Bruselas obligar¨¢ a las tecnol¨®gicas a revisar las comunicaciones de los usuarios en caso de riesgo de pedofilia

Durante los primeros meses de pandemia, las demandas de casos en los que se utilizaba material propio de abusos sexuales a menores crecieron un 25% en varios pa¨ªses. Estos datos, y bastantes otros, que para la Comisi¨®n Europea son ¡°la punta del iceberg¡± del problema, le han llevado a proponer un reglamento que pretende implicar a los proveedores de servicios digitales y de acceso a internet en la lucha contra este delito. Y si llega el caso de que estas empresas no colaboran, se les obligar¨¢ a hacerlo bajo el control de autoridades independientes o jueces, seg¨²n la propuesta aprobada por el Ejecutivo comunitario este mi¨¦rcoles. La normativa, en la que Bruselas lleva casi un a?o trabajando, ha provocado quejas de algunas asociaciones en defensa de la privacidad al considerar que pone en entredicho el derecho a la intimidad.

¡°Muchas compa?¨ªas no est¨¢n haciendo nada por detectar [estas situaciones] hoy¡±, ha se?alado la comisaria europea de Interior, la sueca Ylva Johansson, este mi¨¦rcoles. Consciente de las suspicacias que una norma de este estilo despierta, ha subrayado que ¡°ninguna detecci¨®n se har¨¢ sin una orden [de una autoridad independiente o de jueces]¡±. Aunque a continuaci¨®n ha a?adido que ¡°una vez la orden se haya emitido, la detecci¨®n ser¨¢ obligatoria¡±.

El reglamento que ha puesto sobre la mesa la Comisi¨®n y que ahora debe ser enmendado y aprobado por el Consejo de la UE y por el Parlamento Europeo plantea que las compa?¨ªas tecnol¨®gicas (proveedores de servicios digitales, acceso a internet, vendedores y servicios de descarga de aplicaciones) est¨¦n obligadas a hacer un an¨¢lisis de riesgos acerca del ¡°uso indebido para la divulgaci¨®n de material que contenga abusos sexuales a menores o de solicitudes a ni?os [de grooming]¡±. Igualmente, cuando las autoridades detecten que hay riesgo podr¨¢ emitirse una orden. Las propias empresas ser¨¢n las responsables de implementar sistemas de detecci¨®n de estos contenidos. Esos m¨¦todos podr¨¢n estar automatizados, pero en ¨²ltima instancia deber¨¢n tener supervisi¨®n humana.

¡°Hay un proceso con muchas salvaguardas para poder tener este permiso o pedir a otra autoridad independiente o a un tribunal que emita una orden por un periodo determinado. Antes de eso, tienen que consultar y las autoridades de protecci¨®n de datos. Y s¨®lo cuando hay una orden de detecci¨®n, las empresas est¨¢n autorizadas pero tambi¨¦n obligadas a detectar e informar y este contenido¡±, ha explicado la comisaria Johansson en un encuentro con varios medios, entre ellos EL PA?S.

La Comisi¨®n prev¨¦ tambi¨¦n la creaci¨®n de una oficina europea contra el abuso sexual infantil (EU Centre on Child Sexual Abuse), dotado de un presupuesto de 28 millones de euros, que dar¨¢ cobertura a las pesquisas de las propias empresas, desarrollar¨¢ herramientas de investigaci¨®n y emitir¨¢ ¨®rdenes para intervenir comunicaciones en caso de inacci¨®n por parte de las plataformas.

Uno de los interrogantes que pend¨ªan sobre la redacci¨®n final del texto era qu¨¦ pasar¨ªa con los mensajes encriptados de extremo a extremo. Varios servicios de mensajer¨ªa, como WhatsApp o Signal, utilizan esa t¨¦cnica de codificaci¨®n de las comunicaciones para asegurarse de que nadie m¨¢s que el emisor y el receptor, ni siquiera la propia plataforma, pueda ver el contenido. ¡°El texto del reglamento no prohibe la encriptaci¨®n, pero desincentiva que se use para que la empresa pueda escanear contenido y demostrar que est¨¢ tomando medidas de prevenci¨®n para acotar la difusi¨®n de contenidos sexuales de menores¡±, opina Ella Jakubowska, analista de privacidad de la asociaci¨®n European Digital Rights (EDRi).

