Fecha: 23 Mayo
2001
(También disponible como documento de la sección anti-LSSI
No queremos vivir así)
Una de las razones que probablemente esgrimirá el Ministerio de Ciencia y Tecnología para no modificar la Ley sobre Servicios de la Sociedad de la Información (LSSI) es el de "somos unos mandados". Es decir, la Directiva 2000/31/CE nos obliga a formular el Anteproyecto de LSSI, y no hay más que hacer, cuánto lo siento. Algo así como en la famosa escena del socorrista: no es por no ir, si hay que ir se va, pero ir para nada ... es tontería.
Veamos aquí qué hay de cierto.
De Bruselas a Madrid
Lo primero que hay que considerar es cuánta fuerza legal tiene una Directiva europea. Reconozco mis lagunas legales, pero por lo que le leído una Directiva es un conjunto de normas que cada país ha de incorporar a su ordenamiento jurídico. No es una regulación que se transcriba a nuestra ley nacional palabra por palabra. Según un análisis de Luis Fajardo López, "El Gobierno [español] a lo que está obligado es a comprobar si en el ordenamiento español los principios rectores de la Directiva se cumplen, y sólo si no es así estará entonces obligado a modificar el ordenamiento para adaptarlo a la Directiva."
No entraré a discutir si se cumple o no la Directiva ya en nuestro ordenamiento, puesto que el antedicho Luis Fajardo ya lo deja claro en un excelente análisis. Asimismo, diversos estudios de Carlos Sánchez Almeida y Javier Maestre en la sección anti-lssi de Kriptópolis hacen que volver a disecar la Directiva o el Anteproyecto sea tarea redundante por mi parte.
Lo que pretende mostrar en este pequeño informe es cómo la Directiva ha mutado en LSSI, qué cosas faltan en una y aparecen en la otra, y hasta qué punto es cierto que el Anteproyecto que se nos quiere colar ahora es simplemente una orden de puertas afuera.
Motivos y motivos
Leer la exposición de motivos de la Directiva resulta un poco pesado, tanto por su número (65) como por la aridez de algunos de ellos, y de todos modos lo que "va a misa" son los artículos del texto. Pero una exposición de motivos es una especie de justificación a lo que se está haciendo. En la Directiva se habla y no se para de los aspectos económicos relacionados con el comercio electrónico, con especial énfasis en el deseo de proporcionar un marco de confianza y de estabilidad jurídica para que podamos comprar sintiéndonos seguros. Hay muchas ventajas, puestos de trabajo en juego, supresión de obstáculos y todo eso. De hecho, el objetivo número ocho puede considerarse como el fin que con la Directiva 2000/31 se persigue:
El objetivo de la presente Directiva es crear un marco jurídico que garantice la libre circulación de los servicios de la sociedad de la información entre Estados miembros y no armonizar el campo de la legislación penal en sí.
Es decir, pongamos unas normas generales para que nuestros ciudadanos salten al supermercado virtual. Pero no solamente eso. De entre todos los motivos me quedo con el número nueve porque intenta ir más allá del mero "enséñame la pasta" y englobar las cosas en un contexto más amplio (el subrayado es mío):
La libre circulación de los servicios de la sociedad de la información puede constituir, en muchos casos, un reflejo específico en el Derecho comunitario de un principio más general, esto, es de la libertad de expresión consagrada en el apartado 1 del artículo 10 del Convenio para la protección de los derechos humanos y de las libertades fundamentales, ratificado por todos los Estados miembros; por esta razón, las directivas que tratan de la prestación de servicios de la sociedad de la información deben garantizar que se pueda desempeñar esta actividad libremente en virtud de dicho artículo, quedando condicionada únicamente a las restricciones establecidas en el apartado 2 de dicho artículo, y en el apartado 1 del artículo 46 del Tratado. La presente Directiva no está destinada a influir en las normas y principios nacionales fundamentales relativos a la libertad de expresión.
¿Está claro? Pues parece que de tan obvio que resulta cayó al suelo por su propio peso ... y nadie se molestó en recogerlo. La exposición de motivos del Anteproyecto no hace referencia alguna tan evidente verdad. Eso sí, nos recuerda el futuro maravilloso que nos espera si eso del comercio electrónico funciona bien ... y lo que nos caerá encima si los "prestadores" (que en la práctica somos todos) no cooperamos con las autoridades. Resulta irónico que esta Ley LSSI, encima, pretende generar confianza por doquier.
