática elaborados en consideración a los requisitos legales y de la normativa técnica que corresponden a la ejecución de los procesos de micrograbación.
En efecto, el método de segregación de responsabilidades recogido en la norma técnica peruana ISO/IEC 17799 impone dicha exclusividad, ya que de otro modo, si el ejercicio de la fe pública informática comprendiera tareas de control sobre el proceso de micrograbación, aquél se tornaría incongruente e ineficaz.
4.2. Auditoría de la Seguridad de la información
La norma técnica peruana 392.030-2 2005 dispone que las organizaciones deben contar con unprograma de auditoría informática que asegure el cumplimiento de la evaluación de idoneidad técnica del sistema de producción de microformas, el cual deberá incluir:
- La responsabilidad e identificación del personal a cargo de los procesos descritos.
- Los intentos y accesos no autorizados.
- El uso no autorizado de estaciones, programas y archivos.
Asimismo, dispone que las especificaciones que aseguren la confidencialidad, integridad, disponibilidad y calidad de las microformas son las contenidas en el Código de Buenas Prácticas de la Gestión de la Seguridad de la Información aprobado por la Norma Técnica Peruana ISO/IEC 17799.
El fedatario juramentado con especialización en informática o el notario con certificación de idoneidad técnica, como director del proceso de micrograbación, debe estar debidamente informado de los eventos de seguridad de la información, siendo responsable de supervisar la gestión de incidentes con el fin de comprobar que los eventos sean comunicados efectivamente para que se realice una acción correctiva oportuna.
Según la definición contenida en la Norma Técnica Peruana ISO/IEC 17799, un evento de seguridad de información es: "[...] una ocurrencia identificada de un sistema, servicio, o red el cual indica una posible brecha de la política de seguridad de información o fallas de las salvaguardias o una situación desconocida que puede ser relevante para la seguridad", en tanto un incidente de seguridad es: "[el] indicado por una o varias series de eventos inesperados y no deseados que tienen una gran probabilidad de comprometer las operaciones de negocios y de amenazar la seguridad de información."
Como parte del Plan Auditor, los empleados y contratistas deben conocer los procedimientos de seguridad para informar, de manera formal, sobre los diferentes tipos de evento que tengan o puedan tener impacto en la seguridad de la información y el punto de contacto designado para la recepción del reporte respectivo mediante la gestión de los canales de comunicación.
Los procedimientos que se inician con el reporte de eventos de seguridad de la información incluyen:
- La retroalimentación que asegure que los representantes de la fe pública sean notificados de los resultados, después de que el tema haya sido repartido y cerrado.
- Los formularios de reporte con el fin de apoyar la acción y ayudar a recordar todas las acciones correspondientes al tipo de evento.
- Un proceso formal disciplinario establecido para tratar con empleados y contratistas que cometan una apertura en la seguridad.
Algunos ejemplos de eventos e incidentes en la seguridad de información son:
a) perdida de servicio, equipo o instalaciones;
b) sobrecargo o mal funcionamiento del sistema;
c) errores humanos;
d) inconformidades con políticas o pautas;
e) aberturas en los arreglos de seguridad física;
f) cambios incontrolables en el sistema;
g) mal funcionamiento del software o hardware;
h) violación de acceso.
La detección de actividades de procesamiento no autorizadas es el objetivo de lo que la Norma Técnica ISO/IEC 17799 define como "monitoreo". Para ello se cuenta con un registro de los operadores y administradores del sistema y un registro de averías con el propósito de identificar los problemas. Mediante el "monitoreo" se verifica la efectividad de los controles.
Las pistas de auditoría registran las actividades de los usuarios, las excepciones y los eventos de seguridad de información y se almacenan por un período que permita la supervisión de los controles de acceso y su utilización en investigaciones.
