[hackmeeting] LSSI: el cuarto anteproyecto - Arturo Quirantes

Arturo Quirantes aquiran en ugr.es
Mie Ene 30 01:19:52 CET 2002


-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Taller de Criptografía - Informe 31

http://www.ugr.es/~aquiran/cripto/informes/into031.htm (se permite la
reproducción libre de este documento con fines no comerciales

LSSI: El cuarto anteproyecto



Fecha: 30 Enero 2.002 (También disponible como documento de la sección
anti-LSSI No queremos vivir así)


          A las doce de la noche del 28-29 de Enero de 2.002, el
periodista digital Maky (alias William González) dio la campanada: la
cuarta versión del Anteproyecto de la LSSI ha sido filtrada a la red. Se
rompe así una temporada de "secretismo transparante" durante la cual el
Ministerio de Ciencia y Tecnología ha intentado convencer a la comunidad
internauta de las bondades del nuevo borrador... mientras lo custodiaba
celosamente.

            La idea era no revelarlo hasta ser aprobado en Consejo de
Ministros -supuestamente, el próximo viernes 1 de Febrero,- pero Maky y
sus "villanos" les han ganado de la mano. Ahora los internautas tenemos la
oportunidad de opinar y actuar... antes de que sea demasiado tarde.

            Los documentos y análisis cruciales están todos en el
Makypress 520 (http://villanos.net/makypress y en la página web
http://mienten.com. No pretendo reproducir los esfuerzos de Colegota o
Maestre, pero sí ofrezco aquí mi contribución personal. Veamos en primer
lugar qué cambios trae el nuevo Anteproyecto. A continuación, incluiré los
motivos por los que a mí no me parece aceptable la LSSI.


Antecedentes y enlaces

             La Ley sobre Servicios de la Sociedad de la Información
(LSSI) se basa en la Directiva 2000/31/CE del Parlamento Europeo y del
Consejo, de 8 de junio de 2000, relativa a determinados aspectos jurídicos
de los servicios de la sociedad de la información, en particular el
comercio electrónico en el mercado interior (repare el lector en lo de
"determinados aspectos") , fechada el 8 de Junio de 2.000. Puede obtenerse
una copia en la dirección
http://www.ugr.es/~aquiran/cripto/tc-lssi/directiva.htm.

A continuación el  MCYT  elaboró  hasta  cuatro  anteproyectos:

Primer borrador. Hay pocos datos sobre ella y, aunque está colgada de la
Red, no tiene aquí interés.

Segundo borrador. Fue sometido a la consideración de algunos colectivos
(esencialmente, la Asociación de Internautas) y colgado en la página web
del MCIY. Está disponible en
http://www.ugr.es/~aquiran/cripto/tc-lssi/anteproyecto2.pdf.

Tercer borrador Es la "respuesta" del MCYT a la campaña anti-LSSI lanzada
por Kriptópolis el 8 de Mayo de 2.001. Este borrador lleva fecha de 30
Abril, aunque fue colgado en la Web del Ministerio desde el 11 de Mayo.
Está disponible en
http://www.ugr.es/~aquiran/cripto/tc-lssi/anteproyecto3.pdf.

Cuarto borrador. Supuestamente incorpora las inquietudes de la comunidad
internauta al respecto. No ha sido conocida hasta el 29 de Enero, en que
Makypress la filtró en su boletín 520. Puede descargarse en
http://mienten.com/noticia.php?id=15

Este que escribe ha redactado un par de Informes que os pueden servir de
ayuda:

http://www.ugr.es/~aquiran/cripto/informes/info028.htm: comparación entre
los borradores segundo y tercero
http://www.ugr.es/~aquiran/cripto/informes/info029.htm: comparación entre
el tercer borrador y la Directiva comunitaria

Y, para ponernos en perspectiva, os recomiendo la cronología de la LSSI
elaborada por Kyhm: http://mienten.com/noticia.php?id=21


Las novedades del Cuarto Borrador: conemzamos

    No os mantendré en suspense hasta la última página de la novela, así
que voy a desvelaros el final: el cuarto borrador del Anteproyecto es
igual que el tercero, pero peor. Las pocas modificaciones sustanciales que
se han hecho empeoran la ley ... o la mejoran, si lo que se busca es
jorobar al internauta.

