Carlos Sánchez Almeida: La responsabilidad civil en Internet (I)

«Tienen muy pocas leyes, pero, para un pueblo tan bien organizado, son suficientes muy pocas. Lo que censuran precisamente en los demás pueblos es que no les basta la infinita cantidad de volúmenes de leyes y de intérpretes. Consideran inicuo obligar a hombres por leyes tan numerosas para que puedan leerlas o tan oscuras para que puedan entenderlas. En consecuencia, quedan excluidos todos los abogados en Utopía, esos picapleitos de profesión, que llevan con habilidad las causas e interpretan sutilmente las leyes.»
- Tomás Moro, Utopía-

1. La responsabilidad como clave de bóveda del ciberderecho

¿Qué es el ciberderecho? Es la primera pregunta que deberíamos respondernos antes de entrar en mayores disquisiciones. ¿Podemos considerar la Red como un territorio en el que se despliega la soberanía de los estados? ¿Existe un derecho del ciberespacio? ¿Es regulable Internet?

Todas estas preguntas fueron planteadas en una obra considerada fundacional por muchos autores, El código y otras leyes del ciberespacio, publicada en 1999 por el profesor universitario estadounidense Lawrence Lessig. Una obra que he releído en varias ocasiones, y con la que discrepo en algunos puntos, por su visión excesivamente anglosajona del derecho, pero al cabo, una obra esencial para centrar el debate sobre las bases jurídicas a edificar en Internet.

Los pilares básicos del ciberderecho no son una concesión de la soberanía estatal, sino fruto de un conflicto social: la tensión entre los habitantes de la Red primigenia y los poderes del mundo real. Cuando la Red, como nuevo espacio de desarrollo humano, comienza a poner en cuestión las estructuras tradicionales, surge una reacción del Estado y del Mercado intentando poner coto a tales desmanes. La fricción se centra fundamentalmente en cuatro puntos: privacidad, libertad de expresión, propiedad intelectual y soberanía, a las que en lo sucesivo, y a efectos meramente didácticos, denominaré las cuatro patas de la silla Lessig, los cuatro pilares sobre los que se asienta el ciberderecho.

El ciberderecho como tal no existe, como no existe el ciberciudadano. La persona como sujeto de derechos sólo existe en el mundo real, y sólo podemos hablar de derechos civiles en relación con el ciudadano del mundo real. En la medida que dicho ciudadano interactúa en la Red, ejercita los derechos de los que ya es titular, pero no nuevos derechos. Lo que nace con la Red son nuevas formas de ejercer dichos derechos, nuevas formas de vulnerarlos, y nuevas formas de reprimirlos. Fruto de esa tensión apareció el movimiento en pro de los ciberderechos, que inicialmente presentaba una filosofía profundamente libertaria -en el concepto estadounidense de libertarismo-, enemiga de toda intervención estatal en la Red. Ejemplo arquetípico de esta filosofía es la Declaración de Independencia del Ciberespacio, de John Perry Barlow, fundador de la Electronic Frontier Foundation. Dicha Declaración fue publicada como reacción al primer gran intento gubernamental de restringir las libertades de Internet: la Ley de Decencia en las Telecomunicaciones promulgada por la administración Clinton, que acabó siendo declarada inconstitucional por la justicia estadounidense.

Resulta cuanto menos curioso que fuese precisamente dentro de este movimiento, la EFF, donde comenzase su militancia ciberactivista el jurista Lawrence Lessig, cuya filosofía contrasta notablemente con las posturas cuasi anarquistas de los pioneros de la Red primigenia. En El Código y otras leyes del ciberespacio, Lessig apuesta decididamente por la regulación de la Red mediante normas de derecho estatal, como garantía frente a otras regulaciones no democráticas, impuestas por el mercado o por los diseñadores de software.

Esta contradicción se manifestará en varias ocasiones. Con ocasión del vivo debate que se suscitó en la Internet española en relación con la Ley de Servicios de la Sociedad de la Información, de la que luego hablaré, algún autor invocó las ideas de Lessig para justificar la LSSI. Al pobre Lawrence se le usa para todo: entrevistado por David Casacuberta para Kriptópolis, vino a decir todo lo contrario: La LSSI sería inconstitucional en los Estados Unidos.

Lo cierto es que la explosión de libertades que supone la Red es mal encajada por el Sistema, cuya primera reacción frente al ciberderecho es forzar la creación del ciberdelito. A semejanza del antiguo Oeste, el Sistema intenta colonizar el territorio desconocido mediante leyes de frontera. A la libertad de expresión se le oponen los delitos de opinión, a la privacidad la cibervigilancia, a la libre compartición de la cultura, los delitos contra la propiedad intelectual, a la ausencia de fronteras electrónicas, la soberanía estatal.

