La integració al ciberespai
El dret s’ha ocupat generalment, al llarg de la història, d’establir les regles per regir la convivència de les persones en societat. Una societat, l’actual, que, si bé disposa de particularitats en funció del lloc i el temps, amb l’aparició d’Internet i les tecnologies de la informació i les comunicacions (TIC) és objecte d’una autèntica revolució. Les conductes humanes del món físic, tant bones com dolentes, es traslladen al ciberespai (el món virtual) adaptant-se a aquest entorn nou, en construcció. És, doncs, imprescindible, que el dret també adapti el seu contingut per a garantir els principis reguladors en aquesta societat digital.
El ciberespai va néixer obert, descentralitzat i neutre, i s’ha convertit en un medi idoni per a l’exercici i gaudi de drets humans, especialment els relatius a la llibertat d’informació i d’expressió. Però les seves característiques ofereixen possibilitats molt més enllà: elimina distàncies i barreres físiques, habilita relacions comercials globals, impulsa la creativitat i la pluralitat, democratitza les comunicacions, és un espai de recerca, possibilita la difusió d’informació de forma massiva, etc.
Regular el ciberespai
Tanmateix, l’evolució d’aquest medi i la plena implantació de la societat digital, que replica i substitueix les relacions existents en el món off-line (des de les relacions personals a les comercials) i que en crea de noves, plantegen la necessitat d’adaptar les regles del dret per a donar-li una cobertura adequada. Aquest nou entorn no està exempt d’un conjunt de noves amenaces que poden posar en risc els drets de les persones (com ara la privacitat, els drets d’autor o la seguretat dels menors), el teixit econòmic (des del comerç electrònic fins a la fabricació de productes tecnològics vulnerables), o fins i tot el funcionament de serveis essencials i serveis públics (com per exemple, dels atacs contra infraestructures crítiques i la difusió massiva de notícies falses).
El dret, com a font de generació de confiança en el nou entorn, té una responsabilitat decisiva en la implantació exitosa de la societat digital. De la seva correcta adaptació en depèn la possibilitat de garantir els drets i permetre la defensa de la llibertat, la seguretat i la justícia davant de les noves amenaces que planteja aquest entorn.
És necessari, però, adaptar també el seu procés de creació i execució, ja que la societat digital evoluciona molt ràpidament i cal evitar que les normes quedin obsoletes en poc temps o, simplement, arribin massa tard. Per aquest motiu, el procés de creació i manteniment del règim jurídic ha de ser prou àgil per mantenir el marc normatiu actualitzat.
Els inicis i el marc actual
Ja fa uns anys que es va començar a regular l’activitat al ciberespai a l’àmbit europeu. En el camp d’Internet i el comerç electrònic, per exemple, tenim la Directiva 2000/31/CE (transposada a Espanya mitjançant la Llei 34/2002, de serveis de la societat de la informació i de comerç electrònic, anomenada col·loquialment “LSSI”), que estableix els paràmetres generals del dret a Internet i la regulació bàsica del comerç electrònic.
D’altra banda, s’ha anat elaborant normativa sectorial, a mesura que determinades necessitats han anat apareixent, com per exemple, les nombroses modificacions del règim de la propietat intel·lectual, normativa en matèria de protecció d’infraestructures crítiques, de ciberseguretat, o també nombroses adaptacions del Codi penal. En aquest darrer camp cal destacar que, a més de les particularitats delictuals que corresponen a l’adaptació al ciberespai, el Codi penal (2015) ha recollit delictes específics d’aquest àmbit.
Des de la creació d’aquestes normes, la digitalització ha avançat notablement, s’ha accelerat el procés de canvi a què ens sotmet la societat digital i s’han posat en discussió alguns dels seus elements essencials. Els EUA, per exemple, han obert el debat sobre els principis de la neutralitat de la xarxa, element que pot desplaçar essencialment part de la regulació als operadors privats. En canvi, a la UE el posicionament és diametralment oposat: la preocupació és assegurar una Internet lliure i oberta per a tots els consumidors, alhora que s’evita que els operadors de telecomunicacions puguin afavorir uns continguts determinats.
