Carta abierta pidiendo a los Estados miembros de la UE que defiendan la encriptación

A punto de comenzar el diálogo a tres bandas, los Estados miembros de la UE deben decidir de qué lado están: de la privacidad o de la vigilancia.

Encryption in the EU must be defended to protect the privacy of people and businesses alike.

Año nuevo, debate viejo: Este año la UE iniciará el debate a tres bandas sobre el Reglamento de la Comisión Europea contra el abuso sexual infantil (CSAR), que propone escanear todos los mensajes de los ciudadanos de la UE en busca de material de abuso. El año pasado, el Parlamento de la UE ya se posicionó en contra de dicho escaneado por parte del cliente, lo que supuso un gran éxito para los defensores de la privacidad en Europa. Ahora es el momento de que los Estados miembros de la UE se posicionen en esta batalla de la privacidad contra la vigilancia. Nosotros, una coalición de empresas europeas que dan prioridad a la privacidad, pedimos a nuestros ministros que defiendan el derecho a la privacidad de los ciudadanos y una encriptación fuerte.


El año pasado nos emocionó ver el histórico acuerdo del Parlamento de la UE contra la vigilancia por control de chat. Nos gustaría aplaudir al Parlamento de la UE por su decisión de defender el derecho a la intimidad de las personas y mantener una encriptación fuerte en Europa. En su decisión, el Parlamento de la UE siguió el consejo de 300 científicos y expertos en criptografía y del Servicio de Investigación del Parlamento Europeo (EPRS) que criticaron duramente el control del chat por sus amplios poderes de vigilancia que destruirían el derecho a la privacidad en línea, además de dañar la libertad de expresión y socavar así nuestros valores democráticos.

Mientras el mundo se enfrenta a más tendencias de vigilancia que nunca -como puede verse en el proyecto de ley de seguridad en línea en el Reino Unido, la legislación australiana sobre vigilancia y la reforma de la FISA en Estados Unidos-, la Unión Europea tiene ahora la oportunidad única de convertirse en el faro de esperanza para la libertad de expresión y la democracia.

Con el Reglamento General de Protección de Datos (RGPD), la UE ha establecido un estándar muy alto para la protección de datos y la privacidad en la UE. Ahora es importante mantener este alto nivel de privacidad defendiendo un cifrado fuerte para que los ciudadanos y las empresas de la UE puedan seguir disfrutando de la privacidad y la confidencialidad en línea al nivel más alto posible.

Carta abierta a los Estados miembros de la UE sobre la propuesta de Reglamento CSA

Estimados Ministros de Interior, Justicia y Economía de los Estados miembros de la UE,

Nos dirigimos a ustedes como pequeñas y medianas empresas y organizaciones de Europa, preocupadas por la propuesta de Reglamento sobre Abuso Sexual Infantil (ASI). Colectivamente, les pedimos que garanticen que la posición de su país en este expediente se acerque lo más posible a la del Parlamento Europeo (PE). Todos estamos de acuerdo en que garantizar la seguridad de los niños en Internet es uno de los deberes más importantes de las empresas tecnológicas y, por este motivo, la propuesta de Reglamento de la Comisión Europea nos parece extremadamente preocupante. Si se aplicara tal como se propone, tendría un impacto negativo en la privacidad y la seguridad de los niños en línea, al tiempo que tendría consecuencias dramáticas imprevistas en el panorama de la ciberseguridad de la UE, además de crear una carga administrativa ineficaz. El Parlamento Europeo ha adoptado recientemente su posición sobre el expediente, reconociendo que las tecnologías de escaneado no son compatibles con el objetivo de disponer de comunicaciones confidenciales y seguras. Por ello, los cambios cruciales que presenta para la propuesta reflejan las opiniones del Supervisor Europeo de Protección de Datos (SEPD), de los servicios jurídicos del Consejo, así como de innumerables expertos en criptografía y ciberseguridad. También refleja la opinión de entre el 63% y el 69% de las empresas, autoridades públicas, ONG y ciudadanos consultados por la Comisión Europea en su evaluación de impacto. Como pequeñas y medianas empresas y organizaciones tecnológicas, compartimos sus preocupaciones, ya que sabemos que buscar contenidos específicos -como texto, fotos y vídeos- en una comunicación cifrada de extremo a extremo requeriría la implementación de una puerta trasera, o de una tecnología similar llamada “escaneo del lado del cliente”. Incluso si este mecanismo se crea con el propósito de luchar contra la delincuencia en línea, también sería utilizado rápidamente por los propios delincuentes, poniendo a los ciudadanos y a las empresas en mayor riesgo en línea al crear vulnerabilidades para todos los usuarios por igual.