La exposición de motivos nos trae directamente algunas cosas que aparecerán en el Anteproyecto. Por ejemplo, la consideración de "servicio" como algo proporcionado "normalmente a título oneroso". También menciona el correo electrónico no solicitado (spam), nos promete una futura Directiva sobre servicios financieros on-line y nos muestra algunas de las perlas que las gobiernos nacionales pueden añadir por su cuenta, como medidas dirigidas a restringir la libre circulación de los servicios, la prohibición o autorización del spam o los procedimientos para la retirada de datos o su bloqueo (vean que he dicho que "pueden añadir", lo que no significa que estén obligados a ello).
Primeras diferencias
Hay que tener en cuenta que tanto la Directiva como el Anteproyecto han de tener partes diferentes, ya que la Directiva indica lo que hay que hacer y la Ley establece cómo hacerlo. Por ejemplo, si la Directiva afirma que los Estados miembros podrán establecer restricciones al flujo de información, la Ley dirá algo del tipo "se establecen las siguientes restricciones al flujo de información: bla, bla, bla..."
Pero incluso en los artículos comunes vemos diferencias notables, ya desde el comienzo. En la Directiva, el Artículo 1 afirma que su objeto es garantizar la libre circulación de los servicios de la sociedad de la información entre los Estados miembros, con vistas a un correcto funcionamiento del mercado interior. Por contra, el Anteproyecto indica que se encarga de la regulación del régimen jurídico de los servicios de la sociedad de la información y de la contratación por vía electrónica, en lo referente a las obligaciones de los prestadores de servicios ... y el régimen sancionador aplicable a los prestadores de servicios de la sociedad de la información.
Es como si hablasen de la Guardia Civil de Tráfico: la Directiva dice que han de velar por la circulación vial, asegurar el flujo ininterrumpido de coches y hacer que las carreteras cumplan su papel, mientras que el Anteproyecto afirma que su misión es la de vigilar, hacer cumplir el código y poner multas. Ambas versiones con ciertas, pero ¿no llama la atención el cambio de enfoque?
En el anexo del Anteproyecto se dan algunas definiciones con las que hemos de cargar, ya que vienen directamente de la Directiva (artículo 2). Por ejemplo, un "servicio de la sociedad de la información" (SSI) es aquél que es prestado normalmente a título oneroso. Ese "normalmente" que nos hace rechinar los dientes viene, por tanto, de Bruselas. Pero no viene lo que sigue, tomado del Anteproyecto: El concepto de SSI comprende también los servicios no remunerados por sus destinatarios, en la medida en que constituyan una actividad económica para el prestador de servicios. Por mucho que nos intenten convencer de lo contrario, pues, el concepto de "prestador de servicios" tiene una extensión mucho mayor que el originalmente propuesto por la Directiva. Tarjeta amarilla para el MCYT.
A continuación viene un punto filipino. El Anteproyecto afirma (artículo 6) que La prestación de servicios de la sociedad de información no estará sujeta a autorización previa. Este es un requisito muy importante. Así que me pregunto por qué no se transcribió en su totalidad el artículo 4.1 de la Directiva, que añadía: ni a ningún otro requisito con efectos equivalentes. A fin de cuentas, no resulta difícil imponer una autorización previa que no se llame autorización previa. Por ejemplo, con la obligación de inscribirse en un Registro Público (Anteproyecto, artículo 9). Si se establecen exigencias para registrarse (las llamarían requisitos, claro), y si pudiera negarse la inscripción a dicho registro, se tendría un requisito equivalente a una autorización previa a todos los efectos. Muy conveniente. No acuso a nadie de tener esto en mente, pero incluso suponiendo la mejor de las intenciones a nuestros "expertos" y políticos del MCYT, quedaría la puerta abierta para poder hacerlo. Como se suele decir: hecha la ley, hecha la trampa. Sólo que la trampa viene ya instalada de serie en la misma ley.
Spam o no spam
En el Artículo 5 del Anteproyecto se menciona qué información ha de proporcionar un prestador de SSI (servicios de la sociedad de la información): nombre, residencia, dirección e-mail, datos de su inscripción en Registro, datos de colegio profesional, título académico y similares (si es un profesional colegiado), IVA, precio del producto ... El Artículo 6 informa sobre los datos exigidos en el caso de comunicaciones comerciales.
