El 6 de julio el Parlamento Europeo ha aprobado por 537 diputados a favor, 133 en contra y 20 abstenciones una resolución bautizada por sus detractores como Chatcontrol que permitirá a las compañías tecnológicas escanear comunicaciones electrónicas para detectar y reportar contenidos de abuso sexual infantil y embaucamiento a menores durante los próximos 3 años. Es más correcto decir que seguirá permitiendo, porque las principales plataformas estaban haciéndolo de forma voluntaria para colaborar contra estos delitos.
Los parlamentarios europeos derogaron dos cláusulas de la Directiva 2002/58/CE conocida como ePrivacy [PDF], que trata sobre la privacidad de las comunicaciones electrónicas. Las cláusulas derogadas temporalmente son el artículo 5, apartado 1; y el artículo 6, apartado 1; que guardaban la confidencialidad de las comunicaciones y los datos de tráfico.
La resolución tiene fecha de caducidad, tres años, o al menos hasta que haya una normativa permanente. Aprobada en una primera lectura, se espera que la resolución entre en vigor de forma inminente, es decir tres días después de su publicación en el Diario Oficial de la Unión Europea, y está claramente orientada a la detección de material que indique la presencia de pornografía infantil o embaucamiento de menores (grooming).
Abuso sexual infantil y embaucamiento de menores
En 2020 se reportaron 4 millones de imágenes y vídeos con contenidos de abuso infantil. Ylva Johansson, miembro de la Comisión, dijo que con esta aprobación además se puede detectar material cuya circulación aún se desconoce. Sólo el año pasado hubo más de medio millón de nuevas imágenes y vídeos de niños siendo violados. Suena fuerte porque lo es. También se podrá tomar acción contra el embaucamiento, lo que en inglés se conoce como grooming y es la manipulación de menores con fines de abuso sexual, del cual hubo 1.500 denuncias en ese período.
El Centro Nacional para Niños Desaparecidos y Explotados (NCMEC) es una organización privada sin fines de lucro de Estados Unidos a la que las compañías reportan este tipo de contenidos cuando los descubren. Los informes del NCMEC señalan un aumento en el abuso sexual infantil en el conjunto de países de la Unión Europea: desde 23.000 en 2010, las denuncias han escalado a más de 725.000 y más de 3 millones de imágenes y vídeos en 2019. Los datos son prepandemia, y se considera que la situación ha ido a peor desde entonces.
El acuerdo implica dar cobertura legal a algo que ya sucede por parte de algunas plataformas que colaboran voluntariamente para detectar este tipo de delito, y lo comunican luego a las autoridades.
Críticas y controversia en un problema urgente
Los parlamentarios europeos han trabajado a contrarreloj. Cuando la Comisión Europea se dió cuenta de que la nueva normativa para los mensajes privados (el Código Europeo de Comunicaciones Electrónicas [PDF] que entró en vigor en diciembre de 2020) pondría en situación de ilegalidad a las plataformas que colaboran voluntariamente filtrando y reportando pornografía infantil a las autoridades, propuso una excepción para esa actividad hasta que la nueva normativa permanente estuviera vigente. La Comisión hizo la propuesta en septiembre de 2020 y apremió a los europarlamentarios para que la aprobaran en diciembre, lo que no ocurrió.
Desde fuera, los ministros de Reino Unido, Canadá y Estados Unidos y activistas por los derechos de los niños también pidieron al Parlamento Europeo que aprobara esta excepción cuanto antes. Facebook dejó de escanear contenidos, y los datos que recoge el NCMEC han revelado una caída de 46 % en los reportes de abuso sexual infantil en Europa durante las primeras tres semanas en las que Facebook suspendió la detección.
La provisión de que las plataformas además puedan detectar el grooming, lo que añadía el escaneo de audio y textos, levantó inquietud por si esto pudiera abrir la puerta a la monitorización de otras comunicaciones.
La confidencialidad de las comunicaciones es una piedra angular de los derechos fundamentales, y está protegida por la Carta de los Derechos Fundamentales de la Unión Europea dentro de su artículo 7, sobre el respeto a la vida privada y familiar. Los reguladores de protección de datos advirtieron sobre el riesgo de infringir reglas de privacidad de la Unión Europea.
Las salvaguardas
En el informe que el Supervisor Europeo de Protección de Datos presentó sobre el tema [PDF], recuerda que aun las medidas voluntarias tomadas por compañías privadas constituyen una interferencia a esos derechos cuando incluyen el procesamiento de contenidos de las comunicaciones y datos personales, y propuso una serie de condiciones para que la derogación pudiera ser aplicable.
