Nuevo Relgmto LOPD (II): Medidas de Nivel Básico

Continuando con el prometido examen del Nuevo Reglamento en esta entrada intentaremos analizar las diferencias que se establecen en cuanto a las medidas de nivel básico que se recogían en el Real Decreto 994/1999, de 11 de junio (y que llamaremos RD anterior) frente a las que vienen indicadas en el nuevo Reglamento aprobado por Real Decreto 1720/2007, de 21 diciembre (y que llamaremos RD nuevo).

Llamo la atención acerca de que, como abogado, solamente me preocuparé a la hora de auditar un sistema o de comprobar la implantación de tales medidas, de que en la organización se hayan cumplido tales obligaciones y de que se haya procurado implantar el procedimiento correspondiente (o su forma más aproximada) y se haya reflejado en el documento de seguridad. Ahora bien, los aspectos técnicos de la cuestión requieren la activa participación de los técnicos, tanto en la recomendación como en la fijación e instalación de las soluciones informáticas más adecuadas a cada situación. No es labor del abogado, ni del auditor “jurídico” abordar tal cuestión. Por ello, desde aquí, pido disculpas in advance por los errores de tipo técnico-informático que se puedan cometer.

Como punto de partido indiquemos que, como todos sabéis, las medidas de carácter básico se aplican a todos los ficheros que contengan datos de carácter personal  (artículo 81.1 RD nuevo), esto es, soportes físicos que contengan datos de carácter personal, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado con las exclusiones recogidas en los artículos 2 a 4 RD nuevo. Lo primero que llama la atención es la distribución sistemática de las medidas aplicables a los ficheros, más organizada y estructurada en el RD nuevo que en el RD anterior. Ahora, se enumeran una serie de cuestiones de aplicación general (documento de seguridad, ficheros temporales, etc.) para luego agrupar separadamente las medidas correspondientes a cada tipo con carácter incremental (básicas, arts. 89 a 94; medias, arts. 95 a 100; nivel alto, arts. 101 a 104): esto es a los ficheros de nivel medio se aplican las medidas Básico+ Medio y  las de nivel alto las medidas Básico+Medio+Alto. En el RD anterior se pasaba directamente a la agrupación por niveles, de forma poco sistemática e incluyendo, por ejemplo, la regulación del documento de seguridad entre las medidas de nivel básico. 

a) Funciones y Obligaciones del Personal (art. 9 RD anterior y art. 89 RD nuevo). El personal pasa a denominarse “usuario” con acceso a los datos de carácter personal y a los sistemas, debiendo regularse las funciones y obligaciones de cada uno de ellos en el documento de seguridad. Se añade la necesidad de definir en el Documento las funciones de control y autorizaciones otorgadas por el responsable del fichero (o tratamiento) a los usuarios. Asimismo se añade novedosamente que, tanto las funciones como las normas de seguridad como las consecuencias de los incumplimientos a las normas deben ser comprensibles para todos los usuarios del sistema. 

b) Registro de incidencias (art. 10 RD anterior y 90 RD nuevo).Se mantiene de manera similar: debe existir un procedimiento notificación y gestión de las incidencias, así como un registro donde conste: el tipo de incidencia, el momento en que se ha producido, “o en su caso, detectado”, la persona que realiza la notificación, a quién se le comunica, los efectos que se hubieran derivado de la misma y “las medidas correctoras aplicadas”.Entre comillas, las novedades del RD nuevo. 

c) Identificación y autenticación (art. 11 RD anterior y art. 93 RD nuevo).Debe existir un sistema de acceso al fichero que permita la identificación y autenticación de los usuarios del mismo. Aunque presupuesto en el RD anterior, el RD nuevo ya establece la responsabilidad del responsable del fichero (o tratamiento) en esta cuestión. Asimismo ese procedimiento se supone que debe garantizar la actualización de tales medidas, de manera que sólo tengan acceso los usuarios que, en cada momento, tenga acceso (no anteriores usuarios).“El responsable del fichero o tratamiento establecerá un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado” (art. 93.2 RD nuevo).Una novedad importante es que mientras en el RD anterior no se decía nada específico al respecto, en el RD nuevo se establece que una periodicidad máxima de un año para el cambio de contraseñas de acceso. Esto implica la necesidad de recoger en el documento de seguridad un procedimiento para el cambio de contraseñas, periodicidad y forma de controlar que efectivamente se lleva a cabo. Este procedimiento debe garantizar la confidencialidad e integridad de las contraseñas y debe recoger el método de asignación a cada usuario, distribución de las contraseñas y forma de almacenamiento, por los usuarios y por el responsable.  

