El comité parlamentario conjunto para el proyecto de ley de seguridad en línea ha publicado un informe de 193 páginas que pide el fin de la autorregulación de las grandes tecnologías y hace una serie de recomendaciones sobre cómo la ley puede hacer que los proveedores de servicios de Internet (ISP) sean responsables de lo que está sucediendo en sus plataformas.
El comité, que se estableció en julio de 2021 para examinar el Proyecto de Ley de Seguridad en Línea y proponer mejoras antes de que llegue al Parlamento para su aprobación final en 2022, dijo que había llegado a una conclusión unánime de “llamar la hora del Salvaje Oeste en línea”.
“Durante demasiado tiempo, la gran tecnología se ha salido con la suya siendo la tierra de los sin ley. La falta de regulación en línea ha dejado a demasiadas personas vulnerables al abuso, el fraude, la violencia y, en algunos casos, incluso la muerte ”, dijo el presidente del comité, Damian Collins. “Las empresas son claramente responsables de los servicios que han diseñado y de los que se benefician, y deben rendir cuentas de las decisiones que toman”.
Los principales cambios recomendados en el informe incluyen imponer sanciones penales a los altos directivos por “fallas repetidas y sistémicas” para proteger a los usuarios de daños en línea y ampliar los poderes de Ofcom para investigar, auditar y multar a las empresas de tecnología que no cumplan con las normas.
“El comité ha establecido recomendaciones para incluir más delitos claramente dentro del alcance del Proyecto de Ley de Seguridad en Línea, otorgar a Ofcom el poder legal para establecer estándares mínimos de seguridad para los servicios que regulará y tomar medidas de cumplimiento contra las empresas si no lo hacen. “Cumplir”, dijo Collins.
Como ex presidente del Comité Selecto de DCMS de la Cámara de los Comunes, Collins anteriormente dirigió una investigación sobre desinformación y “noticias falsas”, que concluyó de manera similar pidiendo el fin de la autorregulación de las empresas de redes sociales.
Poner fin al salvaje oeste en línea
En su forma actual, el proyecto de ley de seguridad en línea impondría un “deber de cuidado” legal a las empresas de tecnología que alojan contenido generado por el usuario o permiten que las personas se comuniquen, lo que significa que estarían legalmente obligadas a identificar, eliminar y limitar de manera proactiva la propagación de Contenido tanto ilegal como legal pero dañino, como abuso sexual infantil, terrorismo y material suicida. No hacerlo podría resultar en multas de hasta el 10% de su facturación por parte del regulador de daños en línea, que se confirmó en diciembre de 2020 como Ofcom.
Tras su investigación, el comité dijo en su informe que “al tratar de regular las grandes empresas multinacionales con los recursos para emprender impugnaciones legales”, el Parlamento debería proporcionar más claridad sobre el deber general de cuidado a través de deberes específicos que establezcan explícitamente qué proveedores de servicios deberían estar haciendo para prevenir daños en línea.
“Recomendamos que se reestructura el proyecto de ley. Debe establecer claramente sus objetivos centrales al principio. Esto asegurará claridad a los usuarios y reguladores sobre lo que el proyecto de ley está tratando de lograr e informará los deberes detallados establecidos más adelante en la legislación ”, dijo.
“Todo fluye de estos: el requisito de que Ofcom cumpla esos objetivos, su poder para producir códigos de práctica obligatorios y estándares mínimos de calidad para las evaluaciones de riesgos para poder hacerlo, y los requisitos para que los proveedores de servicios aborden y mitiguen los riesgos razonablemente previsibles, siga esos códigos de práctica y cumpla con esos estándares mínimos “.
El informe agregó que el Proyecto de Ley de Seguridad en Línea debería incluir una responsabilidad específica sobre los proveedores de servicios para crear sistemas y procesos para identificar cualquier “riesgo de daño razonablemente previsible que surja del diseño de sus plataformas”, que deben tomar medidas proporcionales para mitigarlo.
Además de la elaboración de códigos de prácticas obligatorios para que los sigan las empresas de tecnología, el comité agregó que también se debería exigir a Ofcom que produzca un código de prácticas obligatorio de “seguridad por diseño”.
Para fomentar aún más el cumplimiento del proyecto de ley, el comité también recomienda que el Parlamento exija a los proveedores de servicios de Internet que realicen evaluaciones de riesgo internas para registrar las amenazas previsibles razonables a la seguridad del usuario, que irían más allá del contenido para incluir también el impacto potencialmente dañino de los algoritmos.
