Taller de Criptografía - Informe 32

Nueve razones contra la LSSI


 

Fecha: 30 Mayo 2002
(También disponible como documento de la sección anti-LSSI No queremos vivir así)


En Octubre de 2001, publiqué un artículo en http://barrapunto.com explicando los nueve motivos fundamentales por los que la LSSI no me parecía buena idea. Aunque lo redacté con otro fin (evaluar si las modificaciones propuestas por la Asociación de Usuarios de Internet y la Asociación de Internautas eran suficientes), mi "queja de los nueve puntos" sigue siendo válido para explicar sucintamente los motivos que me hacen dudar de que la LSSI sea nunca una buena ley.

Borraré los comentarios sobre las modificaciones de la AI y la AUI, ya que no vienen al caso (los lectores interesados podrán encontrar el artículo original en http://barrapunto.com/article.pl?sid=01/10/04/1712256&mode=thread&threshold= bajo el título "LSSI: modificar o retirar, esa es la cuestion!") y, en su lugar, daré el estado de dhcios puntos de acuerdo con el cuarto -y de momento último- borrador del Anteproyecto.


Durante estos días he estado leyendo diversas opiniones en las que se argumenta que la LSSI no es tan mala, y que si acaso basta con retocarla aquí y allá. De hecho, una de las críticas vertidas contra Kriptópolis es que nunca han propuesto modificaciones a esta ley.

Ambos bandos tienen sus motivos. Personalmente, he visto las versiones 2, 3 y 4 del Anteproyecto, y la Directiva 2000/31/CE de la que emanan, y creo que requeriría una cantidad tal de parches y modificaciones que mejor hubiera sido comenzar desde cero. Esto quiere decir redactar una ley de comercio electrónico, dejando de lado los "servicios de la sociedad de la información" que no signifique dinero puro y duro.

Con el permiso del respetable, haré una evaluación tanto de la ley como de mis propias ideas al respecto de la Ley. Dejaré de lado la exposición de motivos y los Títulos menos conflictivos, para centrarme en los puntos filipinos.


PUNTO 1: "SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN" (LSSI)

Probablemente la crítica fundamental a la LSSI es que considera SSI prácticamente todo lo que pulula por la Red. De hecho, define los SSI como "servicios prestados normalmente a título oneroso, a distancia, por vía electrónica y a petición individual del destinatario" En la propia exposición de motivos, se viene a decir que un SSI es "cualquier servicio que se preste a petición individual del interesado"... por ejemplo, leer este mensaje, que os habrá llegado por algún medio (boletín, lista de correo, foro, etc) que pedisteis en su momento.

El problema es que esta definición de un SSI choca frontalmente con la que da la Directiva, y se supone que la LSSI es una adopción de la Directiva comunitaria al ordenamiento jurídico nacional. Es decir, cualquier definición de SSI que no sea la dada por la LSSI viola la Directiva, con lo que estamos en un callejón sin salida. Ninguna modificación razonable podrá modificar este nudo gordiano.

Solución dada por el cuarto borrador: La definición de "servicio de la sociedad de la información" permanece ... e incluso ha sido acompañada por la de "servicio de intermediación."


PUNTO 2: OBJETO DE LA LEY (Artículo 1)

La LSSI afirma que el objetivo de la ley es "regular el régimen jurídico de los SSI" en tanto que la Directiva habla simplemente de "determinados aspectos jurídicos" de los SSI. La Ley incluye muchos aspectos (de hecho, lo incluye casi todo), pero viene bien hacer esa puntualización.

Solución dada por el cuarto borrador: La LSSI sigue "regulando el régimen jurídico de los SSI"


PUNTO 3: NO SUJECIÓN A AUTORIZACIÓN PREVIA

Tanto la Directiva como la LSSI afirman que "la prestación de SSI no estará sujeta a autorización previa" Por desgracia, en la LSSI falta la segunda parte de esta frase: "ni a ningún otro requisito con efectos equivalentes" Ya el 23 de Mayo critiqué este "olvido" en el Informe 29, el 23 de Mayo.

Solución dada por el cuarto borrador: Sigue sin reconocerse la no autorización previa "sin requisitos a efectos equivalentes"


PUNTO 4: PRINCIPIOS FUNDAMENTALES DE LA CONVIVENCIA SOCIAL

En este, y en otros artículos, se habla de "autoridades competentes". Una propuesta más mesurada especificaría "autoridad judicial" y restringiría la aplicación de este artículo a la defensa de los derechos y deberes fundamentales de la Constitución Española, Título I. Me suena como una buena modificación, pero al no ser abogado ignoro su alcance o utilidad.

