Taller de Criptografía - Informe 33

He aquí (el anteproyecto de) la LSSI



 


Fecha: 8 Febrero 2002
(También disponible como documento de la sección anti-LSSI No queremos vivir así)


Bien, aquí está. La Ley de Servicios de la Sociedad de la Información (LSSI) ha sido aprobada en el Consejo de Ministros de hoy. El Anteproyecto aprobado, que puede descargarse desde la dirección http://www.setsi.mcyt.es/lssi/pdf/anteproyecto_lssice.zip ha visto por fin la luz. Ahora queda que nosotros los internautas lo leamos, lo evaluemos, y a la vista de ello decidamos si podemos vivir con esa ley.

No cabe duda de que se habrán producido modificaciones desde su primera redacción. La pregunta es: ¿serán suficientes? Veamos cuáles son los principales puntos en discordia


1) ¿Quién es un "prestador de servicios"?

La curiosa fraseología del Anteproyecto (derivada, a su vez, de la Directiva europea 2000/31/CE en la que se basa) habla del concepto de prestador de servicios. A partir de ahora lo que se ofrecerán en la Red serán servicios de la sociedad de la información (SSI). ¿Y eso qué es? Pues según el Anexo I, es todo servicio prestado normalmente a título oneroso, a distancia, por vía electrónica y a petición individual del destinatario. Como véis, una definición bastante amplia, ya que la palabra "normalmente" parece implicar que incluso cuando no se presten a título oneroso pueden considerarse como tal.

Esta ambigüedad queda reforzada en el siguiente párrafo, donde se afirma que el concepto de SSI comprende también los servicios no remunerados por sus destinatarios, en la medida en que constituyan una actividad económica para el prestador de servicios. Según esto, si un boletín ofrece información mediante enlaces a una página web, y en ésta se hallan anuncios (banners), no solamente la página sino el propio boletín se consideran SSI. No importa que el boletín sea gratuito. Cualquier cosa puede en última instancia ser ligado a una actividad económica.

¿Es que acaso ofrecer información ya no es una actividad altruista? ¿Hay que tasar el suministro de información, darle un valor monetario y considerarlo una actividad económica? Eso parece. La LSSI lista explícitamente los servicios que -representando una actividad económica- se consideran servicios. Junto a definiciones de comercio electrónico clásico (como contratación de bienes y servicios, gestión de compras y organización de subastas), aparece el suministro de información, el alojamiento de datos y el ofrecimiento de buscadores, enlaces y sistemas de recopilación de datos.

Señores, la información ya no es libre. Perdón, he traducido la palabra "free" incorrectamente. La información ya no es gratis. Si este mismo texto se envía a una lista de correo como lssi@elistas.net, será difundida por mensajes e-mail en cuyo final aparecen un par de líneas de publicidad. Es la manera que tiene alojadores como elistas de proporcionar servicios gratuitos. Como ellos, supongo, cobran a los anunciantes, significa que ellos son un prestador de servicios. Pero también significa que YO soy un prestador de servicios, y ESTE MENSAJE es un servicio de la sociedad de la información. Poco importa que yo esté escribiendo de forma altruista, sin esperar ganar más que dolores de cabeza. Y lo mismo se aplicará a todos esos emprendedores internautas que alojan algunos banners en su página web con la esperanza de, cuando menos, reducir la tarifa telefónica o los pagos al proveedor.

Curiosamente, no se considerarán SSI los ofrecidos mediante telex, fax, telefonía vocal o teletexto. Así que no seré un prestador de servicios si les ofrezco este mensaje por teléfono.

Pero hay más aún. En las últimas versiones de la LSSI se define el concepto de "servicio de intermediación," que ni tan siquiera se menciona en la Directiva 2000/31/CE: es un SSI por el que se facilita la prestación de otros SSI. No parece que al gobierno español le parezca suficiente la definición de prestador de servicios, que ahora tienen que incluir los intermediadores. Y, en una paradójica omisión, la Ley de Servicios de la Sociedad de la Información y Comercio Electrónico no define el término "comercio electrónico." De hecho, la expresión "comercio electrónico" no aparecen en ningún lugar de la ley (exceptuados la exposición de motivos, el título y los pies de página). Sí hay en la Directiva un "prestador de servicios establecido (prestador que ejerce de manera efectiva una actividad económica a través de una instalación estable y por un período de tiempo indeterminado), cosa que se acerca bastante a lo que entendemos habitualmente por comercio electrónico ... pero no esperen encontrar nada parecido en la LSSI. Como siempre, el gobierno toma lo que quiere y añade el resto.


