Taller de Criptografía - Tribuna digital

Publicado por vez primera en: Barrapunto, 4 Octubre 2001

LSSI: modificar o retirar, esa es la cuestión
Arturo Quirantes Sierra

Durante estos días he estado leyendo diversas opiniones en las que se argumenta que la LSSI no es tan mala, y que si acaso basta con retocarla aquí y allá. De hecho, una de las críticas vertidas por la Asociación de Internautas contra Kriptópolis es que ellos, al menos, han propuesto modificaciones a esta ley, mientras que los kriptonitas propugnamos una retirada total de la ley.

Ambos bandos tienen sus motivos. Personalmente, he visto las versiones 2 y 3 del Anteproyecto, y la Directiva 2000/31/CE de la que emanan, y creo que requeriría una cantidad tal de parches y modificaciones que mejor hubiera sido comenzar desde cero. Esto quiere decir redactar una ley de comercio electrónico, dejando de lado los "servicios de la sociedad de la información" que no signifique dinero puro y duro.

Sin embargo, reconozco que sería cuando menos una descortesía por mi parte mantener mi postura sin antes haber examinado la propuesta alternativa de la AI. Lo he hecho, y mi conclusión es la misma: si bien es una mejora sustancial respecto al original, se queda corto. No diré, como Manolo Gómez, que es un mero maquillaje, pero tampoco puedo decir en conciencia que esta modificación vaya a dejarnos dormir tranquilos.

Con el permiso del respetable, haré una evaluación tanto de la propuesta de la AI como de mis propias ideas al respecto de la Ley. Dejaré de lado la exposición de motivos y los Títulos menos conflictivos, para centrarme en los puntos filipinos. Pueden ver dicha propuesta en http://www.internautas.org/propuestalssi.htm

PUNTO 1: "SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN" (LSSI)

Probablemente la crítica fundamental a la LSSI es que considera SSI prácticamente todo lo que pulula por la Red. De hecho, define los SSI como "servicios prestados normalmente a título oneroso, a distancia, por vía electrónica y a petición individual del destinatario." En la propia exposición de motivos, se viene a decir que un SSI es "cualquier servicio que se preste a petición individual del interesado"... por ejemplo, leer este mensaje, que os habrá llegado por algún medio (boletín, lista de correo, foro, etc) que pedisteis en su momento.

La propuesta de la AI es exigir que un SSI, además de a distancia, por vía electrónica y a petición del destinatario, represente "una actividad económica para el prestador de servicios, y con una finalidad comercial", todos estos requisitos a la vez.

Bastante razonable. El problema es que esta definición de un SSI choca frontalmente con la que da la Directiva, y se supone que la LSSI es una adopción de la Directiva comunitaria al ordenamiento jurídico nacional. Es decir, cualquier definición de SSI que no sea la dada por la LSSI viola la Directiva, con lo que estamos en un callejón sin salida. Ninguna modificación razonable podrá modificar este nudo gordiano. Esto incluye otra propuesta de la AI, a saber, la de excluir explícitamente servicios como ftp, intercambios de ficheros y otros, que no tengan como fin último una actividad comercial y económica.

PUNTO 2: OBJETO DE LA LEY (Artículo 1)

La LSSI afirma que el objetivo de la ley es "regular el régimen jurídico de los SSI" en tanto que la Directiva habla simplemente de "determinados aspectos jurídicos" de los SSI. La Ley incluye muchos aspectos (de hecho, lo incluye casi todo), pero viene bien hacer esa puntualización. Me parece bien esa modificación.

PUNTO 3: NO SUJECIÓN A AUTORIZACIÓN PREVIA (Artículo 6)

Tanto la Directiva como la LSSI afirman que "la prestación de SSI no estará sujeta a autorización previa" Por desgracia, en la LSSI falta la segunda parte de esta frase: "ni a ningún otro requisito con efectos equivalentes" Ya el 23 de Mayo critiqué este "olvido" en http://www.ugr.es/~aquiran/cripto/informes/info029.htm, el 23 de Mayo. Este "olvido" ha quedado subsanado en la propuesta de la AI. Personalmente me duele que se apunten el tanto sin darme crédito, pero tampoco vengo aquí a colgarme medallas.

PUNTO 4: PRINCIPIOS FUNDAMENTALES DE LA CONVIVENCIA SOCIAL (Artículo 8)

En este, y en otros artículos, se habla de "autoridades competentes". La propuesta de la AI especifica "autoridad judicial" y restringe la aplicación de este artículo a la defensa de los derechos y deberes fundamentales de la Constitución Española, Título I. Me suena como una buena modificación, pero al no ser abogado ignoro su alcance o utilidad.