d) Control de acceso (art. 12 RD anterior y 91 RD nuevo).Íntimamente relacionado con la formas de identificación y autenticación en el sistema, el Control de acceso se mantiene básicamente con la misma estructura que en el RD anterior, basado por otra parte en el sentido común, que podemos resumir de la siguiente manera:

•           Los usuarios sólo deben poder acceder a los recursos que necesiten para su actividad.

•           Un usuario no autorizado no puede acceder a recursos para los que no esté autorizado.

•           Para lograr lo anterior, debe existir y actualizarse continuamente una relación de usuarios y sus correspondientes niveles de acceso.

•           Sólo determinados usuarios (podemos denominarlos administradores) deben poder conceder, alterar o anular el acceso autorizado sobre los recursos.

La novedad más relevante se refiere a la posibilidad de que exista personal ajeno al responsable del fichero y que pueda tener acceso a los recursos. En este caso, ese personal ajeno queda sometido al documento de seguridad (con sus funciones, obligaciones, directivas, etc.) como si fuera personal interno. Los documentos de seguridad, por tanto, deberán prever la existencia de personal ajeno (pensemos en subcontratas de la actividad, colaboradores externos, etc.) para, de esta manera, fijar las pautas de su actuación. Parejo a lo anterior, resulta la obligación de informar y formar al personal ajeno en las obligaciones derivadas de la política de protección de datos de la empresa principal. 

e) Gestión de Soportes (y documentos) (art. 13 RD anterior y RD 92 RD nuevo).Manteniendo las normas del RD anterior (necesidad de identificación de la información contenida en  los soportes a los efectos de inventario y almacenamiento, con acceso a los mismos restringido sólo al personal autorizado; salida de soportes que requiere autorización previa del responsable) se añaden interesantes especificaciones novedades.Así, por ejemplo, se requiere implantar un sistema de etiquetado de soportes (cuando contengan datos de carácter personal especialmente sensibles para la empresa y a criterio de ésta) que permita a los usuarios autorizados de la misma identificarlos pero que dificulten la identificación para el resto de personas.Del mero “soporte” se amplían tales obligaciones a todos los “documentos” (recordemos la ampliación a tratamientos automatizados y no automatizados), incluyendo los ficheros que pueden anexarse o adjuntarse con un correo electrónico. Se acabó el mandar archivos adjuntos sin control. Ahora debe autorizarse su envío, amén de estar inventariado y protegido en su acceso y uso sólo a los usuarios autorizados.En el caso de salida de tales soportes y documentos se deben implantar medidas dirigidas a evitar la sustracción, pérdida o acceso indebido a la información durante su transporte (lo cual nos llevará a utilizar mecanismos de cifrado, ocultación, de garantía de su integridad, etc). Asimismo, se impone la destrucción o borrado de los documentos o soportes desechados, de manera que se evite su recuperación posterior (el formateo de Windows tiene los días contados). 

f) Copias de respaldo y recuperación (art. 14 RD anterior y 94 RD nuevo).Se mantiene el período mínimo semanal para realizar las copias de seguridad “salvo que en dicho período no se hubiera producido ninguna actualización de los datos”. Igualmente se mantiene la necesidad de adoptar un sistema de recuperación de  datos que garanticen en todo momento su reconstrucción en el estado en que se encontraban al tiempo de producirse la pérdida o destrucción, lo cual sigue planteando cuestiones técnicas muy complejas que van a imposibilitar que el backup se haga únicamente una vez a la semana. Por eso, ahora se aclara que “Únicamente, en el caso de que la pérdida o destrucción afectase a ficheros o tratamientos parcialmente automatizados, y siempre que la existencia de documentación permita alcanzar el objetivo al que se refiere el párrafo anterior, se deberá proceder a grabar manualmente los datos quedando constancia motivada de este hecho en el documento de seguridad”.Por lo demás, se deberá realizar, al menos, semestralmente una revisión del procedimiento de respaldo y recuperación existente. Y se prohíben las pruebas del sistema “en paralelo” con datos reales si el sistema de prueba no puede garantizar un nivel de seguridad equivalente al del tratamiento y, en todo caso, después de haber garantizado la supervivencia de los datos a utilizar mediante la realización de su propia copia de seguridad.  

