Se trata de una nueva propuesta legislativa que preocupa mucho a los defensores de la privacidad que la Comisión Europea acaba de presentar el 12 de mayo. Para luchar contra la pornografía infantil en línea, propone imponer nuevas obligaciones a los proveedores de servicios de comunicación y hosts.

Una explosión de contenidos ilegales

El hallazgo es particularmente preocupante: en 2021 se informaron en todo el mundo más de 85 millones de fotos y videos que mostraban abuso sexual infantil. La pandemia de Covid-19, que provocó el estallido de los intercambios en línea, ha exacerbado esta tendencia. . Internet Watch Foundation ha visto un aumento del 64% en los informes de abuso sexual que involucran a niños en 2021, en comparación con 2020.

Sin embargo, la autorregulación, utilizada hasta ahora por las plataformas en línea, funciona mal, juzga Bruselas. De hecho, hasta el 95% de todas las denuncias de abuso sexual infantil que se recibieron en 2020 provinieron de la red social Facebook, «si bien hay evidencia clara de que el problema no es exclusivo de una sola plataforma«. A modo de comparación, Twitter solo reportó 65,000 en 2020. Meta, la empresa matriz de Facebook, es simplemente la empresa más entusiasta en sus informes y la que ha implementado la mayoría de los sistemas de detección de empujes.

Bruselas presume de una propuesta equilibrada

«La propuesta de hoy establece obligaciones claras para que las empresas detecten y denuncien el abuso infantil, con estas obligaciones respaldadas por sólidas garantías que salvaguardan la privacidad de todos, incluidos los niños.«, resumió Ylva Johansson, comisaria europea de Interior.

El texto prevé una obligación de evaluación del riesgo. El objetivo: comprobar el riesgo de que el servicio se utilice para difundir pornografía infantil o incluso para permitirse el «grooming» (una práctica destinada a solicitar a los niños con fines sexuales haciéndose amigo de ellos y, en general, ganándose su confianza). Las plataformas tendrán hasta tres meses después de la entrada en vigor del texto para realizar este análisis. Dependiendo del resultado, tendrán que asumir obligaciones de mitigación.

Una nueva obligación de detección selectiva

La Comisión también prevé una obligación de detección para los proveedores que tengan «recibió una orden de detección«por una autoridad judicial o una autoridad administrativa independiente de un Estado miembro. Para ello, deben ejecutar tecnologías»eficiente«, «suficientemente confiable» y «el menos intrusivo» posible. La idea es la siguiente: no deben permitir extraer información distinta de esa «estrictamente necesario para la detecciónde contenido ilegal.

El informe será procesado por un nuevo organismo creado por el texto: el centro independiente de la UE responsable de cuestiones de abuso sexual de niños. Será responsable de identificar informes erróneos y enviar informes legítimos a las autoridades policiales pertinentes.

Cabe recordar que la legislación de la Unión Europea contiene una prohibición de imponer obligaciones generales de seguimiento a las plataformas para proteger la confidencialidad de las comunicaciones en línea, corolario de la protección de la privacidad. Sin embargo, la propuesta de la Comisión pretende precisamente eludir esta prohibición en nombre de la protección de los menores en línea, un objetivo obviamente loable.

Lo imposible nadie está obligado

Sin embargo, esta obligación de detección plantea muchos problemas. En primer lugar, las plataformas que ofrecen cifrado de comunicaciones tendrán que «descifrar» los mensajes afectados por la medida cautelar de detección. Una práctica que necesariamente debilita la protección de la privacidad en línea. Pero el verdadero problema surge cuando ofrecen cifrado de extremo a extremo. Porque, la clave de descifrado solo la conocen los usuarios finales. Por lo tanto, es técnicamente imposible proporcionar el contenido de los intercambios al centro dedicado.

Will Cathcart, CEO de WhatsApp, reaccionó a esta propuesta en Twitter diciendo que ponía «poner en grave peligro la privacidad y la seguridad de los ciudadanos de la Unión Europea«. Destaca el riesgo de que esta obligación de detección pueda ser utilizada para»violar los derechos humanos de diferentes maneras en todo el mundo«. La asociación de derechos digitales European Digital Rights (EDRi) también ha criticado este sistema».La propuesta refleja un posible ataque a gran escala a la integridad de nuestras comunicaciones. Esto podría ser un trampolín para tácticas autoritarias de vigilancia, incompatibles con los derechos fundamentales“, escribió en un tuit.

Nótese en particular la complejidad de detectar prácticas de “grooming”, que implican un simple intercambio textual y pueden tener lugar durante largos períodos. La detección de medios (fotos o videos) que contengan abuso sexual infantil se realiza identificando este contenido específico en sentido ascendente, estableciendo una «firma electrónica» (hash), luego verificando automáticamente la firma de los medios que pasan por las plataformas para garantizar que lo hagan. no corresponden a contenidos ilegales.

Así, la verificación se realiza sin que los operadores de la plataforma vean los medios de comunicación de sus usuarios. Pero para el «grooming», imposible de operar de esta manera. Será necesario necesariamente acceder a todos los mensajes enviados y analizar su contenido. Una propuesta que no solo es técnicamente compleja (con el riesgo de muchos falsos positivos), sino también intrínsecamente invasiva y equivalente a un seguimiento sistemático de las comunicaciones de todos los usuarios.

Apple retrocede ante las críticas

Estas críticas recuerdan las realizadas contra Apple cuando presentó una nueva herramienta para detectar contenido de pornografía infantil en iPhones y iPads. Por ejemplo, planeó integrar un algoritmo en la aplicación Mensajes para escanear el contenido de las comunicaciones y determinar si la foto enviada era sexualmente explícita. Muchas voces se han alzado en contra de este sistema, creyendo que debilita considerablemente la seguridad y confidencialidad de los intercambios. Ante este clamor, Apple ha revisado su sistema.

Antes de convertirse en definitiva, la propuesta de la Comisión deberá ser aprobada por el Parlamento Europeo y el Consejo. Seguramente los debates serán acalorados dada la importancia de estas cuestiones. Pero también hay que señalar que el Consejo lleva mucho tiempo queriendo prohibir el cifrado de los servicios de mensajería en nombre de la lucha contra el terrorismo, obligando a los proveedores a autorizar a los servicios de inteligencia a acceder a los contenidos intercambiados mediante un acceso privilegiado. Prácticas que siempre han demostrado ser desastrosas en el pasado, con accesos privilegiados que sistemáticamente terminan siendo abusados, incluso por delincuentes.