Identificación previa para el registro en redes sociales: ¿fin del anonimato en internet?
Tribuna de Rubén Lahiguera, abogado de ECIJA, para The Law Clinic.
Todo son ventajas en Internet. O, al menos, eso parece. Acceso a información ilimitada, a recursos inimaginables. La fuente inagotable de contenido, pero también el altavoz más potente que existe, donde siempre importa lo que uno pueda decir o pensar…y donde, en consecuencia, encontraremos una (o más de una) respuesta, aunque no sea siempre de nuestro agrado.
En particular, las redes sociales han conseguido, entre otras cosas, modificar nuestra forma de relacionarnos, dar voz a multitud de personas y, además, generar ingentes cantidades de beneficios. Todo ello a cambio de un simple requisito: el registro del usuario a través de una cuenta o perfil. Como norma general, dicho registro se configura como gratuito, facilitando la popularidad de estos medios en Internet, lo cual los ha convertido en un catalizador de importantes movimientos sociales, culturales y, sobre todo, políticos.
En este sentido, han proliferado ciertas conductas en estas plataformas que pueden considerarse, como mínimo, reprochables en una sociedad democrática: descalificativos, insultos, humillaciones y, en muchos casos, verdaderas amenazas y agresiones verbales, por no hablar de conductas de suplantación de identidad a través de las conocidas como cuentas fake o cuentas falsas, gracias al fácil acceso de los usuarios a la imagen de terceros y otros datos personales (la denominada por algunos como “huella digital”).
A fin de combatir esta lacra, ha sido registrada en el Senado una Proposición de Ley con el objetivo de modificar la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y del comercio electrónico (“LSSI”), que contiene algunas de las propuestas que se detallan a continuación.
Deber de identificación
Esta Proposición obligaría a determinados prestadores de servicios a identificar a cada uno de los perfiles y cuentas de usuario, mediante el Documento Nacional de Identidad o el Pasaporte. Sin embargo, en el texto no se especifica el alcance de esta labor de identificación ni si dichos datos identificativos constarán accesibles al resto de usuarios de la plataforma correspondiente. Esta cuestión es esencial para determinar el impacto para la privacidad en los usuarios de dichas plataformas. De este modo, atendiendo al fin último de la proposición, esto es, identificar y, por tanto, poder atribuir a un sujeto concreto una conducta típica, atajando la impunidad en Internet, parecería suficiente con que, únicamente, la plataforma correspondiente llevara a cabo dicha identificación internamente sin su divulgación a terceros.
En este sentido, las técnicas de seudonimización se configurarían como idóneas para dar cumplimiento a la normativa sobre protección de datos, de modo que la información adicional que pudiera permitir una posible reidentificación fuese accesible, exclusivamente, con ocasión de la comisión de conductas ilícitas, sin perjuicio de que, para dotar de mayor seguridad a esta iniciativa, las conductas que pudieran activar este proceso fueran, necesariamente, objeto de mayor concreción.
Responsabilidad de los prestadores de servicios de almacenamiento de datos
El artículo 16 de la LSSI dispone ciertos supuestos de exención de responsabilidad de los prestadores de servicios de almacenamiento de datos fundamentados en el conocimiento efectivo de las actividades ilícitas y en la diligencia debida en su retirada o denegación de acceso cuando hubieran tenido conocimiento de aquellas. Sin embargo, con esta Proposición, se añaden ciertas circunstancias en las que no operará esta exención. A saber:
a) cuando la plataforma no disponga de la identificación del individuo que almacena los datos; o
b) cuando no disponga de los medios tecnológicos adecuados para identificar a dicho individuo.
Desde la perspectiva de privacidad, estos requisitos se sumarían a los que estos prestadores deben observar para dar cumplimiento a las obligaciones de protección de datos desde el diseño y por defecto, así como las relativos a la seguridad del tratamiento de datos personales.
Régimen sancionador
De acuerdo con la citada Proposición, la falta de identificación de los sujetos, según lo dispuesto anteriormente, está calificada como una infracción muy grave, la cual puede acarrear, según lo dispuesto en el artículo 39 de la LSSI, multas de hasta 600.001 €.
Sin duda, se trata de una calificación con un claro objetivo disuasorio, sin perjuicio de las dudas sobre la proporcionalidad en esta calificación, considerando el resto de las conductas tipificadas como infracción.
Conclusiones
Con la incorporación de esta obligación para los proveedores de servicios de almacenamiento se produciría, indudablemente, un tratamiento de datos personales por parte de estos derivado de la obligación a la que se encontrarían sujetos si la Proposición es aprobada finalmente. Sin embargo, contrariamente al impacto mediático de esta iniciativa, no parece llevarse a cabo un tratamiento de datos personales de naturaleza sensible, esto es, referidos a categoría especiales de datos (orientación sexual, salud, afiliación política o creencia religiosa, etc.) o relativos a infracciones penales.
Cuestión distinta es que la medida pueda considerarse desproporcionada atendiendo al principio de minimización de datos, siempre que existan métodos alternativos que supongan alcanzar la misma finalidad (poder atribuir una conducta concreta a un usuario) tratando menos datos personales.
Algunas voces consideran que esta medida supondría el fin del anonimato en internet, el cual, en algunos casos, se ha configurado como un verdadero derecho en la era digital, quizás confundido con el derecho de la protección de datos personales y, concretamente, a no verse sometido a tratamientos indeseados (tradicionalmente relacionados con el marketing directo)
Por su parte, muchas otras entidades del sector digital, sin embargo, incorporan ya este tratamiento para combatir el fraude y otras prácticas indeseadas, implementando las medidas de necesarias para garantizar la seguridad de los datos personales. Aplicaciones relacionadas con el sector financiero, de transporte colaborativo, e incluso del sector sanitario, solicitan el DNI como método de verificación del usuario en sus procesos de registro.
En definitiva, ante las numerosas dudas que despierta esta Proposición, cabe preguntarse, por una parte, ¿cuáles serán las consecuencias prácticas para el usuario declarado infractor de cualquier conducta delictiva, más allá de las propias en vía jurisdiccional? ¿se limitaría indefinidamente el acceso a redes sociales? Y por otra, ¿supone esta medida una colisión con el derecho a la libertad de expresión? ¿y con el derecho a la protección de datos? O incluso ¿la ausencia de anonimato constituye un límite a la libertad de expresión? Legisladores, hagan juego.