Taller de Criptografía - Informe 31

LSSI: El cuarto anteproyecto



 


Fecha: 30 Enero 2002
(También disponible como documento de la sección anti-LSSI No queremos vivir así)


A las doce de la noche del 28-29 de Enero de 2002, el periodista digital Maky (alias William González) dio la campanada: la cuarta versión del Anteproyecto de la LSSI ha sido filtrada a la red. Se rompe así una temporada de "secretismo transperante" durante la cual el Ministerio de Ciencia y Tecnología ha intentado convencer a la comunidad internauta de las bondades del nuevo borrador... mientras lo custodiaba celosamente.

La idea era no revelarlo hasta ser aprobado en Consejo de Ministros -supuestamente, el próximo viernes 1 de Febrero,- pero Maky y sus "villanos" les han ganado de la mano. Ahora los internautas tenemos la oportunidad de opinar y actuar... antes de que sea demasiado tarde.

Los documentos y análisis cruciales están todos en el Makypress 520 (http://villanos.net/makypress) y en la página web http://mienten.com. No pretendo reproducir los esfuerzos de Colegota o Maestre, pero sí ofrezco aquí mi contribución personal. Veamos en primer lugar qué cambios trae el nuevo Anteproyecto. A continuación, incluiré los motivos por los que a mí no me parece aceptable la LSSI.


Antecedentes y enlaces

La Ley sobre Servicios de la Sociedad de la Información (LSSI) se basa en la Directiva 2000/31/CE del Parlamento Europeo y del Consejo, de 8 de junio de 2000, relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular el comercio electrónico en el mercado interior (repare el lector en lo de "determinados aspectos") , fechada el 8 de Junio de 2000. Puede obtenerse una copia en la dirección aquí.

A continuación el MCYT elaboró hasta cuatro anteproyectos:

  • Primer borrador. Hay pocos datos sobre ella y, aunque está colgada de la Red, no tiene aquí interés.

  • Segundo borrador. Fue sometido a la consideración de algunos colectivos (esencialmente, la Asociación de Internautas) y colgado en la página web del MCIY. Está disponible aquí.

  • Tercer borrador Es la "respuesta" del MCYT a la campaña anti-LSSI lanzada por Kriptópolis el 8 de Mayo de 2001. Este borrador lleva fecha de 30 Abril, aunque fue colgado en la Web del Ministerio desde el 11 de Mayo. Está disponible aquí.

  • Cuarto borrador. Supuestamente incorpora las inquietudes de la comunidad internauta al respecto. No ha sido conocida hasta el 29 de Enero, en que Makypress la filtró en su boletín 520. Puede descargarse en http://mienten.com/noticia.php?id=15

Este que escribe ha redactado un par de Informes que os pueden servir de ayuda:

  • Informe 28: comparación entre los borradores segundo y tercero

  • Informe 29: comparación entre el tercer borrador y la Directiva comunitaria

Y, para ponernos en perspectiva, os recomiendo la cronología de la LSSI elaborada por Kyhm: http://mienten.com/noticia.php?id=21


Las novedades del Cuarto Borrador: comenzamos

No os mantendré en suspense hasta la última página de la novela, así que voy a desvelaros el final: el cuarto borrador del Anteproyecto es igual que el tercero, pero peor. Las pocas modificaciones sustanciales que se han hecho empeoran la ley ... o la mejoran, si lo que se busca es jorobar al internauta.

En el artículo 1 comienzan los problemas. Su apartado 2 afirma que la LSSI se entendrá "sin perjuicio de..." , es decir, que no nos la tomemos a pies juntillas, porque hay letra pequeña. Véase lo que pasa si se incluye el tercer borrador en cursiva y se añaden las novedades del cuarto borrador en negrilla:

Las disposiciones contenidas en esta Ley se entenderán sin perjuicio de lo que la legislación sectorial establece en relación con las actividades y operaciones que son objeto de regulación específica y, en particular, de las condiciones relativas a las mercancías y bienes tangibles a su entrega y a los servicios no prestados por medios electrónicos; del régimen jurídico aplicable a la protección de la salud y seguridad pública, incluida la salvaguarda de la defensa nacional, a los datos personales, a los derechos de los consumidores y usuarios y a los servicios financieros; del régimen tributario aplicable a los servicios de la sociedad de la información y de la normativa reguladora de Defensa de la competencia

Es decir, que para entender el rollo del comercio electrónico y sus normas no solamente hay que prestar atención a la LSSI, sino también a la legislación sectorial (¿cuál será ese sector?), y a la socorrida excusa de la seguridad pública y la seguridad nacional. Lejos de mí el pretender que no se salvaguarde la seguridad nacional. Pero, en los tiempos que corren, la expresión "seguridad pública" sirve para justificar prácticamente todo. Si eso significa que pueden dar ciberpatadas en la puerta sin garantías jurídicas, que no cuenten conmigo.

