[hackmeeting] Nueve razones contra la LSSI - Arturo Quirantes
Arturo Quirantes
aquiran en ugr.es
Mie Ene 30 01:20:25 CET 2002
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Taller de Criptografía - Informe 32
http://www.ugr.es/~aquiran/cripto/informes/into032.htm (se permite la
reproducción libre de este documento con fines no comerciales
Nueve razones contra la LSSI
Fecha: 30 Mayo 2.002
(También disponible como documento de la sección anti-LSSI No queremos
vivir así)
En Octubre de 2.001, publiqué un artículo en http://barrapunto.com
explicando los nueve motivos fundamentales por los que la LSSI no me
parecía buena idea. Aunque lo redacté con otro fin (evaluar si las
modificaciones propuestas por la Asociación de Usuarios de Internet y la
Asociación de Internautas eran suficientes), mi "queja de los nueve
puntos" sigue siendo válido para explicar sucintamente los motivos que me
hacen dudar de que la LSSI sea nunca una buena ley.
Borraré los comentarios sobre las modificaciones de la AI y la AUI,
ya que no vienen al caso (los lectores interesados podrán encontrar el
artículo original en
http://barrapunto.com/article.pl?sid=01/10/04/1712256&mode=thread&threshold=
bajo el título "LSSI: modificar o retirar, esa es la cuestion!") y, en su
lugar, daré el estado de dhcios puntos de acuerdo con el cuarto -y de
momento último- borrador del Anteproyecto.
Durante estos días he estado leyendo diversas opiniones en las que
se argumenta que la LSSI no es tan mala, y que si acaso basta con
retocarla aquí y allá. De hecho, una de las críticas vertidas contra
Kriptópolis es que nunca han propuesto modificaciones a esta ley.
Ambos bandos tienen sus motivos. Personalmente, he visto las
versiones 2, 3 y 4 del Anteproyecto, y la Directiva 2000/31/CE de la que
emanan, y creo que requeriría una cantidad tal de parches y modificaciones
que mejor hubiera sido comenzar desde cero. Esto quiere decir redactar una
ley de comercio electrónico, dejando de lado los "servicios de la sociedad
de la información" que no signifique dinero puro y duro.
Con el permiso del respetable, haré una evaluación tanto de la ley como
de mis propias ideas al respecto de la Ley. Dejaré de lado la exposición
de motivos y los Títulos menos conflictivos, para centrarme en los puntos
filipinos.
PUNTO 1: "SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN" (LSSI)
Probablamente la crítica fundamental a la LSSI es que considera SSI
prácticamente todo lo que pulula por la Red. De hecho, define los SSI como
"servicios prestados normalmente a título oneroso, a distancia, por vía
electrónica y a petición individual del destinatario" En la propia
exposición de motivos, se viene a decir que un SSI es "cualquier servicio
que se preste a petición individual del interesado"... por ejemplo, leer
este mensaje, que os habrá llegado por algún medio (boletín, lista de
correo, foro, etc) que pedisteis en su momento.
El problema es que esta definición de un SSI choca frontalmente
con la que da la Directiva, y se supone que la LSSI es una adopción de la
Directiva comunitaria al ordenamiento jurídico acional. Es decir,
cualquier definición de SSI que no sea la dada por la LSSI viola la
Directiva, con lo que estamos en un callejón sin salida. Ninguna
modificación razonable podrá modificar este nudo gordiano.
Solución dada por el cuarto borrador: La definición de
"servicio de la sociedad de la información" permanece ... e incluso ha
sido acompañada por la de "servicio de intermediación."
PUNTO 2: OBJETO DE LA LEY (Artículo 1)
La LSSI afirma que el objetivo de la ley es "regular el régimen
jurídico de los SSI" en tanto que la Directiva habla simplemente de
"determinados aspectos jurídicos" de los SSI. La Ley incluye muchos
aspectos (de hecho, lo incluye casi todo), pero viene bien hacer esa
puntualización.
Solución dada por el cuarto borrador: La LSSI sigue
"regulando el régimen jurídico de los SSI"
PUNTO 3: NO SUJECIÓN A AUTORIZACIÓN PREVIA
Tanto la Directiva como la LSSI afirman que "la prestación de SSI no
estará sujeta a autorización previa" Por desgracia, en la LSSI falta la
segunda parte de esta frase: "ni a ningún otro requisito con efectos
equivalentes" Ya el 23 de Mayo critiqué este "olvido" en
http://www.ugr.es/~aquiran/cripto/informes/info029 .htm, el 23 de Mayo.
Solución dada por el
cuarto borrador: Sigue sin reconocerse la no autorización previa "sin
requisitos a efectos equivalentes"
PUNTO 4: PRINCIPIOS FUNDAMENTALES DE LA CONVIVENCIA SOCIAL
En este, y en otros artículos, se habla de "autoridades
competentes". Una propuesta más mesurada especificaría "autoridad
judicial" y restringiría la aplicación de este artículo a la defensa de
los derechos y deberes undamentales de la Constitución Española, Título I.
