El cierre de Megaupload

Si un caso ha tenido repercusión en la Red estos últimos días es el bloqueo de los servidores de Megaupload, Megavideo y otros servicios pertenecientes a la misma entidad. Esta interrupción del servicio de hospedaje y de streaming de vídeos ha sido presentado como un duro golpe para las páginas de enlaces, que utilizaban enlaces a contenidos existentes en esta plataforma para evitar el consumo de ancho de banda que supondría hospedarlos por sí mismos (así como un cambio en la posible atribución de responsabilidad).

Lo cierto es que las repercursiones no se han hecho esperar, y rápidamente muchos servicios similares han empezado a limitar las funciones ofrecidas a sus usuarios.  Algunos de ellos (como filesonic) indican en su página principal que ya no permiten que los usuarios compartan los archivos cargados en sus espacios, sino que únicamente se pueden cargar y descargar los archivos que se han subido personalmente.

Los medios de información han corrido a informar del suceso, con diferente grado de éxito. Por las implicaciones que este caso supone, hemos estimado oportuno analizar algunos aspectos concretos de este caso.

El análisis se basará en los datos conocidos a través del escrito completo de la acusación, a falta de que se prueben los extremos contenidos en la misma. Dada la extensión de este post, a continuación facilitamos un índice para acceder a las partes más importantes del mismo de forma directa.

1. Megaupload, ¿página de enlaces u hospedaje?

2.  Las exclusiones de responsabilidad de la Digital Millennium Copyright Act (DMCA) para hosting

3. ¿Por qué se ha actuado contra Megaupload si hospedaba contenidos de terceros?

4. Preguntas frecuentes

1. Megaupload, ¿página de enlaces u hospedaje?

En el caso de Megaupload, hemos podido observar cómo se ha producido una gran confusión en algunos medios de comunicación respecto a la naturaleza de Megaupload. Lo cierto es que sin perjuicio de que muchos accesos a la página provenían de un conjunto limitado de páginas, los usuarios no accedían de forma directa

Este modelo no tiene en cuenta la existencia de una serie de intermediarios técnicos proveedores de servicios que resultan necesarios para obtener la localización y posterior acceso al archivo. Éstos no se limitan de forma exclusiva al proveedor de servicios de acceso y transmisión de datos, sino que en este caso concreto los usuarios contaban con una serie de páginas web que funcionaban a modo de índice de los contenidos existentes en Megaupload, dado que no contaba con un buscador propio, a lo que había que añadir que las denominaciones de los archivos en ocasiones no se correspondían con el contenido realmente hospedado (precisamente para dificultar su indexado y localización por parte de los titulares de los derechos de autor).

Simplificando, una forma de entender la forma en la que se accedía a los contenidos podría seguir el siguiente modelo

En un primer paso, el usuario accedía a una página web que recopilaba multitud de enlaces a contenidos protegidos que se encontraban hospedados en Megaupload. Aunque en el modelo podría dar la sensación de que la información del enlace es de nuevo solicitada a la página web a la que hemos accedido, en la práctica el servidor ha facilitado toda toda la información referente a dicha página (texto, imágenes, enlaces) en el momento en que se cargó inicialmente, y el click sobre uno de dichos enlaces ya permitirá el acceso al contenido enlazado sin necesidad de pedir ningún otro tipo de información posterior. En este momento no existe ninguna transmisión de datos correspondientes a la obra protegida stricto sensu (sin perjuicio de que nos encontremos con el título del contenido, imágenes correspondientes a la carátula, etc).

A continuación el equipo accede a la dirección facilitada, que en este caso corresponde a un archivo hospedado por Megaupload. Debemos destacar que aquí el servidor a través del cual hemos localizado el contenido ya no forma parte de la transmisión de datos (es decir, ningún bit de nuestra descarga pasará por la web de enlaces, no estamos ante un sistema de proxy).

Una vez visto lo anterior, podemos entrar a analizar en qué casos podría resultar no responsable un prestador de servicios dedicado al hospedaje como Megaupload.

