anterior | siguiente
Criterios de atribución de responsabilidad penal a los prestadores de servicios e intermediarios de la sociedad de la información [*]

III. LA DIRECTIVA DEL COMERCIO ELECTRÓNICO Y LOS CRITERIOS DE RESPONSABILIDAD JURÍDICA DE LOS PRESTADORES DE SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN [36]
Una vez se conoce el modo técnico en que funciona Internet es posible efectuar una ponderación equilibrada sobre los deberes de diligencia que pueden esperarse de cada uno de los operadores en función del servicio prestado y el modo en que éste se lleva a cabo. Conviene pues, con carácter previo, efectuar algunas anotaciones sobre las condiciones impuestas en materia de responsabilidad por la normativa europea y centrar la última parte de este trabajo en la proyección al ámbito penal de las conclusiones extraídas, a efectos de la posible responsabilidad penal de los distintos prestadores de servicios de la sociedad de la información.

La Directiva del Comercio electrónico no sienta las bases de responsabilidad de los prestadores de servicios de la sociedad de la información, entre los que incluye a los intermediarios. Por el contrario, exige a los Estados miembros el establecimiento de parcelas de impunidad necesarias para que la denominada Sociedad de la Información desarrolle el rol que le corresponde. En materia de responsabilidad la Directiva del Comercio electrónico se refiere a supuestos que hasta la fecha han centrado la atención de la jurisprudencia comparada y otros de compleja interpretación, si no tortuosa. En concreto se refiere a servicios de la sociedad de la información consistentes en la mera transmisión (mere conduit) de datos o facilitación de acceso; reproducción en memoria caché en los supuestos de servicios de la sociedad de la información que mediante dicha reproducción traten de hacer más eficaz el servicio ulterior al mero acceso o transmisión de datos; alojamiento de datos; finalizando con una cláusula de cierre sobre la inexigibilidad de supervisión de contenidos ajenos. Son varios ya, los conceptos que deben aclararse si no quiere construirse un castillo de responsabilidad jurídico penal en el aire. Sociedad de la Información, Servicios de la Sociedad de la información, Prestadores de Servicios de la Sociedad de la Información, Intermediarios, son sólo algunos de ellos, a los que habrá de sumarse el de destinatario del servicio o el de consumidor para entender correctamente la filosofía de la Directiva y el alcance de sus disposiciones [37] .


1. Mera transmisión o facilitación de acceso

El artículo 12 DCE contiene las exenciones básicas de responsabilidad para la transmisión de datos y la facilitación de acceso a red. Deben distinguirse en él en consecuencia, como supuestos claramente diferenciados, la pura transmisión en una red de comunicaciones de los datos facilitados por el destinatario del servicio y la facilitación del acceso a red.

En relación con el primero de ellos, la excepción de responsabilidad alcanza sentido en cuanto la administración del servicio, allí donde el intermediario es un puro transmisor de datos, requiere en múltiples ocasiones el traslado de la información residente en memoria o los datos que previamente le ha hecho llegar el destinatario del servicio respecto de un servicio ya prestado y concluido. Pensando, en primer lugar, en clave de protección de datos, la transmisión de la información por cuenta del intermediario podría no cumplir con las prescripciones legales en materia de seguridad (básicamente contenidas en el Reglamento de Medidas de seguridad de 1999). La asunción del rol de transmisor directo y no de intermediario sitúa al prestador del servicio frente a las obligaciones genéricas —comunitarias y traspuestas a las diversas legislaciones nacionales— de protección de datos, de modo que la infracción de las medidas de seguridad legalmente establecidas podrá originar, si así se encuentra previsto en la normativa correspondiente, responsabilidad por el conocimiento de dichos datos por terceros no autorizados. Claro que, en este punto, la norma se vuelve tautológica: el intermediario no podrá ser responsable por la información transmitida, por los datos transmitidos, excepto cuando no actúe como intermediario, sino como origen de la transmisión, en cuyo caso no es un intermediario y, lógicamente, no se halla amparado necesariamente por la exención. La cuestión radica ahora en dilucidar si en aquellos supuestos en que el prestador de servicio no cumple con los requisitos técnicos de seguridad establecidos para la transmisión de datos que pueden ser de carácter personal pero no es él quien origina la transmisión sino al contrario, la transmisión se origina según los presupuestos de exención de responsabilidad a petición individual del destinatario del servicio, puede exigirse responsabilidad por el conocimiento de dichos datos por terceros no autorizados o, de otro modo, la exención general del artículo 12.1 DCE ampara igualmente su actividad. La respuesta debe hallarse en la interpretación de la expresión "por los datos transmitidos": El intermediario, cuando sólo es un intermediario, no será responsable por los datos, es decir, por su contenido, aunque podrá quedar sometido a responsabilidad en los distintos Estados miembros por los problemas que origine sobre ellos en cumplimiento de su función como intermediario, de manera que el incumplimiento de las medidas de seguridad sobre los datos de carácter personal que puedan viajar a través suyo originará la responsabilidad recogida en la normativa sectorial y permitirá asimismo la proyección sobre el incumplimiento de los criterios de imputación jurídico penal, allí donde existan tipos penales que lo permitan [38] .

