Desarrollo web y Derecho Informático

Sitios web: enfoque jurídico y técnico

Arquitectura, lenguajes, herramientas de diseño y administración, seguridad, accesibilidad, protección de datos, comercio electrónico, propiedad intelectual y responsabilidad jurídica en Uruguay.

1. Introducción

Un sitio web no es solamente una pieza gráfica publicada en Internet. Es una infraestructura tecnológica capaz de comunicar información, recopilar datos, celebrar contratos, generar prueba, procesar pagos y producir responsabilidad jurídica.

Un sitio web es un conjunto organizado de páginas, archivos, bases de datos, programas y servicios accesibles mediante Internet, normalmente a través de un nombre de dominio. Puede cumplir funciones meramente informativas, pero también puede utilizarse para vender productos, contratar servicios, recibir pagos, recopilar datos personales, autenticar usuarios, emitir documentos, prestar servicios profesionales o gestionar trámites.

Desde el punto de vista técnico, un sitio web es un sistema informático compuesto por distintas capas: interfaz visual, código de programación, servidor, base de datos, servicios externos, infraestructura de alojamiento y mecanismos de seguridad.

Desde el punto de vista jurídico, el sitio puede convertirse en:

  • un medio de publicidad;
  • una plataforma de contratación;
  • una base de datos personales;
  • un canal de atención al consumidor;
  • un instrumento de prueba;
  • una obra protegida por derechos de autor;
  • una infraestructura susceptible de ataques informáticos;
  • una fuente de responsabilidad civil, administrativa, contractual o penal.

Por esa razón, el diseño de un sitio web no debería separarse de su análisis jurídico. Las decisiones técnicas —qué datos se recopilan, dónde se almacenan, qué cookies se instalan, qué proveedor de alojamiento se contrata o qué registros se conservan— pueden producir consecuencias legales concretas.

2. Página web, sitio web, portal y aplicación web

2.1. Página web

Es un documento individual interpretado por un navegador. Puede ser una portada, una página de contacto, un artículo, una ficha de producto o una política de privacidad.

2.2. Sitio web

Es el conjunto organizado de páginas y recursos vinculados bajo un mismo dominio o una estructura de dominios.

2.3. Portal web

Organiza grandes cantidades de contenidos o servicios y funciona como punto de acceso a distintas áreas, como ocurre con portales estatales, universitarios, empresariales o periodísticos.

2.4. Aplicación web

Permite ejecutar operaciones complejas: crear cuentas, cargar documentos, realizar pagos, reservar turnos, consultar expedientes o administrar bases de datos.

La diferencia entre un sitio y una aplicación web no siempre es absoluta. Un mismo proyecto puede incluir páginas informativas y, al mismo tiempo, funciones propias de una aplicación.

3. Cómo funciona técnicamente un sitio web

Usuario
   ↓
Navegador
   ↓
Sistema DNS
   ↓
Conexión HTTPS
   ↓
Servidor o CDN
   ↓
Aplicación web
   ↓
Base de datos y servicios externos

3.1. El navegador

El usuario accede mediante un navegador como Chrome, Firefox, Edge o Safari. El navegador interpreta los archivos recibidos y construye la página visible.

  • HTML: define la estructura y el significado del contenido.
  • CSS: controla la presentación visual.
  • JavaScript: incorpora interacción y lógica ejecutada en el navegador.

3.2. El nombre de dominio y el DNS

El dominio es la dirección legible para las personas. El sistema DNS traduce ese nombre a una dirección IP que permite localizar la infraestructura correspondiente.

https://www.ejemplo.com/
https://www.ejemplo.com/articulos/
https://www.ejemplo.com/contacto/
https://www.ejemplo.com/privacidad/

El dominio no contiene necesariamente el sitio: funciona como una dirección lógica que conduce hacia el servidor o servicio donde se encuentra alojado.

