En los últimos días ha cogido fuerza el mensaje de que nuestras conversaciones y comunicaciones privadas “van a ser rastreadas” y que los gobiernos tendrán acceso “automático” a todas ellas. Todo surge al hilo de que el Parlamento Europeo haya aprobado un reglamento que permite a las plataformas (como lo son Twitter o Facebook) escanear nuestros mensajes privados en busca de posibles casos de abuso sexual a menores o pornografía infantil, es decir, de conductas ilegales. A raíz de ello nos habéis preguntado si este anuncio es cierto.
Sí, nuestras conversaciones pueden ser rastreadas, pero esto no es nuevo. Las redes sociales como Facebook, Instagram o TikTok ya tenían acceso a nuestras conversaciones antes de que esto se pusiera en marcha. Por otro lado, este reglamento es de aplicación temporal, a la espera de que se apruebe una normativa consensuada para cada estado miembro de la Unión Europea. La preocupación que hay en torno a este tema y la relación con nuestra privacidad es que puede ser un mal precedente para futuras normas.
Este reglamento deroga temporalmente otra norma fijada para proteger nuestras comunicaciones
Es importante saber de dónde viene esta norma. En diciembre de 2020 terminaba el plazo para que los países miembros adaptasen a su legislación una directiva europea aprobada en 2018: el Código Europeo de Comunicaciones Electrónicas.
El objetivo de este código es hacer que las comunicaciones privadas que mantenemos en grandes plataformas como Facebook Messenger, Twitter, TikTok o Instagram -que son proveedores de servicios digitales de comunicaciones que no dependen de numeración- estén más protegidas, de modo que no puedan leerse indiscriminadamente. Las comunicaciones que sí dependen de numeración, como cuando hablamos por teléfono o mandamos un SMS, ya cuentan con esta protección gracias a otra directiva de 2002, conocida como ePrivacy. Lo que busca el Código Europeo de Comunicaciones Electrónicas es que los mensajes o las llamadas que hagamos a través de estas nuevas plataformas también tengan esa protección.
“El Código lo que hace es extender la protección que se otorga a las comunicaciones de telecomunicaciones (servicios de numeración) a servicios que no son de numeración, pero también son de comunicaciones electrónicas”, explica a Maldita.es Rahul Uttamchandani, director jurídico de Legal Army.
“Al aprobarse, las plataformas ya no tenían una forma de acceder a la información y tratarla para detectar casos de abuso a menores o pornografía infantil, donde antes sí porque no tenía tanta protección la información. Se dieron cuenta de que les impedía acceder a estos contenidos para estas finalidades”, continúa.
Por eso, el pasado 6 de julio se aprobó el reglamento del que hablan los contenidos que circulan: es un texto que no hace falta transponer, sino que se aplica directamente y que hay que acatar. Suspende de forma temporal esa protección que otorgaba la ePrivacy hasta que los estados miembros encuentren una manera de adaptar el Código de Comunicaciones Electrónicas sin impedir la labor de detectar casos de abuso contra menores, como el grooming.
Plataformas como Facebook, Twitter o TikTok, ya tenían acceso antes a tus mensajes privados
¿Por qué hacía falta ese código? Bueno, la cuestión es que las redes sociales y los servicios con los que interactúas normalmente, ya sea Facebook, Twitter, Tinder o Gmail, ya incluían en sus políticas de privacidad que tienen acceso a las comunicaciones que hacemos a través de sus servicios. Y ahí también entran Messenger, la aplicación de mensajería de Facebook, los mensajes directos de Twitter o los de TikTok.
La detección de este tipo de delitos es una práctica que todas estas plataformas ya venían haciendo tiempo atrás y la entrada en vigor del Código de Comunicaciones Electrónicas buscaba poner límites a ese análisis de nuestras comunicaciones. Es decir, que se hiciera con una base legal sólida.
Así lo dice el texto del propio reglamento: “Algunos proveedores (...) ya utilizan de forma voluntaria tecnologías específicas con el fin de detectar el abuso sexual de menores en línea cometido en sus servicios y denunciarlo a las autoridades policiales y a las organizaciones que actúan en interés público contra los abusos sexuales de menores, escaneando el contenido, incluidas imágenes y texto, o los datos de tráfico de las comunicaciones, mediante el uso, en algunos casos, de datos históricos”.