Hay una modificación que me ha hecho sonreír. El artículo 2.3 afirma que "la utilización de medios tecnológicos situados en España, para la prestación o el acceso al servicio, no servirá como criterio para determinar, por sí solo, el establecimiento en España del prestador." O sea que puedo tener mis máquinas y todos mis archivos en España, y a lo mejor no soy un prestador español. Po fale.

Otra joya afirma que esta ley se aplicará a los prestadores de servicios establecidos en países que no sean miembros de la UE ni del EEE (Espacio Económico Europeo) "cuando dirijan específicamente sus servicios al territorio español." Mi duda es ¿cómo se determina si un prestador dirigen sus servicios a territorio español y solamente a territorio español? Porque vamos, Internet no tiene mojones fronterizos.


El telón de caspa

El artículo 8, que antes llevaba el bonito nombre de "Respeto a principios fundamentales de la convivencia social" ahora recupera su verdadero significado: "restricciones a la prestación de servicios por prestadores no establecidos en España." Merced a un bonito bucle retrospectivo, el artículo 7.1 advierte que también será de aplicación para los prestadores de servicios de la UE y el EEE. Es decir, vale para todo el mundo mundial.

Volvamos a comprar: cursiva para el tercer borrador, negrilla para el texto nuevo del cuarto borrador, y tachadura para el texto eliminado:

En caso de que un determinado servicio de la sociedad de la información procedente de un prestador establecido en otro Estado atente o pueda atentar contra los principios que se expresan a continuación, las autoridades competentes, para su protección, en ejercicio de las funciones que tengan legalmente atribuidas, podrán ordenar que adoptar las nedidas necesarias para se interrumpa la prestación de un servicio de la sociedad de la información, se retire la información o se impida el acceso a ella

Como puede verse, se restringe la libertad de prestación de servicios procedentes "de fuera" (tal como la Directiva, a fin de cuentas, recoge). Algo hemos ganado. La justificación de "orden público, seguridad, defensa nacional, protección de la salud" etcétera, etcétera, no podrá ser usada contra nosotros mismos. Al menos, eso parece.

Pero, usado incorrectamente, este apartado puede usarse para mantener España libre de "injerencias extranjeras." Hay demasiados ejemplos de países donde los principios sacrosantos de seguridad nacional y orden público sirven de excusa para censurar "lo que viene de fuera."

¿Exagero? Bien, veamos cómo les suena este apartado, nuevo en el cuarto borrador (y que, por supuesto, no aparece en la Directiva:

Si para garantizar la efectividad de la resolución que acuerde la interrupción de la prestación de un servicio o la retirada de datos, el órgano competente estimara necesario impedir el acceso desde España a los mismos, podrá ordenar a los prestadores de servicios de intermediación establecidos en España, directamente o mediante solicitud motivada al Ministerio de Ciencia y Tecnología, que tomen las medidas necesarias para impedir dicho acceso (el subrayado es mío).

Es decir, que una "autoridad competente" (no necesariamente un juez) puede ordenar, directamente o por medio del MCYT, que se bloquee un servicio on-line proveniente del exterior. ¿No les suena esto a una especie de Telón de Acero digital? Pues en ese caso, propongo el nombre de Telón de Caspa para denominarlo.

A la vista de esto, parece un chiste que se afirme que estas medidas se llevarían a cabo "respetando las garantías, normas y procedimientos previstos en el Ordenamiento Jurícido" Pues no faltaría más. Suena como si dijesen "sí, cumpliremos la ley," algo tan evidente que cae por su propio peso.


