El 11 de mayo de 2022, la Comisión Europea publicó una propuesta de reglamento para establecer normas para prevenir y combatir el abuso sexual infantil. La regulación establecería medidas preventivas contra el material de abuso sexual infantil (CSAM) que se distribuye en línea.
Aunque el Reino Unido ya no forma parte de la Unión Europea (UE), cualquier empresa del Reino Unido que desee operar dentro del bloque comercial más grande del mundo deberá cumplir con los estándares de la UE. Como tal, esta regulación tendría un enorme impacto en los servicios y plataformas de comunicaciones en línea en el Reino Unido y en todo el mundo.
Algunas plataformas en línea ya detectan, informan y eliminan el MASI en línea. Sin embargo, tales medidas varían entre los proveedores y la UE ha decidido que la acción voluntaria por sí sola es insuficiente. Algunos estados miembros de la UE han propuesto o adoptado su propia legislación para abordar el MASI en línea, pero esto podría fragmentar la visión de la UE de un Mercado Único Digital unido.
Esta no es la primera vez que se intenta escanear contenido. En 2021, Apple propuso escanear los dispositivos de los propietarios en busca de CSAM mediante el escaneo del lado del cliente (CSS). Esto permitiría realizar el filtrado de CSAM sin violar el cifrado de extremo a extremo. Sin embargo, la reacción violenta contra esta propuesta hizo que la idea se pospusiera indefinidamente.
En esencia, el reglamento de la UE requerirá que los “servicios de la sociedad de la información pertinentes” promulguen las siguientes medidas (artículo 1):
- Minimice el riesgo de que sus servicios se utilicen indebidamente para el abuso sexual infantil en línea.
- Detectar y reportar abuso sexual infantil en línea.
- Eliminar o deshabilitar el acceso a material de abuso sexual infantil en sus servicios.
El artículo 2 describe los “servicios pertinentes de la sociedad de la información” como cualquiera de los siguientes:
- Servicio de hospedaje en línea: un servicio de hospedaje que consiste en el almacenamiento de información proporcionada por, y a solicitud de, un destinatario del servicio.
- Servicio de comunicaciones interpersonales: un servicio que permite el intercambio de información interpersonal e interactivo directo a través de redes de comunicaciones electrónicas entre un número finito de personas, en el que las personas que inician o participan en la comunicación determinan su(s) destinatario(s), incluidos los proporcionados como característica auxiliar que está intrínsecamente vinculado a otro servicio.
- Tiendas de aplicaciones de software: servicios de intermediación en línea, que se centran en las aplicaciones de software como producto o servicio intermediado.
- Servicios de acceso a Internet: servicio de comunicaciones electrónicas disponible públicamente que brinda acceso a Internet y, por lo tanto, conectividad a prácticamente todos los puntos finales de Internet, independientemente de la tecnología de red y el equipo terminal utilizado.
El reglamento establecería el Centro de la UE para crear y mantener bases de datos de indicadores de MASI en línea. Esta base de datos sería utilizada por los servicios de la sociedad de la información para cumplir con la normativa. El Centro de la UE también actuaría como enlace con Europol, filtrando primero cualquier informe de abuso sexual infantil en línea que sea infundado: “Cuando sea inmediatamente evidente, sin ningún análisis sustantivo legal o fáctico, que las actividades denunciadas no constituyen abuso sexual infantil en línea”. – y luego enviar los demás a Europol para una mayor investigación y análisis.
Derechos fundamentales
Una de las principales preocupaciones sobre esta regulación es que el filtrado de contenido de los mensajes privados afectaría los derechos de los usuarios a la privacidad y la libertad de expresión. La regulación no solo propone escanear los metadatos de los mensajes, sino el contenido de todos los mensajes en busca de cualquier material ofensivo. “El Tribunal de Justicia de la Unión Europea ha dejado claro, una y otra vez, que una vigilancia masiva de las comunicaciones privadas es ilegal e incompatible con los derechos fundamentales”, dice Felix Reda, experto en derechos de autor y libertad de comunicación de Gesellschaft für Freiheitsrechte.
Estas preocupaciones se reconocen en la propuesta de reglamento, que establece: “Las medidas contenidas en la propuesta afectan, en primer lugar, al ejercicio de los derechos fundamentales de los usuarios de los servicios en cuestión. Esos derechos incluyen, en particular, los derechos fundamentales al respeto de la privacidad (incluida la confidencialidad de las comunicaciones, como parte del derecho más amplio al respeto de la vida privada y familiar), a la protección de datos personales y a la libertad de expresión e información”.
Sin embargo, la propuesta de regulación también considera que ninguno de estos derechos debe ser absoluto. Establece: “En todas las acciones relacionadas con los niños, ya sean tomadas por autoridades públicas o instituciones privadas, el interés superior del niño debe ser una consideración primordial”.
También está el problema de la posible eliminación errónea de material, debido a la suposición errónea de que dicho material se refiere a material de abuso sexual infantil, lo que puede tener un impacto significativo en los derechos fundamentales de libertad de expresión y acceso a la información de un usuario.
Promulgación del reglamento
El artículo 10 (1) del reglamento propuesto establece: “Los proveedores de servicios de hospedaje y los proveedores de servicios de comunicación interpersonal que hayan recibido una orden de detección la ejecutarán instalando y operando tecnologías para detectar la difusión de material nuevo o conocido de abuso sexual infantil o la solicitación de niños, según corresponda.”
