El presente y el futuro de la responsabilidad en internet

¿Deben ser los servicios de Internet responsables de las acciones de sus usuarios? Hace 25 años, a medida que la Red se popularizaba y los ciudadanos la utilizaban para publicar información u otro tipo de contenido (que, en algunos casos, podían vulnerar la intimidad o el honor de otras personas, o infringir derechos de propiedad intelectual), los legisladores se preguntaron qué responsabilidad debían tener aquellos operadores que intermediaban en dichas operaciones (también llamados Internet Service Providers – ISP).

Era evidente que quienes realizaban dichas acciones debían ser responsables de las mismas, pero ¿qué ocurría con intermediarios como buscadores, alojadores o plataformas tecnológicas que no llevaban a cabo tales acciones, pero cuyos medios se utilizaban para su difusión y, sobre todo, era quienes podían impedir el daño? Hace más de veinte años, a la solución a la que se llegó fue considerar que los prestadores de servicios de intermediación de Internet eran responsables directos de sus actos, si bien no tenían responsabilidad por las acciones de sus usuarios siempre que no tuviesen “conocimiento efectivo” de que la información publicada infringía derechos de terceros.

Derechos digitales y transformación digital: la paradoja de Aquiles y la tortuga

Fide

La llamada 'cuarta revolución' está cambiando nuestro mundo. Y para hacerlo posible, se dice que hay que romper cosas. Hay que apostar por una innovación sin límites en la que todo es posible

De esta forma, plataformas como Google, Dreamhost, Twitter, Facebook o Instagram no eran responsables de los contenidos publicados por sus usuarios, salvo que tuviesen “conocimiento efectivo” de la información ilícita subida a sus servicios y si lo tenían, actuasen con diligencia para bloquear tales datos infractores.

Este estándar de responsabilidad ha sido el que lleva en vigor durante todo este tiempo, aunque ha evolucionado notablemente gracias a la jurisprudencia, que ha tenido que aplicarlo en casos muy diversos. En estos años hemos tenido que debatir qué ocurre cuando un servicio se creaba y configuraba con la clara intención de facilitar a sus usuarios la infracción de derechos de terceros; si estos servicios debían monitorizar o establecer filtros para impedir las vulneraciones; o de qué forma podían adquirir dicho conocimiento.

La norma europea que reguló esta cuestión fue la Directiva 2000/31/CE, relativa a determinados aspectos de los servicios de la sociedad de la información¸ la cual no matizó de qué forma los prestadores de servicios de Internet podía tener tal “conocimiento efectivo”, algo que sí hizo la norma española (la famosa Ley de Servicios de la Sociedad de la Información – LSSI).

Anonymus difunde en Twitter pantallazos del 'email' profesional de Marchena

El Confidencial

El usuario se jacta de su hazaña en Twitter y explica cómo ha llegado a la información además de reprender al juez por su falta de cuidado a la hora de elegir contraseñas

La solución fue un tanto inoperante, ya que estableció que un ISP tendría responsabilidad cuando un órgano competente hubiese declarado la ilicitud de unos datos y el prestador, tras conocer tal resolución, no lo hubiese retirado. Ello obligaba a que toda reclamación debía judicializarse y, en apariencia, el ISP no debía retirar información alguna (porque no era responsable) hasta que un juez u órgano administrativo manifestase la ilicitud de tal información, lo cual podía tardar años.

Este sistema tenía sentido en una Internet de finales del siglo pasado, con apenas información publicada por usuarios, pero, como anticipaba, se comprobó poco práctico con la irrupción de la denominada “web semántica” o “web 2.0”, en la que los usuarios eran no solo consumidores de contenidos, sino también originadores. La solución estaba en la propia LSSI, cuyo artículo 16 decía, al final, que dicho régimen de exención de responsabilidad se disponía sin perjuicio de “otros medios de conocimiento efectivo que pudieran establecerse”.

Así, tras una primera década del siglo XXI con tímidas y conservadoras aplicaciones de la norma, los tribunales han venido después aceptando diferentes medios por los cuales un ISP podría adquirir “conocimiento efectivo”, como podía ser la recepción de un burofax, un email o la notificación por una patrulla de la policía. Por estas sentencias, en cuanto el ISP conociese que albergaba información subida por un usuario que infringía derechos de terceros, debía eliminar o bloquear la misma si no quería ser corresponsable de la vulneración.

Cómo evitar que los altavoces de Google, Apple y Amazon te espíen (más de la cuenta)

Vicent Selva

Los altavoces inteligentes graban todo lo que hablamos y guardan esas conversaciones en los servidores de sus respectivos fabricantes. ¿Para siempre? Depende de ti

Pero ¿qué ocurría cuando el prestador había desarrollado una plataforma que facilitaba la infracción? ¿cuándo adquiría conocimiento en tal supuesto? Determinadas tecnologías son completamente neutras, como un servidor de alojamiento de datos o un buscador de internet; por el contrario, hay plataformas diseñadas específicamente para facilitar u optimizar una conducta lesiva.