        En el artículo 1 comienzan los problemas. Su apartado 2 afirma que
la LSSI se entendrá "sin perjuicio de..." , es decir, que no nos la
tomemos a pies juntillas, porque hay letra pequeña. Véase lo que pasa si
se incluye el tercer borrador en cursiva y se añaden las novedades del
cuarto borrador en negrilla:

       Las disposiciones contenidas en esta Ley se entenderán sin
perjuicio de lo que la legislación sectorial establece en relación con las
actividades y operaciones que son objeto de regulación específica y, en
particular, de las condiciones relativas a las mercancías y bienes
tangibles a su entrega y a los servicios no prestados por medios
electrónicos; del régimen jurídico aplicable a la protección de la salud y
seguridad pública, incluida la salvaguarda de la defensa nacional, a los
datos personales, a los derechos de los consumidores y usuarios y a los
servicios financieros; del régimen tributario aplicable a los servicios de
la sociedad de la información y de la normativa reguladora de Defensa de
la competencia

   Es decir, que para entender el rollo del comercio electrónico y sus
normas no solamente hay que prestar atención a la LSSI, sino también a la
legislación sectorial (¿cuál será ese esctor?), y a la socorrida excusa de
la seguridad pública y la seguridad nacional. Lejos de mí el pretender que
no se salvaguarde la seguridad nacional. Pero, en los tiempos que corren,
la expresión "seguridad pública" sirve para justificar prácticamente todo.
Si eso significa que pueden dar ciberpatadas en la puerta sin garantías
jurídicas, que no cuenten conmigo.

           Hay una modificación que me ha hecho sonreir. El artículo 2.3
afirma que "la utilización de medios tecnológicos situados en España, para
la prestación o el acceso al servicio, no servirá como criterio para
determinar, por sí solo, el establecimiento en España del prestador." O
sea que puedo tener mis máquinas y todos mis archivos en España, y a lo
mejor no soy un prestador español. Po fale.

      Otra joya afirma que esta ley se aplicará a los prestadores de
servicios establecidos en países que no sean miembros de la UE ni del EEE
(Espacio Económico Europeo) "cuando dirijan específicamente sus servicios
al territorio español." Mi duda es ¿cómo se determina si un prestador
dirigen sus servicios a territorio español y solamente a territorio
español? Porque vamos, Internet no tiene mojones fronterizos.


El telón de caspa

   El artículo 8, que antes llevaba el bonito nombre de "Respeto a
principios fundamentales de la convivencia social" ahora recupera su
verdadero significado: "restricciones a la prestación de servicios por
prestadores no establecidos en España." Merced a un bonito bucle
retrospectivo, el artículo 7.1 advierte que también será de aplicación
para los prestadores de servicios de la UE y el EEE. Es decir, vale para
todo el mundo mundial.

     Volvamos a comprar: cursiva para el tercer borrador, negrilla para el
texto nuevo del cuarto borrador, y tachadura para el texto eliminado:

      En caso de que un determinado servicio de la sociedad de la
información procedente de un prestador establecido en otro Estado atente o
pueda atentar contra los principios que se expresan a continuación, las
autoridades competentes, para su protección, en ejercicio de las funciones
que tengan legalmente atribuidas, podrán ordenar que adoptar las nedidas
necesarias para se interrumpa la prestación de un servicio de la sociedad
de la información, se retire la información o se impida el acceso a ella

   Como puede verse, se restringe la libertad de prestación de servicios
procedentes "de fuera" (tal como la Directiva, a fin de cuentas, recoge).
Algo hemos ganado. La justificación de "orden público, seguridad, defensa
nacional, protección de la salud" etcétera, etcétera, no podrá ser usada
contra nosotros mismos. Al menos, eso parece.

       Pero, usado incorrectamente, este apartado puede usarse para
mantener España libre de "injerencias extranjeras." Hay demasiados
ejemplos de países donde los principios sacrosantos de seguridad nacional
y orden público sirven de excusa para censurar "lo que viene de fuera."

  ¿Exagero? Bien, veamos cómo les suena este apartado, nuevo en el cuarto
borrador (y que, por supuesto, no aparece en la Directiva:

         Si para garantizar la efectividad de la resolución que acuerde la
interrupción de la prestación de un servicio o la retirada de datos, el
órgano competente estimara necesario impedir el acceso desde España a los
mismos, podrá ordenar a los prestadores de servicios de intermediación
establecidos en España, directamente o mediante solicitud motivada al
Ministerio de Ciencia y Tecnología, que tomen las medidas necesarias para
impedir dicho acceso (el subrayado es mío).

        Es decir, que una "autoridad competente" (no necesariamente un
juez) puede ordenar, directamente o por medio del MCYT, que se bloquee un
servicio on-line proveniente del exterior. ¿No les suena esto a una
especie de Telón de Acero digital? Pues en ese caso, propongo el nombre de
Telón de Caspa para denominarlo.

      A la vista de esto, parece un chiste que se afirme que estas medidas
se llevarían a cabo "respetando las garantías, normas y procedimientos
previstos en el Ordenamiento Jurícido" Pues no faltaría más. Suena como si
dijesen "sí, cumpliremos la ley," algo tan evidente que cae por su propio
peso.