Sin embargo, a diferencia de los reglamentos anteriores, las medidas técnicas necesarias para establecer cómo las plataformas en línea pueden cumplir con los requisitos no se describen en el reglamento propuesto. En cambio, brinda a las plataformas y proveedores flexibilidad en la forma en que implementan estas medidas, por lo que las obligaciones regulatorias pueden integrarse de manera efectiva dentro de cada servicio.
“Se dará cuenta en la introducción de que no necesariamente define bien qué es un proveedor y no necesariamente define qué tan bien uno tiene que escanear las cosas”, dice Jon Geater, CTO de RKVST.
De acuerdo con la Sección 10 (3), una vez que se haya emitido una orden de detección, se espera que los filtros de contenido cumplan con estos criterios:
- Detectar la difusión de MASI conocido o nuevo o la solicitación de niños.
- No extraer ninguna información, salvo la necesaria a efectos de detección.
- De acuerdo con el estado del arte en la industria y lo menos intrusivo en términos de impacto en los derechos de los usuarios a la vida privada y familiar.
- Suficientemente fiables, de forma que minimicen los falsos positivos.
Pero para detectar MASI o solicitación de niños, se requeriría escanear el contenido de cada comunicación. La propuesta actual no define lo que se considera un punto de referencia “suficientemente confiable” para un mínimo de falsos positivos. “No es factible para nosotros ni para nadie más ser 100% efectivos, y probablemente no sea muy sensato que todos intenten hacerlo por su cuenta”, dice Geater.
Para ayudar a las empresas a cumplir con estas nuevas obligaciones reglamentarias, el Centro de la UE ofrecerá tecnologías de detección de forma gratuita. Estos estarán destinados al único efecto de ejecutar las órdenes de detección. Esto se explica en el Artículo 50 (1), que establece: “El Centro de la UE pondrá a disposición tecnologías que los proveedores de servicios de alojamiento y los proveedores de servicios de comunicaciones interpersonales puedan adquirir, instalar y operar, de forma gratuita, cuando corresponda, sujeto a condiciones de licencia razonables. , para ejecutar órdenes de detección de conformidad con el artículo 10(1).”
Si un proveedor o una plataforma deciden desarrollar sus propios sistemas de detección, el Artículo 10 (2) establece: “El proveedor no estará obligado a utilizar ninguna tecnología específica, incluidas las puestas a disposición por el Centro de la UE, siempre que se cumplan los requisitos establecidos en este artículo se cumplen.”
Aunque estas tecnologías de detección se ofrecerán de forma gratuita, la regulación impone exigencias enormes a los proveedores de redes sociales y plataformas de comunicación. Los proveedores deberán garantizar la supervisión humana mediante el análisis de muestras de datos representativos anónimos. “Vemos esto como un área muy especializada, por lo que tenemos un proveedor externo que proporciona herramientas de escaneo”, dice Geater.
De acuerdo con el Artículo 24 (1), cualquier empresa de tecnología que entre en el ámbito de los “servicios relevantes de la sociedad de la información” que operen dentro de la UE requerirá un representante legal en uno de los estados miembros de la UE. Como mínimo, podría ser un equipo de abogados como punto de contacto.
Cualquier plataforma o proveedor de servicios que incumpla esta normativa se enfrentará a sanciones de hasta el 6% de sus ingresos anuales o facturación global. El suministro de información incorrecta, incompleta o engañosa, así como la no revisión de dicha información, dará lugar a sanciones de hasta el 1% de los ingresos anuales o facturación global. Cualquier multa coercitiva podría ser de hasta el 5% de la facturación global diaria promedio.
Las preocupaciones permanecen
Un aspecto que es particularmente preocupante es que no hay exenciones para diferentes tipos de comunicación. La información legal, financiera y médica que se comparte en línea dentro de la UE estará sujeta a escaneo, lo que podría generar problemas de confidencialidad y seguridad.
En octubre de 2021, se publicó en el sitio web de acceso abierto arXiv un informe sobre CSS elaborado por un grupo de expertos, incluido Ross Anderson, profesor de la Universidad de Cambridge. El informe concluyó: “No está claro si los sistemas CSS pueden implementarse de manera segura de modo que las invasiones de la privacidad puedan considerarse proporcionales. Más importante aún, es poco probable que alguna medida técnica pueda resolver este dilema y al mismo tiempo trabajar a escala”.
En última instancia, la regulación impondrá demandas significativas a las plataformas de redes sociales y los servicios de comunicación basados en Internet. Afectará especialmente a las empresas más pequeñas que no cuentan con los recursos o la experiencia necesarios para adaptarse a estos nuevos requisitos reglamentarios.
Aunque los proveedores de servicios y las plataformas podrían optar por no operar dentro de los países de la UE, anulando así estos requisitos, es probable que este enfoque sea autodestructivo debido a la enorme limitación de la base de usuarios. También plantearía cuestiones éticas si se viera que una empresa está evitando el problema de la distribución de MASI en su plataforma. También es probable que se pueda implementar una legislación similar en otros lugares, especialmente para cualquier país que desee armonizar su legislación con la de la UE.
Por lo tanto, sería prudente mitigar el impacto de esta regulación propuesta preparándose para las obligaciones previstas y contar con las políticas y los recursos adecuados, lo que permitiría a las empresas adaptarse rápidamente a este nuevo entorno regulatorio y gestionar el impacto financiero.