2) ¿Dónde me escapo de la LSSI?

Todos sabemos que en el mundo digital de hoy, lo mismo da tener nuestra página web en un servidor ubicado físicamente en la calle de al lado que en Tuvalu o Kazajstán. Pero nuestro querido Ministerio de Ciencia y Tecnología no quiere ponérnoslo tan fácil. Según el artículo 2, se entenderá que un prestador de servicios está establecido en España cuando su residencia o domicilio social se encuentren en territorio español, o bien en el lugar donde se gestionen los negocios o servicios prestados, o bien los que presten un servicio a través de un establecimiento permanente situado en España.

La ley también se aplicará (Artículo 3) a los prestadores radicados en países de la Unión Europea o el EEE (Espacio Económico Europeo) si prestan servicios a destinatarios en España, aunque solamente cuando afecte a ciertas materias específicas. ¿Y si me voy fuera de la UE y el EEE? Tanto da. Si un prestador ofrece servicios específicamente al territorio español, sigue sujeto a la LSSI. Así que Kriptopolis.com, que ahora tiene sus servidores alojados en Estados Unidos, es según la LSSI un prestador español. Ni siquiera nos dejan exiliarnos.


3) ¿Hace falta carné de navegante?

Hay bastante polémica sobre este punto, así que vamos a intentar aclararnos. La Directiva afirma tajantemente que el acceso a la actividad de prestador de servicios de la sociedad de la información no pueda someterse a autorización previa ni a ningún otro requisito con efectos equivalentes. La LSSI se hace eco de ello, aunque borra lo de "ni a ningún otro requisito con efectos equivalentes." En un país donde hecha la ley, hecha la trampa, no sería difícil pensar en mil y una formas de introducir una autorización previa de facto, ya que no de nombre. Podría tomar la forma de exámenes de capacitación (como a los radioaficionados), necesidad de estar dado de alta en algún otro registro, tasas de inscripción... Pero supongamos que no somos malpensados, y tomamos la palabra a la LSSI.


Incluso en ese caso, el artículo 9 (constancia registral del nombre de dominio) introduce sus dudas. En versiones anteriores afirmaba que un prestador de SSI tendría que comunicar su nombre de dominio a los Registros Públicos en los que, en su caso, estén inscritos. Eso generó suspicacia. Si no hay que pedir autorización previa, ¿a santo de qué se supone que tenemos que inscribirnos en un Registro? Ahora los prestadores de SSI tendrán que inscribirse en el Registro Mercantil en el que se encuentren inscritos, o aquél otro Registro Público en el que lo estuvieran para la adquisición de personalidad jurídica o a los solos efectos de publicidad.

Reconozco que no soy abogado, así que no sé si es realmente necesario inscribirse en un registro público para adquirir personalidad jurídica, pero eso de inscribirse para que le den a uno publicidad me resulta cuando menos chocante. ¿Si me inscribo en el registro, acaso van a darme un anuncio gratis en el BOE o en TVE? Es posible que el Anteproyecto definitivo haya mitigado el problema. Pero yo sigo sintiéndome incómodo. Si se supone que soy un prestador por el mero hecho de escribir esto, ¿voy a tener que inscribirme en un Registro Mercantil solamente por eso? ¿O voy a tener que pasar por el aro del registro público para "adquirir personalidad jurídica"? Siempre he creído tener personalidad, pero no necesariamente jurídica. Personalmente, creo que mientras sigamos siendo considerados "prestadores de servicios" vamos a tener que sufrir las mismas pejigueras legales que cualquier empresa de comercio electrónico.


3) ¿Puede el gobierno alegar la razón de Estado?

En un apartado que antes llevaba el bonito nombre de "respeto a principios fundamentales de la convivencia social" y ahora se llama "restricciones a la prestación de servicios" (Artículo 8), las autoridades competentes podrán interrumpir la prestación de un servicio, o retirar datos, cuando se estime que se atente o se pueda atentar contra ciertos principios básicos: el orden público, la investigación penal, la seguridad pública y la defensa nacional; la protección de la salud pública; el respeto a la dignidad de la persona y a la no discriminación por raza, sexo, religión, opinión, nacionalidad o cualquier otra circunstancia personal o social; la protección de la salud y de la infancia.