Más sorpresas

Vuelve a afirmarse que solamente hay que inscribirse en un Registro Público para "adquirir personalidad jurídica" (ese punto se lo dejo a los juristas, a ver si nos lo aclaran)... y alguien debe haber dado a los señores Adsuara y Tomé un cursillo rápido sobre Internet, porque ahora han caído en la cuenta de que no solamente de dominios vive el internauta: deberán comunicar ... el nombre, nombres de dominio o direcciones de Internet (el subrayado es mío). Vaya, hombre, ya no me libro solamente por tener una dirección tipo www.miservidor.com/yomismo/hola.html. Un aplauso al MCYT por corregir ese detalle ... y un capón king-size por demostrar tan escasos conocimientos de Internet.

Por otro lado, no se vayan a creer que el artículo 8 no se aplica a nosotros. Vea cómo queda el artículo 11.1 (Deber de colaboración de los prestadores de servicios de intermediación):

Cuando una autoridad competente por razón de la materia, hubiera ordenado, en ejercicio de las funciones que legalmente tenga atribuidas, que se interrumpa la prestación de un servicio de la sociedad de la información, o la retirada de determinados contenidos provenientes de prestadores establecidos en España, y para ello fuera necesaria la colaboración de los prestadores de servicios de intermediación, podrá ordenar a dichos prestadores, directamente o mediante solicitud motivada al Ministerio de Ciencia y Tecnología, que suspensan la transmisión, el alojamiento da datos, el acceso a las redes de telecomunicaciones o la prestación de cualquier otro servicio equivalente de intermediación que realizaran

Es decir, deber de colaborar a ultranza. Me gustaría que tanto "deber" estuviese contrapesado por más libertades y derechos. Si el MCYT me hubiera consultado, les hubiera recordado encantado el artículo 15 de la Directiva, cuyo espíritu se supone refleja la LSSI. Es uno de mis favoritos, así que ahí va:

Los Estados miembros no impondrán a los prestadores de servicios una obligación general de supervisar los datos que transmitan o almacenen, ni una obligación general de realizar búsquedas activas de hechos o circunstancias que indiquen actividades ilícitas, respecto de los servicios contemplados en los artículos 12, 13 y 14 [mera transmisión, memoria tampón y alojamiento de datos]

Una novedad introducide en el cuarto borrador dice que los prestadores de servicios tendrán conocimiento de una actividad delictiva (y tendrán, en consecuencia, que tomar medidas como el bloqueo o borrado de información) cuando, entre otros supuestos se hubiera declarado la existencia de la lesión, y el prestador conociera la correspondiente resolución. O sea, que alguien no identificado en la ley "declara la existencia de una lesión" y a continuación emite una "resolución" para que el prestador se dé oficialmente por enterado. Eso sí que son poderes, y no los de Spiderman.

Y en todos lados sigue apareciendo eso de la "autoridad competente" , que no hace sino ocultar lo que se denomina "autoridad administrativa." De hecho, se afirma que las referencias a la autoridad competente "se entenderán hechas a los órganos jurisdiccionales o administrativos que, en cada caso, lo sean en función de la materia." ¿No les encanta? Nada como dejar las cosas poco detalladas y escritas de forma deliberadamente ambigua... así cuando el gobierno redacte el reglamento de la Ley podrá hacerse el traje a medida.

¿Y qué es eso de "servicios de intermediación"? Pues ni más ni menos que un nuevo concepto diseñado por el MCYT que no aparece ni en la Directiva ni en ningún borrador anterior de la LSSI. Según el Ministerio es un , servicio de la sociedad de la información por el que se facilita la prestación o utilización de otros servicios de la sociedad de la información o el acceso a la información. Y aclara: son servicios de intermediación la provisión de servicios de acceso a Internet, la transmisión de datos por redes de telecomunicaciones, la realización de copia temporal de las páginas de Internet solicitadas por los usuarios, el alojamiento en los propios servidores de datos, aplicaciones o servicios suministrados por otros y la provisión de instrumentos de búsqueda, acceso y recopilación de datos o de otros enlaces a otros sitios de Internet

Así que ya lo sabe. Si su página web contiene un buscador, una base de datos o un solo hipervínculo, enhorabuena, ya es usted un servidor de intermediación. Eso sin hablar de los "prestadores de servicios" (entre los que se siguen incluyendo actividades tales como suministro de información o transmisión telemática, es decir, lo que ha hecho usted para leer estas líneas). Y no se moleste en buscar lo que es un "prestador de servicios establecido" porque, a pesar de que la Directiva lo define claramente, ni el actual borrador de la LSSI ni el anterior lo recogen. No, si cuando se trata de enfollonar las cosas, los españoles nos pintamos solos.