Privacidad, Libertad de Expresión, Propiedad Intelectual, Soberanía. Para completar una silla, a las cuatro patas les falta un respaldo. Y ese respaldo es la Responsabilidad, ausente en las reflexiones de Lawrence Lessig.

Sólo puede hablarse de una sociedad organizada cuando la libertad tiene el contrapeso de la responsabilidad. La responsabilidad es la clave de bóveda del ciberderecho, la pieza esencial en toda arquitectura basada en el código, sea jurídico o informático. Sin responsabilidad no puede darse un ejercicio pacífico de derechos, sin responsabilidad no hay libertad.

2. La pregunta de Josep Pla

Es una anécdota harto conocida, pero muy poco documentada, sólo la he podido encontrar en boca de periodistas, por lo que desconozco si es o no auténtica. La pregunta de Josep Pla desde el puente de Brooklyn, al ver las luces de Nueva York: ¿Quién paga todo esto?

Es una pregunta muy poco académica, lo reconozco. Pero muy práctica, y los abogados tenemos la obligación de ser prácticos, se lo debemos a nuestros clientes. Es la primera pregunta que se plantea un abogado antes de iniciar una acción judicial: ¿Quién es el responsable? ¿A quién tengo que demandar? ¿Quién pagará las costas del proceso? Aquel que paga la provisión de fondos tiene derecho a conocer todas las respuestas.

También es una pregunta que todos nos hemos hecho muchas veces en los últimos años. ¿Quién mantiene Internet? ¿Quién asume la responsabilidad si algo sale mal? Mientras preparaba esta conferencia volví a pensar en ella. Para responderla, me bastó levantarme y mirar por la ventana. Allí estaba la respuesta: en los coches, en las obras, en los edificios, en los anuncios de una compañía de seguros.

Nuestro mundo se ha acelerado tanto que pocas veces nos paramos a pensar en quién asume los riesgos de esta velocidad. Y sin embargo, es una de las claves que otorga seguridad a una sociedad en permanente avance. Alguien tiene que hacerse cargo, en el supuesto que todo falle. La clave que aguanta todo el entramado se llama responsabilidad civil.

Tal como es arriba, es abajo: todo cuanto ocurre en el mundo real tendrá antes o después su traducción al ciberespacio. Para que el derecho en Internet funcione de verdad, no bastan las cuatro patas de la silla Lessig: hace falta un respaldo. Y ese respaldo ha de ser, al igual que en el mundo real, la responsabilidad civil.

Sé que suena utópico. Es una idea que he comentado en varias ocasiones, con abogados de muy diversas especialidades, y a quién más utópico les ha sonado es precisamente a los abogados del mundo del seguro. A pesar de la historia del seguro que deberían conocer al dedillo, a pesar de que su sustento diario se basa en una idea tan utópica como esta.

Retrocedamos cien años. Imaginemos la Barcelona de 1905. ¿Cuántos vehículos de motor circulaban por esa ciudad? Imaginemos que a una Sociedad de Socorros Mutuos de aquella época, especializada fundamentalmente en seguros de incendios, se le intentase vender la peregrina idea de un seguro de automóviles... Con toda seguridad, el autor de tal idea sería echado a patadas de las oficinas de seguros de la época, y bajaría rodando las escaleras. Cien años después, su propuesta ya no suena tan utópica: de esa idea tan peregrina depende el trabajo diario de muchos de los asistentes de este Congreso.

Transacciones económicas a la velocidad de la luz, identificadores digitales, firma electrónica… El tráfico y la velocidad generan siniestros, en las autopistas de asfalto y en las autopistas de la información. El comercio necesita la velocidad, en el mundo real y en Internet. Para llegar antes que la competencia, hay que llegar más rápido, y para llegar más rápido, hay que ponerlo fácil. Para ponerlo fácil hay que correr riesgos. Y los riesgos generan pérdidas.

Pocos negocios han florecido tanto en los últimos años como las empresas de seguridad informática, y ello a pesar del crack de las empresas puntocom. Pero la seguridad informática no basta, como no basta la seguridad física. En determinadas circunstancias, es necesario un tercer nivel de seguridad. Cuando se produce una pérdida de datos de alto valor, alguien debe indemnizar.

