Documento filtrado sobre el "control del chat": ¿Luchará Alemania por la privacidad?

El gobierno alemán ha planteado duras preguntas a la Comisión Europea sobre su proyecto de ley de vigilancia.

Will Germany take on the fight for privacy for all Europeans?

Desde el otoño de 2021, Alemania tiene un nuevo gobierno, y este nuevo gobierno ha acordado en su documento de coalición que todos los ciudadanos tienen "derecho a la codificación". Ahora, el gobierno alemán ha planteado a la Comisión de la UE preguntas muy difíciles en relación con los planes de la Comisión de introducir medidas generales de vigilancia para luchar contra la distribución de material de abuso sexual infantil y la captación de menores en línea. ¿Significa esto que Alemania se toma en serio el derecho de todos a la codificación?


Duras cuestiones planteadas

El proyecto de reglamento de la Comisión Europea sobre la prevención y la lucha contra los abusos a menores es un ataque frontal a los derechos civiles. En su proyecto de ley, la Comisión de la UE describe uno de los aparatos de vigilancia masiva más sofisticados jamás desplegados fuera de China: El escaneo de CSAM (material de abuso sexual infantil) en los dispositivos de todo el mundo.

El gobierno alemán, sin embargo, ha acordado en su documento de coalición que todos los ciudadanos tienen “derecho a la codificación”, lo que obviamente se vería socavado si el proyecto de la Comisión de la UE se convierte en ley.

En una declaración interna filtrada a la Comisión de la UE, el gobierno alemán exige que el proyecto de ley se ajuste a “las normas constitucionales de protección de las comunicaciones privadas y confidenciales”. La declaración se posiciona en contra de “la vigilancia general y las medidas de exploración de las comunicaciones privadas”.

Según la filtración, el gobierno alemán formula 61 preguntas, que en parte son muy duras y plantearán serios problemas a la Comisión de la UE para responder.

Por ejemplo, el gobierno alemán pregunta explícitamente si la referencia a la importancia de la encriptación de extremo a extremo en el texto también significa que esta encriptación no debe ser socavada al detectar imágenes de violencia sexual. Además, el Gobierno alemán pregunta cómo es compatible el proyecto de ley con determinadas disposiciones del Reglamento General de Protección de Datos (RGPD) o si el software puede construirse de manera que pueda distinguir entre los niños en situaciones no abusivas (por ejemplo, en la playa) y los que se encuentran en situaciones abusivas.

Otra cuestión importante es la relativa a la seguridad de todos los ciudadanos europeos: El gobierno alemán se pregunta cómo la ley podría determinar si la tecnología no se utilizará de forma indebida y cómo determinará el uso indebido.

¿Qué responderá la Comisión?

En definitiva, el gobierno alemán formula preguntas críticas que sacan a la luz todos los puntos débiles del proyecto de ley de la Comisión Europea: La vigilancia generalizada y masiva que propone el proyecto de ley debilitará la seguridad de los ciudadanos y las empresas europeas, y socavará el derecho a la privacidad.

Es de esperar que la Comisión de la UE sólo sea capaz de responder a estas preguntas de forma insatisfactoria. La abundancia y la profundidad de las preguntas del gobierno alemán, así como las violaciones masivas de los derechos fundamentales por parte de la ley propuesta, hacen casi imposible responder de manera que los expertos en protección de datos queden satisfechos.

Lucha por la privacidad

La pregunta que hay que hacerse ahora es: ¿cómo reaccionará el gobierno alemán cuando reciba las respuestas no tan satisfactorias? ¿Impulsarán el “derecho a la codificación”, como se afirma en el documento de la coalición? ¿Defenderán el derecho a la privacidad de todos los ciudadanos europeos?

Aunque las preguntas filtradas son una muy buena señal, no debemos sentarnos a esperar cómo evolucionan las cosas.

Por el contrario, tenemos que actuar ahora y decir a los políticos que nuestro derecho a la privacidad es importante.

