El impulso de la seguridad infantil de la UE se detiene a medida que expira la derogación de ePrivacy, la aplicación de verificación de edad es hackeada y el Reglamento de CSA está atascado en el trilogo.

      Resumen: El esfuerzo de Europa por proteger a los niños en línea se ha encontrado con su propia arquitectura de privacidad. La derogación de ePrivacy que permitía el escaneo voluntario de material de abuso sexual infantil (CSAM) expiró el 3 de abril después de que el Parlamento votara 311-228 para rechazar su extensión, la nueva aplicación de verificación de edad de la UE anunciada el 15 de abril fue hackeada en menos de dos minutos, y el Reglamento CSA (“Control de Chats”) sigue estancado en trilogo con una fecha límite en julio. El Tribunal Europeo de Derechos Humanos (ECHR) ha dictaminado que las puertas traseras de cifrado violan derechos fundamentales, mientras que el GDPR, DSA y el propuesto Reglamento CSA requieren saber si un usuario es un niño, lo que a su vez requiere recopilar los datos que la ley de privacidad dice que no se pueden recopilar sobre los niños.

      El 3 de abril, el Parlamento Europeo votó 311 a 228 para dejar expirar su derogación temporal de ePrivacy. Esa derogación había permitido a plataformas como Meta, Google y Microsoft escanear voluntariamente mensajes privados en busca de material de abuso sexual infantil sin violar la ley de privacidad de la UE. Cuando expiró, la base legal para esos escaneos desapareció. Doce días después, la Comisión Europea anunció una nueva aplicación de verificación de edad que preserva la privacidad, diseñada para proteger a los niños en línea. Los investigadores la hackearon en menos de dos minutos. Entre la ley expirada y la aplicación rota se encuentra todo el problema: Europa quiere proteger a los niños de la explotación en línea, pero cada herramienta que construye para hacerlo choca con la arquitectura de privacidad que pasó una década construyendo. El resultado es un sistema regulatorio en guerra consigo mismo, donde los mecanismos necesarios para encontrar a los niños abusados requieren recopilar exactamente los datos que la ley de la UE dice que no se pueden recopilar sobre los niños.

      La brecha de escaneo

      La derogación de ePrivacy se introdujo en 2021 como una solución temporal. La Comisión Europea había propuesto el Reglamento sobre el Abuso Sexual Infantil, conocido formalmente como el Reglamento CSA e informalmente como Control de Chats, que obligaría a las plataformas a detectar e informar sobre CSAM en mensajes privados, incluidos los cifrados de extremo a extremo. Se suponía que el reglamento reemplazaría el marco voluntario en tres años. No lo hizo. Las negociaciones en trilogo entre el Parlamento, el Consejo y la Comisión se han prolongado desde 2022, con la próxima reunión programada para el 4 de mayo y un objetivo de alcanzar un acuerdo político para julio. Mientras tanto, la derogación expiró. El Centro Nacional para Niños Desaparecidos y Explotados en los Estados Unidos, que procesa la mayoría de los informes globales de CSAM, advirtió que la expiración causaría una caída medible en las referencias de plataformas europeas. Meta confirmó que había pausado el escaneo voluntario en la UE. La posición del Parlamento es que la derogación era incompatible con el derecho fundamental a la privacidad de las comunicaciones. La posición de las organizaciones de seguridad infantil es que el Parlamento acaba de legalizar que las plataformas ignoren el material de abuso que se encuentra en sus sistemas.

      El Reglamento CSA, tal como fue propuesto por la Comisión, requeriría que las plataformas usaran órdenes de detección emitidas por un nuevo Centro de la UE para escanear mensajes en busca de CSAM conocido, nuevo CSAM y comportamientos de acoso. El Parlamento eliminó los elementos más controvertidos: rechazó el escaneo de mensajes cifrados de extremo a extremo, limitó la detección a material conocido utilizando tecnología de coincidencia de hash y excluyó las comunicaciones en tiempo real. El Consejo, liderado por una presidencia rotativa que ha presionado más por el acceso de las fuerzas del orden, quiere poderes de escaneo más amplios, incluidos los materiales desconocidos y el acoso. La distancia entre las dos posiciones no es un detalle que se pueda negociar. Es un desacuerdo fundamental sobre si las comunicaciones privadas pueden ser monitoreadas sistemáticamente para proteger a los niños, y el Tribunal Europeo de Derechos Humanos ya ha indicado cuál es su posición.