3.3. El servidor web

El servidor recibe solicitudes y devuelve archivos, documentos, imágenes, videos o contenidos generados dinámicamente. Entre los servidores web conocidos se encuentran Apache, Nginx, LiteSpeed y Microsoft IIS.

3.4. HTTP y HTTPS

HTTP es el protocolo de intercambio de información entre navegador y servidor. HTTPS incorpora cifrado mediante TLS y permite proteger la comunicación en tránsito.

Importante: HTTPS no demuestra que el sitio sea legítimo, que su contenido sea verdadero ni que la aplicación carezca de vulnerabilidades. Protege principalmente la comunicación entre el navegador y el servidor.

3.5. El backend

El backend es la parte que se ejecuta en el servidor. Puede autenticar usuarios, procesar formularios, realizar cálculos, consultar bases de datos, generar documentos, enviar correos o conectarse con sistemas de pago.

Entre los lenguajes empleados se encuentran:

  • PHP;
  • Python;
  • Java;
  • C#;
  • JavaScript o TypeScript mediante Node.js;
  • Go;
  • Ruby;
  • Rust;
  • C++ en sistemas específicos de alto rendimiento.

3.6. Bases de datos

Las bases de datos almacenan información como usuarios, clientes, artículos, pedidos, pagos, documentos y registros de actividad.

Sistema Tipo o uso frecuente
PostgreSQL Base relacional robusta, adecuada para aplicaciones complejas.
MySQL / MariaDB Uso extendido en hosting y sistemas de gestión de contenidos.
Microsoft SQL Server Integración frecuente con entornos empresariales Microsoft.
SQLite Base liviana incorporada en aplicaciones pequeñas o locales.
MongoDB Base documental orientada a estructuras flexibles.
Redis Caché, sesiones y almacenamiento temporal de alta velocidad.

La base de datos no debería exponerse directamente a Internet salvo que exista una necesidad técnica concreta y se adopten controles estrictos.

3.7. APIs y servicios externos

Una API permite que dos sistemas intercambien información. Puede utilizarse para pagos, mapas, mensajería, inteligencia artificial, autenticación, analítica o conexión con redes sociales.

4. Tipos de sitios web

4.1. Sitios estáticos

Están formados principalmente por archivos HTML, CSS y JavaScript que se entregan directamente al navegador.

Ventajas

  • simplicidad;
  • velocidad;
  • menor superficie de ataque;
  • bajo consumo de recursos;
  • copias completas sencillas;
  • menor mantenimiento del servidor.

Limitaciones

  • actualización menos cómoda para usuarios no técnicos;
  • menor administración editorial;
  • más programación para incorporar funciones complejas.

4.2. Sitios dinámicos

Generan contenidos mediante programación del lado del servidor y bases de datos. Permiten cuentas, formularios complejos, búsquedas, comercio electrónico y áreas privadas, pero requieren más mantenimiento y seguridad.

4.3. Sistemas de gestión de contenidos

Un CMS permite administrar publicaciones mediante un panel. Ejemplos: WordPress, Drupal, Joomla, Ghost y TYPO3.

La extensibilidad de un CMS mediante temas y complementos facilita el desarrollo, pero puede aumentar el riesgo cuando se instalan componentes vulnerables, abandonados o de origen desconocido.

4.4. Constructores visuales y no-code

Plataformas como Google Sites, Wix, Squarespace o Webflow permiten diseñar páginas con poca o ninguna programación.

Sus posibles limitaciones incluyen:

  • dependencia del proveedor;
  • menor control del código;
  • dificultades de migración;
  • costos recurrentes;
  • restricciones de seguridad o rendimiento;
  • bloqueo tecnológico o vendor lock-in.

4.5. Aplicaciones desarrolladas a medida

Se programan para necesidades específicas. Ofrecen mayor control, pero requieren definir requerimientos, propiedad del código, documentación, pruebas, mantenimiento, seguridad y continuidad.