Supervisión y control hasta en la sopa

Este nuevo borrador no ha reducido un ápice las competencias que el MCYT se asigna a sí mismo como vigilante del ciberespacio. Peor aún. Ahora el MCYT puede realizar una inspección y, aunque no encuentre nada que viole la LSSI, puede "chivarse" a otros organismos si encuentra algo inadecuado:

37.2 (nuevo). Cuando, como consecuencia de una actuación inspectora, se tuviera conocimiento de hechos que pudieran ser constitutivos de infracciones tipificadas en otras leyes, se dará cuenta de los mismos a los órganos u organismos competentes para su supervisión y sanción.

Es decir, que si el Ministerio encuentra que la contabilidad de una empresa es incorrecta, podrá dar e aviso a Hacienda o Aduanas aunque no contravenga la LSSI Esto se estila mucho en otros lugares del mundo: se acusa a una persona o empresa de algo y se le inspecciona; luego resulta que es inocente de esa acusación, pero ya que estamos, mira, hemos encontrado que... En definitiva, una excelente forma de excederse en sus atribuciones. ¿Que la CNMV no puede inspeccionar a Telefónica? Pues le enviamos al MCYT, a ver si de pasada nos encuentra alguna irregularidad contable.

La cuantía de las sanciones se ha suavizado. Pero no se hagan ilusiones. La diferencia consiste en que, donde antes ponía "de 300.001 a 600.000 euros" ahora reza "hasta 600.00 euros." Es decir, se elimina la sanción mínima. Eso está bien, aunque si quieren buscarnos la ruina, pueden seguir haciendo.

(Por cierto, en el cuarto borrador filtrado por Makypress falta una página relativa a la cuantía de las sanciones; por ello, no podemos saber si han cambiado la naturaleza de las sanciones).

Y, como en este mundo, pocas cosas son tan permanentes como las provisionales, las "medidas de carácter provisional" han crecido. Ahora, aparte de suspender temporalmente la actividad del prestador de servicios, se podrá decretar "en su caso" el cierre provisional de todo el establecimiento, el precinto, depósito e incautación de registros, soportes y archivos informáticos, documentación en general, aparatos y equipos informáticos de todo tipo. Es decir, no se limitan a cortarnos la línea, sino que entrarán como una aspiradora y no dejarán ni los zócalos de los enchufes.

También podrán "advertir al público de la existencia de posibles conductas infractoras" Por supuesto, puede que al final resultes ser inocente. Pero mientras tanto escarnia, que algo queda...

Y un añadido estilo "alerta roja": En casos de urgencia y para la inmediata protección de los intereses implicados, las medidas provisionales previstas en el presente artículo podrán ser acordadas antes de la iniciación del expediente sancionador Así que no solamente me vaciarán la cibertienda (mesa de ordenador incluida), sino que pueden hacerlo y después me abren el expediente. Y yo me pregunto: ¿cuántas actuaciones tendrán tamaño grado de urgencia? Señores, que estamos hablando de una ley de comercio electrónico.

Y para terminar este somero análisis, ¿han visto que no he dedicado ni una palabra al spam? El segundo borrador (y la Directiva) establecían un procedimiento opt-in. El tercer borrador, de cuajo, lo prohibía. Y el cuarto borrador vuelve al opt-in. Pero no echen la culpa al pobre MCYT. Sucede que hay otra Directiva europea, aún en trámite, sobre protección de la intimidad y los datos personales en las comunicaciones electrónicas. Y ahí se habla del spam. Así que sería más juicioso esperar a ver qué pasa, en lugar de legislar a ciegas... vamos, digo yo.


Cierre sin despedida

Ustedes juzgarán si, a la vista de lo expuesto en este y otros Informes, el cuarto borrador del anteproyecto de ley LSSI va a "generar confianza" o no. Por mi parte, declaro que si para esto han pasado los responsables del Ministerio de Ciencia y Tecnología vendiéndonos la moto de la confianza, mejor despidan a todos sus expertos y contraten otros nuevos. O mejor, despidan la cúpula directiva y dejen que los expertos hagan su tarea.

 


© Arturo Quirantes 2005.  Correo electrónico: aquiran arroba ugr.es


 

Vuelta a la sección Informes del Taller de Criptografía