[hackmeeting] Arturo Quirantes - Informe sobre la LSSI
Arturo Quirantes
aquiran en ugr.es
Sab Feb 9 20:05:12 CET 2002
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
He aquí (el anteproyecto de) la LSSI
Arturo Quirantes, 8 Febrero 2.001
Dirección original: http://www.ugr.es/~aquiran/cripto/informes/info033.htm
(autorizada su reproducción citando fuente y autor)
Bien, aquí está. La Ley de Servicios de la Sociedad de la
Información (LSSI) ha sido aprobada en el Consejo de Ministros de hoy. El
Anteproyecto aprobado, que puede descargarse desde la dirección
http://www.setsi.mcyt.es/lssi/pdf/anteproyecto_lssice.zip ha visto por fin
la luz. Ahora queda que nosotros los internautas lo leamos, lo evaluemos,
y a la vista de ello decidamos si podemos vivir con esa ley.
No cabe duda de que se habrán producido modificaciones desde su
primera redacción. La pregunta es: ¿serán suficientes? Veamos cuáles son
los principales puntos en discordia
1) ¿Quién es un "prestador de servicios"?
La curiosa fraseología del Anteproyecto (derivada, a su vez, de la
Directiva europea 2000/31/CE en la que se basa) habla del concepto de
prestador de servicios. A partir de ahora lo que se ofrecerán en la Red
serán servicios de la sociedad de la información (SSI). ¿Y eso qué es?
Pues según el Anexo I, es todo servicio prestado normalmente a título
oneroso, a distancia, por vía electrónica y a petición individual del
destinatario. Como véis, una definición bastante amplia, ya que la palabra
"normalmente" parece implicar que incluso cuando no se presten a título
oneroso pueden considerarse como tal.
Esta ambigüedad queda reforzada en el siguiente párrafo, donde se
afirma que el concepto de SSI comprende también los servicios no
remunerados por sus destinatarios, en la medida en que constituyan una
actividad económica para el prestador de servicios. Según esto, si un
boletín ofrece información mediante enlaces a una página web, y en ésta se
hallan anuncios (banners), no solamente la página sino el propio boletín
se consideran SSI. No importa que el boletín sea gratuito. Cualquier cosa
puede en última instancia ser ligado a una actividad económica.
¿Es que acaso ofrecer información ya no es una actividad
altruista? ¿Hay que tasar el suministro de información, darle un valor
monetario y considerarlo una actividad económica? Eso parece. La LSSI
lista explícitamente los servicios que -representando una actividad
económica- se consideran servicios. Junto a definiciones de comercio
electrónico clásico (como contratación de bienes y servicios, gestión de
compras y organización de subastas), aparece el suministro de información,
el alojamiento de datos y el ofrecimiento de buscadores, enlaces y
sistemas de recopilación de datos.
Señores, la información ya no es libre. Perdón, he traducido la
palabra "free" incorrectamente. La información ya no es gratis. Si este
mismo texto se envía a una lista de correo como lssi en elistas.net, será
difundida por mensajes e-mail en cuyo final aparecen un par de líneas de
publicidad. Es la manera que tiene alojadores como elistas de proporcionar
servicios gratuitos. Como ellos, supongo, cobran a los anunciantes,
significa que ellos son un prestador de servicios. Pero también significa
que YO soy un prestador de servicios, y ESTE MENSAJE es un servicio de la
sociedad de la información. Poco importa que yo esté escribiendo de forma
altruista, sin esperar ganar más que dolores de cabeza. Y lo mismo se
aplicará a todos esos emprendedores internautas que alojan algunos banners
en su página web con la esperanza de, cuando menos, reducir la tarifa
telefónica o los pagos al proveedor.
Curiosamente, no se considerarán SSI los ofrecidos mediante telex,
fax, telefonía vocal o teletexto. Así que no seré un prestador de
servicios si les ofrezco este mensaje por teléfono.