En general, el RD nuevo se preocupa de ir a un nivel de detalle superior al de su predecesor pero no aporta un excesivo número de novedades significativas frente a aquél. La mejor estructuración de los contenidos y el mayor especificación de las medidas y su alcance, sin duda, contribuirán a normalizar los procedimientos existentes a día de hoy. 

Publicado el 08.02.2008 en ICTNET.

La Sentencia del TSJE sobre las “Telefónicas”

La aireada Sentencia del Tribunal de Justicia de la Unión Europea de 29 de enero de 2008 resuelve una cuestión de gran interés sobre el alcance de las obligaciones de los proveedores de servicios de acceso a internet en cuanto a la retención de datos de tráficos de ese servicio y su puesta a disposición a terceros en determinados casos.

Quizás sea bueno que conozcamos los antecedentes de la decisión para valorar, si de verdad, la Sentencia dictada tiene la trascendencia que se le ha atribuido por la prensa y, en general, por los defensores de la “libertad” informática. Por ello conviene señalar que, hasta llegar a la conocida Sentencia, se ha recorrido un camino que parte de las siguientes antecedentes de obligado conocimiento. Este embrollo lo inicia PROMUSICAE una asociación (definida casi como una ONG por parte de la misma Sentencia) en la órbita de los productores musicales y audiovisuales y los sus editores correspondientes. A finales del año 2005, esa Asociación presentó ante los Juzgados de lo Mercantil de Madrid lo que podríamos denominar una demanda preparatoria contra una serie de internautas que, supuestamente, se valían de la ADSL que tenían contratada con TELEFÓNICA para sacarle el “máximo rendimiento” a los programas P2P, en concreto el KaZaA, afirmándose por esa Asociación que esas personas: “(…) permiten el acceso, en una carpeta compartida de su ordenador personal, a fonogramas cuyos derechos patrimoniales de explotación corresponden a los asociados de Promusicae…”. Importante es señalar que la demanda preparatoria que se plantea lo es en el ámbito del ordenamiento civil y no en el penal (habida cuenta del carácter no delictivo que en el derecho penal español tienen las actividades de intercambio de archivos protegidos por derechos de autor a través de Internet). 

El problema radicaba en que PROMUSICAE no sabía quiénes eran esos malvados internautas (a partir de ahora los denominaremos cariñosamente, “piratillas”). Para poder averiguarlo, PROMUSICAE necesitaba que TELEFÓNICA, como proveedora de los servicios de acceso a Internet de esos piratillas revelara la identidad y la dirección de aquéllos, a través de la identificación de su dirección «IP» y la fecha y hora de conexión, fundamentando tal petición en que tales personas estaban cometiendo actos de competencia desleal y vulneran los derechos de propiedad intelectual. Por consiguiente, solicitó que se le facilitase la información referida para poder ejercitar contra los interesados las correspondientes acciones civiles.  Por lo tanto, tiene que quedar claro que la demanda preparatoria, aunque instrumentalmente dirigida contra TELEFONICA, estaba destinada a convertirse en una serie de demandas contra cada uno de los piratillas que se dedicaban a descargar (y compartir) músicas, películas, documentales y, en general, soportes informáticos cuyos derechos de autor pertenecían a asociados de PROMUSICAE.  

La cuestión es que, sin negar lo obvio (que dispone de esos datos), TELEFONICA se opuso a dar tales datos, argumentando entre otras cosas que, conforme a la LSSI, la comunicación de los datos solicitados sólo estaba autorizada en el marco de una investigación criminal o para la salvaguardia de la seguridad pública y de la defensa nacional y, por lo tanto, tales datos almacenados como consecuencia de las obligaciones impuestas por la propia LSSI no podían ser entregados en el marco de un procedimiento civil o como medida preparatoria de un procedimiento civil. Esta declaración se basa en el contenido del artículo 12 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico que dice expresamente:

«1.      Los operadores de redes y servicios de comunicaciones electrónicas, los proveedores de acceso a redes de telecomunicaciones y los prestadores de servicios de alojamiento de datos deberán retener los datos de conexión y tráfico generados por las comunicaciones establecidas durante la prestación de un servicio de la sociedad de la información por un período máximo de doce meses, en los términos establecidos en este artículo y en su normativa de desarrollo.

