Vuelve «chat control»: el Consejo de la UE estudia permitir el acceso a conversaciones privadas para proteger a los menores

Con la presidencia danesa del Consejo, el foco se ha vuelto a poner sobre la posibilidad de que las empresas de mensajería puedan acceder a las conversaciones de sus usuarios en aplicaciones como WhatsApp o Messenger. La propuesta de Reglamento de la Comisión para prevenir el abuso sexual habla directamente de las medidas conocidas como “chat control”. Pese a que inicialmente su discusión en el Consejo estaba prevista para la próxima semana, ahora se ha aplazado a una nueva fecha.

Lo que se pretende con el documento sobre el que se está discutiendo es combatir dos tipos principales de abusos en línea: la difusión de material de abuso sexual de menores y el embaucamiento de menores. El “chat control” se centra en la detección de este último.

El papel de las Apps

Esta obligación de detección se dirige a los prestadores de servicios de comunicación disponibles al público. Más concretamente, se incluyen aquellos servicios que permiten un intercambio de información directo, interpersonal e interactivo, como pueden ser los servicios de mensajería o las funciones de chat en otras aplicaciones, como los juegos.

Se considera que la detección del embaucamiento de menores es la más intrusiva para los usuarios, ya que requiere analizar automáticamente los textos de las comunicaciones. Si bien es cierto, las órdenes de actuación solo se aplicarían a aquellas comunicaciones en las que uno de los usuarios sea un menor.

Es cierto que la propuesta de reglamento reconoce que las medidas afectan a los derechos fundamentales, especialmente al derecho a la intimidad y la confidencialidad de las comunicaciones. Sin embargo, se justifica que la lucha contra el abuso sexual de menores es un objetivo de interés general prioritario. Además, la propuesta busca proteger los derechos fundamentales de los niños, defiende el texto.

La propuesta establece una limitación del ejercicio de los derechos y obligaciones previstos en la Directiva sobre privacidad, pero solo en la medida en que sea estrictamente necesario para la ejecución de las órdenes de detección.

Medidas de proporcionalidad

Para asegurar que la intrusión se limita únicamente a lo necesario, se explica que la obligación de detección se impondrá mediante órdenes específicas, dictadas por una autoridad judicial competente o una autoridad administrativa independiente. Según la Comisión, esto evitaría imponer a los prestadores obligaciones generales de supervisión, las cuales están prohibidas.

También se hace hincapié en que la autoridad solo solicitará una orden cuando haya pruebas de un riesgo significativo de que el servicio se está utilizando de manera apreciable para el embaucamiento de menores. Será necesario realizar una evaluación objetiva y diligente para garantizar que los motivos para emitir tal orden compensen las consecuencias negativas en los derechos de todas las partes afectadas.

Los prestadores deberán utilizar tecnologías que cumplan los siguientes requisitos:

• Conformes con el estado actual de la técnica y lo menos intrusivas posibles.
• Incapaces de extraer ninguna otra información.
• Que busquen patrones conocidos e identificados previamente.

Junto con esto, se exige la supervisión humana periódica, específica y detallada de aquellas conversaciones identificadas por las tecnologías para tratar de encontrar falsos positivos. Además, las órdenes de detección no podrán superar una duración de doce meses.

¿Qué dicen los 27?

La norma no acumula pocas críticas por parte de los Estados miembros, ya que algunos sostienen que pone fin al cifrado de extremo a extremo (E2EE) en las plataformas de mensajería, que solo permitía a los interlocutores acceder al contenido de los mensajes.

En diciembre de 2024, la norma ya recibió el rechazo en una votación en el seno del Consejo de la Unión. Pese a esto, Copenhague ha vuelto a poner el debate encima de la mesa al calificarla de “alta prioridad” de la presidencia rotatoria danesa.

España, junto con Italia y Hungría, es uno de los países que ya mostró en el pasado su voluntad de implementar la normativa y ha acogido con buenos ánimos la propuesta de Dinamarca. De hecho, el Gobierno ha llegado a afirmar que “sería deseable impedir legislativamente que los prestadores de servicio con sede en la UE implementen cifrado de extremo a extremo”, como filtró Wired en 2023.

Durante todo este proceso, Francia se ha mostrado dubitativa. Pese a que en un primer momento trasladó su rechazo, en julio aseguró que “básicamente puede apoyar la propuesta”. Por su parte, Bélgica o Estonia muestran reticencias a la hora de trasponer la normativa a nivel nacional.

Berlín se opone a las medidas más severas como el escaneo de comunicaciones cifradas o la elusión del cifrado de extremo a extremo, pese a que aún no ha fijado una postura concreta. Polonia ha ido un paso más allá al defender que la medida debilita la ciberseguridad y facilita los ataques desde el extranjero.

El propio Servicio Jurídico del Consejo ha concluido que el reglamento viola los derechos fundamentales de los ciudadanos, mientras una sentencia del Tribunal Europeo de Derechos Humanos argumenta que provoca “un debilitamiento del cifrado que afectará a todos los usuarios”.