Según el mismo dispositivo bajo análisis, los registros de auditoría deben incluir cuando sea relevante:
a) identificaciones de usuarios;
b) fecha y hora de conexión y desconexión;
c) identidad del terminal o locación si es posible;
d) registros de éxito y fracaso de los intentos de acceso al sistema;
e) registros de éxito o fracaso de datos y de otros intentos de acceso a recursos;
f) cambios en la configuración del sistema;
g) uso de privilegios;
h) uso de las instalaciones y aplicaciones del sistema;
i) archivos accedidos y el tipo de acceso;
j) direcciones y protocolos de red;
k) las alarmas realizadas por el sistema de control de accesos;
l) activación y desactivación de los sistemas de protección, como los sistemas antivirus y los sistemas de detección de intrusos.
El resultado de las actividades de "monitorero" deben ser supervisadas regularmente por el fedatario juramentado o el notario con certificado de idoneidad técnica o, de ser el caso, sus ayudantes técnicos, en las áreas correspondientes a:
- Acceso autorizado.
- Operaciones privilegiadas.
- Intentos de acceso no autorizado.
- Alertas o fallas del sistema de producción.
- Cambios o intentos de cambio de la configuración.
- Controles de los sistemas de seguridad.
Asimismo, la supervisión sobre el registro de las actividades de los administradores y operadores, en especial:
a) el tiempo en el que ocurrió el evento (sea exitoso o fracasado);
b) la información acerca del evento o las fallas;
c) la cuenta y el administrador u operador implicado;
d) los procesos que fueron implicados;
En caso de registrarse averías, éstas deben ser analizadas con el fin de tomar acciones apropiadas. Las averías pueden ser notificadas por los usuarios o los programas del sistema, tanto con relación al procesamiento o la transmisión de los datos, lo cual obliga al fedatario o notario a revisar los registros de averías para comprobar que las fallas han sido resueltas satisfactoriamente y que las medidas correctivas han sido adoptadas, asegurándose que los controles del sistema no han sido comprometidos y que la acción realizada haya sido debidamente autorizada.
4.3. Auditoría del Control de calidad
Con relación a la vulnerabilidad de los datos procesados en la micrograbación, se debe tomar en consideración que la mayoría de los delitos informáticos son perpetrados al suprimir, omitir o alterar datos, adicionar datos sin autorización y duplicar procesos.
Con el fin de verificar la totalidad del conjunto y la integridad de los documentos micrograbados, el fedatario o notario debe conocer, a partir del manual del sistema de producción, las especificaciones para el control de datos o control de calidad que asegure que en todo momento éstos sean exactos, completos y autorizados.
La conformidad del proceso de control de calidad de microformas asegura la identificación de las imágenes que corresponde a los documentos originales así como su integridad, su recuperación en medios especificados para la visualización, la legibilidad de los caracteres más pequeños o los trazos más finos y la ausencia de defectos previamente definidos por la organización propietaria.
"El control se ejercerá en todas las fases relacionadas con [los datos]: captura, grabación, movimiento o transmisión, proceso, archivo o emisión. Cada etapa presenta su propio problema de control y se enlazarán de modo que una ejerza control sobre la otra.
Al tratar del control sobre los datos no sólo hay que preocuparse de las características del control, sino de los procedimientos que vayan encaminados a establecerlo. La numeración consecutiva de formularios es una ayuda que asegura que se reciben todos y por tanto, que los datos que se han recogido están completos."[liii]
"El control de movimientos es importante en los sistemas en que los datos atraviesan numerosas etapas y secciones. Normalmente se prepara un documento de control de lote, que indica el contenido del lote de documentos que se envía, para que el receptor verifique si están completos y tome acción en caso de que falte alguno. Los documentos de control de lotes deberán enumerarse consecutivamente para que se pueda detectar si se pierde un lote completo. En la oficina que envía la información se guardará copia de los documentos de control de los lotes. Deberá analizarse el contenido de los documentos de control de lotes para establecer cuál es el mejor control que puede aplicarse a los datos que se envían y las acciones de apoyo que podrían adaptarse cuando se pierden partidas."[liv]
"Cada aplicación debe llevar controles incorporados para garantizar la entrada, actualización, validez y mantenimiento completos y exactos de los datos. Las cuestiones más importantes en el control de los datos son:
· Control de entrada de datos: procedimientos de conversión y de entrada, validación y corrección de datos.