Solución dada por el cuarto borrador: La LSSI sigue aludiendo a autoridades administrativas o competentes. Las referencias a autoridades competentes "se entenderán hechas a los órganos jurisdiccionales o administrativos que, en cada caso, lo sean en función de la materia."


PUNTO 5: OBLIGACIÓN DE REGISTRARSE

Uno de los más polémicos, afirma que los prestadores de SSI deberán comunicar a los Registros Públicos "en los que, en su caso, estén inscritos, el nombre de dominio de Internet que utilicen con carácer permanente..." Esto es todo un campo minado. Por un lado, nadie sabrá cómo se aplicaría ese "en su caso" hasta que fuese interpretado por un reglamento o un funcionario. Por otro lado, ¿y si no tengo un dominio permanente? ¿Y si no tengo un dominio en absoluto? ¿Tengo que cambiar mi www.ugr.es/~aquiran por algo del tipo www.arturoquirantes.com? Este artículo demuestra la poca cultura Internet que tienen los que lo redactaron. No es un artículo que aparezca en la Directiva, y debería eliminarse.

Solución dada por el cuarto borrador: Permanece la necesidad de inscribirse en un Registro Público "para la adquisición de personalidad jurídica." Se acepta el uso de dominios "o direcciones de Internet."


PUNTO 6: OBLIGACIÓN EN RELACIÓN CON LOS CONTENIDOS

Aquí se dice qué deben hacer los prestadores de SSI en relación con los contenidos. Básicamente, deben comunicar a las autoridades judiciales o administrativas las actividades ilícitas que se produzcan, así como acatar sus órdenes, suspender servicios, bloquear información y conservar datos cuando esa autoridad lo ordene.

Nadie sabe qué es una "autoridad administrativa" ni por qué se les da la misma autoridad que una judicial. Usado literalmente, un funcionario podría, mediante "autoridad administrativa", hacer cosas como bloqueo de información, es decir, secuestro de publicaciones.

Se deberían restringir esas actuaciones a autoridades judiciales, lo que resultaría más razonable. Pero el tercer borrador permitía que las autoridades obligasen a conservar datos relativos a la actividad de un destinatario durante un máximo de seis meses. Esto forma parte de una reciente y polémica exigencia de las autoridades policiales europeas, quienes en el seno del Consejo de Ministros de Justicia e Interior de la UE proponen guardar los datos de tráfico (datos asociados a una comunicación, pero no el contenido de ésta) de todas las comunicaciones durante seis meses.

Puesto que la LSSI no especifica si esos seis meses son del pasado o del futuro, simplemente no se sabe si habrá que grabar los datos de un destinatario, o echar mano de un "almacén de datos" para recabar dichos datos de seis meses pasados. Este punto es muy polémico, es ahora mismo objeto de enfrentamientos entre el consejo y el dúo Parlamento Europeo /Comisión.

Solución dada por el cuarto borrador: Permanecen las obligaciones con relación a los contenidos, aunque se ha eliminado la obligación de guardas comunicaciones durante seis meses.


PUNTO 7: RÉGIMEN DE RESPONSABILIDAD

Dichos artículos especifican cómo y en qué circunstancias los prestadores de SSI serán responsables. Vuelve aquí a aparecer el peligroso concepto de "autoridad administrativa".

Sigo teniendo la impresión de que toda esta ristra de responsabilidades es agobiante, restrictiva y hasta cierto punto innecesaria. ¿Es Correos responsable de lo que se dice en las cartas que envía? ¿Debe Amena suspender un servicio telefónico porque se le diga que está siendo usado para actividades ilegales? ¿Será responsable el editor de un periódico de las cartas de sus lectores? ¿Si hay un cartel con amenazas de muerte contra alguien, tiene el portero o el dueño del edificio obligación de quitarlo, o responsabilidad si no lo hace? Creo que habría que considerar a los prestadores de SSI menos como responsables y más como meros prestadores de un servicio, que es lo que son.

Más "delito" tiene el artículo 17. Trata de la responsabilidad de los que ponen un enlace a una dirección ilícita, o los que tienen un motor de búsqueda que proporcione información ilícita. Eso nos obligaría a revisar todos nuestros enlaces periódicamente, no sea que alguno haya sido declarado ilícito ... eso suponiendo que tengamos conocimientos jurídicos para saber qué es ilícito y qué no lo es. Y respecto a los motores de búsqueda: esto haría a Lycos, Yahoo, Goggle y demás buscadores responsable de todo lo que se encuentre gracias a ellos, y eso incluye todas las páginas de Internet. Este punto es tan polémico que la propia Directiva lo deja para más adelante, según se vea cómo van las cosas. Pero la LSSI lo incorpora sin rubor.