Me suena como una buena modificación, pero al no ser abogado ignoro su
alcance o utilidad.
Solución dada por el cuarto borrador: La LSSI sigue aludiendo a
autoridades administrativas o competentes. Las referencias a autoridades
competentes "se entenderán hechas a los órganos jurisdiccionales o
administrativos que, en cada caso, lo sean en función de la materia."
PUNTO 5: OBLIGACIÓN DE REGISTRARSE
Uno de los más polémicos, afirma que los prestadores de SSI deberán
comunicar a los Registros Públicos "en los que, en su caso, estén
inscritos, el nombre de dominio de Internet que utilicen con carácer
permanente..." Esto es todo un campo minado. Por un lado, nadie sabrá cómo
se aplicaría ese "en su caso" hasta que fuese interpretado por un
reglamento o un funcionario. Por otro lado, ¿y si no tengo un dominio
permanente? ¿Y si no tengo un dominio en absoluto? ¿Tengo que cambiar mi
www.ugr.es/~aquiran por algo del tipo www.arturoquirantes.com? Este
artículo demuestra la poca cultura Internet que tienen los que lo
redactaron. No es un artículo que aparezca en la Directiva, y debería
eliminarse.
Solución dada por el cuarto borrador: Permanece la necesidad de
inscribirse en un Registro Público "para la adquisición de personalidad
jurídica." Se acepta el uso de dominios "o direcciones de Internet."
PUNTO 6: OBLIGACIÓN EN RELACIÓN CON LOS CONTENIDOS
Aquí se dice qué deben hacer los prestadores de SSI en relación con
los contenidos. Básicamente, deben comunicar a las autoridades judiciales
o administrativas las actividades ilícitas que se produczan, así como
acatar sus órdenes, suspender servicios, bloquear información y conservar
datos cuando esa autoridad lo ordene.
Nadie sabe qué es una "autoridad administrativa" ni por qué se les
da la misma autoridad que una judicial. Usado literalmente, un funcionario
podría, mediante "autoridad administrativa", hacer cosas como bloqueo de
información, es decir, secuestro de publicaciones.
Se deberían restringir esas actuaciones a autoridades
judiciales, lo que resultaRÍA más razonable. Pero el tercer borrador
permitía que las autoridades obligasen a conservar datos relativos a la
actividad de un destinatario durante un máximo de seis meses. Esto forma
parte de una reciente y polémica exigencia de las autoridades policiales
europeas, quienes en el seno del Consejo de Ministros de Justicia e
Interior de la UE proponen guardar los datos de tráfico (datos asociados a
una comunicación, pero no el contenido de ésta) de todas las
comunicaciones durante seis meses.
Puesto que la LSSI no especifica si esos seis meses son del
pasado o del futuro, simplemente no se sabe si habrá que grabar los datos
de un destinatario, o echar mano de un "almacén de datos" para recabar
dichos datos de seis meses pasados. Este punto es muy polémico, es ahora
mismo objeto de enfrentamientos entre el consejo y el dúo Parlamento
Europeo /Comisión.
Solución dada por el cuarto borrador: Permanecen las obligaciones
con relación a los contenidos, aunque se ha eliminado la obligación de
guardas comunicaciones durante seis meses.
PUNTO 7: RÉGIMEN DE RESPONSABILIDAD
Dichos artículos especifican cómo y en qué circunstancias los
prestadores de SSI serán responsables. Vuelve aquí a aparecer el peligroso
concepto de "autoridad administrativa".
Sigo teniendo la impresión de que toda esta ristra de
responsabilidades es agobiante, estrictiva y hasta cierto punto
innecesaria. ¿Es Correos responsable de lo que se dice en las cartas que
envía? ¿Debe Amena suspender un servicio telefónico porque se le diga que
está siendo usado para actividades ilegales? ¿Será responsable el editor
de un periódico de las cartas de sus lectores? ¿Si hay un cartel con
amenazas de muerte contra alguien, tiene el portero o el dueño del
edificio obligación de quitarlo, o responsabilidad si no lo hace? Creo que
habría que considerar a los prestadores de SSI menos como responsables y
más como meros prestadores de un servicio, que es lo que son.
Más "delito" tiene el artículo 17. Trata de la responsabilidad de los
que ponen un enlace a una dirección ilícita, o los que tienen un motor de
búsqueda que proporcione información ilícita. Eso nos obligaría a revisar
todos nuestros enlaces periódicamente, no sea que alguno haya sido
declarado ilícito ... eso suponiendo que tengamos conocimientos jurídicos
para saber qué es ilícito y qué no lo es. Y respecto a los motores de
búsqueda: esto haría a Lycos, Yahoo, Goggle y demás buscadores responsable
de todo lo que se encuentre gracias a ellos, y eso incluye todas las
páginas de Internet. Este punto es tan polémico que la propia Directiva lo
deja para más adelante, según se vea cómo van las cosas. Pero la LSSI lo
incorpora sin rubor.