· Controles de tratamientos de datos para asegurar que no se dan de alta, modifican o borran datos no autorizados para garantizar la integridad de los mismos mediante procesos no autorizados.
· Controles de salidas de datos: sobre el cuadre y reconciliación de salidas, procedimientos de distribución de salidas, de gestión de errores en las salidas, etc."[lv]
El control de la legibilidad de las copias impresas de las microformas se comprueba con la utilización de la copia impresa del patrón de resolución previamente definido por la organización propietaria.
La responsabilidad del control de calidad se comparte entre la organización propietaria de los documentos originales y la empresa de servicios especializados de archivo o la notaría autorizada. En todo caso, el contrato de servicios deberá establecer las condiciones y procedimientos para la operación y las responsabilidades deberán estar claramente definidas.
Verificada la existencia de los controles necesarios, se llevan a cabo pruebas de cumplimiento para asegurar que éstos funcionan según lo previsto. Una prueba de cumplimiento es, por ejemplo, el seguimiento de una serie de transacciones por todo el sistema de producción, otra, utilizar programas de consulta para analizar los archivos y comprobar la validez de los datos. Para la verificación de las transacciones bastará con una muestra de cada tipo de transacción; las muestras se seleccionarán cuidadosamente para asegurarse de que están representadas todas las variantes, dándose a las de mayor valor o riesgo una ponderación especial.
Conclusiones
- Los fedatarios que instituyera como representantes de la fe pública el régimen legal del Decreto Legislativo 681 para el uso de tecnologías en materia de archivo de documentos e información, tienen las facultades de dirigir y supervisar los procesos de micrograbación para la producción de microformas digitales. En el ejercicio de dichas atribuciones, el fedatario o notario que cuente con el certificado de idoneidad técnica tiene la responsabilidad de estar debidamente informado, a través de la documentación del sistema de producción de microformas y de los correspondientes informes de certificación y de auditoría informática elaborados en función al plan auditor, de la existencia, características y función de los controles de seguridad de la información de la línea de producción y de calidad de las microformas.
- El método a emplear para el ejercicio de la fe pública informática se basa en las actividades de supervisión, comprobación y verificación autorizadas por ley, por tanto, se apoya exclusivamente en los informes de auditoría informática. La exclusividad es consecuencia del principio de segregación de la responabilidad entre el control y la auditoría, esto es, que el responsable de la auditoría no puede a su vez ser encargado de llevar el control. No es el control el método que corresponde a la función del representante de la fe pública informática como responsable de la dirección de la línea de producción de microformas digitales. Los mecanismos de control sobre el procedimiento de micrograbación o de la calidad de las microformas, son aprobados por la organización propietaria de los documentos según el nivel de riesgo que ha tomado en cuenta y el mayor o menor grado de control, es de su exclusiva responsabilidad.
- La responsabilidad del representante de la fe pública informática se circunscribe a la supervisión y comprobación del proceso de micrograbación y a la verificación de las microformas mediante los informes de auditoría, esto es, que las actividades del proceso cumplen con los requisitos y que se llevaron a cabo las auditorías previstas para supervisar los controles establecidos, tanto para el proceso mismo como para verificar la calidad de las microformas. Ello concuerda con lo que prescrito por el artículo 26 del Decreto Supremo 009-92-JUS, en cuanto prescribe que: "la corrección y fidelidad de la documentación es de responsabilidad exclusiva de la empresa dueña de los archivos; y la corrección y fidelidad de su grabación es de responsabilidad solidaria de la empresa que presta el servicio de micrograbación y de la empresa dueña de los archivos".
- El representante de la fe pública informática, como director del proceso de micrograbación, al conocer los informes de auditoría de seguridad de la información debe comprobar que los eventos e incidentes de seguridad que hayan ocurrido durante el proceso de micrograbación hayan sido debidamente comunicados y que haya sido posible realizar una acción correctiva oportuna.