Pero hay más aún. En las últimas versiones de la LSSI se define el
concepto de "servicio de intermediación," que ni tan siquiera se menciona
en la Directiva 2000/31/CE: es un SSI por el que se facilita la prestación
de otros SSI. No parece que al gobierno español le parezca suficiente la
definición de prestador de servicios, que ahora tienen que incluir los
intermediadores. Y, en una paradójica omisión, la Ley de Servicios de la
Sociedad de la Información y Comercio Electrónico no define el término
"comercio electrónico." De hecho, la expresión "comercio electrónico" no
aparecen en ningún lugar de la ley (exceptuados la exposición de motivos,
el título y los pies de página). Sí hay en la Directiva un "prestador de
servicios establecido (prestador que ejerce de manera efectiva una
actividad económica a través de una instalación estable y por un período
de tiempo indeterminado), cosa que se acerca bastante a lo que entendemos
habitualmente por comercio electrónico ... pero no esperen encontrar nada
parecido en la LSSI. Como siempre, el gobierno toma lo que quiere y añade
el resto.
2) ¿Dónde me escapo de la LSSI?
Todos sabemos que en el mundo digital de hoy, lo mismo da tener
nuestra página web en un servidor ubicado físicamente en la calle de al
lado que en Tuvalu o Kazajstán. Pero nuestro querido Ministerio de Ciencia
y Tecnología no quiere ponérnoslo tan fácil. Según el artículo 2, se
entenderá que un prestador de servicios está establecido en España cuando
su residencia o domicilio social se encuentren en territorio español, o
bien en el lugar donde se gestionen los negocios o servicios prestados, o
bien los que presten un servicio a través de un establecimiento permanente
situado en España.
La ley también se aplicará (Artículo 3) a los prestadores
radicados en países de la Unión Europea o el EEE (Espacio Económico
Europeo) si prestan servicios a destinatarios en España, aunque solamente
cuando afecte a ciertas materias específicas. ¿Y si me voy fuera de la UE
y el EEE? Tanto da. Si un prestador ofrece servicios específicamente al
territorio español, sigue sujeto a la LSSI. Así que Kriptopolis.com, que
ahora tiene sus servidores alojados en Estados Unidos, es según la LSSI un
prestador español. Ni siquiera nos dejan exiliarnos.
3) ¿Hace falta carné de navegante?
Hay bastante polémica sobre este punto, así que vamos a intentar
aclararnos. La Directiva afirma tajantemente que el acceso a la actividad
de prestador de servicios de la sociedad de la información no pueda
someterse a autorización previa ni a ningún otro requisito con efectos
equivalentes. La LSSI se hace eco de ello, aunque borra lo de "ni a ningún
otro requisito con efectos equivalentes." En un país donde hecha la ley,
hecha la trampa, no sería difícil pensar en mil y una formas de introducir
una autorización previa de facto, ya que no de nombre. Podría tomar la
forma de exámenes de capacitación (como a los radioaficionados), necesidad
de estar dado de alta en algún otro registro, tasas de inscripción... Pero
supongamos que no somos malpensados, y tomamos la palabra a la LSSI.
Incluso en ese caso, el artículo 9 (constancia registral del nombre de
dominio) introduce sus dudas. En versiones anteriores afirmaba que un
prestador de SSI tendría que comunicar su nombre de dominio a los
Registros Públicos en los que, en su caso, estén inscritos. Eso generó
suspicacia. Si no hay que pedir autorización previa, ¿a santo de qué se
supone que tenemos que inscribirnos en un Registro? Ahora los prestadores
de SSI tendrán que inscribirse en el Registro Mercantil en el que se
encuentren inscritos, o aquél otro Registro Público en el que lo
estuvieran para la adquisición de personalidad jurídica o a los solos
efectos de publicidad.
Reconozco que no soy abogado, así que no sé si es realmente
necesario inscribirse en un registro público para adquirir personalidad
jurídica, pero eso de inscribirse para que le den a uno publicidad me
resulta cuando menos chocante. ¿Si me inscribo en el registro, acaso van a
darme un anuncio gratis en el BOE o en TVE? Es posible que el Anteproyecto
definitivo haya mitigado el problema. Pero yo sigo sinténdome incómodo. Si
se supone que soy un prestador por el mero hecho de escribir esto, ¿voy a
tener que inscribirme en un Registro Mercantil solamente por eso? ¿O voy a
tener que pasar por el aro del registro público para "adquirir
personalidad jurídica"? Siempre he creído tener personalidad, pero no
necesariamente jurídica. Personalmente, creo que mientras sigamos siendo
considerados "prestadores de servicios" vamos a tener que sufrir las
mismas pejigueras legales que cualquier empresa de comercio electrónico.