La protección de datos es una gran ventaja competitiva

Como empresas tecnológicas que operan en la Unión Europea, hemos creado productos y servicios en consonancia con el sólido marco de protección de datos de la UE, que sigue sirviendo de ejemplo e inspiración en todo el mundo. El RGPD ha permitido la creación en Europa de empresas tecnológicas éticas que dan prioridad a la privacidad y que, de otro modo, nunca habrían podido competir con las grandes tecnológicas. Dio a las empresas europeas una fuerte ventaja competitiva en ese campo a escala internacional y permitió a los consumidores poder encontrar por fin alternativas a los servicios estadounidenses y chinos. Nuestros usuarios, tanto dentro como fuera de la UE, han llegado a confiar en nuestro compromiso de salvaguardar sus datos y esta confianza es un motor clave de nuestra competitividad. La curva de aprendizaje para adaptarse a la necesaria carga administrativa que conlleva el RGPD fue elevada, pero mereció la pena. Sin embargo, el Reglamento CSA podría amenazar este punto de venta único de las empresas europeas de TI y también añadiría una nueva carga administrativa que tememos podría abrumar tanto a nuestras empresas como a los organismos encargados de hacer cumplir la ley. Teniendo en cuenta el volumen de comunicaciones y contenidos que transitan por nuestros servicios, incluso una tasa de error insignificante de las tecnologías aplicadas para buscar material abusivo daría lugar a millones de falsos positivos que habría que revisar manualmente cada día.

El Reglamento CSA podría erosionar la confianza y la seguridad en línea

En un mundo en el que las violaciones de datos y los escándalos relacionados con la privacidad son cada vez más frecuentes, la reputación de la UE en materia de protección rigurosa de datos es un argumento de venta único para las empresas que operan dentro de sus fronteras. Nos proporciona una ventaja competitiva al garantizar a nuestros clientes que su información se maneja con el máximo cuidado e integridad. Esta confianza, una vez erosionada, es difícil de reconstruir, y cualquier medida que la comprometa, como el escaneado obligatorio o la verificación obligatoria de la edad, puede perjudicar a empresas grandes y pequeñas. Además, la UE ha adoptado recientemente el Reglamento 2023/2841, que obliga a las instituciones y organismos de la UE a considerar el uso del cifrado de extremo a extremo entre sus medidas de gestión de riesgos de ciberseguridad. También hay múltiples propuestas “cibernéticas” de la UE actualmente sobre la mesa, como la Ley de Ciberresiliencia y la Ley de Ciberseguridad. Apoyar un enfoque opuesto para el Reglamento CSA no haría sino socavar el marco de ciberseguridad de la UE, creando un nuevo conjunto de medidas contradictorio, incoherente e ineficiente que las empresas no podrían aplicar sin poner en peligro a ciudadanos y empresas.

La propuesta del Parlamento Europeo va en la dirección correcta

Por lo tanto, aplaudimos al Parlamento Europeo por su postura decidida en la defensa del derecho de los ciudadanos europeos a la privacidad y a una comunicación segura. El compromiso del Parlamento Europeo con estos principios no sólo es un testimonio de su dedicación a los derechos humanos, sino también un faro de esperanza para empresas como la nuestra que priorizan la protección de datos y la seguridad. La posición del Parlamento incluye alternativas al escaneado que tienen un impacto mínimo en la ciberseguridad y la protección de datos, y que según los expertos serían más eficaces y eficientes que el escaneado obligatorio. Estos cambios de paradigma supondrían ir más allá de la falsa dicotomía entre privacidad y seguridad, haciendo además que la propuesta respete el principio de proporcionalidad, tal y como solicitó el Consejo de Control Reglamentario. Aunque no nos parezcan perfectos, los cambios introducidos por el Parlamento Europeo en su posición son un buen compromiso para mantener la seguridad y la confidencialidad digitales y proteger mejor a los menores en línea. Creemos que estos cambios logran el equilibrio adecuado entre la protección de la infancia y la salvaguarda de la privacidad y la ciberseguridad.

Como representantes de la vibrante comunidad de pequeñas empresas europeas, animamos a los Estados miembros de la UE a seguir defendiendo los valores de la privacidad, la ciberseguridad y la protección de datos. Estos principios no sólo se alinean con el compromiso de la UE con los derechos humanos, sino que también sirven de base para un entorno empresarial próspero y competitivo. Defendamos y reforcemos estos principios, garantizando que la UE siga siendo defensora de la privacidad en el mercado mundial.

Por estas razones le pedimos que

  • Garantizar que la posición del Consejo se ajuste lo más posible a la del Parlamento Europeo. Esto permitirá una adopción más rápida del Reglamento, aprovechando al mismo tiempo el importante trabajo del Parlamento Europeo.
  • Mantener el alto nivel de derechos fundamentales -y en particular de protección de datos- de que disfrutan los ciudadanos en la Unión Europea.
  • Abstenerse de obligar a empresas como la nuestra a llevar a cabo una vigilancia masiva de la correspondencia privada en nombre de las fuerzas de seguridad.
  • Garantizar un alto nivel de ciberseguridad en la UE protegiendo el cifrado de extremo a extremo y aportando las salvaguardias necesarias en el texto. En particular, no deben imponerse el escaneo del lado del cliente ni las puertas traseras.
  • Preservar la confidencialidad de la correspondencia.
  • Minimizar la carga administrativa de la propuesta haciéndola más efectiva y eficiente, mediante alternativas al escaneo masivo.

Firmado:

Blacknight Solutions

Cyberstorm

Elemento

Puerta 15

Mailfence

Mail.de GmbH

Olvid

One Privacy

Parsec

Protón

Seezam

Surfshark

Cubierta de telemetría

Threema

Tresorit

Tuta

Asociaciones profesionales y simpatizantes

ACT | The App Association

Defender la democracia

Cifrado Europa

ISOC-CAT

Consejo de Privacidad y Acceso de Canadá

STUDIO LEGALE FABIANO