Un a?o de negociaciones

El Parlamento Europeo aprob¨® el verano pasado un reglamento temporal que permite a las empresas tecnol¨®gicas escudri?ar las comunicaciones de los usuarios (correos electr¨®nicos, mensajes de texto y documentos adjuntos, como fotos y v¨ªdeos) en busca de contenidos ped¨®filos. La normativa, que fue bautizada como Chatcontrol (control de charlas), deroga temporalmente la Directiva 2002/58/CE, conocida como ePrivacy, que regula aspectos como la confidencialidad de la informaci¨®n, el trato de los datos personales y las cookies de terceros. La suspensi¨®n tiene fecha l¨ªmite: el 31 de diciembre de 2022. El objetivo de la Comisi¨®n era tener lista antes de ese momento una normativa de car¨¢cter permanente que aporte la cobertura legal a la intervenci¨®n de las comunicaciones.

Ahora todas las empresas deber¨¢n controlar que no se difundan contenidos ped¨®filos. En EE UU, hace tiempo que el Centro Nacional para Menores Desaparecidos y Explotados (National Center for Missing and Exploited Children, NCMEC) solicita la cooperaci¨®n de las tecnol¨®gicas en este asunto. Esa supervisi¨®n se realiza principalmente de forma automatizada: hay herramientas de inteligencia artificial que buscan palabras clave. Google ya rastrea los documentos subidos a Google Drive; Apple anunci¨® el a?o pasado su intenci¨®n de hacer lo propio con las fotos tomadas desde los iPhone, pero la ola de protestas que desat¨® la decisi¨®n llev¨® a la empresa de Cupertino a congelar la medida hasta estudiar detenidamente sus pros y contras.

Seg¨²n fuentes conocedoras del proceso, una de las cuestiones que habr¨ªan motivado el inter¨¦s de la UE en precipitar una nueva normativa es la intenci¨®n de Facebook de encriptar de extremo a extremo los mensajes enviados por Facebook Messenger, su aplicaci¨®n de mensajer¨ªa instant¨¢nea. Poco usada en Europa, es especialmente popular en EE UU y cuenta con unos 1.300 millones de usuarios activos, lo que la convierta en la segunda herramienta m¨¢s usada, solo por detr¨¢s de WhatsApp (unos 2.000 millones de usuarios).

Varias asociaciones civiles han tratado de sentarse con la comisaria Johansson para discutir los pormenores de la regulaci¨®n que hoy se presenta. No han tenido ¨¦xito. ¡°Nuestra gran preocupaci¨®n es que el reglamento sea una puerta de entrada a que se examinen las comunicaciones de todos los ciudadanos, no solo de los sospechosos de difundir material ped¨®filo¡±, Jakubowska.

La comisaria Johannson ha defendido su proyecto se?alando precedentes sobre el control de las comunicaciones y con otros fines que no son los de evitar un delito como el abuso sexual sobre menores: ¡°Hoy tenemos una directiva sobre privacidad [en las comunicaciones digitales] que dice que las empresas siempre pueden escanear toda la comunicaci¨®n interpersonal si es con el fin de protegerse del malware y el spam. En estos casos se les permite hacerlo y lo hacen. Lo hacen en toda la comunicaci¨®n, tanto en la comunicaci¨®n interpersonal cifrada [o encriptada] como en la no cifrada. Y lo hacen, por supuesto, con fines de lucro, porque si tuvi¨¦ramos mucho spam y malware no utilizar¨ªamos esa comunicaci¨®n. As¨ª que lo hacen con fines puramente comerciales. [Ahora] No es legal hacer este tipo de escaneo para imprimir, para escanear, para el material de abuso sexual infantil¡±. El planteamiento de la Comisi¨®n es di¨¢fano, si est¨¢ justificado para ofrecer un mejor servicio y ganar dinero, ?por qu¨¦ no para evitar un delito?

Tambi¨¦n Supervisor Europeo de Protecci¨®n de Datos tiene sus reservas respecto a la idoneidad de que las comunicaciones privadas sean escrutadas por terceros. El organismo, encargado de velar por el cumplimiento de la normativa de privacidad en las instituciones europeas, public¨® en 2020 una opini¨®n no vinculante en la que ya pon¨ªa en duda que someter las comunicaciones de los ciudadanos a un escrutinio constante pudiera ser compatible con el derecho a la intimidad. Desde la oficina del Supervisor descartan hacer comentarios sobre la nueva normativa, al menos por el momento.

Puedes seguir a EL PA?S TECNOLOG?A en Facebook y Twitter o apuntarte aqu¨ª para recibir nuestra newsletter semanal.