3) ¿Puede el gobierno alegar la razón de Estado?
En un apartado que antes llevaba el bonito nombre de "respeto a
principios fundamentales de la convivencia social" y ahora se llama
"restricciones a la prestación de servicios" (Artículo 8), las autoridades
competentes podrán interrumpir la prestación de un servicio, o retirar
datos, cuando se estime que se atente o se pueda atentar contra ciertos
principios básicos: el orden público, la investigación penal, la seguridad
pública y la defensa nacional; la protección de la salud pública; el
respeto a la dignidad de la persona y a la no discriminación por raza,
sexo, religión, opinión, nacionalidad o cualquier otra circunstancia
personal o social; la protección de la salud y de la infancia.
Todo suena muy razonable, pero lean de nuevo. En primer lugar, se
afirma que el servicio atente o pueda atentar contra esos principios. Es
decir, no hay que esperar a que se cometa el delito. Si alguien piensa que
voy a poner pornografía infantil pueden actuar incluso antes de que lo
haga. ¿Qué hay de aquello de primero se delinque y luego se castiga? ¿Se
va ahora a castigar preventivamente? Es como si un padre castigase a un
hijo porque piensa que lo mismo va a comerse el tarro de las galletas.
En segundo lugar, tantos principios básicos dan para mucho. El
"orden público" es un concepto muy elástico, que ha sido tradicionalmente
usado por las fuerzas policiales para meterse con quien les estorba. Si yo
convoco por Internet a una protesta frente al Parlamento contra la LSSI
podría caer dentro de esta definición, por pacífica e inocua que pueda
ser. Podrían incluso cerrarme el acceso a Internet ya, no vaya a ser que
se me ocurra hacerlo en el futuro.
En tercer lugar, la no discriminación resulta amplia en exceso. ¿Y
si yo niego la entrada a mis páginas a elementos fascistas o racistas? Yo
estaría discriminándolos por motivo de opinión. ¿Y si la "circunstancia
personal o social" de una persona consiste en que es un violador de niños
y yo me niego a chatear con él?
En cuarto lugar, opiniones razonables y moderadas podrían ser
también cortadas de raiz. Puedo ser partidario de la república. Puedo
denunciar un caso de corrupción alimentaria. Puedo presentar pruebas no
admitidas en un proceso penal. Puedo pensar que no hay disponible cierta
información sobre el mal de las vacas locas, o los efectos terapéuticos
del cannabis, o el uranio empobrecido. Échenle ustedes imaginación, verán
como encuentran formas perfectamente decentes de atentar contra esos
sacrosantos principios.
Para ser justos, hay que apuntar que en la LSSI se afirma que se
respetarán las garantías sobre intimidad personal y familiar, protección
de datos personales, libertad de expresión y de información. Menos mal.
Pero si me topo con una autoridad competente que no tolera el
republicanismo (o un estamento militar que no desea que hable de la
cantidad de minas que nuestros soldados pueden pisar en Afganistán), estoy
a expensas de que me bloqueen la información que yo he ofrecido, y después
me ponga a reclamar. Teniendo en cuenta la rapidez de los procesos legales
en España, puede que para cuando me dieran la razón Afganistán sea de
nuevo republicana. También se me aseguran que las medidas a tomar contra
mí serían proporcionadas y objetivas, pero también pueden ser cautelares,
lo que significa: esa web fuera, y después ya hablaremos.
4) ¿A qué estoy obligado?