Todo suena muy razonable, pero lean de nuevo. En primer lugar, se afirma que el servicio atente o pueda atentar contra esos principios. Es decir, no hay que esperar a que se cometa el delito. Si alguien piensa que voy a poner pornografía infantil pueden actuar incluso antes de que lo haga. ¿Qué hay de aquello de primero se delinque y luego se castiga? ¿Se va ahora a castigar preventivamente? Es como si un padre castigase a un hijo porque piensa que lo mismo va a comerse el tarro de las galletas.

En segundo lugar, tantos principios básicos dan para mucho. El "orden público" es un concepto muy elástico, que ha sido tradicionalmente usado por las fuerzas policiales para meterse con quien les estorba. Si yo convoco por Internet a una protesta frente al Parlamento contra la LSSI podría caer dentro de esta definición, por pacífica e inocua que pueda ser. Podrían incluso cerrarme el acceso a Internet ya, no vaya a ser que se me ocurra hacerlo en el futuro.

En tercer lugar, la no discriminación resulta amplia en exceso. ¿Y si yo niego la entrada a mis páginas a elementos fascistas o racistas? Yo estaría discriminándolos por motivo de opinión. ¿Y si la "circunstancia personal o social" de una persona consiste en que es un violador de niños y yo me niego a chatear con él?

En cuarto lugar, opiniones razonables y moderadas podrían ser también cortadas de raiz. Puedo ser partidario de la república. Puedo denunciar un caso de corrupción alimentaria. Puedo presentar pruebas no admitidas en un proceso penal. Puedo pensar que no hay disponible cierta información sobre el mal de las vacas locas, o los efectos terapéuticos del cannabis, o el uranio empobrecido. Échenle ustedes imaginación, verán como encuentran formas perfectamente decentes de atentar contra esos sacrosantos principios.

Para ser justos, hay que apuntar que en la LSSI se afirma que se respetarán las garantías sobre intimidad personal y familiar, protección de datos personales, libertad de expresión y de información. Menos mal. Pero si me topo con una autoridad competente que no tolera el republicanismo (o un estamento militar que no desea que hable de la cantidad de minas que nuestros soldados pueden pisar en Afganistán), estoy a expensas de que me bloqueen la información que yo he ofrecido, y después me ponga a reclamar. Teniendo en cuenta la rapidez de los procesos legales en España, puede que para cuando me dieran la razón Afganistán sea de nuevo republicana. También se me aseguran que las medidas a tomar contra mí serían proporcionadas y objetivas, pero también pueden ser cautelares, lo que significa: esa web fuera, y después ya hablaremos.


4) ¿A qué estoy obligado?

Puesto que parece que a todos nos va a tocar eso de ser "prestadores de servicios", bueno será ver a qué nos compromete eso. Para empezar, tenemos que poner en lugar bien visible y de forma electrónica, todo esto:

  • Nombre, denominación social, domicilio, dirección de e-mail

  • Datos de mi inscripción en el Registro

  • (Si ejerzo una profesión regulada) Datos sobre mi colegio profesional, Estado donde se me expidió el título, normas profesionales que se me aplican

  • Número de Identificación Fiscal

Así que ya sabéis. Si queréis mantener ese banner por el que os pagan medio céntimo al mes, ya podéis estar sacándoos el NIF, inscribiéndose en el registro (a los solos efectos de publicidad, claro) y proclamando al mundo quiénes sois y dónde vivís. Ah, y una dirección de correo electrónico donde cualquier gracioso pueda mandaros un virus o un spam.

En segundo lugar, os corresponde el deber de sumisión absoluta (Artículo 11: Deber de colaboración de los prestadores de servicios de intermediación). Cuando una autoridad competente así lo ordene, tendréis que suspender la transmisión, alojamiento, acceso o prestación de servicios. ¿Que quién ese esa autoridad competente? No sé, pero se supone que es el órgano jurisdiccional o administrativo que, en cada caso, lo sea en función de la materia. Seguirán siendo medidas objetivas, proporcionadas y con las garantías procesales adecuadas. Pero vaya usted a saber dónde pone cuál es la autoridad competente "en función de la materia."

Según algunos, eso deja claro que sólo la autoridad judicial podría cerrar una publicación digital, ya que es la competente. Bueno, imagínense esto: yo publico este texto en un diario digital; en ese diario aparece un banner donce aparece publicidad engañosa. Según eso, una "autoridad administrativa" podría obligar a retirar ese banner. Pero ¿y si decide que el método más eficaz y menos proclive al fraude para lograrlo consiste en retirar toda la publicación? Rebuscado, ¿no? Pues eso es lo que pasa cuando las cosas no se escriben claramente.