Esta cuestión se resolvió en 2011, cuando el Tribunal de Justicia de la Unión Europea (TJUE), en el famoso caso L’Oreal v. eBay, consideró que un ISP no podía acogerse al régimen de exención de responsabilidad de la Directiva 2000/31 cuando había tenido un “papel activo” en dicha conducta, en especial, prestando asistencia u optimizando la presentación de ofertas (en este caso, que pudiesen infringir derechos de marcas por la venta de falsificaciones). Además, el Tribunal consideró que los jueces, en cada caso concreto, podían adoptar medidas contra los ISPs tendentes a evitar que se produzcan nuevas lesiones de derecho en el futuro.

Ese mismo año, el Tribunal Supremo español también determinó qué ocurría cuando el infringido no identificaba pormenorizadamente qué datos lesionaban sus derechos ¿cómo podía conocer de la información ilícita el ISP?. En el célebre caso “Ramoncín”, el máximo órgano judicial de nuestro país consideró que cuando son notorios los datos o información que infringen derechos de terceros, un ISP no puede alegar falta de conocimiento y, por tanto, la aplicación del régimen excepcional de exención de responsabilidad de la LSSI.

Ante este aumento paulatino del grado de responsabilidad de los ISPs, los titulares de derechos de propiedad intelectual trataron de exigir el establecimiento de filtros para evitar la infracción de sus derechos, algo que consideró el TJUE contrario al Derecho de la Unión, en el también notorio asunto SABAM-Netlog de 2012. No en vano, según datos de la propia Google, esta ha recibido más de 4.000 millones de solicitudes de retirada de contenido que infringían derechos de propiedad intelectual, solo relativo a su buscador (sin incluir otros servicios como Google Drive, Blogger, YouTube, etc.), motivo por el cual los afectados llevan años tratando de conseguir una mayor involucración de los ISPs en evitar la infracción de sus derechos.

Por la Directiva 2019/790 los usuarios no podrán acogerse al régimen de exención de responsabilidad operativo durante estos años

Tras casi dos décadas de aplicación y desarrollo de este estándar de responsabilidad de servicios en línea, con abundante jurisprudencia nacional y comunitaria, el Parlamento europeo ha entendido necesaria su revisión, aunque en primer lugar solo aplicable a vulneración de derechos de propiedad intelectual. En la Directiva 2019/790, el polémico artículo 17 establece que los servicios usados por los usuarios para cargar contenido no podrán acogerse a partir de ahora al régimen de exención de responsabilidad operativo durante estos años, debiendo adquirir una licencia para llevar a cabo dicha puesta a disposición o, alternativamente, realizar sus mejores esfuerzos para garantizar la indisponibilidad de las obras y prestaciones protegidas.

Por tanto, una vez que esta directiva se haya implementado en cada Estado miembro, servicios como YouTube o Instagram serán responsables por la explotación de contenido ajeno cargado por sus usuarios si carecen de una licencia, si no disponen de medios y protocolos para evitar dicha disponibilidad y si, tras recibir una notificación, no actúan de forma diligente y realizan sus mejores esfuerzos para evitar que dicho contenido se vuelva a poner a disposición de nuevo.

Facebook amenaza al 'establishment' financiero: "Solo sé que debe preocuparnos"

Óscar Giménez. Santander

La banca pide la misma regulación y señala a los bancos centrales por el desafío que tendrán para vigilar e imponer condiciones a la nueva criptomoneda

Este nuevo estándar de responsabilidad supone un paso más en la involucración de los ISP en las conductas que realizan sus usuarios a través de sus sistemas, que probablemente se extienda al respeto de otros derechos y que supone implícitamente el establecimiento de una suerte de principio de responsabilidad proactiva (accountability) similar al que hemos visto en el omnipresente Reglamento General de Protección de Datos.

No cabe duda que la Internet actual poco se parece a la que había en el año 2000, incluyendo las tecnologías disponibles tanto para publicar contenido, como para evitar la puesta a disposición de información que lesione derechos de terceros. El reto está en el correcto desarrollo de este nuevo estándar y su aplicación por los tribunales, algo que comenzaremos a ver en los próximos años y que debe materializarse de forma tal que se garantice el difícil equilibrio entre la evolución de la Sociedad de la Información y el respeto de los derechos ajenos.

*Andy Ramos Gil de la Haza, counsel de Pérez-Llorca. Cofundador de la Asociación Española de Derecho del Entretenimiento y miembro del Consejo Académico de Fide.