Si se piensa en clave de contenidos, la falta de cobertura de la exención general en los casos en que el intermediario no se comporte como tal, es decir, en los casos en que es él mismo quien origina la transmisión facilita a los Estados miembros la imposición de deberes de garantía sobre el prestador del servicio (que ya no será de intermediación como puro transmisor) cuyo alcance deberá estar íntimamente unido a las previsiones en materia de exenciones contenidas en el resto del articulado, pues carecería de sentido imponer al intermediario reconvertido en punto de origen de la transmisión deberes de vigilancia o supervisión de mayor entidad que los exigidos para el intermediario que presta servicios de alojamiento.

En el caso de la facilitación del acceso a red, la norma debe necesariamente abarcar la transmisión de datos facilitados por el destinatario del servicio así como los devueltos por el destinatario de la transmisión: en definitiva, los datos de ida y vuelta que atravesarán la puerta abierta por el proveedor de acceso. Pues, en definitiva si como veremos más adelante el proveedor que facilita el alojamiento de datos no puede quedar sometido a deberes de vigilancia o supervisión, de nuevo carecería de sentido otorgar a los estados carta de naturaleza para la imposición de dichos deberes a los facilitadores de acceso en relación con la información de vuelta, es decir, la facilitada por el destinatario de la información (por ejemplo, una página web en la que se encuentran contenidos de pornografía infantil).
2. Memoria tampón o caching

El tráfico de datos en Internet aconseja en ocasiones a los servidores de información que operan como intermediarios, la reproducción de parte de los contenidos alojados en otro servidor. Con ello se consigue una notable agilización del servicio, especialmente cuando el servicio en cuestión (acceso a portales, por ejemplo) es ampliamente demandado por los usuarios que utilizan su servidor como intermediario dado que, reproduciendo en memoria la parte de información estática del servicio demandado el servido intermediario no tiene que descargar del destino toda la información solicitada por el destinatario del servicio sino sólo aquella que personaliza la demanda. Para este tipo de supuestos la Directiva impone a los Estados miembros la prohibición de exigir responsabilidades al intermediario, de nuevo bajo ciertos condicionantes que a contrario pueden ser interpretados como obligaciones de hacer y que se resumen, a los efectos que aquí interesan, en el cumplimiento de las condiciones de acceso a la información (es decir, que el intermediario no prescinda de mecanismos de acceso condicional o establezca links profundos que trasciendan la publicidad de las páginas previas, etc.); el cumplimiento de las de las normas relativas a la actualización de la información (de modo que el intermediario no continúe reproduciendo en memoria caché datos que no aparecen ya en el servidor en que se encentra la información). Íntimamente relacionada con esta obligación se encuentra la de retirar la información que ya no se encuentre en la fuente una vez tenga conocimiento de dicha circunstancia y, en un efecto escalera, queda abierta la posibilidad de que autoridades administrativas o judiciales obliguen al intermediario a poner fin a una infracción o impedirla. La interpretación de esta cláusula, en todo caso, deberá ser interpretada teniendo en cuenta lo establecido en el artículo 12 para los facilitadores de acceso y meros transmisores de la información; pues, en definitiva, en los supuestos de reproducción en memoria caché lo normal es que el intermediario se comporte como mero transmisor de la información, razón por la cual no deberían imponerse obligaciones en la trasposición de la directiva que superen el marco de lo dispuesto en el artículo 12 DCE.
3. Alojamiento de datos

