La UE quiere obligar a las empresas de internet a revisar las comunicaciones privadas para detectar pederastia

La frontera entre la seguridad y la privacidad en internet es muy fina. El conflicto entre hasta dónde se puede vulnerar la segunda para garantizar la primera está permanentemente abierto. La Unión Europea debatirá y aprobará durante la presidencia española, si se cumple el calendario previsto, un reglamento (directamente aplicable) que obliga a las empresas de servicios web a “evaluar, mitigar los riesgos y, en caso necesario, detectar, denunciar y eliminar el abuso sexual de menores en sus servicios”. Las instituciones de la UE y decenas de asociaciones relacionadas con los derechos de la infancia respaldan la iniciativa ante un problema que afecta a, “al menos, uno de cada cinco niños”, según el estudio del Consejo de Europa One in Five. Por el contrario, entidades como Xnet, una red de defensores de los derechos digitales, y otros especialistas creen que la propuesta es inviable, pretende acabar con la confidencialidad en las comunicaciones y atenta contra libertades fundamentales. El propio reglamento considera que estas se verán afectadas, pero justifica su limitación.

El reglamento propuesto por la Comisión ha sido defendido por la socialdemócrata sueca Ylva Johansson como comisaria de Asuntos Internos de la UE, mientras que el ponente de la norma es el europarlamentario español Javier Zarzalejos (PP). El argumento principal es que, según la exposición de motivos de la propuesta, “uno de cada tres encuestados durante un estudio admitió que le habían pedido que hicieran algo sexualmente explícito en línea durante su infancia y más de la mitad había experimentado alguna forma de abuso sexual”. En los últimos 10 años, la incidencia ha crecido un 6.000%, según la plataforma de asociaciones Eurochild. “Nosotros, como colectivo de organizaciones que luchan por los derechos de los niños, la seguridad y la protección en línea y fuera de línea, apoyamos la propuesta de la Comisión Europea como un paso crítico hacia una mejor protección de los menores”, afirman las organizaciones en una carta abierta.

Hasta ahora, en Europa, la identificación de sospechas de pederastia es voluntaria por parte de las empresas. La UE considera que “la gran mayoría de las denuncias procede de un puñado de ellas” y “un número significativo no toma ninguna medida”. Por el contrario, el problema de los abusos en línea no para de crecer. El Centro Nacional para Niños Desaparecidos y Explotados (NCMEC, por sus siglas en inglés), al que los prestadores de servicios de Estados Unidos están obligados a informar de abusos a menores, recibe 30 millones de denuncias al año, de las que más de un millón corresponden a Estados miembros de la UE.

El reglamento establece que un centro europeo para la prevención y la lucha contra el abuso sexual de menores facilitará el acceso a “tecnologías fiables” y qué “indicadores” buscarán las empresas para “detectar, denunciar, bloquear y eliminar los materiales de abuso sexual de menores”. Estos algoritmos de búsqueda, según la norma, intentarán evitar los falsos positivos o denuncias erróneas y se ajustarán a criterios “verificados por órganos jurisdiccionales o autoridades administrativas independientes de los Estados miembros”.

Sin embargo, entre las opciones de regulación, la UE incluye la más exhaustiva, que exige a las empresas detectar no solo los materiales conocidos (confirmados), sino también los nuevos, en referencia a aquellos que “podrían constituir material de abuso, pero que todavía no han sido confirmados como tal por una autoridad”, así como los encaminados a la captación de menores.

“Las medidas contenidas en la propuesta afectan, en primer lugar, al ejercicio de los derechos fundamentales de los usuarios de los servicios en cuestión”, admite el texto del reglamento en referencia, “al respeto a la intimidad (incluida la confidencialidad de las comunicaciones, como parte del derecho al respeto de la vida privada y familiar), a la protección de los datos de carácter personal y a la libertad de expresión e información”.

Limitaciones de derechos

“Aunque revisten gran importancia, ninguno de estos derechos es una prerrogativa absoluta y deben considerarse según su función en la sociedad (…). El artículo 52, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea permite limitarlos, con sujeción a las condiciones establecidas en dicha disposición”, argumenta la UE.

En este sentido, la propuesta de reglamento afirma que las tecnologías que se apliquen serán “las menos intrusivas para la intimidad” y se ejecutarán “de forma anónima”. También se “garantiza el derecho a la tutela judicial efectiva en todas las fases, desde la detección hasta la eliminación, y limita la conservación del material y los datos a lo estrictamente necesario”.

La UE admite también que “entra en juego la libertad de empresa”, ya que somete a los operadores a “una sobrecarga y puede afectar a la libre elección de clientes y proveedores o a la libertad contractual”. “Este derecho tampoco constituye una prerrogativa absoluta; es posible iniciar un amplio abanico de intervenciones que establezcan limitaciones al ejercicio de la actividad económica en aras del interés general”, insiste la UE.

Rechazo

La iniciativa cuenta con el rechazo de empresas del sector y grupos de defensa de los derechos digitales bajo la premisa de que “los abusos a menores son horrendos, pero el reglamento no resuelve el problema, establece la vigilancia masiva, anula la inviolabilidad de las comunicaciones, debilita la tutela judicial efectiva, ataca a las pymes tecnológicas en favor de los monopolios y generará falsos positivos que pueden afectar a cualquiera y bloquearán a los investigadores”, según Xnet.