2.  Las exclusiones de responsabilidad de la Digital Millennium Copyright Act (DMCA) para hosting ( §512(c) ) 

Una vez hemos determinado que Megaupload era un proveedor de servicios consistente en alojar materiales ajenos (hosting), el siguiente paso será analizar los requisitos para que un proveedor de hosting pueda beneficiarse de la exclusión de servicios que la DMCA concede para servicios de esta naturaleza bajo la denominación Information Residing on Systems or Networks at Direction of Users.

La DMCA se encarga de definir la actividad de hosting en la sección 512, subsección (c), definición que da cabida a un conjunto heterogéneo de servicios, que va más allá del simple hospedaje de una página web. Así lo entiende también el Senate Report No 105-190, p. 43:

Examples of such storage include providing server space for a user’s web site, for a chatroom, or other forum in which material may be posted at the direction of users.”

Por otro lado, la cobertura de las exclusiones de responsabilidad de la DMCA cuenta con otros límites fijados en su propio articulado

A service provider shall not be liable for monetary relief, or, except as provided in subsection (j), for injunctive or other equitable relief, for infringement of copyright by reason of the storage at the direction of a user of material that resides on a system or network controlled or operated by or for the service provider

De acuerdo con lo anterior, a diferencia del marco establecido en la Unión Europea a través de la Directiva sobre el Comercio Electrónico (DCE) y en España a través de la Ley de Servicios de la Sociedad de la Información (LSSI) , la exclusión de responsabilidad regulada en la DMCA alcanza únicamente a la responsabilidad civil derivada de infracciones de derechos de autor. En este caso quedan protegidos de ser el sujeto obligado a indemnizar económicamente al titular de los derechos vulnerados (monetary relief). Al mismo tiempo quedan protegidos en parte de ser objeto de acciones de cesación.

La aplicación de esta exclusión de responsabilidad requiere la falta de conocimiento por parte del proveedor del carácter infractor de la actividad o material hospedado y, una vez obtiene dicho conocimiento, debe proceder de forma expeditiva a retirar o bloquear el acceso al material. Aún en el caso de carecer de dicho conocimiento efectivo, no debe tener tampoco conciencia de hechos o circunstancias que revelen actividad ilícita.

 Además, se establecen dos requisitos adicionales:

a) Que el prestador no obtenga un beneficio económico directo atribuible a la actividad infractora . De esta forma, este safe harbor resulta aplicable únicamente a los casos en que el ISP sería responsable de acuerdo con la doctrina del contributory infringement, pero no en los casos de vicarious liability .

 b) Que una vez recibida notificación que cumpla los requisitos establecidos en la DMCA actúe de forma expeditiva para bloquear o retirar el contenido infractor

Esta notificación que obliga a los prestadores de servicios a actuar para retirar o deshabilitar el acceso a materiales calificados de infractores en la misma es la denominada notice and take down. La no inclusión de este mecanismo en la DCE es una de las principales diferencias de los dos textos legislativos y ha sido arduamente discutida por la doctrina.

3. ¿Por qué se ha actuado contra Megaupload si hospedaba contenidos de terceros? ¿Y la DMCA?

De las reglas establecidas en el apartado anterior podemos mencionar una serie de problemas para la aplicación del safe harbor a Megaupload

1. La DMCA solo concede exclusiones de responsabilidad parciales al proveedor, limitadas a la responsabilidad civil surgida durante la prestación del servicio. En este caso, el texto de la acusación argumenta que Megaupload ha cometido una serie de delitos.
2. En relación con lo anterior, la misma DMCA restringe su ámbito objetivo de aplicación a las infracciones de copyright.

Aún en el supuesto de que entendiéramos que podría resultar de aplicación este safe harbor a parte de las actuaciones llevadas a cabo contra Megaupload, aún deberíamos analizar si cumplía de forma estricta tanto las condiciones generales como los requisitos específicos que la DMCA contempla como necesarios para disfrutar de las limitaciones de responsabilidad.

La DMCA requiere a los prestadores una serie de requisitos generales para que les resulten aplicables los supuestos de exclusión de responsabilidad, y que vienen delimitados en la subsección  §512(i). Estos requisitos buscan la cooperación de los prestadores a la hora de actuar contra los infractores reincidentes a través de su expulsión del sistema. Los términos y condiciones en que dichas actuaciones se llevarán a cabo vendrán definidas en una política de usuarios establecida por el mismo proveedor del servicio, que debera informar de la misma a sus usuarios.