2.      […] Los operadores de redes y servicios de comunicaciones electrónicas y los prestadores de servicios a que se refiere este artículo no podrán utilizar los datos retenidos para fines distintos de los indicados en el apartado siguiente u otros que estén permitidos por la Ley, y deberán adoptar medidas de seguridad apropiadas para evitar su pérdida o alteración y el acceso no autorizado a los mismos.

3.      Los datos se conservarán para su utilización en el marco de una investigación criminal o para la salvaguardia de la seguridad pública y la defensa nacional, poniéndose a disposición de los Jueces o Tribunales o del Ministerio Fiscal que así los requieran. La comunicación de estos datos a las Fuerzas y Cuerpos de Seguridad se hará con sujeción a lo dispuesto en la normativa sobre protección de datos personales“.

A la vista del embrollo que se avecinaba, el Juzgado de lo Mercantil decidió plantear al Tribunal de Justicia la cuestión prejudicial que ahora ha resuelto el Tribunal Europeo. Para los no “jurídicos” hay que indicar que este tipo de cuestiones son planteadas por los órganos judiciales nacionales cuando entienden que una norma nacional puede ser contraria a una norma comunitaria. Así las cosas, el Tribunal Europeo determina si hay o no conflicto y, en este caso, cómo debe interpretarse la legislación nacional para que sea conforme a la europea. La Sentencia que se dicta por el Tribunal Europeo en estos casos es vinculante.La cuestión concreta que se plantea por parte del Juzgado de lo mercantil es la siguiente:

«El Derecho comunitario (…) permite  a los Estados miembros restringir al marco de una investigación criminal o para la salvaguardia de la seguridad pública y de la defensa nacional, con exclusión, por tanto, de los procesos civiles, el deber de retención y puesta a disposición de datos de conexión y tráfico generados por las comunicaciones establecidas durante la prestación de un servicio de la sociedad de la información, que recae sobre los operadores de redes y servicios de comunicaciones electrónicas, proveedores de acceso a redes de telecomunicaciones y los prestadores de servicios de alojamientos de datos?».

Es decir, si en el ámbito de un procedimiento judicial no previsto por la norma (sólo se prevé en el marco de los procedimiento penales y cuando pueda afectar a cuestiones de seguridad o defensa nacional) se puede obligar al proveedor de servicios a entregar tales datos con el único objeto de garantizar una protección efectiva de los derechos de autor. En la resolución del procedimiento se mezclan numerosas normas (internacionales, comunitarias y españolas. Para los interesados, podemos señalar el Acuerdo (Internacional) sobre los aspectos de los derechos de propiedad intelectual relacionados con el comercio de 1994 (Acuerdo ADPIC); respecto a la Directivas relativas a la sociedad de la información y a la protección de la propiedad intelectual, en particular, de los derechos de autor (Directivas comunitarias nº 2000/31; 2001/29 y 2004/48) y, finalmente, la Directiva 95/46/CE relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y la Directiva 2002/58/CE, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas. 

Se mezclan, por lo tanto, en el presente procedimiento un batiburrillo de normas relativas a la protección de los derechos de autor, la protección de datos de carácter personal, las obligaciones de los proveedores de servicios en el ámbito de la sociedad de la información y las obligaciones de los estados miembros de garantizar el adecuado equilibrio de todo ello. “Sin embargo, es importante constatar que en la situación controvertida, respecto de la cual el órgano jurisdiccional remitente plantea esta cuestión, interviene, además de los dos derechos mencionados, otro derecho fundamental, a saber, el que garantiza la protección de los datos personales y, en consecuencia, de la intimidad”.

