Consideraciones legales prestadores de servicios de Internet "intermediarios"

Víctor Roselló Mallol, abogado
E-mail : victor@rosello-mallol.com
Web : www.rosello-mallol.com

No resulta una novedad, en el ámbito de Internet, la figura del intermediario en la prestación de servicios de alojamiento de datos en general (principalmente páginas web), fenómeno que simplemente consiste en la oferta de los mencionados servicios a clientes finales, y la prestación efectiva de los mismos a través de un ISP, que es quien gestiona directamente los servidores, con el que el intermediario tiene contratado un plan de alojamiento de capacidad moldeable a los clientes que efectivamente consiga. El éxito de este modelo de negocio se basa principalmente en los bajos costes que para los intermediarios el mismo supone, así como la posibilidad de escalar el espacio contratado con el ISP, en función de los clientes de que disponga. Es un sistema tan simple y básico como el propio origen del comercio, comprar por un precio, vender más caro y lucrarse con la diferencia. Alguien con capacidad para crear una página web con una pasarela de pago y para buscar la oferta más ventajosa, en relación a precio-capacidad, entre los múltiples ISP que existen, puede generar negocio y ganarse un buen dinero extra.

La simplicidad del negocio expuesto puede verse obstruida, de todas formas, por la observancia de las leyes aplicables a este tipo de prestaciones de servicios. Actualmente son pocos los intermediarios de este tipo, que conozcan las leyes que les son de aplicación, y muchos menos, los que realmente las apliquen. Seguramente piensan, no sin cierto grado de razón, que la observancia de la legislación aplicable a su negocio, afectaría, muy directamente, a la rentabilidad de éstos. El objetivo de este breve estudio consiste en apuntar los principales puntos de interés, que deben considerar los gestores de este tipo de negocios, para evitar problemas de índole legal; en concreto nos centraremos en tres de las normativas que les son de aplicación: la protección de datos personales, la LSSICE y la Ley General de Telecomunicaciones.

Vayamos por partes y antes de entrar en el estudio de estas problemáticas concretas, debemos señalar una característica común a este tipo de negocios jurídicos: la falta de relación contractual entre ninguna de las partes. Más allá de la obligatoriedad por ley de un contrato, en el caso que a continuación abordaremos, es muy recomendable que las relaciones de prestación de servicios que se generan en la práctica, tengan su reflejo documental ya que esto clarifica la situación de cada una de las partes, principalmente en cuanto a limitaciones e imputaciones de responsabilidad de cada una de las mismas. Esta situación implica que, en muchas ocasiones, el cliente no conoce ni que su página web está alojada en servidores que no están controlados ni gestionados por el intermediario, con la confusión y problemas de carácter legal que esta situación puede llegar a suponer.

Analicemos ya como la normativa en materia de protección de datos, afecta a los prestadores de los servicios que nos ocupan y es que en las páginas web de los clientes, no es extraño que de alguna forma (mediante un correo electrónico o un formulario), se recojan datos personales de contacto de sus visitantes. Con la LOPD en la mano, los responsables de estos ficheros son, en cualquier caso los clientes, que serán los obligados de llevar a cabo las acciones que para estos sujetos prevé la mencionada ley (notificación de ficheros, derecho de información, documento de seguridad, etc...). Partiendo de ésta situación inicial, analicemos los distintos supuestos de hecho posibles, la situación en que cada una de las otras dos partes (intermediario e ISP) quedan, así como las soluciones legales que podemos proponer para cada uno de los mismos:

1. Supuesto 1: El contacto generado por la página web va directamente a los sistemas informáticos (por ejemplo Outolook) del titular de la misma (cliente), sin que en ningún caso, ni el intermediario ni el ISP tengan acceso ni mantengan copia de estos datos. En este supuesto el único obligado sería el cliente sin que ni el intermediario ni el ISP tengan obligaciones en relación a la LOPD ya que no estarán tratando los datos ubicados en ficheros de un tercero (cliente), por cuenta de éste.

2. Supuesto 2: Por razones técnicas, los datos personales del contacto (sería suficiente un correo electrónico) generado desde la página web del cliente, es accesible y/o es copiado tanto por el intermediario como por el ISP: nos encontramos ante un supuesto de tratamiento de datos por cuenta de terceros (art. 12 LOPD), con la particularidad y complicación adicional que en lugar de un único encargado del tratamiento, existen dos de ellos, por lo que siendo más precisos, existe una subcontratación del tratamiento de los datos; el cliente encarga el tratamiento de los datos de los que es responsable, al intermediario que, a su vez, y muchas veces sin el conocimiento del cliente, lo encarga al ISP.