Megaupload, al igual que otros servicios de similar naturaleza, debería contar con una política de usuarios que advierte de la posibilidad de que se cancelen las cuentas de aquellas personas sean infractores reincidentes, requiriéndose además que haya sido puesta en práctica en la medida de lo razonable. El texto del caso hace referencia a una serie de mensajes intercambiados entre los administradores de Megaupload, en los cuales se hace referencia a la falta de cumplimiento de este requisito, reclamado por un titular de derechos de autor.

Respecto a los requisitos específicos, debemos recordar que el supuesto de hecho para el alojamiento de datos de la DMCA requiere un determinado nivel de ignorancia acerca de la ilicitud del material para su aplicación. Aún en el caso de que pudiéramos afirmar que no contaban con el conocimiento efectivo del carácter ilícito del material hospedado, más problemático resulta demostrar que en este caso los administradores no tenían conciencia alguna de hechos o circunstancias que revelan actividad ilícita (señales de alerta o red flags). El contenido de los mensajes intercambiados nos indica la posibilidad de que, una vez apreciados los elementos subjetivos implicados, se había revelado la presencia de la actividad ilícita. Diversos mensajes enviados por los usuarios de Megaupload hacen mención a la imposibilidad de descargar contenidos protegidos por derechos de autor, aunque no constan las actuaciones que posteriormente se llevaron a cabo (si realmente se produjeron). Otros mensajes como pueden ser

«Currently , movies that do not have copyright infringements are also not being listed in the search»

«Never delete files  from private requests like this. I hope your current automated process catches such cases»

«I told you many times not to delete links that are reported in batches of thousands from insignificant sources. I would say that those infringement reports from Mexico of «14.000» links would fall into that category. And the fact that we lost significant revenue because of it justifies my reaction»

«In the future please do not delete thousands of links at ones from a single source unless it comes from a major organization in the US»

«On many forums people complain that our video/sound are not in sync… We need to solve this asap!» (referido a episodios de Dexter)

«We’re not pirates, we’re just providing shipping services to pirates»

«Our old famouse number one on MU, stilll some illegal files but I think he deserves a payment».

Así como muchos otros incluidos en el texto completo dan a entender que, si resulta probada su procedencia, conocían en muchos casos el carácter ilícito de los contenidos que hospedaban, lo cual impediría la aplicación del safe harbor por incumplimiento de uno de los requisitos formales previstos por la Ley.

También debemos analizar si existe un beneficio económico directamente atribuible a la infracción. Megaupload se nutría de dos recursos:

• El importe de las suscripciones de los usuarios Premium
• Los ingresos derivados de la publicidad online existente en sus páginas

Podríamos pensar que la simple existenciade dichos ingresos ya impediría que pudiera acogerse a cualquiera de los safe harbors.  Lo cierto es que el Senate Report No 105-190, p. 44-45, considera que dicho requisito no se incumple por el simple cobro de pagos periódicos o puntuales:

Thus, receiving a one-time set-up fee and flat periodic payments for service from a person engaging in infringing activities would not constitute receiving a “financial benefit directly attributable to the infringing activity.” Nor is subparagraph (B) intended to cover fees based on the length of the message (per number of bytes, for example) or by connect time.

Parece claro que la DMCA busca proteger al proveedor de servicios a cambio de las exigencias realizadas hasta el momento, pero sólo en la medida en que no pueda establecerse una relación directa entre los ingresos y la infracción realizada.

It would however, include any such fees where the value of the service lies in providing access to infringing material.

El texto del caso afirma que el atractivo de la publicidad online incrustada en sus páginas de descarga (que produjo unos ingresos superiores a los 25 millones de dólares) provenía del gran número de visitas y de la popularidad causada por el hospedaje de obras protegidas muy populares. Dado que dicha publicidad aparece asimismo en el momento de descargarla, la parte actora afirma que se establecen las condiciones para vincular los ingresos provenientes de dicha publicidad con la infracción de derechos de autor que se lleva a cabo.