- El representante de la fe pública informática, para verificar el correcto almacenamiento de microformas en soportes informáticos, requiere conocer el informe de auditoría de las medidas ocontroles de calidad que garantizan que el método y los procesos para la captura y transmisión de imágenes desde la unidad central de proceso de la computadora hacia los dispositivos periféricos (pantalla, impresora, discos, etc.), reproducen con exactitud el contenido original e íntegro del documento. De igual modo, en los casos en los que dicha transmisión opere vía redes informáticas, le será necesario conocer el informe de auditoría sobre los controles de integridad correspondientes, en especial del registro de actividades de administradores y usuarios de la red y delregistro de averías de equipos. Por último, deberá verificar la auditoría de las pruebas de cumplimiento llevadas a cabo, del registro e identificación de los documentos a procesar y de la entrada, tratamiento y salida de la línea de producción.
- De las anteriores aseveraciones resulta evidente que el representante de la fe pública informática debe contar con conocimientos sobre la naturaleza de la auditoría informática, en especial la referida a la seguridad de la información y al control de calidad. Lo anterior no es óbice para que, cuando lo considere necesario, recurra a la ayuda de personal técnico sobre la metodología y los resultados de las auditorías a la que se someten los procesos de micrograbación que el régimen legal le franquea.
Lima, diciembre del 2008
Bibliografía
BADELL, Joan-Isidre. Definición y catalogación de microformas. El profesional de la información. Revista internacional científica y profesional [En línea] <http://www.elprofesionaldelainformacion.com/contenidos/1995/septiembre/definicin_y_catalogacin_de_microformas.html>.[24MAR2008]
BUSTELO Ruesta, Carlota. Gestión Documental en las Empresas: una aproximación práctica. 2000 [En línea] <www.inforarea.es/Documentos/fesabid.pdf> [26FEB2008].
CASELLAS i Serra, Lluís-Esteve. Archivística y nuevas tecnologías: consideraciones sobre terminología, conceptos y profesión. LIigall. Revista d'Arxivística Catalana, 1999, núm. 14 [En línea] <http://www.arxivers.com/idadmin/docs/14_02_art_cast-iNEp27S.pdf> [25MAR2008]
CAVALCANTI Mourao Crespo, Ángela María. Tecnología magneto-óptica y almacenamiento de la información documental: la utilización de los discos ópticos en la gestión electrónica de documentos. Tesis doctoral, Universidad Complutense de Madrid, 1996. [En línea] <http://www.ucm.es/eprints/1846/> [29NOV2006]
DÁVARA Rodríguez, Miguel Ángel. Manual de Derecho Informático. 8a Ed. Navarra: Aranzadi, 2006 508 p.
ECHENIQUE García, José Antonio. Auditoría en informática. 2a ed. México: McGraw-Hill, 2001: 300 p. :il.
FROSINI, Vittorio, Informática y Derecho, Bogotá: Temis S.A., 1988, 179 p.
GIANNANTONIO, Ettore, "El valor jurídico del documento electrónico", en: Informática y Derecho: Aportes de doctrina internacional, v. 1, Buenos Aires, Depalma, 1987, pp. 92 - 129
GÓMEZ Vaz, Manuel. "Auditoría de la ofimática" en: Auditoría informática: un enfoque práctico. Piattini, Mario G. coord. 2a Ed. México : Alfaomega : Ra-Ma, 2001, pp. 197 - 210
GONZÁLEZ Zubieta, José María. "Metodologías de control interno, seguridad y auditoría informática" en: Auditoría informática: un enfoque práctico. Piattini, Mario G. coord. 2a Ed. México : Alfaomega : Ra-Ma, 2001, pp. 45 - 91
GUTIÉRREZ del Solar y Bragado, Eduardo, La fe pública extranotarial, Madrid: Revista de Derecho Privado, 1982: 308 p.