Sin duda los supuestos de almacenamiento de datos son los más problemáticos, dado el mayor nivel de diligencia que podría ser exigible a los prestadores de este servicio. En efecto, la contratación de servicios de alojamiento implica por quien ofrece el servicio la asunción de un determinado nivel de riesgo en función del contenido de los datos hospedados. La delimitación del nivel de riesgo soportable por el intermediario es nuevamente definida en la Directiva de forma negativa, impidiendo a los estados la depuración de responsabilidad por los datos alojados siempre que destinatario del servicio y prestador del mismo no sean una misma persona o aquél actúe bajo el control directo de éste, en cuyo caso, al igual que sucedía con lo dispuesto en el artículo 12 para los transmisores de información, no estamos ante meros supuestos de alojamiento de datos ajenos, sino propios. La Directiva describe las situaciones en que, no obstante lo anterior, el alojador de contenidos -stricto sensu- podrá responder de acuerdo a lo que se disponga en las diversas legislaciones nacionales permitiendo, la construcción de criterios para su ventilación allí donde el proveedor del servicio conozca la ilicitud de los datos alojados o, en relación con acciones por daños y perjuicios, conozca hechos o circunstancias que revelen el carácter ilícito de aquellos [39]; asimismo la Directiva permite la instauración a nivel nacional de criterios de atribución de responsabilidad por alojamiento de datos ilícitos en aquellos casos en que el intermediario, conociendo la ilicitud, no actúe con diligencia y prontitud para la retirada de los datos o para hacer imposible el acceso a ellos. El precepto concluye permitiendo además a las autoridades administrativas o Tribunales de los Estados miembros tomar medidas para poner fin a una infracción o fijar procedimientos o protocolos de actuación para la retirada de información lesiva, lo que implica, de suyo, que el legislador nacional no tendrá la necesidad de esperar a que la autoridad administrativa o judicial informe al Provider de la ilicitud de los datos, pudiendo en consecuencia éste quedar informado a través de personas privadas, en coherencia con el contenido del artículo 15 DCE que se examina a continuación [40].
4. La cláusula de cierre del artículo 15 de la Directiva

El artículo 15 DCE finaliza las previsiones en materia de responsabilidad eximiendo con carácter general a los intermediarios, ya sean éstos meros transmisores de información, prestadores de servicio de alojamiento, de simple acceso a red o nodos de transmisión con capacidad de reproducción en memoria caché, de la obligación de supervisión de los contenidos o de los hechos o circunstancias que indiquen una posible actividad ilegal. La exención general de búsqueda de contenidos viene en cambio compensada con la habilitación a los Estados miembros para la imposición de genéricos deberes a los intermediarios, algunos de ellos abiertamente reñidos con la lógica hasta ahora imperante en Internet y cuyo establecimiento podría llegar a provocar huidas hacia paraísos informáticos situados extramuros del Estado que las establezca o, por qué no, del propio continente [41]. Es el caso de la posible obligación de comunicar a las autoridades la identidad de los destinatarios del servicio, reservada sólo para quienes presten el servicio de alojamiento, lo que significa un control de la identidad del usuario —libertad en este punto para la determinación de los niveles de rigurosidad, v. gr., a través de firma electrónica— y el fin del anonimato en la comunicación.
anterior | siguiente
[Fecha de publicación: marzo de 2001]
© Óscar Morales García, 2001


SUMARIO
I.INTRODUCCIÓN
1.Origen y desarrollo de Internet
2.La interpretación de la Sociedad de la Información desde el Derecho
3.El rol de los intermediarios
II.COMUNICACIÓN TELEMÁTICA Y SERVICIOS DE INTERNET. CUESTIONES TÉCNICAS
1.La comunicación vía Internet
2.Servicios de red
III.LA DIRECTIVA DEL COMERCIO ELECTRÓNICO Y LOS CRITERIOS DE RESPONSABILIDAD JURÍDICA DE LOS PRESTADORES DE SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
1.Mera transmisión y acceso
2.Memoria tampón o "Caching"
3.Alojamiento de datos
4.La cláusula de cierre del artículo 15 de la Directiva
IV.CRITERIOS DE ATRIBUCIÓN DE RESPONSABILIDAD JURÍDICO PENAL POR CONDUCTAS AJENAS
1.Sobre la aplicación del artículo 30 CP
2.Responsabilidad por comisión