Puesto que parece que a todos nos va a tocar eso de ser
"prestadores de servicios", bueno será ver a qué nos compromete eso. Para
empezar, tenemos que poner en lugar bien visible y de forma electrónica,
todo esto:
Nombre, denominación social, domicilio, dirección de e-mail Datos
de mi inscripción en el Registro (Si ejerzo una profesión regulada) Datos
sobre mi colegio profesional, Estado donde se me expidió el título, normas
profesionales que se me aplican Número de Identificación Fiscal
Así que ya sabéis. Si queréis mantener ese banner por el que os
pagan medio céntimo al mes, ya podéis estar sacándoos el NIF,
inscribiéndose en el registro (a los solos efectos de publicidad, claro) y
proclamando al mundo quiénes sois y dónde vivís. Ah, y una direccion de
correo electrónico donde cualquier gracioso pueda mandaros un virus o un
spam.
En segundo lugar, os corresponde el deber de sumisión absoluta
(Artículo 11: Deber de colaboración de los prestadores de servicios de
intermediación). Cuando una autoridad competente así lo ordene, tendréis
que suspender la transmisión, alojamiento, acceso o prestación de
servicios. ¿Que quién ese esa autoridad competente? No sé, pero se supone
que es el órgano jurisdiccional o administrativo que, en cada caso, lo sea
en función de la materia. Seguirán siendo medidas objetivas,
proporcionadas y con las garantías procesales adecuadas. Pero vaya usted a
saber dónde pone cuál es la autoridad competente "en función de la
materia."
Según algunos, eso deja claro que sólo la autoridad judicial
podría cerrar una publicación digital, ya que es la competente. Bueno,
imagínense esto: yo publico este texto en un diario digital; en ese diario
aparece un banner donce aparece publicidad engañosa. Según eso, una
"autoridad administrativa" podría obligar a retirar ese banner. Pero ¿y si
decide que el método más eficaz y menos proclive al fraude para lograrlo
consiste en retirar toda la publicación? Rebuscado, ¿no? Pues eso es lo
que pasa cuando las cosas no se escriben claramente.
Con todo, reconozco que ha habido mejoras respecto al anteproyecto
de Mayo del 2.000. Allí se obligaba a los prestadores, no solamente a
bloquear la información y cerrar accesos, sino también a comunicar
actividades presuntamente ilícitas (es decir, hacer de chivatos sin saber
del asunto), todo a solicitud de una autoridad judicial o administrativa.
Pero no doblen las campanas todavía. A pesar de lo que pueda
parecer, las autoridades administrativas siguen latentes. En el capítulo
sancionador (esa es otra), se considera como faltas muy graves, el
incumplimiento de las órdenes dadas, en virtud de los artículos 8 y 11
cuando lo ordene una autoridad administrativa competente. Todo eso de la
defensa nacional, la investigación penal, la no discriminación ... todo
eso puede decretarlo una autoridad administrativa. Así que la posibilidad
de que un funcionario "administrativo" puede cerrar la web de
informativostele5.es en función de sus atribuciones sigue vivo y coleando.
¿Y la responsabilidad por los servicios que ofrezco? Bien, en
primer lugar, supongamos que soy Yahoo España y ofrezco espacio web y
cuentas e-mail a mis usuarios. No seré responsable de los datos que ellos
almacenen, pero solamente si a) yo no sé que hagan nada ilegal, o b) tengo
conocimiento de la ilegalidad pero retiro la información de inmediato.
Y vuelta al problema de las autoridades. Se supone que yo tengo
conocimiento efectivo de que hay una actividad si una "autoridad
competente" así me lo indica, o bien si los acuerdos voluntarios así lo
establecen. Eso de "acuerdos voluntarios" es, como indica su nombre, un
conjunto de códigos de conducta voluntarios elaborados por asociaciones de
prestadores de servicios. Esto significa que los ISP, de motu propio,
pueden establecer procedimientos para detectar y retirar contenidos
ilícitos. No hace falta ser un lince para concluir que esto puede llevar a
una autocensura, en la que los proveedores, ante la posiblidad de
sanciones, cierres cautelares procesos judiciales, decidan ellos mismos
hacer de censores de la información que albergan, negando la contratación
de servicios -o cancelándolos- a los usuarios de páginas molestas,
irritantes o polémicas.