No podemos negar a la luz de las condiciones en que Megaupload prestaba su servicio que el gran número de impresiones de anuncios difícilmente se habría alcanzado a través del simple hospedaje de contenidos propios de los usuarios. Por otro lado, el bajo número de cuentas premium en comparación con el número de accesos supone que la empresa realizara actuaciones encaminadas a promover el mayor número de descargas posibles, lo cual choca con la afirmación de que los servicios prestados eran simplemente de hospedaje privado.

Otra de las características que llama la atención en este caso es la no existencia de un buscador a través de la página web. Los usuarios, como hemos mencionado con anterioridad, localizaban los contenidos hospedados en los servidores de Megaupload a través de enlaces existentes en páginas webs controladas por terceros. Aunque dichas páginas no eran gestionadas por Megaupload,  debemos considerar de nuevo la existencia de un sistema de recompensas para los uploaders responsables de los contenidos, que suponía un incentivo para que los contenidos subidos a los servidores fueran populares (el texto habla de pagos de varios millones de dólares en total como recompensa por haber puesto a disposición de los usuarios contenidos). Este tipo de incentivos favoreció que los mismos usuarios que cargaban los contenidos fueran añadiendo las obras protegidas a las bases de datos existentes en estas páginas web. Debemos destacar que recientemente muchos de los servidores de hospedaje que contaban con un sistema de awards similar al de Megaupload han cancelado dichas recompensas, y han procedido al bloqueo de multitud de cuentas (reteniendo en muchos casos los importes pendientes de pagar).

El papel de Megaupload no finaliza aquí, sino que se nos mencionan otras características de la prestación del servicio que nos pueden plantear serias dudas sobre el papel pasivo y neutral de la empresa

• Aunque no se permitía realizar búsquedas en su página web, sí que contaba con una lista del «Top 100» de las descargas más populares. En esta lista aparecían trailers y software gratuito, y no los contenidos que se suponen más atractivos y que han sido más descargados (obras protegidas por derechos de autor). Esta circunstancia puede dar a entender que se realizaba un filtrado (manual o automático) que eliminaba del listado los contenidos infractores para crear una falsa apariencia de legalidad.
• La parte actora afirma que la implementación del sistema de notificación y retirada, requisito para la aplicación del safe harbor de la DMCA, es defectuosa.

Respecto a la segunda cuestión, decíamos más arriba que una vez recibida notificación de la existencia de contenidos infractores que cumpla los requisitos establecidos en la DMCA, el intermediario debe actuar de forma expeditiva para bloquear o retirar el contenido infractor. En nuestro caso, Megaupload implementó una herramienta para su uso por parte de los titulares de derechos de autor, cuyo funcionamiento permitía (en teoría) bloquear o eliminar los contenidos que vulneraban sus derechos si se facilitaba la dirección en que se encontraban. A la vista del texto, esta herramienta no cumple con los requisitos para ello.

Una vez subido un archivo a Megaupload se creaba un hash MD5 que identificaba de forma inequívoca el fichero, al mismo tiempo que se facilitaba una dirección web que el usuario podía utilizar para enlazar a dicho contenido. Cuando un segundo usuario realizaba la subida del mismo archivo, el sistema detectaba dicho hash como existente en el servidor, creando un nuevo enlace lógico hacia el contenido. Nos encontraríamos así con dos identificadores diferenciados, pero que en los servidores de Megaupload correspondían a un único archivo hospedado

El uso por parte de los titulares de derechos de autor de esta herramienta llevaba a la eliminación de una de las referencias lógicas, permaneciendo el contenido en sí accesible en el caso de que existieran otros enlaces lógicos. En mi opinión, aunque en sentido estricto podríamos afirmar que se retiraban los contenidos que los titulares de copyright ponían en la herramienta, Megaupload no cumplió sustancialmente con el deber que se le exige en relación con los mecanismos de retirada, y en particular en lo referente a

Identification of the material that is claimed to be infringing or to be the subject of infringing activity and that is to be removed or access to which is to be disabled, and information reasonably sufficient to permit the service provider to locate the material.