“No debería ser posible que un proveedor de servicios subestime el nivel de riesgo de su servicio sin temor a una sanción. Si Ofcom sospecha de una infracción de este tipo, debe tener el poder de investigar y, si es necesario, tomar medidas rápidas. No estamos convencidos de que el proyecto de ley, tal como está actualmente, logre esto ”, dijo el informe, y agregó que se debería exigir a Ofcom que establezca estándares mínimos vinculantes para garantizar la precisión y la integridad de las evaluaciones de riesgos.
“Ofcom debe poder exigir a un proveedor que devuelva una evaluación de riesgos deficiente o incompleta que rehaga esa evaluación de riesgos. Los proveedores de servicios deben realizar evaluaciones de riesgo como respuesta a la Ley de seguridad en línea antes de que se implementen nuevos productos y servicios, durante el proceso de diseño de nuevas funciones, y se deben mantener actualizadas a medida que se implementan “.
También recomendó que los proveedores de servicios de mayor tamaño y de mayor riesgo tuvieran la responsabilidad legal de encargar auditorías anuales independientes a terceros de los efectos de sus algoritmos, así como de sus evaluaciones de riesgo e informes de transparencia.
“Debe otorgarse a Ofcom el poder explícito de revisarlos y realizar su propia auditoría de estos o de cualquier otro servicio regulado cuando lo considere necesario. Ofcom debería desarrollar un marco para la regulación efectiva de algoritmos basado en el requisito y auditoría de evaluaciones de riesgo ”, dijo, y agregó que los diversos reguladores del Foro de Cooperación en Regulación Digital (DCRF), que incluye la Oficina del Comisionado de Información y la Autoridad de Competencia y Mercados – deben estar sujetos a su propio requisito legal de cooperar y consultarse entre sí.
“[The Online Safety Bill] parece depender completamente de las propias evaluaciones de riesgos de las plataformas y de sus propios informes sobre qué tan bien funcionan sus sistemas para reducir el daño ”
Bill Mitchell, BCS, The Chartered Institute for IT
Al comentar sobre el informe, un asociado senior del bufete de abogados Fieldfisher, Frankie Everitt, dijo: “El comité conjunto ha aprovechado la oportunidad para explorar el ámbito más amplio y complejo de la seguridad en línea, mucho más allá del proyecto de ley inicial. Además de destacar problemas adicionales, como los relacionados con las estafas en línea y los delitos específicos, en general ha pasado de un enfoque en el contenido dañino en sí mismo a un alcance mucho más amplio, por ejemplo, los algoritmos que entregan contenido.
“Esta amplia responsabilidad, sin embargo, se traslada al regulador Ofcom en la práctica, y la pregunta inmediata es si tiene los recursos y las capacidades para vigilar de manera efectiva esta lista más exhaustiva de problemas en el espacio en línea”.
Bill Mitchell, director de políticas de BCS, The Chartered Institute for IT, agregó que no estaba claro si el proyecto de ley hace lo suficiente para mantener seguros a los adolescentes en línea. “Lo que me molestaría es que parece depender completamente de las propias evaluaciones de riesgo de las plataformas y de sus propios informes sobre qué tan bien funcionan sus sistemas para reducir el daño”, dijo. “Me gustaría tener más seguridad sobre cómo el proyecto de ley garantizará la auditoría y que la responsabilidad de las plataformas de redes sociales es abierta, transparente y rigurosa”.
Sanciones penales para ejecutivos de empresas de tecnología
Un punto clave de controversia a lo largo de la investigación del comité fue si la responsabilidad penal de las personas dentro de las empresas de tecnología debería entrar en vigor y cuándo. El borrador actual del proyecto de ley de seguridad en línea proporciona un período de gracia de dos años para permitirles prepararse para los cambios.
Sin embargo, al dirigirse al comité a principios de noviembre, la secretaria digital Nadine Dorries dijo que el gobierno estaba buscando acortar esta ventana e introducir responsabilidad penal dentro de “tres a seis meses” de la aprobación del proyecto de ley.
El comité apoyó esta posición en su informe final y agregó que las sanciones penales por incumplimiento de los avisos informativos de Ofcom también deberían introducirse en un plazo de tres meses.
Sobre la base de que los principales proveedores de plataformas no cuentan con estructuras de gobernanza adecuadas, como lo demuestra el testimonio del jefe global de seguridad de Facebook, Antigone Davis, y otros en noviembre, el informe también recomendó extender la responsabilidad penal en el proyecto de ley, que actualmente limita a Ofcom a tomar medidas únicamente contra los altos directivos si no se proporciona información.