“Ahora, la forma en la que se plantea el reglamento es que las plataformas puedan colaborar voluntariamente. Que puedan utilizar tecnologías, que deben ser lo menos invasivas posibles, que debe haber por detrás la posibilidad de que un ser humano valide si hay un caso de abuso a menores y establece el deber de colaboración con autoridades de protección de datos y también con el Supervisor Europeo de Protección de Datos”, señala Uttamchandani.
Las plataformas con cifrado de extremo a extremo, como WhatsApp o Signal, en principio quedarían fuera
Lo que ocurre con una plataforma que cifra nuestras comunicaciones de extremo a extremo es que solo pueden leerlas o acceder a ellas la persona que envía un mensaje y la persona que lo recibe. De ese modo, aunque ese mensaje se interceptara en algún punto entre el proceso en el que se envía de un dispositivo y llega a otro, no sería legible.
Es por eso que, en principio, este reglamento no podría afectar sustancialmente a ese tipo de comunicaciones a menos que se incorporaran tecnologías capaces de interceptar esos mensajes en el único punto en el que son legibles: o en el momento de envío o de recepción.
“Si se hace obligatorio, aunque el cifrado de extremo a extremo puede no ser vulnerado, lo que pueden hacer esas plataformas es implantar sistemas que los permitan detectarlo de forma local: antes de iniciar el cifrado para enviar el mensaje al otro extremo, sí podrían detectarlo con una implementación tecnológica”, expone Uttamchandani.
Por el momento, no parece que esa sea la intención, según el texto: “El cifrado de extremo a extremo es un instrumento importante para garantizar la seguridad y la confidencialidad de las comunicaciones de los usuarios, incluidas las de los menores. Todo debilitamiento del cifrado puede ser aprovechado por terceros malintencionados. Por tanto, ninguna disposición del presente Reglamento debe interpretarse en el sentido de que prohíbe o debilita el cifrado de extremo a extremo”.
Los gobiernos no van a tener acceso a nuestras comunicaciones de forma “automática”
En el vídeo de TikTok por el que nos habéis preguntado se dice que con esta norma el Gobierno va a tener acceso a nuestras conversaciones “de forma automática”. Sin embargo, esto no es algo que se mencione en el reglamento. Lo que dice es que los proveedores de servicios, como venían haciendo hasta la entrada en vigor del código, podrán colaborar para detectar este tipo de delitos analizando los mensajes o los archivos que enviamos.
“El Gobierno como poder ejecutivo no debería poder tener acceso. El acceso se puede producir conforme a las normas de cada estado miembro en el ámbito penal, con una orden judicial se podría acceder pero no de forma automática, siempre en supuestos tasados y siguiendo las normas procesales de los miembros de la UE”, relata Uttamchandani.
La preocupación en torno a nuestra privacidad es que esta norma siente un precedente para futuras leyes
“La preocupación en general está en que esta norma, que es de ámbito temporal limitado (se han dado tres años a los estados miembros para sacar una nueva norma), ya no sea de aplicación voluntaria sino obligatoria”, expone Uttamchandani.
De este modo, las plataformas estarían constantemente analizando la información que enviamos en busca de patrones con los que obtener conclusiones específicas.
“Este reglamento sienta un mal precedente para las comunicaciones privadas y hace pensar que podría empeorar en la legislación que se proponga a largo plazo”, afirman desde EDRi, una de las mayores redes en defensa de los derechos digitales de Europa. Un ejemplo es que en vez de limitar esta norma a la detección de casos de abusos infantiles, se legitimase analizar los mensajes para otros supuestos, como buscar casos de terrorismo o simplemente como prevención de la "seguridad nacional". Cuantas más excepciones se incluyan, más contenido debe analizarse de forma constante.
Lo que dice el texto es lo siguiente: “Dichas tecnologías no deben emplearse para filtrar y escanear sistemáticamente el texto de las comunicaciones, salvo con el fin de detectar pautas que apunten a posibles razones concretas para sospechar de abuso sexual de menores en línea, y no deben poder deducir la sustancia del contenido de las comunicaciones”.
Sin embargo, como apuntan desde otras organizaciones dedicadas a la dedicadas a la defensa de la privacidad de los usuarios como Access Now o noyb, una vez aplicada la norma ya se cuenta con el precedente para implementar otras con un objetivo similar, pero aplicadas a otro tipo de delitos, con el riesgo de que la lista crezca demasiado.