5. Herramientas para diseñar un sitio web

5.1. Planificación

Antes de programar conviene definir:

  • finalidad y público destinatario;
  • mapa de contenidos;
  • funciones principales;
  • datos personales que se recopilarán;
  • perfiles de usuarios;
  • riesgos jurídicos;
  • presupuesto y responsables.

5.2. Diseño visual

Figma, Penpot, Sketch, Canva, GIMP, Inkscape, Photoshop e Illustrator.

5.3. Editores y entornos

Visual Studio Code, Visual Studio, WebStorm, IntelliJ IDEA, PyCharm, Sublime Text, Notepad++, Vim y Neovim.

5.4. Control de versiones

Git, junto con GitHub, GitLab, Bitbucket o servidores propios.

5.5. Pruebas

Herramientas de desarrollo del navegador, Lighthouse, validadores, pruebas automatizadas, pruebas de carga y analizadores de accesibilidad.

6. Diseño adaptable y experiencia del usuario

Un sitio responsive reorganiza sus elementos según el tamaño de la pantalla. Debe analizarse la legibilidad, el tamaño de los botones, la navegación táctil, los formularios, las tablas y el rendimiento en conexiones móviles.

La experiencia del usuario también tiene dimensión jurídica. Una interfaz confusa puede inducir a error, ocultar información relevante o dificultar el ejercicio de derechos.

Patrones oscuros o dark patterns

  • destacar desproporcionadamente la aceptación de cookies;
  • ocultar o dificultar su rechazo;
  • complicar la cancelación de una suscripción;
  • agregar productos sin decisión clara;
  • mostrar costos únicamente al final;
  • utilizar casillas premarcadas;
  • presentar una opción perjudicial como obligatoria.

7. Accesibilidad web

La accesibilidad busca que las personas con discapacidades puedan percibir, comprender, navegar e interactuar con el sitio.

Las pautas WCAG se organizan sobre cuatro principios: el contenido debe ser perceptible, operable, comprensible y robusto.

  • proporcionar textos alternativos;
  • permitir navegación por teclado;
  • mantener contraste suficiente;
  • identificar títulos y secciones correctamente;
  • asociar etiquetas con campos de formulario;
  • no depender exclusivamente del color;
  • incorporar subtítulos en contenidos audiovisuales;
  • anunciar adecuadamente los errores;
  • mantener un orden lógico del foco.

8. Administración de un sitio web

8.1. Dominio

Debe controlarse:

  • titular registral;
  • correo de recuperación;
  • autenticación multifactor;
  • renovación automática;
  • servidores DNS;
  • subdominios;
  • certificados;
  • personas autorizadas.
El dominio debería registrarse a nombre de la persona u organización jurídicamente interesada, no exclusivamente a nombre del diseñador, programador, agencia o empleado.

8.2. Alojamiento

El alojamiento puede ser compartido, VPS, servidor dedicado, infraestructura en nube, alojamiento administrado o plataforma de despliegue automático.

La elección debe considerar:

  • ubicación de los servidores;
  • disponibilidad;
  • copias de seguridad;
  • soporte y escalabilidad;
  • jurisdicción;
  • tratamiento de datos;
  • exportación y terminación contractual.

8.3. Paneles, SFTP y SSH

Paneles como cPanel o Plesk permiten administrar archivos, dominios, correos, bases, certificados y tareas programadas. SFTP y SSH permiten realizar tareas técnicas mediante canales cifrados.

FTP sin cifrado no debería emplearse para transmitir credenciales o contenidos sensibles.

8.4. Gestión editorial

Debe existir un procedimiento para redactar, revisar, aprobar, publicar, corregir, retirar y archivar contenidos.

En un sitio jurídico conviene registrar:

  • autor;
  • fecha de publicación;
  • fecha de actualización;
  • fuentes;
  • vigencia normativa;
  • responsable de revisión.

9. Seguridad de los sitios web

La seguridad debe incorporarse desde el diseño y mantenerse durante todo el ciclo de vida del sistema.