  1. **Si vives en Alemania, firma la petición de Campact**para luchar contra el proyecto de la Comisión Europea que llevaría a una vigilancia masiva sin precedentes en Europa.
  2. **Si vives en Austria, firma la petición de #aufstehn**para luchar contra el proyecto de la Comisión Europea que llevaría a una vigilancia masiva sin precedentes en Europa.
  3. **Expresa tu opinión**a la Comisión Europea y comparte tus preocupaciones con este proyecto de ley.
  4. **Consulta aquí**cómo puedes unirte a la protesta, así como llamar y enviar un correo electrónico a tus representantes.

¡Juntos debemos luchar contra la vigilancia masiva!


Documento filtrado

Fecha: 10.06.2022 De: Gobierno alemán Documento: 206/2022

Preguntas alemanas sobre la propuesta de reglamento del Parlamento Europeo y del Consejo por el que se establecen normas para prevenir y combatir los abusos sexuales contra los niños (COM)

GER agradece a la COM la iniciativa y se congratula del esfuerzo de la COM por prevenir y combatir los abusos sexuales a menores. Este es también un objetivo del tratado de coalición. El proyecto de reglamento CSA es un paso importante para luchar contra el abuso sexual infantil en el espacio digital a nivel europeo y lograr una mejor protección de los niños.

Una legislación común que incluya la evaluación de riesgos, la mitigación de riesgos, la notificación de riesgos, una base jurídica clara y un nuevo Centro Europeo pueden ayudar a reforzar la prevención y la persecución del abuso sexual infantil en toda la UE, al tiempo que se reconocen las estructuras existentes de los servicios de notificación de contenidos.

La confidencialidad de las comunicaciones es un activo importante en nuestras sociedades liberales que debe ser protegido. Basándose en la Carta de Derechos Fundamentales, toda persona tiene derecho a que se respete su vida privada y familiar, su domicilio y sus comunicaciones. Todas las medidas reguladoras deben ser proporcionadas, no deben ir más allá de lo necesario para prevenir el abuso sexual infantil en el espacio digital, y deben equilibrar eficazmente los intereses contrapuestos de proteger a los niños de los abusos, por un lado, y de proteger la privacidad, por otro.

El GER contribuirá a encontrar formas claras, apropiadas y permanentes de medidas que ayuden a reforzar la prevención y la persecución del abuso sexual infantil en toda la UE. Según el tratado de coalición del GER, el secreto de las comunicaciones, un alto nivel de protección de datos, un alto nivel de ciberseguridad así como la encriptación universal de extremo a extremo son esenciales para el GER. El tratado de coalición del GER se opone a las medidas de vigilancia general y a las medidas de escaneo de las comunicaciones privadas. El GER está revisando el proyecto de propuesta a la luz del tratado de coalición. Para el GER es importante que la normativa que lucha y previene la difusión de material de abuso sexual infantil esté en consonancia con nuestras normas constitucionales de protección de las comunicaciones privadas y confidenciales.

En cuanto a la creación de un Centro de la UE, la estrategia de la UE tenía en mente un enfoque bastante amplio que abordaba tanto la prevención en línea como fuera de ella. La propuesta actual parece apoyar principalmente las actividades de aplicación de la ley, mientras que no tiene un mandato explícito para las medidas de prevención fuera de línea. Desde nuestro punto de vista, el Centro de la UE debería ser además un centro de medidas de sensibilización y de apoyo a las redes (incluidas las redes de supervivientes de abusos sexuales a menores). Estamos convencidos de que el Centro de la UE debería centrarse en particular en la prevención del abuso sexual infantil en línea. Sin embargo, dentro de su ámbito de competencia, también debería centrarse en el abuso sexual infantil fuera de línea, cuando los delitos en línea están asociados a la violencia fuera de línea. Además, el GER aconseja implementar una estructura equitativa de participación activa de los afectados por el ASC desde el principio en el diseño del Centro de la UE. El Centro de la UE tiene como objetivo proporcionar apoyo a los afectados por el ASC. Sin embargo, la propuesta actual no proporciona información sobre la participación de los afectados por el ASC en el Centro de la UE.