Delimitar adecuadamente los criterios de atribución de responsabilidad en el ámbito digital otorga mayor seguridad y confianza que cualquier otra medida política o comercial. Cuando una determinada actividad puede generar responsabilidad civil, dicha actividad puede ser objeto de un contrato de seguro. Y donde existe el seguro, disminuye el riesgo y crece la confianza.

No voy a extenderme aquí sobre qué actividades podrían ser objeto del nuevo mercado asegurador en Internet, y cómo deberían articularse las pólizas, siendo ésta una materia que por sí misma dará lugar a infinidad de estudios actuariales. Al Estado le corresponderá definir en qué condiciones surge la responsabilidad, así como los riesgos que han de ser objeto de aseguramiento obligatorio, quedando las posibilidades de negocio del aseguramiento voluntario bajo el control del mercado. Siendo como es terreno virgen, no seré yo quien lo desbroce. Ya se encargarán las compañías aseguradoras de explorarlo, así como de remunerar debidamente a los abogados que quieran aventurarse a hacerlo.

En lo que sí quiero hacer hincapié es en algo que ya ha sido puesto de manifiesto por otros juristas, como el abogado aragonés Pedro J. Canut: los criterios de atribución de responsabilidad han de encontrar arraigo en nuestra tradición jurídica. Debemos huir de criterios de responsabilidad objetiva, tan apreciados por la jurisprudencia norteamericana, y centrarnos en la responsabilidad subjetiva por dolo culpa o negligencia. Este es un debate en el que tendremos que estar particularmente atentos en los próximos años. La gran batalla por el control de los contenidos de Internet va a traer aparejada la exportación del sistema de represión estadounidense, y al colonialismo cultural que sufrimos se le unirá en breve el colonialismo jurídico.

3. La responsabilidad en el ámbito digital: derecho positivo

Podríamos dedicar horas a analizar las posibles fuentes de la responsabilidad civil en el ámbito de Internet, pero razones de tiempo y espacio me obligan a limitar mi exposición a aquellos puntos donde existe un diferente tratamiento jurídico entre medio físico y medio digital. Las normas generales que regulan a responsabilidad civil derivada de delito o ilícito civil son igualmente aplicables en el mundo real y en el ciberespacio, especialmente cuando el responsable civil es el propio causante del daño.

Los problemas aparecen en la responsabilidad por hecho ajeno. En ocasiones, podrán aplicarse las normas generales o soluciones jurisprudenciales de nuevo cuño. En otros casos, serán de aplicación las normas especiales que a continuación analizaremos, que han venido a complicar extraordinariamente el problema, al establecerse distintos sistemas de responsabilidad para el medio físico y para el medio digital.

Teóricamente la responsabilidad civil por hecho ajeno viene regulada por los artículos 117 y siguientes del Código Penal, y 1903 y siguientes del Código Civil. Y digo teóricamente, porque la aprobación de la Ley de Servicios de la Sociedad de la Información ha venido a modificar sustancialmente el panorama.

Pensemos en supuestos de comisión de ilícitos mediante ordenadores propiedad de una sociedad o de una administración pública. O mediante el ordenador del domicilio familiar. Delitos informáticos, transmisión negligente de virus, vulneraciones de derechos de propiedad intelectual, o del derecho al honor, intimidad y propia imagen, cometidos por un trabajador, un funcionario o un menor de edad. La jurisprudencia resolvía estos supuestos, delimitando la interpretación de los artículos citados del Código Penal y el Código Civil.

Todo esto cambia con la llegada de la LSSI: la propiedad de un ordenador, o la titularidad de un acceso a Internet, no va a determinar necesariamente una atribución, siquiera cautelar, de responsabilidad. Pero tampoco una clara exoneración de la misma: como veremos, la seguridad jurídica está en el aire.

3.1. La Directiva 2000/31/CE, de comercio electrónico

Hay quien piensa que el derecho del ciberespacio está en pañales. Hay quien piensa que ya se ha legislado demasiado. Y los hay que tenemos una tercera opinión: es absurdo legislar mediante leyes especiales para Internet.

A algunos podría parecerles que la segunda y tercera postura son idénticas, y nada más lejos de la realidad. Cuando hace cuatro años me involucré personalmente en una campaña contra la Ley de Internet española, conocida como LSSI, no lo hice desde planteamientos anarquistas, contrarios a cualquier regulación. Todo lo contrario. Lo que dije entonces, y mantengo ahora, es que no debía regularse Internet como si se tratase de un gueto o una reserva natural. Debía aplicarse a Internet el mismo derecho del espacio real. Y era este derecho el que debía cambiar. Lo que necesitamos no es una Ley de Comercio Electrónico, sino un nuevo Código de Comercio.