9.1. Controles esenciales

  • HTTPS;
  • autenticación multifactor;
  • contraseñas con hash adecuado;
  • permisos por roles;
  • actualizaciones periódicas;
  • copias de seguridad.
  • validación de entradas;
  • consultas parametrizadas;
  • limitación de solicitudes;
  • registro y monitoreo;
  • separación de ambientes;
  • gestión segura de secretos.

9.2. Vulnerabilidades frecuentes

Inyección SQL

Se produce cuando una entrada del usuario se incorpora de forma insegura a una consulta. La defensa principal es utilizar consultas parametrizadas.

Cross-Site Scripting — XSS

Permite insertar código que se ejecutará en el navegador de otros usuarios. Se mitiga mediante escape contextual, sanitización, validación y políticas CSP.

Cross-Site Request Forgery — CSRF

Busca que un usuario autenticado ejecute involuntariamente una operación. Puede mitigarse con tokens anti-CSRF, cookies apropiadas y comprobaciones de origen.

Fallos de control de acceso

El servidor debe verificar la autorización en cada operación. Ocultar un botón en la interfaz no constituye una medida de seguridad suficiente.

Configuraciones inseguras

Incluyen contraseñas predeterminadas, paneles expuestos, mensajes de error detallados, software desactualizado y permisos excesivos.

9.3. Copias de seguridad

Una copia debe ser:

  • periódica;
  • verificable;
  • cifrada cuando corresponda;
  • independiente del servidor principal;
  • sometida a pruebas de restauración.

9.4. Registros y monitoreo

Los registros pueden documentar accesos, errores, cambios, intentos de autenticación y acciones administrativas. Como pueden contener datos personales, deben conservarse durante un plazo justificado y protegerse contra alteraciones.

10. Protección de datos personales en Uruguay

La Ley N.º 18.331 reconoce la protección de datos personales como un derecho fundamental y regula el tratamiento de información relativa a personas determinadas o determinables.

Un sitio trata datos cuando:

  • recibe formularios;
  • crea cuentas;
  • registra direcciones IP;
  • utiliza analítica;
  • procesa pagos;
  • recibe currículums;
  • instala cookies;
  • almacena imágenes o datos biométricos.

10.1. Política de privacidad

Debería identificar:

  • responsable y medios de contacto;
  • datos recopilados;
  • finalidades;
  • destinatarios y encargados;
  • transferencias internacionales;
  • plazos de conservación;
  • derechos de los titulares;
  • uso de cookies;
  • procedimiento para ejercer derechos.
Copiar la política de privacidad de otro sitio no garantiza el cumplimiento. La política debe describir el tratamiento real realizado por el sistema.

10.2. Minimización

Deben recopilarse solamente los datos necesarios para una finalidad legítima, determinada y explicada.

10.3. Derechos de los titulares

Debe existir un canal para el acceso, rectificación, actualización, inclusión o supresión, de acuerdo con las condiciones legales aplicables.

10.4. Registro de bases

La organización debe analizar si las bases vinculadas con el sitio deben inscribirse en el registro administrado por la Unidad Reguladora y de Control de Datos Personales.

10.5. Proveedores de nube y hosting

El proveedor que procesa datos por cuenta del titular puede actuar como encargado del tratamiento. El contrato debería regular instrucciones, confidencialidad, seguridad, subcontratación, incidentes, eliminación, devolución y auditoría.

10.6. Transferencias internacionales

Pueden producirse al utilizar hosting extranjero, correo corporativo, sistemas de pago, CRM, inteligencia artificial, analítica, marketing o almacenamiento en nube.

10.7. Privacidad desde el diseño

La privacidad debe reflejarse en la arquitectura: minimización, seudonimización, separación de datos, configuraciones protectoras por defecto y mecanismos para ejercer derechos.

