Bruselas obligará a las tecnológicas a revisar las comunicaciones de los usuarios en caso de riesgo de pedofilia

Durante los primeros meses de pandemia, las demandas de casos en los que se utilizaba material propio de abusos sexuales a menores crecieron un 25% en varios países. Estos datos, y bastantes otros, que para la Comisión Europea son “la punta del iceberg” del problema, le han llevado a proponer un reglamento que pretende implicar a los proveedores de servicios digitales y de acceso a internet en la lucha contra este delito. Y si llega el caso de que estas empresas no colaboran, se les obligará a hacerlo bajo el control de autoridades independientes o jueces, según la propuesta aprobada por el Ejecutivo comunitario este miércoles. La normativa, en la que Bruselas lleva casi un año trabajando, ha provocado quejas de algunas asociaciones en defensa de la privacidad al considerar que pone en entredicho el derecho a la intimidad.

“Muchas compañías no están haciendo nada por detectar [estas situaciones] hoy”, ha señalado la comisaria europea de Interior, la sueca Ylva Johansson, este miércoles. Consciente de las suspicacias que una norma de este estilo despierta, ha subrayado que “ninguna detección se hará sin una orden [de una autoridad independiente o de jueces]”. Aunque a continuación ha añadido que “una vez la orden se haya emitido, la detección será obligatoria”.

El reglamento que ha puesto sobre la mesa la Comisión y que ahora debe ser enmendado y aprobado por el Consejo de la UE y por el Parlamento Europeo plantea que las compañías tecnológicas (proveedores de servicios digitales, acceso a internet, vendedores y servicios de descarga de aplicaciones) estén obligadas a hacer un análisis de riesgos acerca del “uso indebido para la divulgación de material que contenga abusos sexuales a menores o de solicitudes a niños [de grooming]”. Igualmente, cuando las autoridades detecten que hay riesgo podrá emitirse una orden. Las propias empresas serán las responsables de implementar sistemas de detección de estos contenidos. Esos métodos podrán estar automatizados, pero en última instancia deberán tener supervisión humana.

“Hay un proceso con muchas salvaguardas para poder tener este permiso o pedir a otra autoridad independiente o a un tribunal que emita una orden por un periodo determinado. Antes de eso, tienen que consultar y las autoridades de protección de datos. Y sólo cuando hay una orden de detección, las empresas están autorizadas pero también obligadas a detectar e informar y este contenido”, ha explicado la comisaria Johansson en un encuentro con varios medios, entre ellos EL PAÍS.

La Comisión prevé también la creación de una oficina europea contra el abuso sexual infantil (EU Centre on Child Sexual Abuse), dotado de un presupuesto de 28 millones de euros, que dará cobertura a las pesquisas de las propias empresas, desarrollará herramientas de investigación y emitirá órdenes para intervenir comunicaciones en caso de inacción por parte de las plataformas.

Uno de los interrogantes que pendían sobre la redacción final del texto era qué pasaría con los mensajes encriptados de extremo a extremo. Varios servicios de mensajería, como WhatsApp o Signal, utilizan esa técnica de codificación de las comunicaciones para asegurarse de que nadie más que el emisor y el receptor, ni siquiera la propia plataforma, pueda ver el contenido. “El texto del reglamento no prohibe la encriptación, pero desincentiva que se use para que la empresa pueda escanear contenido y demostrar que está tomando medidas de prevención para acotar la difusión de contenidos sexuales de menores”, opina Ella Jakubowska, analista de privacidad de la asociación European Digital Rights (EDRi).

Un año de negociaciones

El Parlamento Europeo aprobó el verano pasado un reglamento temporal que permite a las empresas tecnológicas escudriñar las comunicaciones de los usuarios (correos electrónicos, mensajes de texto y documentos adjuntos, como fotos y vídeos) en busca de contenidos pedófilos. La normativa, que fue bautizada como Chatcontrol (control de charlas), deroga temporalmente la Directiva 2002/58/CE, conocida como ePrivacy, que regula aspectos como la confidencialidad de la información, el trato de los datos personales y las cookies de terceros. La suspensión tiene fecha límite: el 31 de diciembre de 2022. El objetivo de la Comisión era tener lista antes de ese momento una normativa de carácter permanente que aporte la cobertura legal a la intervención de las comunicaciones.

Ahora todas las empresas deberán controlar que no se difundan contenidos pedófilos. En EE UU, hace tiempo que el Centro Nacional para Menores Desaparecidos y Explotados (National Center for Missing and Exploited Children, NCMEC) solicita la cooperación de las tecnológicas en este asunto. Esa supervisión se realiza principalmente de forma automatizada: hay herramientas de inteligencia artificial que buscan palabras clave. Google ya rastrea los documentos subidos a Google Drive; Apple anunció el año pasado su intención de hacer lo propio con las fotos tomadas desde los iPhone, pero la ola de protestas que desató la decisión llevó a la empresa de Cupertino a congelar la medida hasta estudiar detenidamente sus pros y contras.

Según fuentes conocedoras del proceso, una de las cuestiones que habrían motivado el interés de la UE en precipitar una nueva normativa es la intención de Facebook de encriptar de extremo a extremo los mensajes enviados por Facebook Messenger, su aplicación de mensajería instantánea. Poco usada en Europa, es especialmente popular en EE UU y cuenta con unos 1.300 millones de usuarios activos, lo que la convierta en la segunda herramienta más usada, solo por detrás de WhatsApp (unos 2.000 millones de usuarios).

Varias asociaciones civiles han tratado de sentarse con la comisaria Johansson para discutir los pormenores de la regulación que hoy se presenta. No han tenido éxito. “Nuestra gran preocupación es que el reglamento sea una puerta de entrada a que se examinen las comunicaciones de todos los ciudadanos, no solo de los sospechosos de difundir material pedófilo”, Jakubowska.

La comisaria Johannson ha defendido su proyecto señalando precedentes sobre el control de las comunicaciones y con otros fines que no son los de evitar un delito como el abuso sexual sobre menores: “Hoy tenemos una directiva sobre privacidad [en las comunicaciones digitales] que dice que las empresas siempre pueden escanear toda la comunicación interpersonal si es con el fin de protegerse del malware y el spam. En estos casos se les permite hacerlo y lo hacen. Lo hacen en toda la comunicación, tanto en la comunicación interpersonal cifrada [o encriptada] como en la no cifrada. Y lo hacen, por supuesto, con fines de lucro, porque si tuviéramos mucho spam y malware no utilizaríamos esa comunicación. Así que lo hacen con fines puramente comerciales. [Ahora] No es legal hacer este tipo de escaneo para imprimir, para escanear, para el material de abuso sexual infantil”. El planteamiento de la Comisión es diáfano, si está justificado para ofrecer un mejor servicio y ganar dinero, ¿por qué no para evitar un delito?

También Supervisor Europeo de Protección de Datos tiene sus reservas respecto a la idoneidad de que las comunicaciones privadas sean escrutadas por terceros. El organismo, encargado de velar por el cumplimiento de la normativa de privacidad en las instituciones europeas, publicó en 2020 una opinión no vinculante en la que ya ponía en duda que someter las comunicaciones de los ciudadanos a un escrutinio constante pudiera ser compatible con el derecho a la intimidad. Desde la oficina del Supervisor descartan hacer comentarios sobre la nueva normativa, al menos por el momento.

Puedes seguir a EL PAÍS TECNOLOGÍA en Facebook y Twitter o apuntarte aquí para recibir nuestra newsletter semanal.