El anterior gobierno ignoró las protestas de los internautas españoles, de la misma forma que las ignorará el actual gobierno si finalmente procede a reformar la Ley de Internet. Una ley que se prometió derogar desde la oposición, pero que una vez en el poder resulta útil, y en consecuencia puede decidir empeorar, en esta ocasión para beneficiar a los mercaderes de la propiedad intelectual.

Y la verdad es que es una tarea ardua, empeorar la actual Ley de Internet, una ley deficiente en su calidad legislativa e insuficiente frente a lo que pretende regular, que tuvo que reformarse dos veces a los pocos meses de entrar en vigor, mediante la pésima técnica legislativa de añadir disposiciones adicionales a la Ley de Telecomunicaciones y a la Ley de Firma Electrónica. Una ley que es en sí misma un engendro y una traición al espíritu de la Directiva que pretendía trasponer.

La Directiva 2000/31/CE, de 8 de junio de 2000, sobre el comercio electrónico, tiene como objetivo principal la armonización de las diferentes legislaciones nacionales, para que sus diferencias no afecten al tráfico económico y los principios que rigen en el ámbito de la Unión. Estos principios, originalmente circunscritos a algunas parcelas del mercado, o si se prefiere, a algunos mercados concretos, ha ido extendiéndose para comprender prácticamente casi toda la actividad mercantil, y últimamente, cada vez más, parcelas alejadas del mercado.

Los Considerandos de la Directiva indican claramente que sus medidas se limitan al mínimo necesario para conseguir el objetivo del correcto funcionamiento del mercado interior, garantizando que no existan fronteras interiores para el comercio electrónico. Del mismo modo, pretende garantizar la protección de objetivos de interés general, y en especial, la protección de los menores y la dignidad humana, la protección del consumidor y de la salud pública.

Por lo demás, la Directiva resulta ser respetuosa en principio con la libertad propia de Internet, en especial en sus considerandos, donde afirma que "la libre circulación de los servicios de la sociedad de la información puede constituir, en muchos casos, un reflejo específico en el Derecho comunitario de un principio más general, esto es, de la libertad de expresión consagrada en el apartado 1 del artículo 10 del Convenio para la protección de los derechos humanos y de las libertades fundamentales (...) La presente Directiva no está destinada a influir en las normas y principios nacionales fundamentales relativos a la libertad de expresión."

Entre los principios de la Directiva destaca el de no autorización previa. El artículo 4 de la Directiva establece que el acceso a la actividad de prestador de servicios de la sociedad de la información no puede someterse a autorización previa ni ningún otro requisito de efecto equivalente.

En lo que se refiere a la responsabilidad de los prestadores de servicios de la sociedad de la información, lo que establecen los artículos 12 a 15 de la directiva, es más que un sistema de imputación de responsabilidades, un sistema de exoneración de la misma, cuando se den una serie de requisitos.

Así, el artículo 12 se ocupa de la mera transmisión de datos, y establece que el prestador del servicio de transmisión en una red de comunicaciones de datos facilitados por el destinatario del servicio o de facilitar acceso a una de red de comunicaciones, incluido el almacenamiento automático y provisional de los datos que se transmiten, no será responsable de los datos transmitidos siempre que el prestador no haya sido quien origine la transmisión, no seleccione el destinatario de la transmisión ni seleccione o modifique los contenidos.

El artículo 13 se ocupa de la denominada memoria tampón, caché o "catching", excluyendo de responsabilidad al prestador de servicios que almacene automática y provisionalmente la información con la única finalidad de hacer más eficaz la transmisión ulterior de la información.

El artículo 14 analiza la actividad de alojamiento de datos, excluyendo de responsabilidad al proveedor de servicios, siempre que: éste no tenga conocimiento de que la actividad desarrollada por el destinatario del servicio sea ilícita y que en cuanto tenga conocimiento de esta ilicitud actúe con prontitud para retirar los datos. Todo ello, sin perjuicio de que las autoridades nacionales ordenen la retirada de los datos.

Finalmente, el artículo 15 establece una exoneración del deber de supervisión de los contenidos, al decir que los "Estados miembros no impondrán a los prestadores de servicios una obligación general de supervisar los datos que se transmitan o almacenen, ni una obligación general de realizar búsquedas activas de hechos o circunstancias que indiquen actividades ilícitas."

No obstante, se impone a los prestadores de estos servicios un deber de colaboración al decir que los Estados podrán establecer obligaciones tendentes a que se comunique con prontitud a las autoridades los presuntos datos ilícitos, así como, a solicitud de éstas, la información que permita identificar a los destinatarios de su servicio con los que hayan celebrado acuerdo de almacenamiento.