Éste es un supuesto que la LOPD no prevé y que la Agencia Española de Protección de Datos de hecho, prohíbe en el caso que el responsable del fichero deje de ser parte en la relación jurídica con alguna de las otras dos partes implicadas. En la mayoría de estos casos no es que el cliente deje de ser parte de la relación jurídica con el ISP, sino que, como se ha dicho, incluso desconoce de la existencia del mismo. Veamos pues los pasos a tomar para que ésta relación jurídica no vulnere la LOPD o los criterios de la APD:

1. En primer lugar será necesario un contrato entre el cliente y el intermediario con el contenido mínimo de lo establecido en el artículo 12 LOPD.

2. En cuanto a la relación entre el cliente y el ISP, ésta pueda regularse de la siguiente forma:

   1. a. Que el contrato inicial entre el cliente y el intermediario faculte expresamente a éste último, para que contrate el tratamiento de datos con el ISP por cuenta y en nombre del cliente. Éste contrato debe prever también, lo dispuesto en el artículo 12 de la LOPD.

   2. b. Que el cliente contrate directamente con el ISP estableciendo el contenido del artículo 12 de la LOPD.

La ausencia de esta cadena de contratos puede suponer considerar a quien entrega los datos (el cliente) como responsable de una comunicación ilícita de datos considerada una infracción muy grave por la LOPD; y a quien trata los datos (intermediario o ISP) como responsable de un tratamiento ilegal de los mismos, considerado a su vez, por la LOPD como una infracción grave.

Mención a parte merece el supuesto, bastante habitual por otra parte, en que el ISP está físicamente alojado en algún país que no proporcione un nivel de protección equiparable al que presta la LOPD. En muchos de los supuestos estudiados los intermediarios disponen de proveedores situados en EUA a causa del precio de sus servicios de alojamiento de datos. En este caso y siempre que el servidor en concreto, no esté adherido a los principios de puerto seguro (en el caso de EUA), nos encontraremos ante una transferencia internacional de datos a un país que no goza de las mismas garantías que las que concede la LOPD, por lo que estaríamos, de nuevo, ante una infracción muy grave, en el caso de no contar con la autorización expresa del Director de la Agencia Española de Protección de Datos. En este caso, de todas formas, consideramos que quien debe tomar las garantías para que esto no sea así será el cliente, pero esto supone que éste debe saber que los ficheros de los que es responsable, están alojados fuera de España, cosa que en pocos casos sucede y que únicamente puede y debe clarificar el intermediario.

Una vez analizadas las consecuencias que para este tipo de operadores, tiene la normativa de protección de datos, centrémonos en como encajan los mismos dentro de la estructura de la LSSICE.

Primeramente decir que en éste ámbito más que soluciones, lo que plantearemos serán dudas y es que el primer problema que se nos plantea, es en qué situación quedan este tipo de operadores en el amplio abanico de definiciones que establece la LSSICE, ésta no es una cuestión baladí ya que tiene importantes consecuencias en relación a obligaciones y responsabilidades.

En primer lugar consideramos que sin duda, los intermediarios que estamos tratando tienen la consideración de prestadores de servicios de la sociedad de la información, en tanto que prestan servicios "normalmente a título oneroso, a distancia, por vía electrónica y a petición individual del destinatario". Adicionalmente, en muchos casos, es posible contratar productos y servicios desde su página web (normalmente alojamiento de páginas web), por tanto de forma electrónica; esto supone la aplicación de los preceptos de la LSSICE dedicados a las contratación electrónica, principalmente en cuanto a los deberes de información anteriores y posteriores a dicha contratación.

Analizados estas dos consecuencias, creemos que bastante claras, el problema viene en si debemos considerar a estos operadores como a prestadores de servicios de un servicio de intermediación entendiendo como tal, el "servicio de la sociedad de la información por el que se facilita la prestación o utilización de otros servicios de la sociedad de la información o el acceso a la información" o si, por el contrario, únicamente tienen esta consideración los terceros que gestionan y controlan los servidores donde se aloja la información. Leyendo la definición incluida en los Anexos de la LOPD creemos que sí, que estos operadores pueden encuadrarse y definirse como a prestadores de servicios de intermediación, ya que facilitan la prestación de un servicio de la sociedad de la información a través del alojamiento de datos e información que comercializan, aunque efectivamente, esta información esté alojada en servidores de un tercero. El problema aparece cuando nos dirigimos a los artículos 14 a 17 donde se desglosan los distintos prestadores de servicios de intermediación a efectos de limitar su responsabilidad; francamente no creemos que los operadores aquí estudiados, encajen en ninguna de esas cuatro definiciones. Veámoslo.