Aquest debat condiciona àmpliament els processos regulatoris, ja que finalment Internet es compon d’equips i serveis prestats per entitats públiques i privades amb interessos diversos. Per tant, el desplaçament de la capacitat reguladora en aquests pot generar marcs normatius diferents, fet que encara es complica més ja que els serveis poden ser prestats globalment. La transnacionalitat dels serveis obliga a plantejar nous models de regulació compartida públic-privada i capacitar l’usuari final per a disposar de més coneixements de l’entorn i els serveis a què accedeix, ja que la capacitat de regulació pública es veu clarament reduïda.
En matèria de ciberseguretat, com un dels elements rellevants en matèria de regulació, cal indicar que s’ha iniciat a Europa el procés regulador amb la Directiva europea 2016/1148, relativa a les mesures per a un nivell comú de seguretat de les xarxes i sistemes d’informació (Directiva NIS), la qual estableix mesures per garantir un nivell de ciberseguretat similar entre els països de la UE.
Com a cas paradigmàtic s’ha demostrat que, mitjançant la difusió de desinformació o fake news en períodes electorals, es poden influenciar els votants de forma interessada. La Comissió Europea, coneixedora d’aquest risc, va elaborar un informe amb recomanacions en què s’instava els estats membres a implementar mesures per, posteriorment, avaluar-ne l’impacte. Així, Alemanya, mitjançant la llei NetzDG (Llei d’aplicació de xarxa), obliga les plataformes digitals a retirar una notícia falsa o que vulneri els drets de les persones en menys de 24 hores. Altres països estan analitzant mesures similars. La Comissió Europea encara va anar més enllà i també va instar les principals xarxes socials, anunciants i la indústria de la publicitat a adherir-se a un codi de conducta per fer front a la difusió de la desinformació en línia.No només la seguretat de la xarxa és una amenaça, sinó que la informació que transporta també suposa una gran preocupació, ja que afecta la privacitat, el dret a la informació veraç i el dret a l’honor, entre d’altres.
D’altra banda, la privacitat també ha estat un tema prioritari a regular. L’evolució del règim anterior ha cristal·litzat en el Reglament general de protecció de dades (RGPD de 2016), que va entrar en vigor el 25 de maig del 2018. El Reglament destaca perquè busca harmonitzar els nivells de protecció que va impulsar la Directiva 95/46/CE, tot actualitzant la protecció de les dades personals al context actual. Una novetat rellevant d’aquest Reglament és la modificació de l’àmbit d’aplicació de la normativa que ha plantejat que empreses externes a la UE hagin d’implementar-lo. Aquest fet ha provocat nombrosos debats en d’altres països i, fins i tot , en alguns casos el plantejament d’elaboració de règims similars per adequar-se a un estàndard de tractament de dades personals, com per exemple l’Índia, Mèxic, Uruguai, l’Argentina, Xile i el Brasil. Aquest Reglament pot suposar, en el seu àmbit d’actuació, una palanca de canvi global per a esdevenir una de les primeres normatives transversals en l’àmbit d’Internet.
Malgrat les regulacions mencionades, es preveu que en els propers temps el ciberespai tindrà una intensa activitat normativa, especialment per part de la UE, que clarament pretén ser pionera en la construcció d’un marc legal de confiança prolífic per incentivar el creixement de la societat digital.
Algunes de les iniciatives rellevants són el Reglament e-Privacy, que té com a objecte garantir la privacitat en l’àmbit de les comunicacions electròniques i la Directiva sobre drets d’autor al mercat únic digital, que té com a objectiu principal la protecció dels drets d’autor i la propietat intel·lectual. Aquesta darrera ha generat molta polèmica al voltant de l’ús d’eines per al control i bloqueig dels continguts quan suposin una violació dels drets d’autor, mesura que podria afectar directament la llibertat d’expressió a Internet.