Para atender estas advertencias, los países europeos acordaron modificar la propuesta y añadir salvaguardas adicionales, incluyendo:
- la obligación de validar con los responsables de protección de datos el uso de las tecnologías que se utilicen para hacer el filtrado de las comunicaciones, con evaluación de impacto,
- la supervisión humana de los sistemas de inteligencia artificial,
- la tutela judicial y
- la delimitación específica a los casos de abuso sexual infantil y embaucamiento.
También dejaron fuera de la excepción a los mensajes de audio, e incluyen una mención de apoyo al cifrado de extremo a extremo. Estas salvaguardas promovieron la aprobación. La votación contó 537 diputados a favor, 133 en contra y 20 abstenciones. Aquí puedes leer el texto que se ha aprobado.
El Partido Pirata y Patrick Breyer
Entre quienes votaron en contra está el Partido Pirata, que apoda a esta medida Chatcontrol y denuncia lo que llaman “el fin de la correspondencia digital privada” con una campaña en redes, promoviendo cierta alarma. Algunos lectores nos han preguntado a través del buzón en Whatsapp y redes sociales si esto es verdad.
Hemos preguntado a Patrick Breyer, su representante y la cara visible de la campaña, si los proveedores de servicios como Gmail y Outlook han estado haciendo este escaneo masivo para detectar pornografía infantil sobre las comunicaciones en Europa fuera de la ley. Responde que sí, que esto es desconocido por el público general y que él mismo ha presentado una denuncia a la autoridad de protección de datos irlandesa. “Con el Código Europeo de Comunicaciones Electrónicas adoptado en diciembre de 2018 y que entró en vigor en diciembre de 2020, Chatcontrol estaba explícitamente prohibido”, explica vía email.
“Esta normativa colocaba a las comunicaciones no basadas en números públicos (non-number-based-electronic-comms), como mensajería y correo electrónico bajo la misma protección que las llamadas de teléfono, las cuales pueden ser interceptadas sólo bajo orden judicial. Los operadores no pueden escucharlas. Esto debería aplicar también a la mensajería instantánea y los servicios de email”, opina Breyer.
Cuando le preguntamos por la temporalidad de la medida, dice que “la Comisión Europea ha anunciado una nueva normativa que reemplazará a esta” y que establecerá la obligatoriedad de aplicar estos filtros a todos los proveedores de email y mensajería.
Breyer publica en su página un artículo que titula: “El Parlamento Europeo ha aprobado la vigilancia masiva de las comunicaciones privadas”. La frase no refleja algunas salvaguardas que sí aparecen en la resolución y que hemos consultado con expertos en derechos digitales y privacidad.
Cómo funciona el hashing: escanear sin ver
El nuevo texto reconoce la colaboración de proveedores de servicios de email y mensajería que utilizan voluntariamente tecnologías específicas para detectar la pornografía infantil y denunciarla a las autoridades. Estas plataformas escanean el contenido de forma masiva utilizando tecnologías de funciones de resumen (hashing), e inteligencia artificial para el análisis de texto o datos de tráfico.
El hashing es un tipo de tecnología diseñada precisamente, entre otras cosas, para no tener que «ver» el contenido como tal, sino simplemente detectarlo a través de una función matemática automática.
Explicado de forma simple, lo que este tipo de tecnología hace es convertir una imagen que previamente ha sido analizada y confirmada como de abuso sexual a menor en un número muy largo. Cada imagen de este tipo es convertida a un número único de forma que una misma imagen no puede dar como resultado dos números distintos; con esto conseguimos un listado de números muy largos que equivalen a fotografías de abusos sexuales a menores.
Cuando una persona envía una foto, el sistema escanea y convierte la foto en ese número muy largo, y si coincide con alguno que tenemos en la lista, nos encontramos con un «positivo», es decir, sin necesidad de que alguien vea la imagen se sabe qué contiene porque ya la teníamos fichada anteriormente en ese número largo. Samuel Parra es abogado experto en privacidad, y explica que estos sistemas están hechos a prueba de cambios de colores, volteados de imagen, y en 2021 están muy avanzados.
En 2019 sólo una docena de las compañías tecnológicas más grandes reportaban este tipo de contenido, pero durante el año pasado se han ido desarrollando nuevos sistemas. PhotoDNA, desarrollado por Microsoft es quizás el más conocido, aunque hay otros como Thorn Safer, un producto híbrido que combina escaneo de hashes con algoritmos de machine learning; Facebook PDQ, la herramienta in-house de Zuckerberg, Content Safety API, la inteligencia artificial de Google y el escáner de Cloudflare.