“El proyecto de ley debería exigir que las evaluaciones de riesgo de las empresas se informen a nivel de directorio, para garantizar que la alta dirección conozca y pueda ser responsable de los riesgos presentes en el servicio y las acciones que se están tomando para mitigar esos riesgos”, dijo.
“Recomendamos que un alto directivo a nivel de junta o que informe a la junta sea designado como“ controlador de seguridad ”y sea responsable de una nueva infracción: el incumplimiento de sus obligaciones como proveedores de servicios regulados cuando hay evidencia clara de repetición y fallas sistémicas que resultan en un riesgo significativo de daño grave para los usuarios.
“Creemos que este sería un último recurso proporcionado para el regulador; como cualquier delito, solo debe iniciarse y demostrarse al final de un proceso legal exhaustivo”.
Según Everitt, si bien el Reino Unido es “sin duda un gran mercado para la gran tecnología y los servicios digitales, puede haber casos de servicios que sopesen sus ingresos en el Reino Unido con el costo del cumplimiento”.
Ella agregó: “Puede prever que algunas plataformas están considerando decisiones para limitar, al menos parcialmente, algunos servicios y funciones para evitar el costoso cumplimiento y mitigar el riesgo de aplicación. Esto, junto con la recomendación de un controlador de seguridad personalmente responsable, y la realidad práctica de encontrar a alguien que asuma ese rol y responsabilidad, puede llevar a algunas conversaciones interesantes en la sala de juntas “.
Otras recomendaciones
En términos de cifrado de extremo a extremo (E2EE), que evitaría que los proveedores de servicios y el regulador de daños en línea puedan ver qué contenido se publica o comparte, el comité dijo que el gobierno necesitaba brindar más claridad sobre cómo los proveedores con Los servicios encriptados deben cumplir con las obligaciones de seguridad antes de la introducción del proyecto de ley.
“Equilibrar los beneficios de E2EE en términos de protección de la libertad y privacidad de las personas con los requisitos de seguridad en línea es esencial para que el proyecto de ley sea efectivo”, dijo el informe, y agregó en sus recomendaciones que E2EE debe identificarse como un factor de riesgo específico en las empresas. evaluaciones de riesgo. “Se debe exigir a los proveedores que identifiquen y aborden los riesgos que surgen de la naturaleza encriptada de sus servicios bajo los requisitos de seguridad por diseño”.
Sin embargo, el informe agregó: “No está claro cómo se logrará esto, y las soluciones técnicas maduras que permiten moderar el contenido de los servicios E2EE no están ampliamente disponibles”.
Aunque el gobierno ha lanzado un fondo de desafío de tecnología de seguridad, diseñado para impulsar la innovación en inteligencia artificial y otras tecnologías que pueden escanear, detectar y marcar imágenes de abuso infantil ilegal sin romper E2EE, existe la preocupación de que esto ponga en riesgo indebidamente la privacidad y la seguridad de la ley. ciudadanos respetuosos, y podría abrir el camino a la vigilancia.
Al vincular cuentas de redes sociales con personas reales con el fin de lidiar con el abuso en línea, el informe dijo de manera similar que las plataformas que permiten cuentas anónimas o seudónimas deberían estar obligadas a incluir los riesgos asociados como una categoría específica en sus evaluaciones de riesgo sobre seguridad por diseño.
“El anonimato y el seudonimato en sí mismos no son el problema, y acabar con ellos no sería una respuesta proporcionada. Los problemas son la falta de trazabilidad por parte de las fuerzas del orden, la creación y eliminación sin fricciones de cuentas a gran escala, la falta de control del usuario sobre los tipos de cuentas con las que interactúan y la falla de las plataformas en línea para lidiar de manera integral con el abuso en sus plataformas “. decía.
En su párrafo final, agregó que el informe debe entenderse como un documento completo compuesto por un conjunto coherente de recomendaciones que trabajan en conjunto para producir una nueva visión del Proyecto de Ley de Seguridad en Línea.
“El gobierno no debería buscar aislar recomendaciones únicas sin entender cómo encajan en el manifiesto más amplio presentado por el comité. Tomadas en su conjunto, nuestras recomendaciones garantizarán que el proyecto de ley haga que las plataformas rindan cuentas de los riesgos de daño que surgen en ellas y logrará el objetivo final del gobierno de hacer del Reino Unido el lugar más seguro del mundo para estar en línea ”, dijo.
El gobierno ahora tendrá hasta dos meses para responder al informe del comité.