En matèria de ciberseguretat, cal mencionar la recent aprovació de la Cybersecurity Act, que reforça el paper de l’Agència Europea de Ciberseguretat (ENISA) amb un mandat permanent i estableix un esquema de certificació en ciberseguretat per donar suport als estats membres i permet l’establiment de certificats europeus de ciberseguretat en productes, processos i serveis.
Així mateix, s’ha aprovat el Reglament 2019/796 del Consell, relatiu a mesures restrictives contra els ciberatacs que amenacen la UE. Aquest Reglament estipula mesures de resposta a ciberatacs i a les persones o entitats que els cometin, les quals estan relacionades en el seu annex I, i estableix mesures restrictives per a les seves relacions comercials i recursos econòmics.
La regulació ha d’estar al dia de les tendències tecnològiques que poden impactar directament en la societat digital, amb l’objectiu d’estar preparada i ser capaç d’actuar amb la celeritat necessària.
Mirant el futur
Alguns fenòmens que han de passar per processos regulatoris similars als analitzats en punts anteriors són les criptomonedes, els sistemes autònoms o la intel·ligència artificial. Per exemple, els dispositius amb connectivitat a Internet, com són els encaminadors (routers) i l’Internet de les coses (IoT) disposen de mesures de protecció mínimes i, per tant, poden ser infectats fàcilment i causar perjudicis als seus titulars.
Un altre tema que previsiblement requerirà accions decidides té a veure amb la interacció dels joves amb Internet i el creixement d’algunes amenaces com el cibersassetjament escolar (cyberbullying) i el grooming.
Conclusions
Els poders públics han de vetllar per l’interès general i els interessos de la ciutadania en la societat digital. Una de les eines essencials per a garantir la seva correcta implantació passa per disposar d’un marc normatiu adequat.
Es disposa a dia d’avui de normativa per a regular alguns aspectes importants, però, s’observen pocs canvis adaptatius per part de la regulació a la nova realitat. Principalment, la regulació de la societat digital ha d’afrontar dos reptes essencials: com garantir la qualitat i l’adequació de la regulació al nou entorn, i com adaptar els procediments regulatoris a l’entorn canviant i dinàmic de la societat digital.
En el primer dels reptes caldrà avaluar els paràmetres en què s’elabora normativa per a garantir-ne la qualitat, l’adequació i la transversalitat necessàries. Analitzar de manera constant els elements que convé regular, l’impacte que tenen i les necessitats que se’n deriven és imprescindible. La Unió Europea, per exemple, disposa de diferents mecanismes i grups de treball experts que donen suport a aquests processos, però en alguns casos aquests poden no ser suficients atenent a l’evolució de les tecnologies, la velocitat dels canvis i les diferents realitats economicosocials dels estats membres. Per tant, el procés de creació normatiu relatiu a la societat digital s’hauria de revisar.
En el segon, és imprescindible analitzar el model regulatori de la societat digital, per a determinar quins aspectes es regulen a través de normativa pública, quins es deleguen en normativa de caire convencional o, fins i tot, en models d’autoregulació, i com s’estableixen mesures per a garantir els drets dels ciutadans en aquest model. Les darreres regulacions ja mostren una certa evolució en aquest sentit. Aquestes decisions hauran de permetre equilibrar el grau de protecció adequat amb el dinamisme dels canvis que requereix el marc normatiu d’aquest entorn i els nous serveis o fenòmens que puguin aparèixer en el futur.
Si s’aconsegueix un model de regulació que permeti adaptar el marc normatiu per respondre a les amenaces i sigui capaç alhora de preservar les capacitats de la societat digital, es disposarà d’una peça clau per garantir una digitalització plena.
Oriol Torruella i Torres
Director general del Centre de Seguretat de la Informació a Catalunya