La Directiva establece otras pautas en lo relativo a publicidad y contratación electrónica, que no comentaré aquí dada la temática de este trabajo, limitado a la responsabilidad civil.

3.2. La Ley 34/2002, de 11 de julio,
de Servicios de la Sociedad de la Información y de Comercio Electrónico

3.2.1. LSSICE: ámbito de aplicación material

Según se indica en su preámbulo, la LSSICE pretende incorporar a nuestro ordenamiento jurídico los principios contenidos en la Directiva 2000/31/CE sobre comercio electrónico, fijando la regulación del régimen jurídico de los llamados "servicios de la sociedad de la información", así como de la contratación por vía electrónica, sobre todo, en lo referente a las obligaciones de los prestadores de este tipo de servicios, incluidos los que actúan como intermediarios en la transmisión de contenidos por las redes de telecomunicaciones, las comunicaciones comerciales por vía electrónica, la información previa y posterior a la celebración de contratos electrónicos, las condiciones relativas a su validez y eficacia y el régimen sancionador aplicable a los prestadores de servicios de la sociedad de la información.

En la práctica, la LSSICE se desvió notablemente del espíritu de la Directiva, convirtiéndose de facto en una Ley de prensa digital. Sus primeros anteproyectos contradecían abiertamente la Directiva, al exigir el registro previo para actuar en Internet, un precepto que afortunadamente desapareció del texto definitivo. Ello no obstante, se impuso a los prestadores de servicios la obligación del registro del dominio en determinados supuestos. Del mismo modo, se regularon otros aspectos no cubiertos por la directiva, entre los que destacan la obligación de retención de datos de tráfico impuesta a determinados proveedores, así como los criterios de atribución de responsabilidad por hipervínculos, ausentes del texto de la Directiva. Finalmente, no se plasmó en el texto de la Ley un punto esencial de la norma comunitaria: la no exigencia de un deber general de supervisión de contenidos.

El concepto en torno al que gira la Ley, como se ha destacado es el de "servicio de la sociedad de la información", un concepto ambiguo y poco claro que se presta a diversas interpretaciones. La exposición de motivos acoge un concepto amplio de "servicios de la sociedad de la información", que engloba, además de la contratación de bienes y servicios por vía electrónica, el suministro de información por dicho medio (como el que efectúan los periódicos o revistas que pueden encontrarse en la Red), las actividades de intermediación relativas a la provisión de acceso a la Red, a la transmisión de datos por redes de telecomunicaciones, a la realización de copia temporal de las páginas de Internet solicitadas por los usuarios, al alojamiento en los propios servidores de información, servicios o aplicaciones facilitados por otros o a la provisión de instrumentos de búsqueda o de enlaces a otros sitios de Internet, así como cualquier otro servicio que se preste a petición individual de los usuarios (descarga de archivos de vídeo o audio...), siempre que, establece la Ley de forma poco clara, represente una actividad económica para el prestador, aunque el uso de dichos servicios sea gratuito para sus destinatarios.

Estos servicios puede ser ofrecidos por los operadores de telecomunicaciones, los proveedores de acceso a Internet, los portales, los motores de búsqueda o cualquier otro sujeto que disponga de un sitio en Internet a través del que realice alguna de las actividades indicadas, incluido, por supuesto, el comercio electrónico.

De esta forma, habrá que entender por "Servicio de la sociedad de la información" cualquier tipo de servicio prestado a distancia, por vía electrónica y a petición individual del destinatario, sea o no a título oneroso, es decir a cambio de dinero. No obstante, la ley matiza, aunque de forma confusa, que el concepto de servicio de la sociedad de la información comprende también los servicios no remunerados por sus destinatarios, tan sólo en la medida en que constituyan una actividad económica para el prestador de servicios.

En cualquier caso, la ley enumera, con carácter enunciativo, algunas de las actividades que constituyen un servicio de la sociedad de la información y que son las siguientes:

- La contratación de bienes o servicios por vía electrónica,
- la organización y gestión de subastas por medios electrónicos o de mercados y centros comerciales virtuales,
- la gestión de compras en la red por grupos de personas,
- el envío de comunicaciones comerciales,
- el suministro de información por vía telemática,
- el vídeo bajo demanda, como servicio en que el usuario puede seleccionar a través de la red, tanto el programa deseado como el momento de su suministro y recepción, y, en general, la distribución de contenidos previa petición individual.