De esta forma, la presente petición de decisión prejudicial plantea la cuestión de la necesaria conciliación de las exigencias relacionadas con la protección de distintos derechos fundamentales, a saber, por una parte, el derecho al respeto de la intimidad y, por otra parte, los derechos a la protección de la propiedad y a la tutela judicial efectiva. “Los mecanismos que permiten encontrar un justo equilibrio entre estos diferentes derechos e intereses se encuentran, por un lado, en la propia Directiva 2002/58, ya que establece normas que determinan en qué situaciones y en qué medida es lícito el tratamiento de datos personales y cuál es la tutela que debe dispensarse, y en las tres Directivas mencionadas por el órgano jurisdiccional remitente, que exceptúan el supuesto en que las medidas adoptadas para proteger los derechos que regulan afecten a la protección de los datos personales. Por otro lado, estos mecanismos deben resultar de la adopción, por parte de los Estados miembros, de disposiciones nacionales que garanticen la adaptación del Derecho interno a estas Directivas y de la aplicación de las citadas disposiciones por las autoridades nacionales”.

A la vista del conjunto de normas estudiadas y del caso concreto planteado, la Gran Sala del Tribunal Europeo afirma que no se puede imponer a los estados la obligación de permitir que los datos relativos a comunicaciones electrónicas sean entregados en el marco de procedimientos ajenos a los expresamente recogidos en las propias normas (esto es, procesos penales y los que afecten a la seguridad pública y a la defensa nacional), en los casos en que estén en juegos otros derechos fundamentales del derecho comunitario como el derecho a la intimidad y a la protección de datos. Por lo cual, la petición de los datos de movimientos de sus usuarios almacenados por TELEFONICA no pueden ser objeto de una reclamación judicial civil por parte de una Asociación como PROMUSICAE para garantizar unos teóricos derechos de autor, prevaleciendo el derecho a la intimidad de los piratillas.  

Finaliza la Sentencia con una afirmación muy de este Tribunal en el sentido de indicar que “en el momento de aplicar las medidas de adaptación del ordenamiento jurídico interno a dichas Directivas, corresponde a las autoridades y a los órganos jurisdiccionales de los Estados miembros no sólo interpretar su Derecho nacional de conformidad con estas mismas Directivas, sino también no basarse en una interpretación de éstas que entre en conflicto con dichos derechos fundamentales o con los demás principios generales del Derecho comunitario, como el principio de proporcionalidad”. 

Esto ¿qué quiere decir? Que deben ser los propios estados los que, en el marco de las directivas citadas que son de carácter generalista, las adapten a las peculiaridades internadas propias, valorando todos los derechos en juego y utilizando un criterio de proporcionalidad a la hora de convertirlas en normas internas. Por ahora, los piratillas están a salvo. 

Publicado en ICTNET.

Sobre los SLA (service level agreement)

Hace unas semanas, HISPASEC publicaba en una de sus “píldoras” diarias unas reflexiones relativas a la eficacia de los servicios anti-phishing y a su capacidad para reaccionar a tiempo, teniendo en cuenta que en este tipo de fraudes por phishing las primeras horas son cruciales y concentran el mayor porcentaje de las visitas y estafas.  Esta página se preguntaba, a la vista de un informe elaborado por Symantec al respecto, lo siguiente: 

“(…) Durante las 6 primeras horas del ataque se llegarían a concentrar el 51,6% de las visitas, entre las 6 y 12 horas aumenta un 10,7%, entre las 12 y 24 horas se suma un 13%, y el 24,6% de las visitas restantes se suceden transcurridas las primeras 24 horas.

Estos datos dejan en entredicho la efectividad de los servicios  antiphishing reactivos que mantienen medias superiores a las 12 horas de cierre, ya que no evitarían la mayoría de las visitas y por tanto la rentabilidad del ataque. Esto explica en parte que, pese a la inversión en este tipo de servicios, los ataques a ciertas entidades sigan siendo periódicos.

Desde el punto de vista del atacante, un servicio antiphishing de una entidad que cierre en el menor tiempo posible repercutiría negativamente en su negocio, y por tanto es de preveer que migrara sus ataques a otras entidades que no entorpecieran tanto el fraude. Por ello la velocidad en el cierre de las infraestructuras de phishing es crucial en la prevención, tanto por los casos puntuales, como por estrategia a medio plazo que conlleve una disminución en los ataques a una entidad al dejar de ser un objetivo rentable.

¿Deberían las entidades exigir tiempos de reacción a los servicios antiphishing?”

La cuestión es que si contratas y pagas un servicio anti-phishing para ti o para tu empresa que no garantiza un porcentaje alto de éxito en las primeras horas del ataque, ¿para qué sirve ese contrato? Esta reflexión se podría extender a cualquier otra forma de contratación.

