El regulador de daños en línea, Ofcom, ha publicado una hoja de ruta de seguridad en línea, que establece provisionalmente sus planes para implementar el próximo régimen de seguridad en Internet del Reino Unido.
El proyecto de ley de seguridad en línea, que pasó la etapa de comité en la Cámara de los Comunes y está sujeto a enmiendas a medida que pasa por el resto del proceso parlamentario, impondrá un “deber de cuidado” legal a las empresas de tecnología que alojan contenido generado por el usuario o permitir que las personas se comuniquen, lo que significa que estarían legalmente obligados a identificar, eliminar y limitar de manera proactiva la difusión de contenido ilegal y “legal pero dañino”, como material de abuso sexual infantil, terrorismo y suicidio.
De lo contrario, Ofcom, que fue confirmado como el regulador de daños en línea en diciembre de 2020, podría recibir multas de hasta el 10% de su facturación.
El proyecto de ley ya ha pasado por una serie de cambios. Cuando se introdujo en marzo de 2022, por ejemplo, se agregaron una serie de delitos penales para responsabilizar a los altos directivos por destruir pruebas, no asistir o proporcionar información falsa en entrevistas con Ofcom, y por obstruir al regulador cuando ingresa a las oficinas de la empresa para auditorías o inspecciones.
Al mismo tiempo, el gobierno anunció que reduciría significativamente el período de gracia de dos años sobre la responsabilidad penal de los ejecutivos de las empresas de tecnología, lo que significa que podrían ser procesados por incumplimiento de las solicitudes de información de Ofcom dentro de los dos meses posteriores a la entrada en vigor del proyecto de ley.
La hoja de ruta de Ofcom establece cómo el regulador comenzará a establecer el nuevo régimen en los primeros 100 días posteriores a la aprobación del proyecto de ley, pero está sujeta a cambios a medida que evoluciona.
La hoja de ruta señaló que, una vez que Ofcom reciba sus poderes, el regulador se moverá rápidamente para publicar una variedad de material para ayudar a las empresas a cumplir con sus nuevos deberes, incluidos los borradores de códigos sobre daños de contenido ilegal; borrador de orientación sobre evaluaciones de riesgo de contenido ilegal, evaluaciones de acceso de niños, informes de transparencia y pautas de aplicación; y asesoramiento de consulta al gobierno sobre los umbrales de categorización.
Compromiso dirigido
También publicará una consulta sobre cómo Ofcom determinará quién paga las tarifas por la regulación de la seguridad en línea, así como también iniciará su compromiso específico con los servicios de mayor riesgo.
“Consultaremos públicamente estos documentos antes de finalizarlos”, dijo. “Por lo tanto, los servicios y otras partes interesadas deben estar preparados para comenzar a participar en nuestra consulta sobre los códigos preliminares y la guía de evaluación de riesgos en la primavera de 2023.
“Nuestra expectativa actual es que la consulta estará abierta durante tres meses. Los servicios y las partes interesadas pueden responder a la consulta en este plazo si así lo desean. También tendremos nuestros poderes de recopilación de información y podemos usarlos si es necesario para recopilar evidencia para nuestro trabajo en la implementación del régimen”.
Agregó que es probable que los primeros códigos de contenido ilegal se emitan a mediados de 2024, y que entrarán en vigencia 21 días después de esto: “Las empresas deberán cumplir con los deberes de seguridad de contenido ilegal a partir de ese momento y tendremos la potestad para tomar medidas coercitivas si es necesario”.
tipos de servicio
Sin embargo, Ofcom señaló además que, si bien el proyecto de ley se aplicará a aproximadamente 25,000 empresas con sede en el Reino Unido, establece diferentes requisitos para diferentes tipos de servicios.
La categoría 1, por ejemplo, se reservará para los servicios con las funcionalidades de mayor riesgo y el mayor alcance de usuario a usuario, e incluye requisitos adicionales de transparencia, así como el deber de evaluar los riesgos para adultos de contenido legal pero dañino.
Los servicios de categoría 2a, por su parte, son los de mayor alcance, y tendrán requisitos de transparencia y publicidad fraudulenta, mientras que los servicios de categoría 2b son aquellos con funcionalidades potencialmente riesgosas, y por lo tanto tendrán requisitos adicionales de transparencia pero no otros deberes adicionales.