HERRERA V., E. Liliana, "El nuevo sistema peruano de normalización", en: Calidad y excelencia -- Año 2, no. 8, pp. 50 - 51
JOVER i Padró, Josep. "Auditoría Jurídica de entornos informáticos" / Silvia Cabrera Vilaplana en Auditoría Informática: Un enfoque práctico. Piattini, Mario G. coord. 2a Ed. México: Alfaomega : Ra-Ma, 2001, pp. 483 - 506
MARTÍNEZ Sereno, Vicente. Integración de sistemas de Gestión Electrónica Documental en la empresa: evaluación de costes y metodología de implantación, FESABID 1998 [En línea] <http://fesabid98.florida-uni.es/Comunicaciones/v_martinez/v_martinez.htm> [27OCT2006]
MORANT Ramón, José Luis, Seguridad y protección de la información / Arturo Ribagorda Garnacho, Justo Sancho Rodríguez, Madrid: Centro de Estudios Ramón Areces, 1994, 388 p.
NÚÑEZ Ponce, Julio. La microforma digital. 2007 [En línea] <http://julionunezderechoinformatico.blogspot.com/2007_10_01_archive.html> [25MAR2008]
PALACIOS, Rosa María, "La normalización en el Perú", en: Calidad y excelencia -- Año 1, no. 1 (Abr.-may. 1994), pp. 35 - 37
PARDINI, Aníbal A., Derecho de Internet, Buenos Aires: La Rocca, 2002, 381 p.
PÉREZ Luño, Antonio-Enrique, Manual de informática y derecho, Barcelona: Ariel, 1996, 222 p.
PESO Navarro, Emilio del. "El marco jurídico de la auditoría informática" en: Auditoría informática: un enfoque práctico. Piattini, Mario G. coord. 2a Ed. México : Alfaomega : Ra-Ma, 2001, pp. 119 - 149
PINILLA, José Dagoberto. Auditoría informática: aplicaciones en producción. Bogotá: Ecoe, 1997: 238 p.
RAMOS Suarez, Fernando. Eficacia Jurídica de una Transacción Electrónica. La Figura del No Repudio. Revista de Derecho Informático 12. julio 1999 [En línea] <http://www.alfa-redi.org/rdi-articulo.shtml?x=300> [18MAR2008]
REAL ACADEMIA ESPAÑOLA, Diccionario de la lengua española, 22ª ed. [En línea] <http://www.rae.es/>
RIOFRÍO Martínez-Villalba, Juan Carlos. La prueba electrónica: estudio de derecho comparado, concordado con la doctrina, la legislación y la jurisprudencia de Colombia, México, Venezuela, Perú, Ecuador, Argentina, Uruguay y Brasil. Bogotá : Temis, 2004 213 p.
SÁNCHEZ Valriberas, Gloria. "Control interno y auditoría informática" en: Auditoría informática: un enfoque práctico. Piattini, Mario G. coord. 2a Ed. México : Alfaomega : Ra-Ma, 2001, pp. 25 - 44
THOMAS, A.J. Auditoría informática / I.J. Douglas, Madrid: Paraninfo, 1987: 214 p.
[i] BUSTELO, 2000 : 3
[ii] CAVALCANTI, 1996: 75
[iii] Conjunto redundante de discos económicos.
[iv] Association des Professionnels de la GEIDE Francia
[v] CAVALCANTI, 1996: 94-95
[vi] MARTÍNEZ, 1998 : Sec. 3
[vii] BROADHURST, R.; HENDLEY, T. Document management yearbook 1995. St. Albans:Cimtech, 1995. p. 6 citado por CAVALCANTI, 1996 : 95
[viii] Escribe una vez y lee siempre.
