Presentación de iCAUCE.Ar en la Jornada sobre el Régimen Legal del Correo Electrónico
Esta es la ponencia de iCAUCE.Ar para la Jornada sobre el Régimen Legal del Correo Electrónico convocada por la Comisión de Comunicaciones e Informática de la Honorable Cámara de Diputados de la Nación.
La versión electrónica de este documento se encuentra en http://wiki.cauce.org.ar/cgi-bin/moin.cgi/Presentaci_f3nEnJornadaR_e9gimenCorreoElectr_f3nicoDeLaHCDN (http://tinyurl.com/dwr8w)
Tabla de Contenidos
Tabla de Contenidos
- Presentación de iCAUCE.Ar en la Jornada sobre el Régimen Legal del Correo Electrónico
- Tabla de Contenidos
- iCAUCE.Ar: Quiénes somos
- Problemática de Internet, las comunicaciones electrónicas, la legislación y su aplicabilidad
- Enfoque tripartito: social, tecnológico y legal
- ¿A qué tipo de comunicaciones debería referirse una ley para controlar y penar el spam?
- Riesgos de algunas analogías
- Conclusiones
- Propuesta de iCAUCE.Ar
iCAUCE.Ar: Quiénes somos
- CAUCE
(Coalition Against Unsolicited Commercial Email) la Coalición contra el correo electrónico comercial no solicitado se formó originalmente en EEUU.
http://www.cauce.org/- International CAUCE (iCAUCE)
surgió nucleando las diversas organizaciones de CAUCE en el mundo. Integra y articula muchas OrganizacionesAntiSpam
http://www.international.cauce.org/- iCAUCE en Argentina
es el Comité Argentino de iCAUCE.
http://www.cauce.org.ar
http://www.international.cauce.org/ar/
Problemática de Internet, las comunicaciones electrónicas, la legislación y su aplicabilidad
- Es posible que los problemas relacionados con Internet, los delitos informáticos y la legislación (o falta de ella) al respecto se deban, mayormente, a la dificultad de comprensión de muchos de los conceptos involucrados, por un lado, y al caracter global y anárquico de Internet, por el otro. Las redes de comunicación tradicionales (en particular, las redes telefónicas) usualmente "pertenecen" a un conjunto relativamente pequeño de empresas y/o al gobierno de cada país y existen entidades internacionales (e.g. ITU-T), usualmente formados por representantes de dichas empresas y/o gobiernos, que funcionan como "meta-gobierno" y árbitro de la red global. Internet, por otra parte, es una federación bastante anárquica de todo tipo de organizaciones: grandes, medianas, pequeñas, públicas, privadas, etc. Los grandes proveedores de interconexión (NAPs), no pueden controlar en modo alguno el contenido de lo que transita por sus equipos, más allá de políticas macro. La mayoría de las leyes y proyectos de ley respecto de estas tecnologías suelen pecar de "demasiado generales" o "demasiado específicas" (usualmente, esto último). Creemos que encontrar un punto justo de generalidad es una de las claves principales para poder obtener una legislación aplicable y duradera.
Los problemas específicos del correo electrónico y el spam
"El spam ... puede interferir seriamente con la operación de servicios públicos, sin hablar del efecto que puede tener en el sistema de e-mail de cualquier persona. Los spammers están, de hecho, tomando recursos de usuarios y proveedores de servicios sin compensación y sin autorización". Vinton Cerf (conocido como uno de los "padres de la Internet")
El spam ya es hoy un problema grave, y como muestran las EstadísticasDelSpam, cada día crece mas. Pero en concreto... ¿cuál es el problema del spam?
Sintéticamente:
- Hay alguien (el spammer) que hace negocios pagados por la sociedad y por Usted
- Si la tendencia actual sigue, el e-mail se volverá inútil como medio de comunicación
- El spam coarta la libertad de expresión en Internet
Definición de Spam de iCAUCE.Ar
La DefiniciónDeSpam que preferimos en iCAUCE.Ar está basada en la DefiniciónSpamSpamhaus y es la que utilizaremos para identificar si una instancia específica de un mensaje en particular es o no spam.