 

La lectura de este informe me ha llevado a pensar en los S.L.A. y en la necesidad de generalizar estas prácticas en los supuestos de contrataciones electrónicas. Como sabéis, en su acepción más sencilla pero, a la vez, más clara, los S.L.A. o Service Level Agreement (o Acuerdos de Nivel de Servicio) constituyen, más que un acuerdo entre partes, un compromiso que una empresa de telecomunicaciones ofrece a un cliente (real o potencial) sobre el propio Servicio. Por mejor decir, en ese S.L.A. se recogen los estándares de calidad y cantidad, la responsabilidad, las garantías de continuidad del servicio, los tiempos de respuesta ante averías o incidencias, etc. que la empresa oferente garantiza frente al cliente en todo momento. Los S.L.A. acompañan (complementando) al articulado del contrato, así como a las condiciones generales y supone, fundamentalmente, la caracterización técnica de los mínimos en que el servicio se va a prestar en todo caso.

Es un “uso” de raigambre claramente anglosajona, aunque empiezan a verse cada más ejemplos de esta práctica en nuestro país. La introducción de los S.L.A. en las contrataciones informáticas y de telecomunicaciones es una vieja aspiración de los estudiosos de la materia y, también, de los abogados especializados en la defensa de los consumidores. No se deben confundir con los S.L.S. (Service Level Specification, de carácter más técnico y no contractual) o S.L.O. (Service Level Objetive, como derivación de la anterior).

Una vez realizada la oferta de S.L.A. y, conocida por el cliente, ésta pasa a ser una obligación para la empresa y un derecho del usuario que, en todo momento, puede reclamar su cumplimiento.  Si pasamos de la teoría a la práctica, en España podemos observar la inexistencia de este tipo de Acuerdos en la práctica totalidad de los contratos que los usuarios finales tienen que firmar para recibir algún servicio de telecomunicaciones. El mejor ejemplo puede ser el de la ADSL en el que se te dice hasta qué velocidad has contratado (que nunca se alcanza, ni de subida ni de bajada) pero no te garantiza qué velocidad mínima vas a tener en todo momento o no te ofrece una plazo de respuesta del servicio técnico (a nos ser pagues un complemento para ello) o no te ofrece una alternativa por si te quedas sin servicio (por ejemplo, una conexión RTB gratuita para estos supuestos y durante el plazo en que el servicio no funcione o no lo haga en las condiciones pactadas). 

Si nos vamos a un “nivel superior” que podemos denominar el relativo a los “grandes clientes” o las “grandes cuentas” en las que el consumidor-empresa tiene mayor poder económico y, por ello, mejor capacidad de negociación las cosas cambian y, desde hace algún tiempo, venimos negociando la introducción de una cláusulas mínimas que, en definitiva, constituyen un S.L.A. En la reciente negociación de un contrato entre una operador de telecomunicaciones y una empresa para “the provisioning of telecommunications services, as well as the installation, leasing, and maintenance service for the equipment associated with a content broadcasting platform” se fijó un clausulado de S.L.A. con la siguiente introducción: 

“This Agreement describes the target performance levels which “operador de comunicaciones” aims to deliver for the Project, “empresa” procedures for managing unavailability of the Services, and the penalties which will be applied if “operador de comunicaciones” fails to deliver “empresa” to the stated service performance targets in accordance with this Agreement”.

En pocas hojas, os aseguro que menos de 10 , es posible fijar todos los parámetros de respuesta de la operadora de telecomunicaciones por el servicio contratado: parametrización del servicio, auditoría del servicio, informes de servicio, fallos del servicio (donde se recoge algo tan difícil de definir como qué se consideran fallos), respuesta a los fallos (servicio técnico, tiempos de respuesta en función del tipo de fallo, reparación o arreglo de los fallos, etc.), garantías, responsabilidades por el fallo y consecuencias. Jurídicamente, se ha sostenido en ocasiones que el Acuerdo de Nivel de Servicio existe de manera implícita en la prestación de todo tipo de servicios de telecomunicaciones, con independencia de que exista o no por escrita.Desde este punto de vista constituiría una obligación mínima del proveedor de servicios por debajo del cual no podría exigir la retribución pactada al usuario e incluso éste estaría capacitado para rescindir el contrato y exigir una indemnización por daños. Soy un firme defensor de esta teoría.

Publicado en ICNET