El sistema doble contemplado por la DMCA que le exige que retire o bloquee, de modo expeditivo, el contenido infractor cuando reciba una notificación de infracción no se cumple por la simple eliminación de un enlace lógico, en tanto la simple identificación de dicho enlace permite al proveedor de servicios conocer el archivo a que corresponde (y sobre el cual debería actuar). No podemos negar que la retirada del material infractor no supone una solución final, en tanto un nuevo usuario puede colgar de nuevo el material una vez completamente eliminado de los servidores, pero esto no es óbice para que la actuación del proveedor esté sujeta a una serie de requisitos para que pueda beneficiarse de la exclusión de responsabilidad de la DMCA.

4. Preguntas frecuentes

4.1 ¿Puedo reclamar los importes que he pagado por una cuenta Premium de Megaupload? Me han dicho que puedo reclamar las cantidades directamente a Paypal que me lo devolverán rápidamente.

La respuesta a la primera pregunta es sí, se pueden reclamar los importes que se ha pagado por un servicio no disfrutado, aunque las perspectivas de obtener dichos importes son remotas. En primer lugar, y por lo que respecta a Paypal, es cierto que sus Condiciones de uso contemplan la posibilidad de reembolso

Tiene derecho a un reembolso del importe total de una transacción de pago autorizada por usted e iniciada por un vendedor o a través de éste, siempre que se cumplan las condiciones siguientes: (i) la autorización dada al vendedor no especificaba el importe exacto de la transacción en el momento de la concesión de la autorización; (ii) el importe de la transacción superaba el importe que podría esperar razonablemente, teniendo en cuenta sus patrones de gasto anteriores y estas Condiciones de uso; y (iii) usted realiza una solicitud de reembolso dentro del plazo de 8 semanas desde la fecha de la transacción. Nos reservamos el derecho a solicitar más información, razonablemente necesaria, para aclarar si se han satisfecho estas condiciones y para renunciar a cualquiera o a todas estas condiciones.

El problema es que a continuación en su apartado 13.3 deja fuera de este derecho los pagos relativos a servicios como el prestado por Megaupload. Personalmente soy de la opinión que una reclamación de esta naturaleza deberá sustanciarse ante Megaupload, la cual resultará complicada que llegue a buen puerto en tanto se esté resolviendo la acusación penal y los bienes de esta empresa estén embargados.

4.2 He perdido documentos importantes que hospedaba en Megaupload

Debemos recordar que los archivos no han sido eliminados, sino que los equipos en que se encontraban hospedados han sido intervenidos y puestos a disposición judicial. Dicho lo anterior, existen otros servicios en el cloud más adecuados para el hospedaje de los archivos propios como puede ser Dropbox, entre otros.

4.3 ¿Me devolverán mis archivos?
Es posible que sean devueltos, pero a medio/largo plazo. Debemos recordar que estos archivos serán objeto de los informes periciales solicitados por la defensa y la acusación, con lo cual y a la vista del gran número de reclamaciones que pueden llegar a presentarse al respecto dudo que el juzgado admita las peticiones de las personas que realicen poder acceder a sus contenidos.

4.4 ¿Y no pueden realizar una copia de los archivos para que sus propietarios los descarguen?

En la práctica sí, pero pensemos en el gran coste que supondría el dotar a unos nuevos servidores de los recursos necesarios para dar respuesta a todas estas peticiones (tanto en espacio en disco como en ancho de banda), con el agravante que dicho servicio no podría ser costeado tal y cómo hacía megaupload (dado que lo contrario sería absurdo). No nos encontramos ante un hospedaje normal, cuyos datos pueden ser traspasados a un único disco duro, sino que la infraestructura para atender a tantas peticiones requiere de un gran número de equipos y sistemas.

4.5 ¿Me pueden denunciar por tener archivos protegidos por copyright en mi cuenta?

Sin perjuicio de la existencia de demandas masivas contra usuarios por infracciones de la propiedad intelectual, creo que en este caso deberemos diferenciar dos casos

• El usuario titular de una cuenta, premium o no, pero que no ha cargado contenidos
• El usuario que ha participado de las recompensas por subir contenido protegido a la página

Este último caso sería mucho más atractivo, y viendo las cantidades que se han manejado en estas recompensas, no resultaría extraño que se sustanciaran demandas basándose en la cooperación llevada a cabo a través de dichas cargas de archivos.

Por lo que hace al primero de los supuestos, creo que difícilmente llegarán a presentarse demandas contra usuarios españoles.