Finalmente, hay un artículo en la Directiva (el nº 15) que me
parece uno de los más importantes: "inexistencia de obligación general de
supervisión". Indica justamente eso: que no se impondrán a los prestadores
una obligación general de supervisar los datos que transmitan o almacenen,
ni una obligación general de realizar búsquedas activas de actividades
ilícitas. Eso NO se dice en la LSSI, y tampoco se incorpora en la
propuesta de la AI. Y este artículo es muy importante, porque si no se
prohibe significa que se puede permitir. ¿Tanto miedo le da al gobierno
incorporarlo a la LSSI?
Teniendo en cuenta que los códigos de conducta que se espera
elaboren los prestadores pueden incluir "los procedimientos para la
detección y retirada de contenidos ilícitos", esto podría dar vía libre a
los restadores para hacer rastreos voluntarios de supervisión, con el
único fin de no meterse en problemas legales. El internauta podría ver su
página borrada o su información bloqueada, no porque una autoridad
judicial lo ordene, sino simplemente porque los prestadores así lo
decretan. Y si no te gusta, ajo y agua. Dejar ese artículo de la Directiva
en el tintero me parece hacer un flaco favor a los internautas.
Solución dada por el cuarto borrador: Ninguna
PUNTO 8: SUPERVISIÓN Y CONTROL
El MCYT se autoatribuye las "obligaciones" de supervisión y control
de los prestadores de SSI, realizará las actuaciones inspectoras
necesarias para su función de control e impone a los prestadores el deber
de colaborar con el MCYT en el ejercicio de estas funciones.
Esto puede dar lugar a un galimatías. ¿Quién es organismo competente en
esta Ley: Ciencia y Tecnología, Interior, Economía, Hacienda? Si resulta
que es el MCYT, pues no hemos hecho nada.
Son necesarias establece mayores protecciones en el caso de que
durante las labores de inspección se pueda ver afectado algún derecho
fundamental, en cuyo caso deberá mediar resolución judicial de por medio.
Pero ¿y cuando los derechos no se consideran "fundamentales"? Repito, no
soy abogado. Pero no me parece oportuno que una autoridad, sea la que sea,
pueda husmear por donde quiera sin orden judicial. En este punto,
reconoczo mi ignorancia. Y precisamente por eso los abogados deberían
estudiar estos artículos cuidadosamente.
Solución dada por el cuarto borrador: Ninguna
PUNTO 9: INFRACCIONES Y SANCIONES
Se ha criticado la cuantía de las sanciones, que pueden significar
una verdadera losa para los pequeños pececillos y una minucia para los
grandes.
Solución dada por el cuarto borrador: Se ha eliminado la cuantía
mínima de las sanciones, no así la máxima (es decir "hasta 600.000 euros"
un lugar de "de 300.001 a 600.000 euros")
De sabios es rectificar. Pero a despecho de sus modificaciones (o
propuestas de), la LSSI sigue siendo un texto legal inadecuado para el
ciberespacio español. A pesar de los "esfuerzos" por parte del MCYT para
redactar una ley de comercio electrónico:
- -el tema de la no sujeción a autorización previa sigue cojo
- -el régimen de responsabilidades y obligaciones por parte de los
prestadores sigue siendo, cuando menos, polémico
- - las infracciones siguen siendo desproporcionadas
Y, lo más importante, los servicios de la sociedad de la
información siguen definidos de tal modo que no puede separarse
razonablemente la actividad internauta "no remunerada" del comercio
electrónico a secas. Este punto está enraizado en la Directiva (la cual, a
su vez, se remite a una directiva anterior) y no puede ser modificada
satisfactoriamente sin violar dicha Directiva.
Por todo lo anterior, me ratifico en su postura. Una
LSSI creíble precisaría tantos parches y modificaciones que a) se
parecería a la LSSI original como un huevo a una castaña, b) no aclararía
las diferencias entre comercio electrónico y otras actividades y c) en
cualquier caso, no cumpliría la Directiva de la que se supone emana y c).
En consecuencia, opino que la LSSI debe ser retirada y, en su
caso, sustituida por una ley de comercio electrónico y EXCLUSIVAMENTE de
comercio electrónico. Eso en el supuesto de que sea realmente necesaria
hacer una ley sobre comercio en Internet ... que esa es otra.
- --
Salu2. Arturo Quirantes
(PGP key 0x4E2031EC: http://www.ugr.es/~aquiran/cripto/claves.htm)
-----BEGIN PGP SIGNATURE-----
Version: PGP 6.5i
iQA/AwUBPFcra9Pjg85OIDHsEQItxwCdFFNskHPl/0ixb4SnWfx0lX23t20AoMIx
lWIzDzM3hlm0I4MXVniQwpOT
=Cdlw
-----END PGP SIGNATURE-----
Más información sobre la lista de distribución HackMeeting