Problemas
El principal problema, desde el punto de vista técnico, es que no se puede decir que un mensaje en particular es o no es spam tan sólo examinando el contenido del mensaje en sí. Para saber si es duplicativo, se debe verificar que existe al menos otro mensaje cuyo contenido es sustancialmente idéntico. Para saber si fue solicitado o no, se debe consultar al dueño de la dirección a la cual el mensaje fue enviado. Esta es la causa de que no exista (ni pueda existir) una solución técnica automática, completa, y a prueba de fallas:
Existe e-mail no solicitado que es e-mail normal: ejemplos de esto incluyen requerimientos de primeros contactos, requerimientos laborales, requerimientos de ventas, etc.
Existe e-mail masivo que es e-mail normal: ejemplos de esto incluyen boletines de suscripción con OptInVerificado, listas de discusión con OptInVerificado, listas de información con OptInVerificado, etc.
Enfoque tripartito: social, tecnológico y legal
El spam es un problema complejo y no puede resolverse mediante la tecnología o la legislación solamente. Debemos definir un sistema sustentable de manera integral.
- Social: educar a la ciudadanía en sus derechos y condenar al spammer.
- Tecnológico: Asegurarnos de que no se incumplan los acuerdos, causando daño a todos, y de poner identificar -si fuera necesario- al responsable.
- Legal: definir formalmente el límite de lo prohibido y penar a quienes lo traspasen.
¿A qué tipo de comunicaciones debería referirse una ley para controlar y penar el spam?
Un riesgo que se corre al legislar sobre tecnología es el de que la Ley sea obsoleta para cuando se pone en práctica (o poco tiempo después).
La mayoría de los proyectos que intentan evitar el spam, definen claramente qué es el correo electrónico (y eventualmente algún sucedáneo como la mensajería SMS en teléfonos celulares) sin caracterizarlo.
Algunos otros intentan sobregeneralizar y tratan de asimilar casi cualquier cosa que pase por una red telemática con el correo electrónico, haciéndolo prácticamente imposible de aplicar en el caso general.
El tipo de objeto sobre el que se debería legislar
Creemos que lo que caracteriza al correo electrónico y tecnologías similares (SMS, MMS, IM, etc.) es el hecho de que el mensaje es enviado por el emisor sin que el receptor tenga control alguno acerca de su recepción, esto es, es el emisor quien decide que el mensaje se envía y a quién.
- Es sobre este tipo de comunicaciones que debería legislarse para evitar caer en el riesgo de que aparezca un tipo novedoso de comunicación que permita enviar algo semejante a un spam en el futuro, y sin el riesgo de impedir cualquier tipo de publicidad o actividad comercial en una página web o similar.
Otras consideraciones con respecto a la legislación
En los casos en que existen leyes que ya refieren a algunas de las cosas respecto de las cuales se está legislando, posiblemente sería mejor modificar levemente esas leyes y hacer referencia a ellas.
En particular, debería tipificarse en forma genérica el "delito informático", referido a bienes intangibles que, sin embargo, suelen ser tanto o más valiosos que los bienes tangibles que los contienen. Usualmente, el contenido intangible (datos en una base de datos, documentos, etc.) es mucho más valioso que su soporte físico tangible (computadoras, discos, etc.). Más aún, el hecho de denegar (o reducir) algún servicio en un equipo informático (ataques que inundan servidores aunque no eliminen ni tengan acceso a información no pública, ataques que utilizan recursos de un equipo sin autorización, etc), debería ser considerado delictivo.
El envío de mensajes de correo electrónico utilizando equipos sin autorización de sus dueños (por ejemplo, utilizando máquinas zombies de usuarios domiciliarios de banda ancha) es simplemente un caso específico del punto anterior.
Riesgos de algunas analogías
Algunos proyectos de leyes (uno en particular citado en la convocatoria a la presente Jornada) intentan asimilar la correspondencia electrónica a la correspondencia epistolar.