      La pared del cifrado

      En febrero, el ECHR dictaminó en Podchasov v. Rusia que exigir a las plataformas debilitar o crear puertas traseras en el cifrado de extremo a extremo viola el Artículo 8 de la Convención Europea de Derechos Humanos, el derecho al respeto por la vida privada y la correspondencia. La sentencia se dirigió a una ley rusa que obligaba a los servicios de mensajería a proporcionar claves de descifrado al FSB, pero su lógica se aplica directamente a las órdenes de detección propuestas en el Reglamento CSA. Si una plataforma no puede escanear mensajes cifrados sin debilitar el cifrado, y debilitar el cifrado viola derechos fundamentales, entonces el reglamento no puede exigir lo que sus autores pretendían que exigiera. La presidenta de Signal, Meredith Whittaker, dijo que la organización dejaría la UE en lugar de cumplir con cualquier ley que requiriera comprometer su protocolo de cifrado. Apple desactivó su función de Protección de Datos Avanzada para usuarios en el Reino Unido después de que el gobierno británico emitiera un aviso de capacidad técnica bajo la Ley de Poderes de Investigación exigiendo acceso a iCloud. El debate sobre el cifrado ya no es teórico. Las empresas ya están tomando decisiones jurisdiccionales basadas en dónde los gobiernos exigen acceso a las comunicaciones privadas.

      La Junta Europea de Protección de Datos y el Supervisor Europeo de Protección de Datos han emitido opiniones advirtiendo que el Reglamento CSA tal como fue redactado por la Comisión sería desproporcionado e incompatible con los derechos fundamentales de la UE. El EDPS específicamente señaló que el escaneo del lado del cliente, la técnica propuesta como alternativa a romper el cifrado escaneando el contenido en el dispositivo antes de que sea cifrado, sigue constituyendo vigilancia masiva porque procesa cada mensaje para identificar los ilegales. La distinción entre escanear antes del cifrado y escanear después del cifrado es técnicamente significativa pero legalmente irrelevante si el resultado es que cada mensaje privado es analizado por un sistema automatizado. La posición de negociación del Parlamento refleja este análisis. La del Consejo no.

      La paradoja de la verificación de edad

      Mientras el Reglamento CSA se estanca, los estados miembros individuales han avanzado con restricciones basadas en la edad. Francia prohíbe a los niños menores de 15 años acceder a las redes sociales sin el consentimiento de los padres. España ha establecido el umbral en 16. Grecia prohibirá las redes sociales para menores de 15 años a partir de 2027. El umbral de Austria es 14. Noruega planea prohibir las redes sociales para menores de 16 años y está desarrollando un sistema nacional de verificación de edad para hacer cumplir esto. El impulso acelerado de Europa por límites de edad en las redes sociales ha producido un mosaico de leyes nacionales sin un mecanismo común de aplicación, que es precisamente el problema que la aplicación de verificación de edad de la UE se suponía que iba a resolver.

      La aplicación de la Comisión, anunciada el 15 de abril, fue diseñada para verificar la edad de un usuario sin revelar su identidad a la plataforma, un sistema de prueba de cero conocimiento que confirmaría que alguien está por encima de un umbral de edad dado sin transmitir su fecha de nacimiento, nombre o cualquier otro dato personal. Se presentó como la solución técnica a la paradoja de verificar la edad sin recopilar datos de edad. Investigadores de seguridad demostraron en menos de dos minutos después de su lanzamiento que el proceso de verificación de la aplicación podía ser eludido, socavando la credibilidad de la única herramienta que la Comisión había ofrecido como prueba de que la aplicación de la seguridad infantil que preserva la privacidad era técnicamente factible. La nueva aplicación de verificación de edad que preserva la privacidad de la UE estaba destinada a demostrar que el compromiso entre la protección infantil y la minimización de datos podría resolverse a través de la ingeniería. Su fracaso inmediato demostró lo contrario.

      La colisión legal

      La Ley de Servicios Digitales, que entrará en plena aplicación en 2024, requiere que las plataformas evalúen y mitiguen los riesgos sistémicos para los menores bajo el Artículo 28, incluida la exposición a contenido dañino, la manipulación a través del diseño de la interfaz y el procesamiento de datos personales de maneras que exploten las vulnerabilidades de los niños. Las directrices del DSA instruyen a las plataformas a implementar protecciones apropiadas para la edad, pero no especifican cómo las plataformas deben determinar la edad de un usuario. El GDPR establece la edad de consentimiento digital en 16 años, permitiendo a los estados miembros reducirla a 13, y requiere el consentimiento parental para procesar datos de niños por debajo de ese umbral. Las multas del GDPR apuntan cada vez más a violaciones de datos infantiles, con reguladores de toda Europa tratando la privacidad de los niños como una prioridad de aplicación. Pero para hacer cumplir las protecciones específicas por edad, las plataformas deben primero determinar quién es un niño, y determinar quién es un niño requiere recopilar o inferir datos personales sobre cada usuario, incluidos los adultos que tienen derecho a no ser verificados por edad.