10.8. Vulneraciones de seguridad

Ante un incidente deben adoptarse medidas de contención, documentación, evaluación, corrección y las comunicaciones legalmente exigibles.

11. Cookies y tecnologías de seguimiento

Una cookie es un dato almacenado mediante el navegador. Puede mantener sesiones, recordar preferencias, gestionar carritos, medir visitas o crear perfiles.

Categoría Función
Necesarias Permiten funciones indispensables, como sesiones o carritos.
Preferencias Recuerdan idioma, región o configuración.
Analíticas Miden visitas, rendimiento y comportamiento.
Publicitarias Segmentan anuncios o siguen la actividad del usuario.

Un sistema adecuado debería:

  • identificar categorías y proveedores;
  • informar finalidades;
  • permitir aceptar o rechazar las no necesarias;
  • no dificultar el rechazo;
  • conservar prueba de la elección;
  • permitir modificarla posteriormente.

12. Comercio electrónico y protección del consumidor

Cuando el sitio ofrece productos o servicios a consumidores, resultan relevantes la Ley N.º 17.250 y las reglas específicas sobre comercio electrónico.

El sitio debería informar claramente:

  • identidad del proveedor;
  • medios de contacto;
  • características del producto o servicio;
  • precio, impuestos y costos adicionales;
  • condiciones de entrega;
  • medios de pago;
  • garantías y restricciones;
  • procedimiento de reclamo;
  • condiciones de cancelación.

13. Contratación electrónica y valor probatorio

La Ley N.º 18.600 reconoce la admisibilidad, validez y eficacia jurídica de los documentos y firmas electrónicas, con las excepciones previstas legalmente.

Un sitio puede generar prueba mediante:

  • formularios;
  • correos de confirmación;
  • comprobantes;
  • registros del servidor;
  • marcas de tiempo;
  • documentos firmados;
  • historial de operaciones;
  • registros de aceptación.

Para fortalecer la prueba conviene conservar:

  • el texto exacto aceptado;
  • fecha y hora;
  • versión contractual;
  • usuario y operación;
  • método de autenticación;
  • integridad del registro;
  • confirmación remitida.
Una casilla que diga “Acepto” no resuelve por sí sola todos los problemas probatorios. Debe poder demostrarse qué documento fue presentado, cómo se expresó la voluntad y si el usuario pudo acceder a su contenido.

14. Propiedad intelectual

El sitio puede incluir textos, fotografías, videos, música, ilustraciones, bases de datos, código, plantillas, logotipos e interfaces protegidos por propiedad intelectual.

Antes de utilizar un contenido debe verificarse:

  • autoría;
  • licencia;
  • alcance del permiso;
  • atribución;
  • posibilidad de modificación;
  • uso comercial;
  • duración y territorio.

14.1. Código desarrollado por terceros

El contrato debería indicar:

  • quién es titular del código;
  • si existe cesión y si es exclusiva;
  • qué componentes son propios o de terceros;
  • qué licencias se utilizan;
  • si se entrega el código fuente;
  • si puede modificarse o encargarse a otro proveedor.

14.2. Código abierto

El software de código abierto mantiene protección jurídica y debe utilizarse conforme a su licencia: MIT, Apache 2.0, BSD, GPL, LGPL, AGPL u otras.

14.3. Registro de software y marcas

Uruguay dispone de mecanismos de registro de software y de marcas. El análisis debe diferenciar la protección del código, el contenido, el nombre comercial, el logotipo y el dominio.

15. Responsabilidad por los contenidos

El titular o administrador puede enfrentar responsabilidad por:

  • información falsa o publicidad engañosa;
  • afectación del honor o de la privacidad;
  • uso no autorizado de imágenes;
  • infracción de derechos de autor;
  • divulgación de secretos;
  • contenidos discriminatorios;
  • incumplimientos contractuales;
  • negligencia en la moderación.

En sitios con contenido generado por terceros conviene establecer reglas de uso, canales de denuncia, facultades de moderación, prohibiciones y procedimientos de retiro.