Si bien esto es posible (y, de hecho, ya lo establece la Ley 20.216 en su Art. 2°, Inc. a), debe tenerse en cuenta lo siguiente:
En el caso del correo electrónico de Internet actual (SMTP/RFC2822), salvo que el contenido de un mensaje haya sido encriptado por el emisor, un mensaje es semejante a una postal o abierta, ya que el contenido es visible por cualquiera que intente ver el sobre.
Del mismo modo que una oficina postal no puede responsabilizarse de que un cartero no lea una postal que no tiene sobre, un ISP no puede responsabilizarse que un administrador de servidores o equipos de enrutamiento no lea el contenido de un mensaje que está literalmente abierto.
Si un emisor de un mensaje de correo electrónico de Internet hoy desea enviar un mensaje privado, debe encriptarlo con algún mecanismo razonablemente seguro, de otro modo, lo que está enviando es un mensaje sin sobre.
Ahora bien, siguiendo con los problemas de las analogías, más allá del problema de la privacidad, se deben tener en cuenta otros puntos:
- ¿Qué haría una oficina de correos si se ve inundada de piezas postales de un momento a otro, sobrepasando su capacidad? ¿corta su servicio por completo? Tener en cuenta que esto, si bien es muy costoso (y visible) para hacer con piezas postales físicas, es extremadamente barato (y anónimo) para hacer con mensajes de correo electrónico.
- ¿Qué hace una oficina de correos con una pieza postal a una dirección inexistente cuyo remitente también es inexistente?
(esto sí debe pasar en la realidad ¿¿¿qué hacen???).
- ¿Qué hace una oficina de correos con una pieza postal "sospechosa"?
(e.g. "el paquete hace tic-tac", "del sobre se escurre un polvito blanco")... ¿qué pasaría si esto ocurre con el 50% de las piezas postales? ¿con el 70%?
Conclusiones
Lamentablemente, ninguno de los tres proyectos referidos en la convocatoria esta Jornada nos parecen adecuados para resolver los problemas acerca del uso y el abuso del correo electrónico y sistemas de mensajería electrónica similares.
2841-D-04 (T.P. Nº 56) Monti y otros: En lo general, este proyecto ya está contemplado en la Ley 20.216. Lo específico del Art. 2, puede atentar seriamente contra la operación de un proveedor de servicios ya sea ante un ataque deliberado o ante un desperfecto ajeno a dicho proveedor.
5828-D-04 (T.P. Nº 132) Bossa: de ley: Es una adaptación de la CAN-SPAM Act de 2003, cuya entrada en vigor fue el 1° de enero de 2004 en Estados Unidos. El registro de OptOut incluido en esta Ley estadounidense y adaptado en el Proyecto de referencia fue desechado por la propia autoridad de aplicación de la Ley (La Federal Trade Comission). Este proyecto permite que algunos spammers (los que no promocionan productos o servicios netamente ilegales), se adapten a la Ley y envíen spam legal.
5932-D-04 (T.P. Nº 135) Nemirovsci y otros: Sufre de problemas similares al Proyecto de Bossa, con la ventaja de ser más simple y más claro. De todos modos, tiene algunas ideas muy valiosas que deberían tenerse en cuenta:
Obligación de los ISPs de incluir cláusulas en todos los contratos de servicio celebrados con sus clientes que prohiban el uso del servicio para el envío de spam (debería ampliarse al concepto de servicios relacionados con el spam).
- Facultad de los ISPs para cancelar el servicio a clientes que envían spam.
- Necesidad de elaborar y seguir códigos de conducta
Propuesta de iCAUCE.Ar
Fomentar la interacción entre todos los ámbitos interesados. Esto ya comenzó, luego del AntiSpamForum de 2004 en reuniones entre CABASE, AMDIA e iCAUCE.Ar. Esta convocatoria está abierta a otras entidades que quieran participar y especialmente a los Legisladores y sus asesores. Asimismo, iCAUCE.Ar no tiene inconvenientes en sumar sus aportes a convocatorias similares ya que nuestro objetivo NO ES "llevarse la medalla" si no conseguir erradicar el spam y salvar al correo electrónico.
- Colaborar con el Poder Legislativo en pos de la realización de un Proyecto de Ley que permita luchar contra el spam y que sea:
- Aplicable
- Perdurable