Y aunque sean acuerdos "voluntarios", el gobierno ha dejado bien
claro en esta ley que se preocupará muy mucho en "impulsar" este tipo de
acuerdos. Dada la presión que puede ejercer un gobierno nacional, sobre
todo en épocas como la actual de paranoia antiterrorista, no resulta
difícil ver que esa voluntariedad puede acabar fácilmente convirtiendo en
una especie de "o atente a las consecuencias." Ello en flagrante violación
(en espíritu al menos, si no en letra) del Artículo 15 de la Directiva que
el gobierno españo -descuidados ellos- ha olvidado incluir en la LSSI:
Inexistencia de obligación general de supervisión 1. Los Estados miembros
no impondrán a los prestadores de servicios una obligación general de
supervisar los datos que transmitan o almacenen, ni una obligación general
de realizar búsquedas activas de hechos o circunstancias que indiquen
actividades ilícitas.
Si tanto quieren proteger a los internautas, ¿dónde escondieron
este artículo? Claro que no es la primera desviación de la LSSI respecto a
la Directiva. Total, ésta no impone restricciones a los enlaces o motores
de búsqueda, cosa que sí hace nuestra ley. Ay, esa memoria selectiva...
5) ¿Spam o no spam?
Este es uno de los puntos más polémicos de la LSSI. O mejor dicho,
lo fue en un tiempo, antes de que la preocupación por la autorización
previa y las "autoridades competentes" lo dejaran al margen. De hecho, la
prohibición del correo electrónico no solicitado (spam) fue una de las
bazas principales de la Asociación de Internautas (AI) a la hora de
defender las bondades de la LSSI.
Lo cierto es que este punto parece variar más que el IBEX 35. Las
opciones sobre el spam son, básicamente cuatro: Prohibición total Listas
de exclusión voluntaria (opt-out). Se permite, a menos que el destinatario
exprese su oposición, para lo cual se inscribirá en una lista a tal
efecto. Listas de inclusión voluntaria (opt-in). Se prohibe, a menos que
el destinatario haya dado su consentimiento explícito, apuntándose en una
lista a tal efecto. Permisividad total.
Es decir, en el opt-in te tenían que pedir permiso para spamearte;
en el opt-out, te spammean a menos que te quejes expresamente.
Bien, pues en el segundo anteproyecto de la LSSI, de Enero de
2.001, la opción que aparecía era la de opt-out, y eso después de que la
Asociación de Internautas hubiese mantenido conversaciones con el MCYT en
este sentido. En el tercer anteproyecto (fechado el 30 de Abril, aunque
apareció el 11 de Mayo, justo dos días después de la campaña anti-lssi de
Kriptopolis), la elección cambia a la de opt-in. El anteproyecto final
incluye asimismo la opción opt-in. Con ello se han ganado la antipatía
tanto de la comunidad internauta (partidaria de una prohibición total)
como de las empresas del sector (más proclives a un opt-out).
Lo paradójico es que el tema del spam puede no quedar resuelto. En
la actualidad se está desarrollando en Bruselas una Directiva sobre el
tema de la privacidad y protección de datos en las comunicaciones
electrónicas. La última versión que he leido optaba por el opt-in. Pero no
me hagan caso, porque el tema sigue abierto y no se sabe cómo va a
terminar el asunto. Lo que está claro es que, dependiendo del resultado de
esta Directiva, puede que haya que reformar esta parte de la LSSI si al
final sale aprobada.
6) ¿Cómo queda eso de las multa y la supervisión de Internet?