PUNTO 5: OBLIGACIÓN DE REGISTRARSE (Artículo 9)

Uno de los más polémicos, afirma que los prestadores de SSI deberán comunicar a los Registros Públicos "en los que, en su caso, estén inscritos, el nombre de dominio de Internet que utilicen con carácter permanente..." Esto es todo un campo minado. Por un lado, nadie sabrá cómo se aplicaría ese "en su caso" hasta que fuese interpretado por un reglamento o un funcionario. Por otro lado, ¿y si no tengo un dominio permanente? ¿Y si no tengo un dominio en absoluto? ¿Tengo que cambiar mi www.ugr.es/~aquiran por algo del tipo www.arturoquirantes.com ?

Este artículo demuestra la poca cultura Internet que tienen los que lo redactaron. No es un artículo que aparezca en la Directiva, y debería eliminarse. Efectivamente, la propuesta de la AI lo elimina.

PUNTO 6: OBLIGACIÓN EN RELACIÓN CON LOS CONTENIDOS (Artículo 11)

Aquí se dice qué deben hacer los prestadores de SSI en relación con los contenidos. Básicamente, deben comunicar a las autoridades judiciales o administrativas las actividades ilícitas que se produzcan, así como acatar sus órdenes, suspender servicios, bloquear información y conservar datos cuando esa autoridad lo ordene.

Nadie sabe qué es una "autoridad administrativa" ni por qué se les da la misma autoridad que una judicial. Usado literalmente, un funcionario podría, mediante "autoridad administrativa", hacer cosas como bloqueo de información, es decir, secuestro de publicaciones.

La propuesta de la AI restringe esas actuaciones a autoridades judiciales, lo que resulta más razonable. Pero sigue permitiendo que las autoridades obliguen a conservar datos relativos a la actividad de un destinatario durante un máximo de seis meses. Esto forma parte de una reciente y polémica exigencia de las autoridades policiales europeas, quienes en el seno del Consejo de Ministros de Justicia e Interior de la UE proponen guardar los datos de tráfico (datos asociados a una comunicación, pero no el contenido de ésta) de todas las comunicaciones durante seis meses.

Puesto que la LSSI no especifica si esos seis meses son del pasado o del futuro, simplemente no se sabe si habrá que grabar los datos de un destinatario, o echar mano de un "almacén de datos" para recabar dichos datos de seis meses pasados. Este punto es muy polémico, es ahora mismo objeto de enfrentamientos entre el consejo y el dúo Parlamento Europeo /Comisión, NO aparece en la Directiva y NO ha sido suprimido por la propuesta de la AI.

PUNTO 7: RÉGIMEN DE RESPONSABILIDAD (Artículos 12-17)

Dichos artículos especifican cómo y en qué circunstancias los prestadores de SSI serán responsables. Vuelve aquí a aparecer el peligroso concepto de "autoridad administrativa", que la propuesta de la AI procura eliminar.

Sin embargo, sigo teniendo la impresión de que toda esta ristra de responsabilidades es agobiante, restrictiva y hasta cierto punto innecesaria. ¿Es Correos responsable de lo que se dice en las cartas que envía? ¿Debe Amena suspender un servicio telefónico porque se le diga que está siendo usado para actividades ilegales? ¿Será responsable el editor de un periódico de las cartas de sus lectores? ¿Si hay un cartel con amenazas de muerte contra alguien, tiene el portero o el dueño del edificio obligación de quitarlo, o responsabilidad si no lo hace? Creo que habría que considerar a los prestadores de SSI menos como responsables y más como meros prestadores de un servicio, que es lo que son.

Más "delito" tiene el artículo 17. Trata de la responsabilidad de los que ponen un enlace a una dirección ilícita, o los que tienen un motor de búsqueda que proporcione información ilícita. Eso nos obligaría a revisar todos nuestros enlaces periódicamente, no sea que alguno haya sido declarado ilícito ... eso suponiendo que tengamos conocimientos jurídicos para saber qué es ilícito y qué no lo es. Y respecto a los motores de búsqueda: esto haría a Lycos, Yahoo, Goggle y demás buscadores responsable de todo lo que se encuentre gracias a ellos, y eso incluye todas las páginas de Internet. Este punto es tan polémico que la propia Directiva lo deja para más adelante, según se vea cómo van las cosas. Pero la LSSI lo incorpora sin rubor, y la propuesta de la AI lo permite.