Este tipo de tecnología lleva en funcionamiento en servicios como Google o Microsoft cerca de 8 años, dice Jorge Morell Ramos, abogado especializado en términos y condiciones. Explica que los falsos positivos que arrojan “se mueven entre los cientos y los miles” y se consideran números bajos.
Los sesgos de la inteligencia artificial pueden ocasionar daños graves cuando tienen impacto directo en la vida de los ciudadanos. Carlos Almeida, abogado, explica que aunque los falsos positivos sean posibles y pocos, la misma resolución da la solución: “en la exposición de motivos encuentras que no puedes ser perseguido por esto si no hay control humano. Aunque los algoritmos digan que determinada persona está intentando embaucar a menores, antes de ir a por esa persona tiene que haber una decisión humana”.
Él mismo ha tenido varios casos en los que un falso positivo ha señalado a sus clientes. “Tuve un par de casos en los que se comprobó la fecha de creación, modificación y último acceso y no se había abierto el fichero. Había gente que había compartido material de pornografía adulta y se le mete por medio pornografía infantil. Por eso es fundamental que haya una decisión humana que analice todo el material incautado”.
Si esto ya sucede y es como está actuando la policía y los jueces españoles sin necesidad de esta normativa, ¿por qué la campaña y la alarma del Partido Pirata? Almeida cree que “es bueno que haya un partido que cada vez que surge un intento de control de la red ponga el grito en el cielo, es un tema de política. Pero si miras el texto de la norma está limitado al caso concreto de pornografía infantil”, zanja.
Qué pasa con el cifrado extremo a extremo
La excepción de la pornografía infantil no convence al Partido Pirata. “Chatcontrol es un abridor de puertas para romper el cifrado. La seguridad infantil se está usando para impulsar una agenda de vigilancia generalizada”, afirma Breyer en comunicación con Newtral.es.
Sin embargo otros expertos consideran que esto no tendría por qué afectar al cifrado extremo a extremo que protege nuestras conversaciones en aplicaciones como Whatsapp o Signal.
¿Cómo es compatible? Parra explica que en la regulación “simplemente se establece la habilitación para «escuchar» la comunicación entre el emisor y el receptor en busca de patrones concretos o hashes relacionados con abusos sexuales a menores, y en caso de encontrarlos reportarlos a las autoridades y/o suprimirlos”.
Lo que se imagina que implementarán en las aplicaciones que utilizan cifrado de extremo a extremo, (si lo hacen de forma voluntaria) será un filtrado aplicado de forma local en el dispositivo en el momento del cifrado al enviar o del descifrado al recibir. Luis F. Chiroque, ingeniero matemático experto en cifrado, confirma que esto es posible.
Esta es la teoría, explica Parra, “no pueden escuchar toda la comunicación sino solo que pase por un filtro o un escáner en busca de patrones concretos, ya sea si se envía imágenes en los que se muestren abusos sexuales a menores o mensajes en los que se esté produciendo un embaucamiento de menores. El Reglamento excluye expresamente el escaneo de comunicaciones de audio”, recuerda.
Los expertos coinciden en que mucho dependerá de cómo se desarrolle la nueva normativa y las legislaciones nacionales en torno a este tema, y de cómo la ciudadanía y los medios lo sigamos de cerca.
Fuentes
- Patrick Breyer, eurodiputado por el Partido Pirata
- Samuel Parra, abogado experto en privacidad
- Carlos Almeida, abogado y director legal de la Plataforma en Defensa de la Libertad de Información
- Luis F. Chiroque, ingeniero matemático experto en cifrado
- Uso de tecnologías para el tratamiento de datos con fines de lucha contra los abusos sexuales de menores en línea (excepción temporal a la Directiva 2002/58/CE)
- Debate Lunes 5 de julio de 2021 – Estrasburgo
- Directiva 2002/58/CE sobre la privacidad y las comunicaciones electrónicas [PDF]
- Código Europeo de Comunicaciones Electrónicas [PDF]
- Opinion 7/2020 on the Proposal for temporary derogations from Directive 2002/58/EC for the purpose of combatting child sexual abuse online, European Data Protector Supervisor [PDF]
- Five country statement on the temporary derogation to the ePrivacy Directive to combat child sexual exploitation and abuse
- Metadata-Based Detection of Child Sexual Abuse Material, por Mayana Pereira, Rahul Dodhia, and Richard Brown [PDF]
- Chatcontrol: European Parliament approves mass surveillance of private communications, Patrick Breyer
- Initiative: Fighting child sexual abuse: detection, removal and reporting of illegal content online – European Commission