[ix] CARNELUTTI, Francesco. Sistema de derecho procesal civil, t. II, Buenos Aires, 1944, pág. 414; citado por RIOFRÍO, 2004 . 33
[x] PARDINI, 2002 : 216
[xi] ROUANET Moscardó, Javier. Valor probatorio procesal del documento informático. Congreso sobre Derecho Informático. Facultad de Derecho. Zaragoza. 1989. Pág. 116; citado por PESO, 2001 : 147
[xii] LEVIEN, Roger E. The Civilizing Currency: Documents and their revolutionary Technologies, 3"ed., Estados Unidos, Massachusetts Institute of Technology, 1991, pág. 206, citado por RIOFRÍO, 2004 : 34
[xiii] GIANNANTONIO, 1987 : 99
[xiv] VIGGIOLA, Lidia E., y Molina Quiroga, Eduardo, "Valor probatorio de los documentos emitidos por sistema informático", ponencia en el Congreso Internacional de Derechos y Garantías en el Siglo XXI, Buenos Aires, 28 al 30 de abril de 1999, Comisión 13: "Derecho y nuevas tecnologías", tema 13.4: "La desmaterialización del documento"; citado por PARDINI, 2002 : 218
[xv] GIANNANTONIO, 1987 : 98-99
[xvi] Ibídem : 96-97
[xvii] Décimo Cuarta Disposición Complementaria Final del Decreto Supremo 052-2008-PCM, reglamento de la Ley de Firmas y Certificados Digitales.
[xviii] Colaboradores de Wikipedia. Primitiva geométrica [en línea]. Wikipedia, La enciclopedia libre, 2008 [fecha de consulta: 31 de octubre del 2008]. Disponible en <http://es.wikipedia.org/w/index.php?title=Primitiva_geom%C3%A9trica&oldid=21388558>.
[xix] DAVARA, 2006: 444
[xx] Ibídem : 446
[xxi] GIANNANTONIO, 1987 : 111-113
[xxii] Término traducido del inglés non repudiation
[xxiii] RAMOS, 1999
[xxiv] RIOFRÍO, 2004 : 114
[xxv] GAETE González, Eugenio Alberto. Instrumento público electrónico, Barcelona, Bosch Casa Editorial, 2000, pág. 90 citado en RIOFRÍO, 2004 : 126.
[xxvi] Ibídem.
[xxvii] DAVARA, 2006 : 439-440
[xxviii] Ibídem : 466
[xxix] BADELL, 1995
[xxx] Ibídem.
[xxxi] NÚÑEZ, 2007
[xxxii] GUTIÉRREZ, 1982 : 2
[xxxiii] CABANELLAS, Guillermo. Diccionario de Derecho Usual, Buenos Aires, Ed. Argentina, 1976 citado por RIOFRÍO, 2004 : 186
[xxxiv] NTP 392.030-2; 2005 : 4.16
[xxxv] Ibídem : 4.15
[xxxvi] RAE; en línea
[xxxvii] NTP 392.030-2; 2005 : 6.6.3
[xxxviii] Cuadernos de bitácora
[xxxix] Pistas de auditoría
[xl] Comisión Nacional Supervisora de Empresas y Valores
[xli] Enron Corporation fue una empresa de energía que empleaba cerca de 21.000 personas antes de su quiebra. Una serie de técnicas contables fraudulentas, apoyadas por su empresa auditora, la entonces prestigiosa Arthur Andersen, permitieron a esta empresa estar considerada como la séptima empresa de los Estados Unidos y se convirtió en el más grande fraude empresarial de la historia y en el arquetipo de fraude empresarial planificado. Colaboradores de Wikipedia. Enron [en línea]. Wikipedia, La enciclopedia libre, 2008 [fecha de consulta: 2 de diciembre del 2008]. Disponible en <http://es.wikipedia.org/w/index.php?title=Enron&oldid=22189986>.
[xlii] SÁNCHEZ, 2001: 30
[xliii] PINILLA, 1997: 2
[xliv] Íbid.: 4
[xlv] SÁNCHEZ, 2001: 31
[xlvi] PINILLA, 1997: 7
[xlvii] SÁNCHEZ, 2001: 28
[xlviii] GONZÁLEZ, 2001: 48
[xlix] THOMAS, 1987: 117-118
[l] Ibídem: 27
[li] Ibídem : 54-55
[lii] NTP ISO/IEC 17799; 2007 : 10.1.3
[liii] THOMAS, 1987 : 59
[liv] Ibídem : 61
[lv] SÁNCHEZ, 2001: 38
- Se logue para poder enviar comentários
- 2651 leituras