Más sorpresas

    Vuelve a afirmarse que solamente hay que inscribirse en un Registro
Público para "adquirir personalidad jurídica" (ese punto se lo dejo a los
juristas, a ver si nos lo aclaran)... y alguien debe haber dado a los
señores Adsuara y Tomé un cursillo rápido sobre Internet, porque ahora han
caído en la cuenta de que no solamente de dominios vive el internauta:
deberán comunicar ... el nombre, nombres de dominio o direcciones de
Internet (el subrayado es mío). Vaya, hombre, ya no me libro solamente por
tener una dirección tipo www.miservidor.com/yomismo/hola.html. Un aplauso
al MCYT por corregir ese detalle ... y un capón king-size por demostrar
tan escasos conocimientos de Internet.

    Por otro lado, no se vayan a creer que el artículo 8 no se aplica a
nosotros. Vea cómo queda el artículo 11.1 (Deber de colaboración de los
prestadores de servicios de intermediación):

            Cuando una autoridad competente por razón de la materia,
hubiera ordenado, en ejercicio de las funciones que legalmente tenga
atribuidas, que se interrumpa la prestación de un servicio de la sociedad
de la información, o la retirada de determinados contenidos provenientes
de prestadores establecidos en España, y para ello fuera necesaria la
colaboración de los prestadores de servicios de intermediación, podrá
ordenar a dichos prestadores, directamente o mediante solicitud motivada
al Ministerio de Ciencia y Tecnología, que suspensan la transmisión, el
alojamiento da datos, el acceso a las redes de telecomunicaciones o la
prestación de cualquier otro servicio equivalente de intermediación que
realizaran


          Es decir, deber de colaborar a ultranza. Me gustaría que tanto
"deber" estuviese contrapesado por más libertades y derechos. Si el MCYT
me hubiera consultado, les hubiera recordado encantado el artículo 15 de
la Directiva, cuyo espíritu se supone refleja la LSSI. Es uno de mis
favoritos, así que ahí va:

           Los Estados miembros no impondrán a los prestadores de
servicios una obligación general de supervisar los datos que transmitan o
almacenen, ni una obligación general de realizar búsquedas activas de
hechos o circunstancias que indiquen actividades ilícitas, respecto de los
servicios contemplados en los artículos 12, 13 y 14 [mera transmisión,
memoria tampón y alojamiento de datos]

        Una novedad introducide en el cuarto borrador dice que los
prestadores de servicios tendrán conocimiento de una actividad delictiva
(y tendrán, en consecuencia, que tomar medidas como el bloqueo o borrado
de información) cuando, entre otros supuestos se hubiera declarado la
existencia de la lesión, y el prestador conociera la correspondiente
resolución. O sea, que alguien no identificado en la ley "declara la
existencia de una lesión" y a continuación emite una "resolución" para que
el prestador se dé oficialmente por enterado. Eso sí que son poderes, y no
los de Spiderman.

    Y en todos lados sigue apareciendo eso de la "autoridad competente" ,
que no hace sino ocultar lo que se denomina "autoridad administrativa." De
hecho, se afirma que las referencias a la autoridad competente "se
entenderán hechas a los órganos jurisdiccionales o administrativos que, en
cada caso, lo sean en función de la materia." ¿No les encanta? Nada como
dejar las cosas poco detalladas y escritas de forma deliberadamente
ambigua... así cuando el gobierno redacte el reglamento de la Ley podrá
hacerse el traje a medida.

        ¿Y qué es eso de "servicios de intermediación"? Pues ni más ni
menos que un nuevo concepto diseñado por el MCYT que no aparece ni en la
Directiva ni en ningún borrador anterior de la LSSI. Según el Ministerio
es un , servicio de la sociedad de la información por el que se facilita
la prestación o utilización de otros servicios de la sociedad de la
información o el acceso a la información. Y aclara: son servicios de
intermediación la provisión de servicios de acceso a Internet, la
transmisión de datos por redes de telecomunicaciones, la realización de
copia temporal de las páginas de Internet solicitadas por los usuarios, el
alojamiento en los propios servidores de datos, aplicaciones o servicios
suministrados por otros y la provisión de instrumentos de búsqueda, acceso
y recopilación de datos o de otros enlaces a otros sitios de Internet

  Así que ya lo sabe. Si su página web contiene un buscador, una base de
datos o un solo hpiervínculo, enhorabuena, ya es usted un servidor de
intermediación. Eso sin hablar de los "prestadores de servicios" (entre
los que se siguen incluyendo actividades tales como suministro de
información o transmisión telemática, es decir, lo que ha hecho usted para
leer estas líneas). Y no se moleste en buscar lo que es un "prestador de
servicios establecido" porque, a pesar de que la Directiva lo define
claramente, ni el actual borrador de la LSSI ni el anterior lo recogen.
No, si cuando se trata de enfollonar las cosas, los españoles nos pintamos
solos.