Y el artículo 7 del Anteproyecto habla del correo electrónico no solicitado (spam). Se habla de los requisitos que han de cumplir los spameadores, aunque se abre la puerta a su prohibición: los Estados miembros que permitan la comunicación comercial no solicitada... En el anterior informe Anteproyectos LSSI: una comparación expliqué como la versión del Anteproyecto LSSI fue modificada, de forma que ahora el spam simplemente se prohibe. Solamente se podrán enviar mensajes tipo spam cuando sea expresamente solicitado, en cuyo caso ha de ir rotulado con la palabra "publicidad" Me remito al antedicho informe, en el que expreso mi opinión acerca de los motivos por los que el spam fue prohibido entre una versión del Anteproyecto y la siguiente. Para lo que nos interesa, baste decir que su prohibición está en regla con lo que indica la Directiva, y es una decisión que un Estado miembro puede tomar según le parezca bien permitir spam o prohibirlo.
res
La responsabilidad de los prestadores
Como verán, voy saltándome artículos para centrarme en los más polémicos. Y los que siguen lo son. Se refieren a la responsabilidad que tienen los prestadores de SSI. El análisis de Fajardo resulta muy interesante en este punto, puesto que intenta evaluar hasta qué punto necesitan siquiera ser mencionados de forma específica. A fin de cuentas, actos como el bloqueo de información o la identificación de usuarios serían hoy posibles bajo orden judicial. Que Internet sea un medio virtual no significa que las leyes vigentes no sean aplicables allí.
Con todo, tanto el Anteproyecto como la Directiva permiten la posibilidad de que la figura del juez pueda ser sustituida por la "autoridad administrativa" No sé bien qué es eso, pero resulta que dicha autoridad administrativa tiene la misma autoridad que un juez a la hora de exigir a un prestador sus datos, obligarle a suspender un servicio de alojamiento o transmisión de datos, ordenarle conservar todos los datos relativos a la actividad de un sospechoso durante seis meses (toma ya), y suma y sigue.
Puede incluso exigírseles responsabilidad por la información que se obtenga de un buscador de contenidos, e incluso enlaces, por cortesía del Anteproyecto, artículo 17. Esto significa que si alguien puede obtener información sobre, digamos, bombas caseras mediante un enlace ubicado en tu página, o mediante un buscador que alojes en tu página (o que enlaces desde tu página), la has pifiado. Así que a desmantelar todos los enlaces potencialmente ilegales, inmorales o que engorden. No sé vosotros, pero a mí me parece que si algo caracteriza Internet es la posibilidad de hiperenlazar con otras direcciones. Ese fue el gran avance de los técnicos del CERN cuando hace diez años, y sin pretenderlo, tendieron las primeras mallas de nuestra actual Red de Redes. No en vano se llama Telaraña Mundial (World Wide Web) por algo. Pues nada, aquí somos más papistas que el papa.
Ya es lo bastante malo que estas responsabilidades (excepto, al menos, la de los hipervínculos) aparezcan también en la Directiva. Pero es que aquí seguimos caminando y nos pasamos tres pueblos. Por ejemplo, en la Directiva no se menciona para nada la responsabilidad de los prestadores ante un sistema de hipervínculos o ante la información que salga de su buscador. De hecho, su artículo 21.2 dice que Al examinar la necesidad de adaptar la presente Directiva, el informe [que la Comisión redactará antes de Julio de
2003] analizará especialmente la necesidad de presentar propuestas relativas a la responsabilidad de los proveedores de hipervínculos y servicios de instrumentos de localización.... Aquí pasamos de esperar propuestas, y ponemos un policía en cada enlace. Me reiría a mandíbula batiente si nuestros bienpensantes no se lo tomasen tan en serio.
Tampoco esperamos a ver qué dirá la Comisión acerca de los procedimientos de "detección y retirada." Se supone que un prestador de servicios está al corriente de una actividad ilícita (y tiene que actuar en consecuencia) cuando una "autoridad competente" así se lo comunique. Y atención, porque esto se dice sin perjuicio de los procedimientos de detección y retirada de contenidos que los prestadores apliquen en virtud de acuerdos voluntarios. Es decir, los prestadores han de cumplir unos códigos de conducta acordados entre ellos mismos.
Cierto es que la Directiva alienta la elaboración de códigos de conducta de los prestadores (Directiva, artículo 16), pero en ningún caso se afirma que tengan que tratar de procedimientos para detección y retirada de contenidos ilícitos, o de resolución extrajudicial. Y, personalmente, no me tranquiliza el hecho de que los códigos sean voluntariamente acordados entre los prestadores. Con quince Gobiernos dispuestos a presionar política, económica, legislativa y policialmente para obligarlos a hacer lo que ellos desean, ¿qué acuerdo para un código de conducta puede ser realmente acordado de forma voluntaria? Un código de conducta podría ser realmente voluntario en el país de los Teletubbies, no en la Europa del comercio electrónico. Aparte de que la aplicación de la ley da un salto más: de la autoridad judicial a la administrativa, y ahora a la de los códigos de conducta "voluntarios"
Y, para rematar la faena, nuestros expertos de Madrid se dejan en el tintero uno de los artículos más importantes de la Directiva, el número 15. Su título lo dice todo: "inexistencia de obligación general de supervisión". Me daré el gustazo de transcribiros el apartado primero:
Los Estados miembros no impondrán a los prestadores de servicios una obligación general de supervisar los datos que transmitan o almacenen, ni una obligación general de realizar búsquedas activas de hechos o circunstancias que indiquen actividades ilícitas, respecto de los servicios contemplados en los artículos 12, 13 y 14 [mera transmisión, memoria tampón y alojamiento de datos]
¿Dónde nos han puesto este apartado, queridos amigos del Ministerio de Ciencia y Tecnología? Una respuesta quiero.