Una cláusula general de exoneración no elimina automáticamente la responsabilidad impuesta por la ley, la conducta propia o el incumplimiento contractual.

16. Ciberdelincuencia y accesos no autorizados

La Ley N.º 20.327 incorporó y actualizó figuras vinculadas con la ciberdelincuencia en Uruguay.

La publicidad del sitio no autoriza a terceros a:

  • ingresar a áreas restringidas;
  • superar mecanismos de autenticación;
  • alterar o extraer datos;
  • ejecutar código;
  • interferir el servicio;
  • instalar programas;
  • utilizar credenciales ajenas.

La observación pasiva de información públicamente accesible no equivale a explotar vulnerabilidades, ejecutar cargas activas o acceder a recursos restringidos.

17. Contrato de diseño y desarrollo web

Materia Contenido recomendable
Objeto y alcance Funciones incluidas, exclusiones y requisitos.
Entregables Código, gráficos, base de datos, documentación y credenciales.
Cronograma Etapas, hitos, dependencias y demoras imputables.
Aceptación Pruebas y criterios para considerar cumplida la entrega.
Propiedad intelectual Titularidad, cesiones, licencias y componentes de terceros.
Infraestructura Control del dominio, hosting, repositorio, correo y certificados.
Datos personales Roles, instrucciones, seguridad, confidencialidad y devolución.
Mantenimiento Actualizaciones, soporte, tiempos de respuesta y costos.
Salida Migración a otro proveedor y entrega de activos.
Ley y jurisdicción Normativa aplicable y mecanismos de solución de controversias.

18. Mantenimiento jurídico y técnico

Mantenimiento técnico

  • actualizaciones;
  • revisión de certificados;
  • copias de seguridad;
  • monitoreo;
  • corrección de errores;
  • revisión de dependencias;
  • pruebas de restauración.

Mantenimiento jurídico

  • actualización de políticas y términos;
  • revisión de licencias;
  • actualización de precios y contratos;
  • atención de derechos;
  • control de transferencias;
  • seguimiento normativo.

19. Lista de verificación

  1. El dominio está registrado a nombre del titular correcto.
  2. Las cuentas críticas tienen autenticación multifactor.
  3. El sitio utiliza HTTPS.
  4. Existen copias de seguridad externas y verificadas.
  5. El código y las credenciales están documentados.
  6. Los formularios recopilan solamente datos necesarios.
  7. Existe una política de privacidad adecuada al tratamiento real.
  8. Existe información clara sobre cookies.
  9. Las bases fueron analizadas conforme a la Ley N.º 18.331.
  10. Los proveedores externos están identificados.
  11. Se conoce dónde se almacenan y procesan los datos.
  12. Los términos de uso reflejan el funcionamiento real.
  13. El comercio electrónico muestra información suficiente.
  14. El sitio funciona correctamente en dispositivos móviles.
  15. Se verificó la accesibilidad.
  16. Las imágenes y contenidos tienen licencia.
  17. El contrato regula la propiedad del código.
  18. Existe un procedimiento para incidentes.
  19. Los registros son proporcionados y están protegidos.
  20. Existe un plan de migración y continuidad.

20. Conclusión

Un sitio web es simultáneamente una publicación, un programa, una infraestructura, un canal contractual y, con frecuencia, una base de datos.

Un sitio profesional debe ser:

  • técnicamente funcional;
  • jurídicamente transparente;
  • seguro;
  • accesible;
  • administrable;
  • documentado;
  • recuperable;
  • respetuoso de los derechos de los usuarios.

La estrategia más adecuada es aplicar cumplimiento desde el diseño: determinar desde el inicio qué datos se tratarán, quién controlará la infraestructura, cómo se protegerá el código, qué información se brindará al usuario y cómo podrá continuarse el servicio si cambia el proveedor.

Fuentes normativas y técnicas

Volver al inicio ↑