A pesar de estos comentarios de fondo, seguimos examinando la actual propuesta de creación del Centro de la UE como agencia independiente.

Nuestra reserva de examen incluye también, aunque no sólo, el diseño organizativo de un nuevo Centro Europeo, el artículo 4 y, en términos muy generales, el equilibrio entre los derechos fundamentales, especialmente en lo que respecta a la confidencialidad de las comunicaciones y el cifrado de extremo a extremo.

El GER acogería con gran satisfacción la posibilidad de celebrar talleres técnicos de expertos junto con el LEWP. Los talleres técnicos darían a los Estados miembros la oportunidad de aprender más sobre las tecnologías en juego en relación con las órdenes de detección y ayudarían a mejorar un entendimiento común dentro de los Estados miembros.

Estamos revisando intensamente el proyecto de reglamento y seguiremos comentándolo. En este momento, el GER tiene numerosas preguntas. Nos gustaría agradecer a la Presidencia y a la COM la oportunidad de transmitir nuestras preguntas y observaciones iniciales.

El GER tiene la amabilidad de pedir aclaraciones sobre las siguientes cuestiones. En este momento, la prioridad del GER reside en las siguientes preguntas:

  1. ¿Cómo apoya el CSA de la UE la prevención del abuso sexual infantil fuera de línea? Además del derecho a la información y la supresión del CSAM, ¿qué medidas de apoyo están previstas para las víctimas y los supervivientes de los abusos sexuales a menores?
  2. ¿Podría la OCM dar ejemplos de posibles medidas de mitigación en relación con la difusión de CSAM, así como con la captación de menores, que sean adecuadas para evitar una orden de detección?
  3. ¿Podría la OCM explicar cómo se diseñará la verificación de la edad por parte de los proveedores respectivamente de App Stores? ¿Qué tipo de información debe proporcionar el usuario? En lo que respecta al grooming, su propuesta se refiere específicamente a la comunicación con un usuario menor de edad. ¿La identificación de un usuario menor de edad se realizará únicamente mediante la verificación de la edad? Si se ha detectado un riesgo, ¿estarán los proveedores obligados a implantar el registro de usuarios y la verificación de la edad? ¿Habrá también una verificación para identificar a los usuarios adultos que hagan un mal uso de las aplicaciones diseñadas para niños?
  4. ¿Comparte la COM la opinión de que el considerando 26, que indica que el uso de la tecnología de cifrado de extremo a extremo es una herramienta importante para garantizar la seguridad y la confidencialidad de las comunicaciones de los usuarios, significa que las tecnologías utilizadas para detectar el abuso de menores no deben socavar el cifrado de extremo a extremo?
  5. ¿Podría la OCM describir en detalle la tecnología que no rompe el cifrado de extremo a extremo, protege el equipo terminal y aún así puede detectar el CSAM? ¿Existen límites técnicos o legales (actuales o futuros) para el uso de tecnologías para detectar el abuso sexual infantil en línea?
  6. ¿Qué tipo de medidas (tecnológicas) considera la COM necesarias para los proveedores de servicios de alojamiento y los proveedores de comunicación interpersonal en el curso de la evaluación de riesgos? Especialmente, ¿cómo puede un proveedor realizar una evaluación de riesgos sin aplicar la tecnología mencionada en los artículos 7 y 10? ¿Cómo pueden estos proveedores cumplir la obligación si su servicio está cifrado de extremo a extremo?
  7. ¿Qué grado de madurez tienen las tecnologías más avanzadas para evitar los falsos positivos? ¿Qué proporción de falsos positivos cabe esperar cuando se utilizan tecnologías para detectar la captación de clientes? Para reducir los falsos positivos, ¿considera la COM necesario estipular que los aciertos sólo se revelen si el método cumple ciertos parámetros (por ejemplo, una probabilidad de acierto del 99,9% de que el contenido en cuestión sea apropiado)?
  8. ¿Establece la propuesta una base jurídica para el tratamiento de los datos personales de los proveedores en el contexto de una orden de detección en el sentido del artículo 6 del RGPD? ¿Establece la propuesta una base jurídica para el tratamiento de datos personales para el Centro de la UE en el contexto de una orden de detección en el sentido del Reglamento 2018/1725?