Según la evaluación de impacto del gobierno de enero de 2022, en la que estimó que solo alrededor de 30 a 40 servicios alcanzarán el umbral para que se les asigne una categoría, Ofcom dijo en la hoja de ruta que anticipa que la mayoría de los servicios dentro del alcance no caerán en estas categorías especiales. .
“Cada servicio de usuario a usuario y de búsqueda dentro del alcance debe evaluar los riesgos de daños relacionados con el contenido ilegal y tomar medidas proporcionadas para mitigar esos riesgos”, dijo.
“Todos los servicios a los que es probable que accedan los niños tendrán que evaluar los riesgos de daño a los niños y tomar medidas proporcionales para mitigar esos riesgos”, dijo Ofcom, y agregó que reconoce que los servicios más pequeños y las nuevas empresas no tienen los recursos para gestionar el riesgo en el camino. las plataformas más grandes lo hacen.
“En muchos casos, podrán utilizar enfoques de cumplimiento menos onerosos o costosos. El proyecto de ley es claro en que la proporcionalidad es fundamental para el régimen; el enfoque elegido para cada servicio debe reflejar sus características y los riesgos que enfrenta. El proyecto de ley no requiere necesariamente que los servicios puedan detener todas las instancias de contenido dañino o evaluar cada elemento del contenido por su potencial para causar daño; nuevamente, los deberes de los servicios están limitados por lo que es proporcional y técnicamente factible.
Sobre cómo las empresas deben lidiar con el “contenido legal pero dañino”, que ha sido un aspecto controvertido del proyecto de ley, la hoja de ruta decía que “los servicios pueden elegir si alojar contenido que es legal pero dañino para los adultos, y Ofcom no puede obligarlos a eliminarlo .
“Las empresas de categoría 1 deben evaluar los riesgos asociados con ciertos tipos de contenido legal que pueden ser dañinos para los adultos, tener términos de servicio claros que expliquen cómo lo manejan y aplicar esos términos de manera consistente. También deben proporcionar herramientas de “empoderamiento del usuario” para permitir que los usuarios reduzcan la probabilidad de encontrar este contenido. Esto no requiere que los servicios bloqueen o eliminen ningún contenido legal a menos que decidan hacerlo según sus términos de servicio”.
El 6 de julio de 2022, el mismo día en que se publicó la hoja de ruta, Priti Patel publicó una enmienda al proyecto de ley que otorgará poderes a los reguladores para exigir a las empresas tecnológicas que desarrollen o implementen nuevas tecnologías para detectar contenido dañino en sus plataformas.
La enmienda requiere que las empresas de tecnología hagan todo lo posible para identificar y evitar que las personas vean material de abuso sexual infantil publicado públicamente o enviado de forma privada; presionar a las empresas de tecnología por los servicios de mensajería cifrada de extremo a extremo.
Los ministros argumentan que el cifrado de extremo a extremo dificulta que las empresas de tecnología vean lo que se publica en los servicios de mensajería, aunque las empresas de tecnología han argumentado que hay otras formas de vigilar el abuso sexual infantil. “Las empresas tecnológicas tienen la responsabilidad de no proporcionar espacios seguros para que imágenes horrendas de abuso infantil se compartan en línea”, dijo la ministra digital Nadine Dorries. “Tampoco deberían cegarse ante estos horribles crímenes que ocurren en sus sitios”.
Los críticos, sin embargo, dicen que la tecnología podría estar sujeta a “desplazamiento del alcance” una vez instalada en teléfonos y computadoras, y podría usarse para monitorear otros tipos de contenido de mensajes, lo que podría abrir el acceso de puerta trasera a servicios encriptados.
“Espero que el Parlamento tenga un debate sólido y detallado sobre si forzar lo que algunos han llamado ‘errores en su bolsillo’ (descifrar el cifrado de extremo a extremo (como era de esperar, otros argumentan que no lo hace) para escanear sus comunicaciones privadas) es un enfoque necesario y proporcionado”, dijo el abogado de tecnología Neil Brown.