Supervisión y control hasta en la sopa

            Este nuevo borrador no ha reducido un ápice las competencias
que el MCYT se asigna a sí mismo como vigilante del ciberespacio. Peor
aún. Ahora el MCYT puede realizar una inspección y, aunque no encuentre
nada que viole la LSSI, puede "chivarse" a otros organismos si encuentra
algo inadecuado:

     37.2 (nuevo). Cuando, como consecuencia de una actuación inspectora,
se tuviera conocimiento de hechos que pudieran ser constitutivos de
infracciones tipificadas en otras leyes, se dará cuenta de los mismos a
los órganos u organismos competentes para su supervisión y sanción.

    Es decir, que si el Ministerio encuentra que la contabilidad de una
empresa es incorrecta, podrá dar e aviso a Hacienda o Aduanas aunque no
contravenga la LSSI Esto se estila mucho en otros lugares del mundo: se
acusa a una persona o empresa de algo y se le inspecciona; luego resulta
que es inocente de esa acusación, pero ya que estamos, mira, hemos
encontrado que... En definitiva, una excelente forma de excederse en sus
atribuciones. ¿Que la CNMV no puede inspeccionar a Telefónica? Pues le
enviamos al MCYT, a ver si de pasada nos encuentra alguna irregularidad
contable.

         La cuantía de las sanciones se ha suavizado. Pero no se hagan
ilusiones. La diferencia consiste en que, donde antes ponía "de 300.001 a
600.000 euros" ahora reza "hasta 600.00 euros." Es decir, se elimina la
sanción mínima. Eso está bien, aunque si quieren buscarnos la ruina,
pueden seguir haciendo.

       (Por cierto, en el cuarto borrador filtrado por Makypress falta una
página relativa a la cuantía de las sanciones; por ello, no podemos saber
si han cambiado la naturaleza de las sanciones).

   Y, como en este mundo, pocas cosas son tan permantes como las
provisionales, las "medidas de carácter provisional" han crecido. Ahora,
aparte de suspender temporalmente la actividad del prestador de servicios,
se podrá decretar "en su caso" el cierre provisional de todo el
establecimiento, el precinto, depósito e incautación de registros,
soportes y archivos informáticos, documentación en general, aparatos y
equipos informáticos de todo tipo. Es decir, no se limitan a cortarnos la
línea, sino que entrarán como una aspiradora y no dejarán ni los zócalos
de los enchufes.

   También podrán "advertir al público de la existencia de posibles
conductas infractoras" Por supuesto, puede que al final resultes ser
inocente. Pero mientras tanto escarnia, que algo queda...

          Y un añadido estilo "alerta roja": En casos de urgencia y para
la inmediata protección de los intereses implicados, las medidas
provisionales previstas en el presente artículo podrán ser acordadas antes
de la iniciación del expediente sancionador Así que no solamente me
vaciarán la cibertienda (mesa de ordenador incluida), sino que pueden
hacerlo y depués me abren el expediente. Y yo me pregunto: ¿cuántas
actuaciones tendrán tamaño grado de urgencia? Señores, que estamos
hablando de una ley de comercio electrónico.

         Y para terminar este somero análisis, ¿han visto que no he
dedicado ni una palabra al spam? El segundo borrador (y la Directiva)
establecían un procedimiento opt-in. El tercer borrador, de cuajo, lo
prohibía. Y el cuarto borrador vuelve al opt-in. Pero no echen la culpa al
pobre MCYT. Sucede que hay otra Directiva europea, aún en trámite, sobre
protección de la intimidad y los datos personales en las comunicaciones
electrónicas. Y ahí se habla del spam. Así que sería más juicioso esperar
a ver qué pasa, en lugar de legislar a ciegas... vamos, digo yo.


Cierre sin despedida

       Ustedes juzgarán si, a la vista de lo expuesto en este y otros
Informes, el cuarto borrador del anteproyecto de ley LSSI va a "generar
confianza" o no. Por mi parte, declaro que si para esto han pasado los
responsables del Ministerio de Ciencia y Tecnología vendiéndonos la moto
de la confianza, mejor despidan a todos sus expertos y contraten otros
nuevos. O mejor, despidan la cúpula directiva y dejen que los expertos
hagan su tarea.

- --
Salu2.  Arturo Quirantes
(PGP key 0x4E2031EC: http://www.ugr.es/~aquiran/cripto/claves.htm)

-----BEGIN PGP SIGNATURE-----
Version: PGP 6.5i

iQA/AwUBPFcqpdPjg85OIDHsEQJgKwCfUbyWPylyadQJBEbF8kW2QpksSlQAn3um
Yq5ejvlTrVNrJkg/kg34LBda
=ElUO
-----END PGP SIGNATURE-----




Más información sobre la lista de distribución HackMeeting