Nuevo articulado, fabricado en España
Y ahora que vemos qué tiene la Directiva que falta en el Anteproyecto, veamos el lado contrario: ¿qué han colado en el Anteproyecto que no hubiese obligación de incluir? Un par de cosas. Por de pronto, nos cuelan la "constancia registral del nombre de dominio", lindeza que forma el título del Artículo 9 (del Anteproyecto, si no se dice lo contrario), y que obliga a todos los prestadores de SSI -en la práctica, todos nosotros- a comunicar al Registro Público "en que, en su caso estén inscritos", el nombre de dominio de Internet que usen. Es decir, a registrarse antes de pisar siquiera la Red, y la no sujeción a autorización previa dictada por el Artículo 6, a freír espárragos.
Tampoco dice nada de la obligación de supervisar o conservar todos los datos relativos a la actividad de un determinado destinatario durante un período máximo de seis meses y ponerlos a disposición de la autoridad judicial competente. Cierto es que la Directiva permite a los Estados miembros establecer obligaciones a los prestadores respecto a comunicar a las autoridades las actividades o los datos ilícitos, y a identificar a los destinatarios de los servicios. ¿Pero almacenar todos los datos de un destinatario durante seis meses? ¿Qué datos? ¿Solamente el correo electrónico, o incluye todas las páginas visitadas en cualquier lugar del mundo, y todos los hiperenlaces activados? ¿Incluiría la "actividad" de Kriptópolis a sus cincuenta mil suscriptores? Pues como se pongan a vigilar la actividad de José Manuel Gómez durante seis meses, ya pueden empezar a preparar discos duros.
Asimismo, tampoco aparece (como dije anteriormente) la obligación de establecer responsabilidades a los que faciliten enlaces o instrumentos de búsqueda. No aparecen tampoco alusiones por las denominadas "acciones de cesación" que se detallan en los Artículos 32 a 32 del Anteproyecto, si bien es cierto que su exposición de motivos menciona al respecto otra Directiva (la 98/27/CE). Tampoco se dice nada en la Directiva 2000/31 acerca de incluir servicios no remunerados en la categoría de "prestación de servicios."
Y la pela es la pela
Aunque la Directiva permite a los Estados miembros que apliquen sanciones, afirma que deberán ser "efectivas, proporcionadas y disuasorias" Vea el lector un ejemplo en clave de humor, pero riguroso, sobre el tipo de multas que pueden caerle encima a cualquier Perico de los Palotes. Por poco que me guste el spam, multar con quince millones de pesetas a quien me envíe un mensaje comercial no solicitado me parece exagerado. Tampoco veo proporcionado sufrir una multa similar por no comunicar a un Registro (al que se supone no tengo obligación de pedir autorización previa) mis datos de dominio, o por no comunicar una actividad ilícita, máxime si yo no soy jurista y no sé cuándo una actividad es lícita o no. Y esos ejemplos que acabo de mencionar son para infracciones leves. Para las infracciones muy graves (por ejemplo, no comunicar a las autoridades los datos de un destinatario de servicios, por ejemplo la lista de suscriptores de un boletín electrónico), ya podemos ir acertando los seis aciertos de la primitiva. Desde luego, efectivas y disuasorias sí que lo son. Al más pintado se le quitan las ganas de tontear en la Red con estas multas. Pero me queda una duda. ¿Qué entenderán algunos por "sanciones proporcionadas?
Ah, por cierto, ¿saben quién se encargaría de imponer estas multas? No sería ningún cuerpo policial, ni el Ministerio de Economía, de Hacienda o de Industria (o comoquiera se llame ahora). La imposición de sanciones corresponde al Ministerio de Ciencia y Tecnología. En el caso de infracciones graves o leves, correrá directamente a cargo del Secretario de Estado de Telecomunicaciones y para la Sociedad de la Información. Vaya, qué casualidad, los mismos que han redactado este Anteproyecto de Ley. No, si nunca pensé que fueran tontos...
No cabe duda, la pela es la pela. Y el "enséñame la pasta" es el nuevo grito de batalla. Allá ellos.
© Arturo Quirantes
2005. Correo electrónico: aquiran arroba
ugr.es
Vuelta a la sección Informes del Taller de Criptografía