Nota *:
Este trabajo constituye un borrador (work paper) en el que se contiene una primera aproximación a la materia, realizada en el seno de una investigación más amplia sobre la responsabilidad de los Proveedores, que actualmente desarrolla el Grupo de Investigación E-Crime Prevention, del INTERNET INTERDISCIPLINARY INSTITUT (IN3) , en el que participan la Universitat Oberta de Catalunya (coordinación), la Università degli Studi di Trento; la Escuela Judicial (CGPJ), la Unidad de Delincuencia Tecnológica de la Policía Nacional española y la Fiscalía del Tribunal Superior de Justicia de Catalunya. La versión definitiva, una vez ordenadas y depuradas las reflexiones que en él se contienen, será publicada en el número correspondiente al mes de junio de la Revista de Derecho y Proceso Penal, Aranzadi, 2001. Entre tanto, y dadas las continuas modificaciones que se operarán sobre el mismo, queda limitado el derecho de cita, como es costumbre en la difusión de los trabajos preparatorios, a la expresa autorización del autor.
Si está Ud. interesado en recibir comentarios y noticias sobre Derecho y Sociedad de la Información, elaborados por los Estudios de derecho de la Universitat Oberta de Catalunya, envíe un mensaje al autor de este trabajo con su dirección de correo electrónico y sus preferencias temáticas y será incluido en la base de datos de nuestros próximos boletines informativos
Nota 36:
El análisis de los criterios de responsabilidad jurídico penal de los intermediarios debe partir, lógicamente, de los límites impuestos en la Directiva del Comercio Electrónico, por lo que es necesario efectuar una análisis detallado de la misma. Me limitaré en este trabajo, no obstante, a una labor eminentemente descriptiva, remitiéndome en general al estudio de la misma contenido en PEGUERA POCH, M. , Responsabilidad civil de los proveedores de servicios en Internet, en este mismo portal, passim; RICCIO, G. Mª., Anonimato e responsabilità in Internet, en DIR-INF, 2000, nº 2, pp. 316 y ss.; GARROTE FERNÁNDEZ-DÍEZ, La responsabilidad civil, op. cit. , pp. 36 y ss.
Nota 37:
Este trabajo tiene un marcado carácter introductorio. Baste ahora señalar, pues, que destinatario de servicio se corresponde, básicamente con el concepto de máquina cliente acuñada por los tecnólogos, y con la cual quiere significarse al usuario, es decir, a aquél que reclama un determinado servicio de acceso, alojamiento, etc.; asimismo, en cuanto este artículo centra su atención en la responsabilidad de los operadores e intermediarios de Internet, no cabe duda que nos hallamos dentro del concepto Servicio de la Sociedad de la Información, y que los operadores a los que se referirá la parte jurídico penal, en cuanto proveedores de acceso, transmisión o alojamiento de datos, igualmente pueden subsumirse dentro del concepto general de prestadores de servicios e intermediarios. Sobre el sentido y alcance general de los conceptos aludidos, vide, PEGUERA POCH, M. , La responsabilidad civil, op. cit. , pp. 14 y ss.
Nota 38:
No es el caso, por ejemplo, de la legislación penal española, en la que no se contiene en materia de protección de datos personales un precepto penal que, a semejanza de lo dispuesto en el artículo 601 CP para la información legalmente clasificada como reservada o secreta, prevea el descubrimiento de datos de carácter personal por terceros con origen en la negligencia grave del administrador del sistema o de quien se encuentra en todo caso habilitado para su gestión, como por ejemplo el simple intermediario.
Nota 39:
Esta disposición será sin duda esencial a efectos de la responsabilidad civil derivada de delito, pues la DCE parece establecer dos niveles distintos de conocimiento. En primer lugar, con carácter general se refiere al conocimiento en sentido estricto y éste ha de ser efectivo, es decir, constatable en todos sus extremos, lo que, como se verá más adelante, será esencial a la hora de extraer conclusiones jurídico penales sobre posibles conductas de autoría o participación del proveedor. En segundo término, se refiere al conocimiento no ya del carácter ilícito de la información, sino al conocimiento de hechos o circunstancias que revelen tal extremo -es decir, ya no es un conocimiento efectivo de la ilicitud, sino tan sólo de los hechos o circunstancias que puedan revelar la misma. Por ello, parece que se mantendría incólume la posibilidad de depurar responsabilidad civil derivada del delito, directa o subsidiaria, cuando no el proveedor del servicio de hosting no haya adquirido conocimiento efectivo de la ilicitud de los datos -esencial para la afirmación de cualquier título de autoría o participación en delitos de la parte especial, salvo los casos de imprudencia- pero sí de hechos o circunstancias que pudieran dar cuenta de ello (supuestos próximos, pues, a la culpa in vigilando o in eligendo). Lo expuesto, además, parece confirmarse con lo dispuesto en el artículo 15.1 DCE, donde de nuevo vuelve a referirse a búsqueda de contenidos ilícitos o de hechos y circunstancias que indiquen actividades ilícitas.
Nota 40:
Cfr., sin embargo, las dudas planteadas por RICCIO, G. Mª, Anonimato, op. cit. , pp. 317 y s.
Nota 41:
RICCIO, G. Mª, Anonimato, op. cit. , p. 318, quien apunta el riesgo al que, desde la lógica del artículo 15.2 DCE, se estaría sometiendo a la libre competencia.