El artículo 14 habla de operadores de redes de telecomunicaciones y proveedores de acceso a una red de telecomunicaciones, cuya actividad consista en "transmitir por una red de telecomunicaciones datos facilitados por el destinatario del servicio (el cliente) o en facilitar acceso a ésta". Entendemos que ni el operador estudiado gestiona red alguna ni transmite datos del cliente a través de ésta ya que en la mayoría de los casos, el operador intermediario ni conoce ni es capaz de conocer el envío de datos por parte de sus clientes al ISP. En el artículo 15 se hace referencia a prestadores de servicios de intermediación que realizan copia temporal de los datos solicitados por los usuarios o lo que es lo mismo, los prestadores de servicios que realizan actividades de memoria caché a efectos de un mejor funcionamiento de la red. Tampoco creemos que el operador objeto de estudio reúna los requisitos de esta definición, ni incluso en el supuesto que el intermediario tenga acceso a los datos que pueden generarse a través de la página web del cliente (supuesto 2 analizado en el apartado de protección de datos). La copia temporal de datos a la que hace referencia este precepto, a efectos de mejorar la eficacia de la red, no entendemos que tenga nada que ver al acceso que los intermediarios pueden tener a los datos generados desde las páginas web de sus clientes.

Un párrafo aparte merece el artículo 16 que trata de prestadores de servicios de alojamiento de datos. Efectivamente este artículo hace referencia a prestadores de servicios cuya actividad consiste en "albergar datos proporcionados por el destinatario"; en ningún caso se hace referencia a que dichos prestadores deban ser titulares de las máquinas donde se alojan los mencionados datos, por lo que, en una primera impresión, los operadores aquí estudiados podrían encuadrarse en este tipo de prestadores de servicios de intermediación. De todas formas, si seguimos adelante en el mismo artículo, se establecen los criterios por los que dichos prestadores no serán responsables de los datos alojados por ellos mismos. En ese sentido nos habla que dichos prestadores de servicios (ISP) no serán responsables a menos que no tengan conocimiento efectivo de la ilicitud de los datos que alojan y que en caso de tenerlo actúen con diligencia para retirar los datos o hacer imposible el acceso a ellos. Esto, entendemos que, presupone un cierto control sobre los servidores donde se aloja dichos datos, facultad de la que carece el operador intermediario, por tanto consideramos que este artículo 16, aunque no lo diga expresamente, está haciendo referencia a prestadores de servicios que, directamente gestionan y controlan las máquinas donde se aloja los datos, sin incluir a los operadores intermediarios objeto de estudio. En relación al conocimiento efectivo queremos plantear una duda: ¿se consideraría suficiente que un ISP tiene conocimiento efectivo si la comunicación de la ilicitud de los datos que aloja, la recibe el operador intermediario?

Por último hacer referencia al artículo 17 donde se regula la limitación de responsabilidad de los prestadores de servicio que ofrezcan enlaces a contenidos o instrumentos de búsqueda. Sin querer entrar en la consideración que esta definición prácticamente incluye a todos los prestadores de servicios (parece tan simple como incluir un enlace en una página web), entendemos que en ningún caso, esta actividad corresponde a la que particularmente estamos estudiando.

En consecuencia consideramos que la LSSICE ofrece más sombras que soluciones en relación a esta figura de mero intermediario en los servicios de alojamiento, y si bien la definición general de prestador de servicios de intermediación, puede encajar en su actividad, los criterios de limitación de responsabilidad no parecen adecuarse a la misma. En consecuencia debemos concluir que son inciertos los criterios por los que debe considerarse "irresponsables" a dichos prestadores de servicios, en relación a los datos o contenidos facilitados por sus clientes para ser alojados en el ISP. Aquí debemos volver a la consideración realizada al principio, y es que entendemos básico que la relación entre todas las partes, se vea regulada por contrato (que tiene fuerza de ley entre las partes), de forma que queden claros los criterios de imputación de responsabilidades, mecanismos de efectiva comunicación entre las partes, establecer mecanismos de actuación en caso de contenidos ilícitos, etc...

Por último hacer referencia a la previsión del artículo 6.2 de la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones, en relación a la necesidad de comunicar fehacientemente a la CMT la intención de iniciar actividades de "explotación de una determinada red o en la prestación de un determinado servicio de comunicaciones electrónicas". ¿Esta obligación, también incumbe a los prestadores de servicios estudiados? Entendemos que no es así, aunque si que recomendamos que los mencionados prestadores se aseguren que el ISP con el que contratan los servicios de alojamiento, ha realizado la correspondiente notificación. Éste trámite es fácilmente realizable a través de la web de la CMT (www.cmt.es).