Finalmente, hay un artículo en la Directiva (el nº 15) que me parece uno de los más importantes: "inexistencia de obligación general de supervisión". Indica justamente eso: que no se impondrán a los prestadores una obligación general de supervisar los datos que transmitan o almacenen, ni una obligación general de realizar búsquedas activas de actividades ilícitas. Eso NO se dice en la LSSI, y tampoco se incorpora en la propuesta de la AI. Y este artículo es muy importante, porque si no se prohibe significa que se puede permitir. ¿Tanto miedo le da al gobierno incorporarlo a la LSSI?

Teniendo en cuenta que los códigos de conducta que se espera elaboren los prestadores pueden incluir "los procedimientos para la detección y retirada de contenidos ilícitos", esto podría dar vía libre a los restadores para hacer rastreos voluntarios de supervisión, con el único fin de no meterse en problemas legales. El internauta podría ver su página borrada o su información bloqueada, no porque una autoridad judicial lo ordene, sino simplemente porque los prestadores así lo decretan. Y si no te gusta, ajo y agua. Dejar ese artículo de la Directiva en el tintero me parece hacer un flaco favor a los internautas.

Solución dada por el cuarto borrador: Ninguna


PUNTO 8: SUPERVISIÓN Y CONTROL

El MCYT se autoatribuye las "obligaciones" de supervisión y control de los prestadores de SSI, realizará las actuaciones inspectoras necesarias para su función de control e impone a los prestadores el deber de colaborar con el MCYT en el ejercicio de estas funciones.

Esto puede dar lugar a un galimatías. ¿Quién es organismo competente en esta Ley: Ciencia y Tecnología, Interior, Economía, Hacienda? Si resulta que es el MCYT, pues no hemos hecho nada.

Son necesarias establece mayores protecciones en el caso de que durante las labores de inspección se pueda ver afectado algún derecho fundamental, en cuyo caso deberá mediar resolución judicial de por medio. Pero ¿y cuando los derechos no se consideran "fundamentales"? Repito, no soy abogado. Pero no me parece oportuno que una autoridad, sea la que sea, pueda husmear por donde quiera sin orden judicial. En este punto, reconozco mi ignorancia. Y precisamente por eso los abogados deberían estudiar estos artículos cuidadosamente.

Solución dada por el cuarto borrador: Ninguna


PUNTO 9: INFRACCIONES Y SANCIONES

Se ha criticado la cuantía de las sanciones, que pueden significar una verdadera losa para los pequeños pececillos y una minucia para los grandes.

Solución dada por el cuarto borrador: Se ha eliminado la cuantía mínima de las sanciones, no así la máxima (es decir "hasta 600.000 euros" un lugar de "de 300.001 a 600.000 euros")



De sabios es rectificar. Pero a despecho de sus modificaciones (o propuestas de), la LSSI sigue siendo un texto legal inadecuado para el ciberespacio español. A pesar de los "esfuerzos" por parte del MCYT para redactar una ley de comercio electrónico:


  • el tema de la no sujeción a autorización previa sigue cojo

  • el régimen de responsabilidades y obligaciones por parte de los prestadores sigue siendo, cuando menos, polémico.

  • las infracciones siguen siendo desproporcionadas

  • Y, lo más importante, los servicios de la sociedad de la información siguen definidos de tal modo que no puede separarse razonablemente la actividad internauta "no remunerada" del comercio electrónico a secas. Este punto está enraizado en la Directiva (la cual, a su vez, se remite a una directiva anterior) y no puede ser modificada satisfactoriamente sin violar dicha Directiva.

Por todo lo anterior, me ratifico en su postura. Una LSSI creíble precisaría tantos parches y modificaciones que a) se parecería a la LSSI original como un huevo a una castaña, b) no aclararía las diferencias entre comercio electrónico y otras actividades y c) en cualquier caso, no cumpliría la Directiva de la que se supone emana y c).

En consecuencia, opino que la LSSI debe ser retirada y, en su caso, sustituida por una ley de comercio electrónico y EXCLUSIVAMENTE de comercio electrónico. Eso en el supuesto de que sea realmente necesaria hacer una ley sobre comercio en Internet ... que esa es otra.

 

© Arturo Quirantes 2005.  Correo electrónico: aquiran arroba ugr.es

 

Vuelta a la sección Informes del Taller de Criptografía