3.2.2. LSSICE: Restricciones y régimen de responsabilidad

3.2.2.1. Principio de libre prestación de servicios

El artículo 7 de la LSSICE, en correspondencia con la normativa comunitaria, impone el principio de libre prestación de servicios para los prestadores establecidos en algún Estado miembro de la Unión Europea o del Espacio Económico Europeo, sin que pueda establecerse ningún tipo de restricciones a los mismos por razones derivadas del ámbito normativo coordinado.

A diferencia de lo que sucede para los prestadores de servicios establecidos en Estados miembros del Espacio Económico Europeo, la ley dispone que en lo relativo a Estados no miembros, la aplicación del principio de libre prestación de servicios de la sociedad de la información estará subordinada a los acuerdos internacionales que resulten de aplicación. Este precepto puede tener una repercusión trascendental en las plataformas de comercio electrónico sitas en países no comunitarios.

3.2.2.2. Restricciones a la prestación de servicios

El artículo 8 de la LSSICE es posiblemente el que más ríos de tinta ha provocado en los medios de comunicación españoles, y hasta internacionales, dado que fue el desencadenante de la campaña en contra de la LSSICE organizada desde la revista digital Kriptópolis. La aparición del anteproyecto de ley en Internet provocó un clamor de los internautas españoles contra lo que se interpretó como un intento de censura de la red Internet. Las primeras versiones del anteproyecto permitían la extralimitación de la autoridad administrativa, vulnerando lo dispuesto en el artículo 20 de la Constitución, que dispone que sólo pueden secuestrarse publicaciones mediante orden judicial. El maquillaje del proyecto de ley en vía parlamentaria ha condicionado bastante la posibilidad de extralimitación, que no obstante puede darse en la práctica, como veremos a continuación.

El artículo 8.1 de la LSSICE, aplicable, conforme lo antes dicho, a cualquier prestador de los servicios con independencia del país de procedencia, dispone que en caso de que un determinado servicio de la sociedad de la información atente o pueda atentar contra los principios que se expresan a continuación, los órganos competentes para su protección, en ejercicio de las funciones que tengan legalmente atribuidas, podrán adoptar las medidas necesarias para que se interrumpa su prestación o para retirar los datos que los vulneran.

Los principios a que alude este apartado son los siguientes:

a) La salvaguarda del orden público, la investigación penal, la seguridad pública y la defensa nacional.
b) la protección de la salud pública o de las personas físicas que tengan la condición de consumidores o usuarios, incluso cuando actúen como inversores.
c) el respeto a la dignidad de la persona y al principio de no discriminación por motivos de raza, sexo, religión, opinión, nacionalidad, discapacidad o cualquier otra circunstancia personal o social.
d) la protección de la juventud y de la infancia.

Como puede observarse, se trata de unos principios formulados de forma abstracta, por lo que la interpretación del alcance de los mismos y su eventual vulneración queda al arbitrio del órgano competente para su protección. La norma establece que en la adopción y cumplimiento de las medidas de restricción a que alude este apartado se respetarán, en todo caso, las garantías, normas y procedimientos previstos en el ordenamiento jurídico para proteger los derechos a la intimidad personal y familiar, a la protección de los datos personales, a la libertad de expresión o a la libertad de información, cuando éstos pudieran resultar afectados. Asimismo, en todos los casos en que la Constitución, las normas reguladoras de los respectivos derechos y libertades o las que resulten aplicables a las diferentes materias atribuyan competencia a los órganos jurisdiccionales para intervenir en el ejercicio de actividades derechos, sólo la autoridad judicial competente podrá adoptar las medidas previstas en este artículo. Por último, se establece en el apartado 3 del artículo 8 que las medidas de restricción serán objetivas, proporcionadas y no discriminatorias, y se adoptarán de forma cautelar o en ejecución de las resoluciones que se dicten, conforme a los procedimientos administrativos legalmente establecidos o a los previstos en la legislación procesal que corresponda.

La enumeración de garantías constitucionales presente en el artículo 8 de la LSSICE pretende evitar la extralimitación de la autoridad administrativa , y tiene indudablemente su origen en las protestas contra el Anteproyecto de Ley, que no recogía la necesidad de intervención del Poder Judicial en casos que afectasen al derecho fundamental a la Libertad de Expresión, un extremo sabiamente rectificado en el Parlamento. Ello no obstante, sigue quedando en manos del funcionario correspondiente la interpretación de qué debe considerarse materia de libertad de expresión o información. Así por ejemplo, en virtud del principio de protección de los consumidores, una autoridad administrativa puede considerar nocivo un catálogo de venta a través de Internet, y solicitar al prestador de servicios que proceda a la retirada del mismo, apercibiéndole que en caso de no obedecer tal requerimiento puede ser sancionado con una multa de hasta 600.000 euros.

