Los proveedores de servicios de Internet y las empresas de comunicaciones podrían enfrentar multas de hasta el 6% de su facturación si no cumplen con las órdenes judiciales que les exigen escanear electrónicamente las comunicaciones y las redes sociales para identificar posibles abusos a menores.
Un proyecto de reglamento que la Comisión Europea publicará hoy requerirá que las empresas de tecnología implementen algoritmos para identificar imágenes de abuso infantil e intentos de acicalamiento en los servicios de comunicaciones y redes sociales.
Las propuestas han despertado la preocupación de grupos de la sociedad civil, algunos eurodiputados y tecnólogos de que debilitarán los servicios de cifrado de extremo a extremo, como WhatsApp y Signal, socavando los derechos de privacidad de personas inocentes.
El eurodiputado y activista de derechos civiles Patrick Breyer describió la regulación propuesta como un paso hacia la vigilancia estatal al estilo chino. “Con sus planes para romper el cifrado seguro, la Comisión de la UE está poniendo en riesgo la seguridad general de nuestras comunicaciones privadas y redes públicas, secretos comerciales y secretos de estado para complacer los deseos de vigilancia a corto plazo”, dijo.
La acción voluntaria ha fallado
Un borrador filtrado de la regulación, que se espera que sea publicado hoy por la comisionada de asuntos internos Ylva Johansson, argumenta que aunque algunas compañías tecnológicas usan tecnología para detectar, informar y eliminar el abuso infantil en línea, las medidas voluntarias no han logrado erradicar el problema.
“Las medidas tomadas por los proveedores varían ampliamente, con la gran mayoría de los informes provenientes de un puñado de proveedores, y un número significativo no toma ninguna medida”, afirma el documento.
El proyecto de reglamento introduce órdenes de detección específicas que requerirán legalmente que las empresas de comunicaciones y redes sociales introduzcan “tecnología de detección automatizada” para identificar posibles abusos infantiles o arriesgarse a multas elevadas.
Según las propuestas, se puede ordenar a las empresas de comunicaciones y redes sociales que instalen tecnología para comparar fotografías en sus servicios con bases de datos de imágenes conocidas de abuso infantil.
También se les puede solicitar que implementen algoritmos que puedan identificar imágenes de abuso infantil que no se hayan visto anteriormente y que detecten posibles intentos de preparación mediante el escaneo del contenido de las comunicaciones personales.
El borrador de la regulación filtrado reconoce que escanear correos electrónicos o mensajes de texto para detectar la preparación es muy intrusivo.
Pero afirma que las tecnologías de detección para la preparación han alcanzado un “alto grado de precisión”, con Microsoft afirmando tasas de éxito del 88%. “La tecnología utilizada no ‘comprende’ el contenido de las comunicaciones, sino que busca patrones conocidos y preidentificados que indiquen una posible manipulación”, dice.
Cualquier mensaje o imagen que parezca indicar abuso infantil será denunciado para revisión manual, según la propuesta.
supervisión de la agencia
La filtración revela planes de la Comisión Europea para crear una agencia, el Centro de la UE sobre Abuso Sexual Infantil (EUCSA), para supervisar la política para 2029.
La EUCSA tendrá estrechos vínculos con la agencia policial europea, Europol, que proporcionará a la agencia servicios de RRHH, TI, seguridad cibernética y acceso a expertos.
La EUCSA también jugará un papel clave en el desarrollo de tecnologías para detectar material de abuso sexual infantil (CSAM), que se pondrá a disposición de las empresas tecnológicas de forma gratuita.
Su función será evaluar los informes de abuso de las empresas de servicios de Internet y comunicaciones generados por algoritmos para evaluar si merecen una mayor investigación.
Los que lo hagan se pasarán a Europol y a las autoridades encargadas de hacer cumplir la ley en los estados miembros para que tomen medidas.
Verificación de edad
El proyecto de reglamento requiere que los proveedores de servicios lleven a cabo una evaluación de riesgos e introduzcan tecnología y medidas operativas para reducir los riesgos de abuso infantil en línea.
Según los documentos filtrados, esto incluye la introducción de tecnologías de verificación y evaluación de la edad para identificar a los niños que utilizan los servicios en línea.
Las tiendas de aplicaciones, que se encuentran en los teléfonos móviles y computadoras de escritorio Android y Apple, deberán examinar las aplicaciones que podrían usarse para el aseo personal y restringir su acceso a los niños.
Órdenes de detección
Los tribunales podrán emitir órdenes de detección a las empresas de tecnología, exigiéndoles que introduzcan tecnología de detección de abusos y otras medidas de seguridad cuando exista un riesgo significativo de que un servicio se utilice para abusos.
Los proveedores no estarán obligados a utilizar ninguna tecnología específica, pero tendrán derecho a instalar y operar tecnologías de detección que la EUCSA ponga a disposición de forma gratuita.
Los estados miembros de la UE tendrán nuevos poderes para llevar a cabo inspecciones in situ de las empresas de tecnología para garantizar que cumplan con la regulación planificada. A los empleados de las empresas de tecnología también se les puede exigir que revelen cualquier falla.
Los tribunales podrán restringir temporalmente el acceso de los usuarios a los servicios que incumplan la normativa.
Amenaza para el cifrado de extremo a extremo
El grupo de campaña Access Now le escribió a Ylva Johansson esta semana instando a la Comisión Europea a no utilizar la regulación propuesta para socavar el cifrado de extremo a extremo (E2EE).
La carta sigue a la preocupación generalizada de que el borrador de la regulación podría exigir efectivamente el escaneo del lado del cliente, una tecnología que escanea automáticamente el contenido de los mensajes en busca de contenido ilegal antes de cifrarlos.
“Al eludir E2EE, el escaneo del lado del cliente permite a terceros discernir el contenido de cualquier mensaje de texto o archivo multimedia. Esto socava los derechos a la privacidad, la protección de datos, la seguridad y la libertad de expresión, y viola los derechos humanos”, decía la carta.
También contravendría la resolución del Consejo de la Unión Europea de 2020 sobre el cifrado, que determinó que el cifrado desempeña un papel clave en la protección de las personas, la industria y el gobierno al garantizar la privacidad, la confidencialidad y la integridad de las comunicaciones y los datos personales.
La investigación ha demostrado que el escaneo del lado del cliente da como resultado falsos positivos, señalando erróneamente las comunicaciones de personas inocentes para el escrutinio de las fuerzas del orden, dijo.
Rejo Zenger, asesor de políticas del grupo de cabildeo holandés Bits for Freedom, escribió en una publicación de blog que las regulaciones propuestas requerían el monitoreo masivo de las comunicaciones y eran incompatibles con la ley de la UE.
“Hacer cumplir que los proveedores de servicios de comunicaciones miren continuamente por encima de los hombros de sus usuarios es simplemente una ‘obligación general de monitoreo’. Eso es contrario a las normas europeas y, tarde o temprano, los jueces europeos declararán inválida tal ley”, dijo.