Con todo, reconozco que ha habido mejoras respecto al anteproyecto de Mayo del 2000. Allí se obligaba a los prestadores, no solamente a bloquear la información y cerrar accesos, sino también a comunicar actividades presuntamente ilícitas (es decir, hacer de chivatos sin saber del asunto), todo a solicitud de una autoridad judicial o administrativa.

Pero no doblen las campanas todavía. A pesar de lo que pueda parecer, las autoridades administrativas siguen latentes. En el capítulo sancionador (esa es otra), se considera como faltas muy graves, el incumplimiento de las órdenes dadas, en virtud de los artículos 8 y 11 cuando lo ordene una autoridad administrativa competente. Todo eso de la defensa nacional, la investigación penal, la no discriminación ... todo eso puede decretarlo una autoridad administrativa. Así que la posibilidad de que un funcionario "administrativo" puede cerrar la web de informativostele5.es en función de sus atribuciones sigue vivo y coleando.

¿Y la responsabilidad por los servicios que ofrezco? Bien, en primer lugar, supongamos que soy Yahoo España y ofrezco espacio web y cuentas e-mail a mis usuarios. No seré responsable de los datos que ellos almacenen, pero solamente si a) yo no sé que hagan nada ilegal, o b) tengo conocimiento de la ilegalidad pero retiro la información de inmediato.

Y vuelta al problema de las autoridades. Se supone que yo tengo conocimiento efectivo de que hay una actividad si una "autoridad competente" así me lo indica, o bien si los acuerdos voluntarios así lo establecen. Eso de "acuerdos voluntarios" es, como indica su nombre, un conjunto de códigos de conducta voluntarios elaborados por asociaciones de prestadores de servicios. Esto significa que los ISP, de motu propio, pueden establecer procedimientos para detectar y retirar contenidos ilícitos. No hace falta ser un lince para concluir que esto puede llevar a una autocensura, en la que los proveedores, ante la posibilidad de sanciones, cierres cautelares procesos judiciales, decidan ellos mismos hacer de censores de la información que albergan, negando la contratación de servicios -o cancelándolos- a los usuarios de páginas molestas, irritantes o polémicas.

Y aunque sean acuerdos "voluntarios", el gobierno ha dejado bien claro en esta ley que se preocupará muy mucho en "impulsar" este tipo de acuerdos. Dada la presión que puede ejercer un gobierno nacional, sobre todo en épocas como la actual de paranoia antiterrorista, no resulta difícil ver que esa voluntariedad puede acabar fácilmente convirtiendo en una especie de "o atente a las consecuencias." Ello en flagrante violación (en espíritu al menos, si no en letra) del Artículo 15 de la Directiva que el gobierno español -descuidados ellos- ha olvidado incluir en la LSSI: Inexistencia de obligación general de supervisión 1. Los Estados miembros no impondrán a los prestadores de servicios una obligación general de supervisar los datos que transmitan o almacenen, ni una obligación general de realizar búsquedas activas de hechos o circunstancias que indiquen actividades ilícitas.

Si tanto quieren proteger a los internautas, ¿dónde escondieron este artículo? Claro que no es la primera desviación de la LSSI respecto a la Directiva. Total, ésta no impone restricciones a los enlaces o motores de búsqueda, cosa que sí hace nuestra ley. Ay, esa memoria selectiva...


5) ¿Spam o no spam?

Este es uno de los puntos más polémicos de la LSSI. O mejor dicho, lo fue en un tiempo, antes de que la preocupación por la autorización previa y las "autoridades competentes" lo dejaran al margen. De hecho, la prohibición del correo electrónico no solicitado (spam) fue una de las bazas principales de la Asociación de Internautas (AI) a la hora de defender las bondades de la LSSI.

Lo cierto es que este punto parece variar más que el IBEX 35. Las opciones sobre el spam son, básicamente cuatro:

  • Prohibición total

  • Listas de exclusión voluntaria (opt-out). Se permite, a menos que el destinatario exprese su oposición, para lo cual se inscribirá en una lista a tal efecto.

  • Listas de inclusión voluntaria (opt-in). Se prohibe, a menos que el destinatario haya dado su consentimiento explícito, apuntándose en una lista a tal efecto.

  • Permisividad total.

    Es decir, en el opt-in te tenían que pedir permiso para spamearte; en el opt-out, te spammean a menos que te quejes expresamente.