Dejando aparte las "autoridades competente" que actúen en su caso,
el Ministerio de Ciencia y Tecnología se autoatribuye todas las
actuaciones de supervisión y control en lo que toca a esta ley (es decir,
a todos los que somos "prestadores de servicios"). Los funcionarios
inspectores del MCYT tendrán la consideración de autoridad pública. Todos
los prestadores de servicios tendrán el deber de colaborar con ellos, y
estarán sujetos a un régimen sancionador bastante draconiano. Esta era una
de las materias que más polémica ha generado. Un prestador de servicios
pequeño puede ser sometido a severas sanciones. Por ejemplo: Por no
cumplir las órdenes de bloqueo de información o cierre de acceso dadas por
una autoridad administrativa: falta muy grave (entre 300.001 y 600.000
euros). Por no indicar claramente datos como el nombre, dirección, e-mail,
NIF; por enviar spam masivo (ojo: "masivo" significa más de tres mensajes
al año a un solo destinatario, cuando éste no los haya solicitado);
excusarse o negarse a las inspecciones del MCYT: falta grave (entre 60.001
y 300.000 euros). Por no comunicar los datos pertinentes al registro
público; por enviar un solo correo spam no solicitado: multa leve (3.000 a
60.000 euros).
¿Y saben quién se embolsa estas multas? Efectivamente, el
Ministerio de Ciencia y Tecnología.
Y aún queda lo mejor, es decir, lo peor. Si un prestador de
servicios situado fuera de la UE y del EEE comete algunas de tales
infracciones, el MCYT podrá impedir el acceso de dichos prestadores desde
España. Es decir, el gobierno podrá establecer un "telón de acero" digital
contra cualquier servicio o información procedente del exterior que no le
guste. Esto es un privilegio del que sólo gozan los ciudadanos de países
altamente represivos como China o Arabia Saudí. A partir de ahora, España
podrá unirse a tan selecto club, por obra y gracia de los promotores del
Plan Siglo XXI que iba a modernizarnos y a ponernos en vanguardia del
mundo mundial.
Para los que nos quedamos aquí, además de las multas anteriormente
mencionadas, también nos tienen reservadas una batería de medidas
cautelares (esas de "primero dispara, después pregunta"). Es decir, cuando
nos sancionen -y en los casos de urgencia, antes de que nos abran siquiera
el expediente sancionador- no solamente podrán suspender la actividad de
nuestro prestador, sino cerrar todo el establecimiento, precintar e
incautar todos nuestros documentos y equipos informáticos, y advertir al
público de que se han llevado a cabo dichas medidas ... da igual que luego
nos declaren inocentes, calumnia que algo queda.
7) Guindas finales
No quiero cansarle, amable lector, haciendo un estudio
pormenorizado de la LSSI. Pero espero haberle dado las pinceladas
esenciales. He aquí dos brochazos más:
Esta ley no se aplicará a los servicios prestados por abogados,
notarios, registradores de la propiedad y mercantiles, y los juegos de
azar Varias comunidades intentan en estos momentos restringir las
actividades de los cibercafés, con la excusa de que allí se puede apostar
on-line, y claro, eso no puede ser, hay que proteger a los pobres
internautas ludópatas. Y resulta que una actividad claramente económica
(si hay que creer los informativos de Antena 3, el juego mueve auténticas
fortunas en Internet) queda fuera de una ley sobre comercio electrónico.
Saquen ustedes mismos sus propias conclusiones. Se ha llegado a afirmar,
por parte del gobierno, que una "autoridad administrativa" podría
clausurar páginas web donde se vendan fármacos sin receta. Antes se atrapa
a un mentiroso que a un cojo. La Disposición Adicional Segunda de la LSSI
dice claramente que los servicios relacionados con medicamentos y
productos sanitarios NO serán competencia de dicha ley, sino que se regirá
de acuerdo con su legislación específica.
A la vista de todo lo anterior, ¿cree usted que esta ley es una
buena ley? Usted mismo. Es tarde y estoy cansado. Pero ya sabe dónde está
el Anteproyecto. Léalo, asimílelo. Y después, como decían en el anuncio
- --
Salu2. Arturo Quirantes
(PGP key 0x4E2031EC: http://www.ugr.es/~aquiran/cripto/claves.htm)
-----BEGIN PGP SIGNATURE-----
Version: PGP 6.5i
iQA/AwUBPGRev9Pjg85OIDHsEQKQDwCfdJxTcheLWUb3CMTwPm5VGTej15oAnRj+
llXuhnpktjh6zwzWY8FpNjrR
=xi1d
-----END PGP SIGNATURE-----
Más información sobre la lista de distribución HackMeeting