De igual modo, en virtud de la salvaguardia de la defensa nacional, determinadas informaciones presentes en Internet pueden ser consideradas perjudiciales por parte del Ministerio de Defensa. ¿Debería en tal caso intervenir la jurisdicción especial militar, por ser materia de libertad de expresión? Como vemos, el razonamiento puede llevar al absurdo, y ello es así por cuanto todo lo publicado en Internet, es, como indica el subrayado, una publicación, y por tanto se encuentra protegida por lo dispuesto en el artículo 20.5 de la Constitución, que establece que sólo podrá acordarse el secuestro de publicaciones, grabaciones y otros medios de información en virtud de resolución judicial.

Al objeto de reforzar el control sobre los contenidos de Internet, se dispone en el artículo 8.2 la posibilidad de que el órgano competente ordene la interrupción de la prestación de un servicio o la retirada de datos, tanto si proceden de un prestador de servicios establecido en España como si proceden de otro Estado. En el primer supuesto, deberá seguirse el procedimiento previsto en el artículo 11, que faculta a los órganos competentes para ordenar la retirada de contenidos, bien directamente, o a través del Ministerio de Ciencia y Tecnología. De encontrarse los datos o el servicio en un país extranjero, el órgano competente podrá acordar directamente la medida, o dirigir solicitud motivada al Ministerio de Ciencia y Tecnología, siguiéndose en tales casos los procedimientos de comunicación previstos en la Ley.

Como vemos, se trata de una posibilidad de censura extraterritorial, dado que incide sobre toda la distribución geográfica de Internet. Ello puede dar lugar a reclamaciones internacionales, especialmente en lo referido a ciudadanos amparados por textos constitucionales que protegen extraordinariamente el derecho a la libertad de expresión, como es el caso de la Primera Enmienda de la Constitución estadounidense, en su interpretación por el Tribunal Supremo Federal. Una característica ésta que es predicable de muchos países y colonias de la órbita anglosajona: pensemos por ejemplo en el caso de Gibraltar, donde pueden buscar asilo virtual muchas empresas españolas, dada su proximidad y el hecho de que las autoridades administrativas españolas han de ceñirse al procedimiento previsto para países comunitarios, que requeriría en este caso de la colaboración del Foreign Office.

3.2.2.3. La retención de datos de navegación (art. 12)

El artículo 12 de la LSSICE establece una obligación para los prestadores de servicios de Internet, la retención de datos de navegación, que tiene su origen en lo que ha sido una petición constante de los cuerpos policiales encargados de la persecución del delito informático. La retención de datos de navegación está dirigida a poder localizar en todo momento el origen físico de una determinada información transmitida por Internet. En suma, poder imputar a determinada persona un determinado contenido, sea o no delictivo. Como es lógico, tal obligación ha despertado serios recelos en los grupos defensores de derechos civiles, por cuanto puede suponer un peligro para el derecho fundamental a la intimidad y al secreto de las comunicaciones.

La obligación de retención de datos afecta a los operadores de redes y servicios de comunicaciones electrónicas, los proveedores de acceso a redes de telecomunicaciones y los prestadores de servicios de alojamiento de datos. Es decir, no se limita a las compañías operadoras de servicios de telefonía y acceso a Internet, sino también a los servicios de alojamiento de datos, término éste último que no ha sido definido por la Ley, lo que puede afectar a cualquier página web. Una interpretación extensiva del precepto puede llevar a exigir a los webmasters de los sitios que alojen foros de debate, a que procedan a identificar a todos sus usuarios, con base en la obligación legal, que lleva aparejada una multa de hasta 600.000 euros en caso de incumplimiento. Ello podría suponer un serio revés para la libertad de expresión en Internet, en la medida que se restringe indirectamente la posibilidad de anonimato.

Los datos que deben retenerse son los de conexión y tráfico generados por las comunicaciones establecidas, y el plazo máximo será el de un año desde el establecimiento de dicha comunicación.

En apartados siguientes del artículo se pretende limitar el alcance de dichos datos, al objeto de preservar el secreto de las comunicaciones, derecho constitucional establecido en el artículo 18 de la Constitución, donde se dispone que sólo puede accederse al contenido de las mismas mediante resolución judicial. Así, se establece que los datos a conservar serán únicamente los necesarios para facilitar la localización del equipo terminal empleado por el usuario para la transmisión de la información, puntualizándose que serán sólo aquéllos imprescindibles para identificar el origen de los datos alojados y el momento en que se inició la prestación del servicio, sin que puedan afectar en ningún caso al secreto de las comunicaciones.