Además, nos gustaría plantear ya las siguientes preguntas:

Evaluación de riesgos y mitigación de riesgos:

  1. ¿Puede la COM detallar las “muestras de datos” relevantes y el alcance práctico de las obligaciones de evaluación de riesgos? Especialmente diferenciando entre proveedores de servicios de alojamiento y proveedores de servicios de comunicaciones interpersonales.

  2. ¿Puede la OCM confirmar que la búsqueda voluntaria de CSAM por parte de los proveedores sigue siendo (legalmente) posible? ¿Hay planes para ampliar el reglamento provisional que permite a los proveedores buscar CSAM?

  3. En el Art. 3 par. 2 (e) ii la propuesta describe las características típicas de las plataformas de medios sociales. ¿Puede la OCM describir los escenarios en los que para esas plataformas un análisis de riesgo no llega a un resultado positivo?

En cuanto a las órdenes de detección:

  1. El considerando 23 establece que las órdenes de detección deben limitarse, si es posible, a una parte identificable del servicio, por ejemplo, a usuarios o grupos de usuarios específicos. ¿Podría la Comisión aclarar cómo se identifican los usuarios/grupos de usuarios específicos y en qué casos debe emitirse una orden de detección dirigida únicamente a un usuario/grupo de usuarios específico?

  2. ¿Deben entenderse los requisitos establecidos en los apartados 5, 6 y 7 del artículo 7 de forma acumulativa?

  3. ¿Puede la COM aclarar la expresión “pruebas de un riesgo significativo”? ¿Es suficiente que haya más usuarios infantiles en las plataformas y que se comuniquen en la medida descrita en el artículo 3?

  4. ¿Con qué detalle especifica la orden de detección la medida técnica exigida al proveedor?

  5. ¿Puede la OCM aclarar los requisitos de los apartados 5b, 6a y 7b: qué norma de revisión se aplica? ¿Cómo puede medirse la probabilidad del Art. 7 par 7 (b)? ¿Se aplica el principio in dubio pro reo a favor del servicio de alojamiento?

  6. ¿Cómo se sopesan las razones para emitir la orden de identificación con los derechos e intereses legítimos de todas las partes afectadas en virtud del artículo 7, apartado 4, letra b)? ¿Se basa en una medida concreta o abstracta?

  7. ¿Ha recibido ya la COM comentarios de los proveedores, especialmente en relación con el artículo 7? En caso afirmativo, ¿podría detallar la respuesta general?

  8. ¿En qué medida concreta especifica la orden de identificación la medida exigida al proveedor? ¿Qué se desprende a este respecto del apartado 8 del artículo 7 (“se dirigirá y especificará [la orden de detección]”), qué del apartado 2 del artículo 10 (“No se exigirá al proveedor que utilice ninguna tecnología específica”)?

  9. En la página 10 de la propuesta se dice “Las obligaciones de detectar el abuso sexual infantil en línea son preferibles a la dependencia de las acciones voluntarias de los proveedores, no sólo porque esas acciones hasta la fecha han demostrado ser insuficientes para luchar eficazmente contra el abuso sexual infantil en línea (…)” ¿Cuáles son las pruebas de COM que demuestran que estas opciones voluntarias son insuficientes?

  10. ¿Cómo se relaciona el proyecto de reglamento con los derechos de los interesados en virtud de los artículos 12 y ss. 12 y siguientes del RGPD, en particular el artículo 22 del RGPD?

  11. En lo que respecta a las tareas actuales de las autoridades de control de la protección de datos en virtud del RGPD y de otros actos europeos existentes o actualmente negociados (como la AVD), ¿cómo puede alcanzarse un control efectivo de las órdenes de identificación?