Finalmente, hay un artículo en la Directiva (el nº 15) que me parece uno de los más importantes: "inexistencia de obligación general de supervisión". Indica justamente eso: que no se impondrán a los prestadores una obligación general de supervisar los datos que transmitan o almacenen, ni una obligación general de realizar búsquedas activas de actividades ilícitas. Eso NO se dice en la LSSI, y tampoco se incorpora en la propuesta de la AI. Y este artículo es muy importante, porque si no se prohíbe significa que se puede permitir. ¿Tanto miedo le da al gobierno incorporarlo a la LSSI?

Teniendo en cuenta que los códigos de conducta que se espera elaboren los prestadores pueden incluir "los procedimientos para la detección y retirada de contenidos ilícitos", esto podría dar vía libre a los restadores para hacer rastreos voluntarios de supervisión, con el único fin de no meterse en problemas legales. El internauta podría ver su página borrada o su información bloqueada, no porque una autoridad judicial lo ordene, sino simplemente porque los prestadores así lo decretan. Y si no te gusta, ajo y agua. Dejar ese artículo de la Directiva en el tintero me parece hacer un flaco favor a los internautas.

PUNTO 8: SUPERVISIÓN Y CONTROL (Artículos 40-43)

El MCYT se autoatribuye las "obligaciones" de supervisión y control de los prestadores de SSI, realizará las actuaciones inspectoras necesarias para su función de control e impone a los prestadores el deber de colaborar con el MCYT en el ejercicio de estas funciones.

La propuesta de la AI traspasa esas atribuciones a "los Organismos competentes", lo que no es decir mucho, porque puede dar lugar a un galimatías. ¿Quién es organismo competente en esta Ley: Ciencia y Tecnología, Interior, Economía, Hacienda? Si resulta que es el MCYT, pues no hemos hecho nada.

La propuesta de la AI establece mayores protecciones en el caso de que durante las labores de inspección se pueda ver afectado algún derecho fundamental, en cuyo caso deberá mediar resolución judicial de por medio. Pero ¿y cuando los derechos no se consideran "fundamentales"? Repito, no soy abogado. Pero no me parece oportuno que una autoridad, sea la que sea, pueda husmear por donde quiera sin orden judicial. En este punto, reconoczo mi ignorancia. Y precisamente por eso los abogados deberían estudiar estos artículos cuidadosamente.

PUNTO 9: INFRACCIONES Y SANCIONES (Artículos 44-49)

Se ha criticado la cuantía de las sanciones, que pueden significar una verdadera losa para los
pequeños pececillos y una minucia para los grandes. La propuesta de la AI no modifica esta cuestión.

Como veréis, las numerosas modificaciones de la propuesta AI resuelven algunos problemas, y dejan otros sin resolver. Y esta propuesta de la AI se efectuó hacia Junio, un mes después de la denuncia de Kriptópolis y mucho después de comenzar a trabajar en el borrador de la LSSI con el MCYT. De hecho, tras la denuncia de Kriptópolis, la AI afirmó que el borrador era un buen texto y les extrañaba que tantas minas escondidas se les hubiese pasado por alto.

De sabios es rectificar. Pero a despecho de sus modificaciones (o propuestas de), la LSSI sigue siendo un texto legal inadecuado para el ciberespacio español. A pesar de los esfuerzos por parte de la AI:

        - el tema de la no sujeción a autorización previa sigue cojo

        - el régimen de responsabilidades y obligaciones por parte de los prestadores sigue siendo, cuando menos, polémico.

        - las infracciones siguen siendo desproporcionadas

Y, lo más importante, los servicios de la sociedad de la información siguen definidos de tal modo que no puede separarse razonablemente la actividad internauta "no remunerada" del comercio electrónico a secas. Este punto está enraizado en la Directiva (la cual, a su vez, se remite a una directiva anterior) y no puede ser modificada satisfactoriamente sin violar dicha Directiva.

Por todo lo anterior, me ratifico en su postura. Una LSSI creíble precisaría tantos parches y modificaciones que a) se parecería a la LSSI original como un huevo a una castaña, b) no aclararía las diferencias entre comercio electrónico y otras actividades y c) en cualquier caso, no cumpliría la Directiva de la que se supone emana y c).

En consecuencia, opino que la LSSI debe ser retirada y, en su caso, sustituida por una ley de comercio electrónico y EXCLUSIVAMENTE de comercio electrónico. Eso en el supuesto de que sea realmente necesaria hacer una ley sobre comercio en Internet ... que esa es otra.

Arturo Quirantes Sierra, kriptonita.

© Arturo Quirantes Sierra. Algunos derechos reservados según Licencia Creative Commons