La idea es antigua: acabar con el cifrado de internet y con la privacidad de las comunicaciones

Sergio Salgado, activista de Xnet

Sergio Salgado, integrante de esta plataforma, duda de que la iniciativa sea para combatir la pederastia en la Red. “La idea es antigua: acabar con el cifrado de internet y con la privacidad de las comunicaciones”, afirma. Salgado califica el reglamento como una vuelta de tuerca a la primera norma, que se denominó Chat Control 1: “Es lo mismo, pero haciendo obligatorio el control: es el viejo sueño del poder para el que, en general, el cifrado y la privacidad es un problema”.

“Solo hay un derecho fundamental que no admite ningún tipo de restricción: la libertad de pensar. El resto las admite, pero deben ser mínimas y bajo tutela judicial efectiva. En ningún caso se puede convertir internet en un espacio de excepción. Es como decir que la policía puede entrar en casa de cualquiera sin mandato, pero prometiendo que no entrará”, asegura.

Salgado señala los falsos positivos como uno de los grandes problemas. “Se perjudicará a inocentes”, afirma para señalar que “estas acusaciones infundadas inundarán, además, a los investigadores que sí persiguen eficazmente la pederastia”.

Falsos positivos

Google suspendió las cuentas de dos usuarios de Estados Unidos que enviaron fotos de sus hijos a los pediatras para el seguimiento de una infección. En España, el profesor valenciano David Barberá se quedó sin acceso a miles de archivos privados en la nube por presuntas imágenes que la misma compañía consideró sospechosos.

“Las grandes compañías van a ser una policía privada y van a tener un criterio conservador: no quieren problemas legales ni riesgos. En caso de duda, se borra el material. Su prioridad no va a ser mantener un discurso libre y una conversación abierta en internet. Además, la tutela judicial efectiva se basa en que eres tú el que tienes que ir al juzgado”, argumenta Salgado.

“Es una legislación que usa el abuso sexual infantil para cercenar derechos digitales y esto no funciona así; no se puede sacrificar libertad por seguridad”, concluye.

European Digital Rights, una agrupación internacional de organizaciones a favor de los derechos civiles, coincide con Xnet y pide la retirada del reglamento de la UE: “Obligará a los proveedores de todos nuestros chats, mensajes y correos electrónicos digitales a saber lo que estamos escribiendo y compartiendo en todo momento y eliminará la posibilidad de anonimato de muchos espacios legítimos en línea”.

A favor

Javier Zarzalejos, eurodiputado ponente del reglamento, discrepa de todas las cautelas y defiende las bondades de la propuesta. Destaca que todas las empresas tendrán que “hacer un análisis de riesgo” y que este no es el mismo en todos los casos: “Un servicio de pago en el que hay mecanismos eficaces de verificación de la edad no es lo mismo que servicios como chats cuyo atractivo de negocio consiste en que uno se puede relacionar de manera libre y anónima con cualquiera. Será la autoridad competente de cada Estado la que valore si el análisis de riesgo es suficiente, realista, y tendrá que aprobar las medidas de protección. No hay medidas que las compañías puedan adoptar sin autorización por parte de las autoridades competentes”.

También rechaza que la obligación de escaneo de las comunicaciones vulnere la intimidad de estas. “La encriptación se mantiene. La tecnología que se aplica es extraordinariamente fiable y actúa de una manera muy parecida a la que detecta el spam [correo no deseado]. De acuerdo con unos indicadores, los algoritmos detectan los casos. No hay acceso al contenido de la comunicación y actúan como clasificadores”.

Todas las cartas pasan a través de un escáner para evitar que lleven productos ilegales. El hecho de que pase por el escáner no significa que Correos conozca lo que yo escribo en una carta

Javier Zarzalejos, eurodiputado ponente de la propuesta de reglamento

“Las compañías tienen que introducir la verificación humana para determinar que se detectan patrones compatibles con un caso de abuso sexual infantil. Las sospechas tienen que remitirlas a las fuerzas y cuerpos de seguridad del Estado. Por una o dos frases o por mandar fotos de mis nietos en la playa, nadie va a deducir que estamos ante un menor que está siendo acosado o atraído para finalidades de abuso sexual”, añade el eurodiputado. En este sentido, Zarzalejos establece una analogía: “Todas las cartas pasan a través de un escáner para evitar que lleven productos ilegales. El hecho de que pase por el escáner no significa que Correos conozca lo que yo escribo en una carta”.

También coincide con el planteamiento de la UE en que se pueden establecer límites a las libertades. “No existen derechos fundamentales absolutos y aquí estamos hablando de un delito de una gravedad extrema”. “Afortunadamente, tenemos un marco de garantías muy amplio y una autoridad judicial. La idea es que tengamos un reglamento que sea suficientemente adaptable, a prueba de evolución tecnológica, y que aporte un marco jurídico que nos permita mantenerlo vigente en entorno cambiante”, añade.

“No estamos estableciendo un control general de todas las comunicaciones. Estamos hablando de herramientas que no necesitan el acceso al contenido y están sujetas a revisión, a unas condiciones específicas que impone la ley. Ya se aplica en prevención del terrorismo con un reglamento que funciona y tiene bastantes semejanzas con este”, concluye.

La socialdemócrata sueca Ylva Johansson, que ha llevado la propuesta de la Comisión, también la defiende: “Como adultos, es nuestro deber proteger a los niños. El abuso sexual infantil es un peligro real y creciente. La propuesta establece obligaciones claras para que las empresas detecten y denuncien el abuso a los menores, con fuertes salvaguardias que garanticen la privacidad de todos, incluidos los niños”.

Puedes escribir a rlimon@elpais.es y seguir a EL PAÍS Tecnología en Facebook y Twitter o apuntarte aquí para recibir nuestra newsletter semanal.