  12. ¿Incluye “todas las partes afectadas” en el art. 9 incluye a los usuarios que han difundido CSAM o solicitado niños pero que, no obstante, fueron controlados?

Tecnologías

  1. ¿Qué tecnologías pueden utilizarse en principio? ¿Cumple Microsoft Photo ID los requisitos?

  2. ¿Deben las tecnologías utilizadas en relación con los servicios en la nube permitir también el acceso a los contenidos cifrados?

  3. ¿Cómo se garantiza o valida la calidad de las tecnologías? ¿Cómo se relaciona la propuesta de la CSA con el proyecto de ley de IA?

  4. ¿Cómo se evalúa la equivalencia de las tecnologías propias de los proveedores con arreglo al apartado 2 del artículo 10 y cómo se relaciona esto con la capacidad de los proveedores de invocar secretos comerciales?

  5. ¿Puede diseñarse la tecnología para diferenciar entre imágenes de niños en un entorno normal/no abusivo (por ejemplo, en la playa) y CSAM?

  6. ¿Puede el software de análisis de texto diferenciar una conversación legítima entre adultos (padres, familiares, profesores, entrenadores deportivos, amigos, etc.) y niños de una situación de grooming?

  7. ¿Cómo se quiere garantizar que los proveedores utilicen exclusivamente la tecnología -especialmente la que ofrece el Centro de la UE- para ejecutar la orden de detección?

  8. ¿Cómo se gestionaría un error? ¿Cómo deberían detectarse los eventuales casos de uso indebido?

  9. ¿Podría explicar con más detalle la supervisión humana y cómo puede evitar los errores de las tecnologías utilizadas?

  10. ¿Cómo espera que los proveedores informen a los usuarios sobre “el impacto en la confidencialidad de las comunicaciones de los usuarios”? ¿Es una obligación debida a la emisión de una orden de detección? ¿O puede formar parte de los términos y condiciones?

  11. ¿Entran en el ámbito de aplicación del Reglamento los proveedores de alojamiento de archivos/imágenes que no tienen acceso a los contenidos que almacenan?

Otras obligaciones del proveedor

  1. ¿Cómo se relacionan las obligaciones de información en virtud de esta propuesta con las actuales obligaciones de información del NCMEC? ¿Cuál es la mejor manera de racionalizar ambos procesos? ¿Cómo se puede garantizar que no se dupliquen los informes ni se pierdan?

  2. ¿Qué papel debe desempeñar la Autoridad de Coordinación en relación con la obligación de informar?

  3. En lo que respecta a la supresión del CSAM en toda la UE, ¿cómo aborda la COM las diferencias nacionales en materia de derecho penal?

  4. ¿Qué número de casos espera la COM para los informes a la ASC de la UE? ¿Cuántos casos se remitirán a las autoridades policiales nacionales competentes y/o a Europol?

  5. ¿Se verá afectado el derecho a una reparación efectiva por la obligación del art. 14 de ejecutar una orden de expulsión en un plazo de 24 horas?

  6. ¿En qué momento se puede suponer que el proveedor tiene conocimiento del contenido, se requiere un conocimiento humano?

  7. ¿Qué estándar de revisión asume la COM con respecto a los distintos “actores” de la cadena de información en el proceso de emisión de una orden? ¿Incluye esto la exigencia de una evaluación/auditoría humana en cada caso?

  8. ¿Por qué debería participar Europol en todos los casos, es decir, no sólo en los casos de responsabilidad poco clara de los Estados miembros?

  9. ¿Cómo pueden limitarse en la práctica las órdenes de bloqueo a contenidos o áreas específicas de un servicio, o sólo puede bloquearse el acceso al servicio en su conjunto?

  10. ¿Tienen los servicios en la nube que bloquear el acceso a los contenidos cifrados si reciben un informe de actividad sospechosa sobre usuarios concretos?

Sanciones

  1. ¿Por qué se ha optado por una latitud de criterio en cuanto a las sanciones?