    Bien, pues en el segundo anteproyecto de la LSSI, de Enero de 2001, la opción que aparecía era la de opt-out, y eso después de que la Asociación de Internautas hubiese mantenido conversaciones con el MCYT en este sentido. En el tercer anteproyecto (fechado el 30 de Abril, aunque apareció el 11 de Mayo, justo dos días después de la campaña anti-lssi de Kriptopolis), la elección cambia a la de opt-in. El anteproyecto final incluye asimismo la opción opt-in. Con ello se han ganado la antipatía tanto de la comunidad internauta (partidaria de una prohibición total) como de las empresas del sector (más proclives a un opt-out).

    Lo paradójico es que el tema del spam puede no quedar resuelto. En la actualidad se está desarrollando en Bruselas una Directiva sobre el tema de la privacidad y protección de datos en las comunicaciones electrónicas. La última versión que he leido optaba por el opt-in. Pero no me hagan caso, porque el tema sigue abierto y no se sabe cómo va a terminar el asunto. Lo que está claro es que, dependiendo del resultado de esta Directiva, puede que haya que reformar esta parte de la LSSI si al final sale aprobada.


    6) ¿Cómo queda eso de las multa y la supervisión de Internet?


    Dejando aparte las "autoridades competente" que actúen en su caso, el Ministerio de Ciencia y Tecnología se autoatribuye todas las actuaciones de supervisión y control en lo que toca a esta ley (es decir, a todos los que somos "prestadores de servicios"). Los funcionarios inspectores del MCYT tendrán la consideración de autoridad pública. Todos los prestadores de servicios tendrán el deber de colaborar con ellos, y estarán sujetos a un régimen sancionador bastante draconiano. Esta era una de las materias que más polémica ha generado. Un prestador de servicios pequeño puede ser sometido a severas sanciones. Por ejemplo:

  • Por no cumplir las órdenes de bloqueo de información o cierre de acceso dadas por una autoridad administrativa: falta muy grave (entre 300.001 y 600.000 euros).

  • Por no indicar claramente datos como el nombre, dirección, e-mail, NIF; por enviar spam masivo (ojo: "masivo" significa más de tres mensajes al año a un solo destinatario, cuando éste no los haya solicitado); excusarse o negarse a las inspecciones del MCYT: falta grave (entre 60.001 y 300.000 euros).

  • Por no comunicar los datos pertinentes al registro público; por enviar un solo correo spam no solicitado: multa leve (3.000 a 60.000 euros).

    ¿Y saben quién se embolsa estas multas? Efectivamente, el Ministerio de Ciencia y Tecnología.

    Y aún queda lo mejor, es decir, lo peor. Si un prestador de servicios situado fuera de la UE y del EEE comete algunas de tales infracciones, el MCYT podrá impedir el acceso de dichos prestadores desde España. Es decir, el gobierno podrá establecer un "telón de acero" digital contra cualquier servicio o información procedente del exterior que no le guste. Esto es un privilegio del que sólo gozan los ciudadanos de países altamente represivos como China o Arabia Saudí. A partir de ahora, España podrá unirse a tan selecto club, por obra y gracia de los promotores del Plan Siglo XXI que iba a modernizarnos y a ponernos en vanguardia del mundo mundial.

    Para los que nos quedamos aquí, además de las multas anteriormente mencionadas, también nos tienen reservadas una batería de medidas cautelares (esas de "primero dispara, después pregunta"). Es decir, cuando nos sancionen -y en los casos de urgencia, antes de que nos abran siquiera el expediente sancionador- no solamente podrán suspender la actividad de nuestro prestador, sino cerrar todo el establecimiento, precintar e incautar todos nuestros documentos y equipos informáticos, y advertir al público de que se han llevado a cabo dichas medidas ... da igual que luego nos declaren inocentes, calumnia que algo queda.


    7) Guindas finales

    No quiero cansarle, amable lector, haciendo un estudio pormenorizado de la LSSI. Pero espero haberle dado las pinceladas esenciales. He aquí dos brochazos más:

    A la vista de todo lo anterior, ¿cree usted que esta ley es una buena ley? Usted mismo. Es tarde y estoy cansado. Pero ya sabe dónde está el Anteproyecto. Léalo, asimílelo. Y después, como decían en el anuncio de coches, usted mismo.

     


    © Arturo Quirantes 2005.  Correo electrónico: aquiran arroba ugr.es


     

    Vuelta a la sección Informes del Taller de Criptografía