Los operadores de redes y servicios de comunicaciones electrónicas y los prestadores de servicios a que se refiere este artículo no podrán utilizar los datos retenidos para fines distintos de los indicados en el apartado siguiente u otros que estén permitidos por la Ley y deberán adoptar medidas de seguridad apropiadas para evitar su pérdida o alteración y el acceso no autorizado a los mismos. Tales medidas de seguridad, también exigidas por la vigente Ley Orgánica de Protección de Datos, no quedan definidas en la LSSICE, quedando para desarrollo reglamentario.

El apartado 3 del artículo 12 dispone que los datos se conservarán para su utilización en el marco de una investigación criminal o para la salvaguardia de la seguridad pública y la defensa nacional, poniéndose a disposición de los Jueces o Tribunales o del Ministerio Fiscal que así los requieran. La comunicación de estos datos a las Fuerzas y Cuerpos de Seguridad se hará con sujeción a lo dispuesto en la normativa sobre protección de datos personales.

La LSSICE deja para su desarrollo reglamentario las categorías de datos que deberán conservarse según el tipo de servicio prestado, el plazo durante el que deberán retenerse en cada supuesto dentro del máximo previsto en este artículo, las condiciones en que deberán almacenarse, tratarse y custodiarse y la forma en que, en su caso, deberán entregarse a los órganos autorizados para su solicitud y destruirse, transcurrido el plazo de retención que proceda, salvo que fueran necesarios para éstos u otros fines previstos en la Ley.

3.2.2.3. Deberes de colaboración con las autoridades

Al analizar las restricciones a la libre prestación de servicios, observábamos cómo los órganos competentes para la protección de los principios reseñados en el artículo 8 podían ordenar a los prestadores de servicios de intermediación establecidos en España, bien directamente, bien mediante solicitud motivada al Ministerio de Ciencia y Tecnología, la interrupción de la prestación de un servicio o la retirada de datos, incluso cuando éstos procediesen de un prestador establecido en otro Estado. El artículo 11 de la LSSICE, bajo la elocuente rúbrica "Deber de colaboración de los prestadores de servicios de intermediación", establece para las empresas que ofrezcan este tipo de servicios la obligación de colaborar con la Administración para impedir el acceso a contenidos que atenten contra los principios establecidos en el artículo 8.

Los "servicios de intermediación" vienen definidos en el Anexo de la LSSICE como un "servicio de la sociedad de la información por el que se facilita la prestación o utilización de otros servicios de la sociedad de la información o el acceso a la información". Así, son servicios de intermediación la provisión de servicios de acceso a Internet, la transmisión de datos por redes de telecomunicaciones, la realización de copia temporal de las páginas de Internet solicitadas por los usuarios, el alojamiento en los propios servidores de datos, aplicaciones o servicios suministrados por otros y la provisión de instrumentos de búsqueda, acceso y recopilación de datos o de enlaces a otros sitios de Internet. El término, en consecuencia, no sólo abarca a los prestadores de servicio de acceso (ISP), sino también a aquellos que suministren servicios de búsqueda de contenidos o alojamiento de datos, incluso de forma provisional, al regular incluso la copia temporal de páginas de Internet, como la que puede efectuarse en el servidor de una red local conectada a Internet.

El artículo 11 de la LSSICE dispone que cuando un órgano competente por razón de la materia, hubiera ordenado, en ejercicio de las funciones que legalmente tenga atribuidas, que se interrumpa la prestación de un servicio de la sociedad de la información o la retirada de determinados contenidos provenientes de prestadores establecidos en España, y para ello fuera necesaria la colaboración de los prestadores de servicios de intermediación, podrá ordenar a dichos prestadores, directamente o mediante solicitud motivada al Ministerio de Ciencia y Tecnología, que suspendan la transmisión, el alojamiento de datos, el acceso a las redes de telecomunicaciones o la prestación de cualquier otro servicio equivalente de intermediación que realizaran. En la práctica, dicha obligación comporta que el prestador de servicios de intermediación debe actuar como colaborador de la administración en sus funciones de censura de contenidos, fijándose severas multas en en supuesto de no colaboración.

(*) Ponencia presentada en el XIII Congreso de Responsabilidad Civil organizado por la Comisión de Abogados de Entidades Aseguradoras y Responsabilidad Civil del Ilustre Colegio de Abogados de Barcelona.