  2. ¿Se aplica el art. 35 se aplica a los casos de uso indebido de la tecnología o a la omisión de establecer medidas efectivas para evitar dicho uso indebido (art. 10, apartado 4)?

  3. ¿Por qué la propuesta no sigue las sanciones establecidas en el Reglamento TCO?

  4. ¿Podría limitarse el apartado 2 del artículo 35 a las infracciones de una obligación central o de un número reducido de obligaciones centrales?

Sistemas de intercambio de información

  1. El apartado 2 del artículo 39 no prevé que las autoridades policiales nacionales estén directamente conectadas a los sistemas de intercambio de información. ¿De qué manera se transmitirán los informes a las fuerzas de seguridad nacionales?

  2. ¿Qué abarcará el sistema de intercambio de información? ¿Cuál es la mejor manera de equilibrar la eficacia y la protección de datos?

  3. Sólo la CSA de la UE y Europol tendrán acceso directo a la base de datos de indicadores (apartado 5 del artículo 46), ¿cómo pueden participar mejor las fuerzas de seguridad nacionales y las autoridades nacionales de coordinación en la información? ¿Considera la Comisión que es necesaria una nueva interfaz para que las autoridades nacionales sepan que puede haber más información disponible?

CSA de la UE y Europol

  1. En lo que respecta a la propuesta de cooperación del Centro de la UE con Europol, ¿cómo prevé la Comisión el reparto de tareas entre ambas entidades en términos concretos para garantizar que se evite cualquier duplicación de esfuerzos?

  2. Hemos observado que la evaluación de impacto de la Comisión no examina más a fondo la posibilidad de integrar las tareas de prevención y apoyo a las víctimas en la FRA y las tareas con relevancia para la aplicación de la ley en Europol en lugar de crear una nueva entidad. Más bien parece que esta posibilidad se descarta tras un examen preliminar. Por lo tanto, nos gustaría saber por qué no se examinó esta opción en primer lugar. Además, pedimos a la COM que explique las ventajas que espera de la creación de una nueva entidad en lugar de asignar las tareas a la FRA y a Europol de forma combinada.

  3. La propuesta legislativa prevé que Europol preste determinados “servicios de apoyo” a la CSA de la UE. ¿Cuáles son los medios y servicios concretos a los que debería recurrir la EU CSA en Europol? ¿Cómo pueden delimitarse esas tareas de apoyo de las tareas de la EU CSA? En este contexto, nos gustaría preguntar si, y en caso afirmativo, cuántos recursos adicionales estima la COM para Europol?

  4. ¿Cómo debería gestionar Europol este apoyo en términos de recursos y cómo garantiza la COM que dicho apoyo no se produzca a expensas de las demás tareas de Europol?

  5. ¿Cuál es la mejor manera de armonizar la estructura de gobernanza propuesta para la CSA de la UE con la estructura de gobernanza de Europol, garantizando que no se produzca un desequilibrio entre la Comisión y los Estados miembros?

  6. El apartado 2 del artículo 53 del proyecto trata del acceso mutuo a la información y a los sistemas de información pertinentes en relación con Europol. ¿Estamos en lo cierto al suponer que la disposición no regula el acceso a la información como tal, porque se hace referencia a las disposiciones pertinentes (“de conformidad con los actos de Derecho de la Unión que regulan dicho acceso”)? ¿Cuál es entonces el contenido normativo específico de la disposición? Por favor, explíquelo.

  7. ¿Para qué período estima la COM que la CSA de la UE puede comenzar su trabajo (aunque tal vez no sea todavía plenamente operativa)?

  8. ¿En qué fase del proceso se eliminan las imágenes según la propuesta?

  9. Según la letra h) del apartado 4 del artículo 64, el Director Ejecutivo de la ASC de la UE que se establezca podrá imponer sanciones económicas si se producen actos delictivos que perjudiquen a los recursos financieros de la Unión. ¿Cómo se relaciona esto con los procedimientos de la OEPM?

  10. ¿Cómo puede garantizar la propuesta que las competencias de la ASC de la UE no entren en colisión con las competencias de Eurojust?