Las redes telemáticas constituyen auténticas autopistas de la información libres de peajes u obstáculos que limiten la libertad de información y expresión. Esta falta de barreras y de intervencionismo estatal que establezca un marco mínimo regulador ha convertido a estas redes en una perfecta plataforma para la vulneración de forma anónima e impune de bienes jurídicos fundamentales.

El abanico de conductas que lesionan o ponen en riesgo los derechos e intereses legítimos de terceros aprovechando esta situación de anomia legal es tan amplio que abarca no sólo los ilícitos penales como la pornografía infantil, las injurias o las calumnias, sino que se extiende también a todas aquellas conductas destinadas a la infracción de los derechos de propiedad intelectual, competencia desleal, derecho a la intimidad, honor y propia imagen, derechos de marcas, patentes y un largo etcétera.

También los métodos o herramientas utilizados para cometer estos ilícitos son incontables. El hacking (en todas sus versiones), cracking, spamming, sniffing, uso ilícito de cookies; anonimous remailers, tablones de anuncios virtuales, entre otros muchos, son todos ellos instrumentos tendentes a conferir anonimidad y en muchos casos impunidad o irresponsabilidad.

A lo anterior hay que sumarle el hecho de que en muchas, por no decir en la mayoría de las ocasiones, esta dificultad o imposibilidad de identificar al autor de tales acciones lesivas puede inducir al legislador a procurar el resarcimiento del daño sufrido por la víctima haciendo recaer dicha responsabilidad sobre los Prestadores de Servicios de Intermediación (ISP), que resultan mucho más fácilmente identificables y, en ocasiones, más solventes.

¿Significa eso, que los ISP deben responder directamente por los daños provocados por contenidos que no han generado ellos mismos, sino que son obra de terceros, y que ellos tan sólo alojan (Application Service Providers) o transmiten a través de sus redes de comunicación (Access Service Providers)?¿Cabe exigirles un deber general de control y supervisión de los contenidos ajenos a modo de diligencia o observancia debida por el servicio que prestan?

La conveniencia de imponer este régimen de responsabilidad objetiva y directa resulta insostenible por múltiples razones. En primer lugar, porque aunque técnicamente fuera posible, implicaría no sólo elevadísimos costes económicos imposibles de soportar, sino la infracción de otros derechos y normas a los que también están sujetos los ISP, como las leyes de protección de datos o el respeto a los derechos a la intimidad, el honor y a la propia imagen.

La Directiva 2000/31/CE, relativa a determinados aspectos jurídicos de la sociedad de la información, establece en su Art. 15.1 la prohibición absoluta a los Estados miembros de prever, en las normas que desarrollen y regulen la responsabilidad de los ISP, y mediante las cuales traspongan dicha Directiva (en España la Ley de Servicios de la Sociedad de la Información), la imposición de un deber general de control o supervisión de los contenidos ajenos. Esta prohibición general sin embargo, se ve matizada cuando en el Considerando 48 de la propia Directiva se recoge la posibilidad de los Estados de imponer una diligencia o deber de supervisión específica.

¿Cómo ha interpretado el legislador español esta posibilidad de exigir al ISP una diligencia específica en la que fundamentar su posible responsabilidad?
En este sentido, la LSSI ha desarrollado un régimen de exención de responsabilidad de carácter subjetivo, de modo que, sólo cuando el ISP cumpla con las condiciones indicadas así como el nivel de diligencia exigido y que varía en función del servicio que presta, podrá acogerse a este régimen de exención de responsabilidad.

Con carácter absolutamente general podemos decir que la base de este régimen de exenciones está en que el ISP no sea el generador de la información, es decir, ni la haya creado, modificado ni seleccionado para después transmitirla, copiarla o almacenarla, y que además, haya cumplido con la diligencia específica (que varía en función de la concreta actividad desarrollada por el ISP). En definitiva los ISP tienen la obligación de retirar los datos o impedir el acceso a los mismos, ya sea porque así lo declara una resolución del tribunal competente, porque han tenido conocimiento ("efectivo") de cualquier modo, de que dicha información ha sido retirada de la red, o porque han tenido conocimiento de la ilicitud de dichos contenidos.
Finalmente, es necesario mencionar la obligación de los ISP de retención de los datos relativos a las comunicaciones electrónicas por un periodo máximo de 12 meses establecida en la LSSICE.

La Directiva Comunitaria no sólo excluye la obligación de supervisión o control en términos generales sino que prohíbe incluso, la obligación de conservación o retención del tráfico de los datos lo que sin duda choca con la ley española.

El Grupo del Art. 29 manifestó a través de la Recomendación 3/1999, su oposición a que los Estados miembros pudiesen adoptar medidas de intervención sobre el tráfico de datos como este deber de retención o almacenamiento de datos.

La necesidad de controlar el tráfico de los datos y contenidos que circulan a través de la red se pretende justificar con la persecución de las actividades criminales y los contenidos atentatorios. Sin embargo, ello no puede suponer la contravención del derecho fundamental a la intimidad, expresamente protegido por las normas de protección de datos. En cualquier caso, la aplicación de estas medidas queda condicionada a la existencia de una autorización de las autoridades que deberán determinar de forma precisa los fines para los que se podrán tratar los datos, el plazo durante el cual se podrán conservar y el acceso a los mismos.

ALEXANDRA MEZQUITA
Abogado
a.mezquita@mullerat.com

SERGIO GIMÉNEZ
Socio
s.gimenez@mullerat.com