nº 977 - 23 de septiembre de 2021
La monitorización de comunicaciones electrónicas en la lucha contra el abuso de menores
Antonio Borjas. Abogado senior del área de Tecnologías de la Información. Ramón y Cajal
No cabe duda del objetivo legítimo de esta lucha contra el abuso sexual de menores y del papel fundamental que tienen las empresas tecnológicas
Sin embargo, este tipo de funciones no pueden implantarse libremente y deben limitarse a supuestos excepcionales
Desde hace varios años, las grandes compañías tecnológicas como Google, Facebook o Microsoft luchan voluntariamente contra los abusos sexuales de menores que se producen en línea, detectando cualquier contenido sospechoso en sus servicios y comunicándolo a las autoridades correspondientes.
Para alcanzar este objetivo, las empresas tecnológicas generalmente escanean de forma automatizada los datos de tráfico de las comunicaciones electrónicas, incluyendo imágenes y texto. En el caso de texto, se analiza su contenido con inteligencia artificial para detectar posible contenido pedófilo y, en el supuesto de imágenes y vídeos, se obtiene un hash (una especie de huella dactilar digital) que se compara con una lista de contenidos previamente identificados como pedófilos.
No cabe duda del objetivo legítimo de esta lucha contra el abuso sexual de menores y del papel fundamental que tienen las empresas tecnológicas. Sin embargo, este tipo de funciones no pueden implantarse libremente y deben limitarse a supuestos excepcionales al suponer una injerencia en derechos fundamentales (como en el derecho al secreto de las comunicaciones y protección de datos personales), debiendo realizarse la correspondiente ponderación antes de su puesta en marcha.
Uno de los últimos hechos que ha generado debate sobre este asunto fue el comunicado de Apple durante el mes de agosto informando sobre las nuevas funciones que pretendía lanzar este año en Estados Unidos y que finalmente la entidad norteamericana ha retrasado por la polémica surgida. Entre estas funciones se encontraba la monitorización de las comunicaciones realizadas a través de su servicio de mensajería iMessage en busca de contenido explícito de menores.
Legalidad de este tipo de funciones
Ante este panorama, cabe preguntarnos sobre la legalidad de este tipo de funciones contra la lucha de abusos de menores en Internet. Para ello, es evidente que debemos mencionar la norma de referencia a nivel europeo que regula las comunicaciones electrónicas: la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas («Directiva e-Privacy»).
Hasta el 21 de diciembre de 2020, el ámbito de aplicación de la Directiva e-Privacy solo alcanzaba los servicios tradicionales de comunicaciones de voz/texto y los servicios de acceso a Internet ofrecidos por las compañías de telecomunicaciones. No se incluían en el ámbito de esta norma los nuevos servicios de comunicaciones on-line («OTT») ofrecidos por los proveedores de la sociedad de la información a través de Internet, salvo que los países de la Unión Europea hubieran dispuesto lo contrario en sus respectivas normas nacionales de transposición.
De acuerdo con lo anterior, los prestadores de servicios de OTT podían llevar a cabo actividades para luchar contra el abuso de menores sin que les fuese de aplicación la Directiva e-Privacy, siempre que respetasen, en cualquier caso, los principios y obligaciones del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE («RGPD»).
No obstante, tras entrar en vigor la Directiva (UE) 2018/1972 del Parlamento Europeo y del Consejo de 11 de diciembre de 2018 por la que se establece el Código Europeo de las Comunicaciones Electrónica el 21 de diciembre de 2020, el ámbito de aplicación de la Directiva e-Privacy se amplió a las empresas OTT.
La delimitación del ámbito de aplicación de la Directiva e-Privacy es importante porque en sus artículos 5 y 6 se protege la confidencialidad de las comunicaciones electrónicas y los datos de tráfico por lo que, al quedar ampliado el ámbito de aplicación, las empresas OTT no pueden analizar las comunicaciones electrónicas de sus usuarios en búsqueda de contenido para luchar contra el abuso de menores. Sin embargo, el pasado mes de julio se aprobó el Reglamento (UE) 2021/1232 del Parlamento Europeo y del Consejo de 14 de julio de 2021 por el que se establece una excepción temporal a determinadas disposiciones de la Directiva 2002/58/CE en lo que respecta al uso de tecnologías por proveedores de servicios de comunicaciones interpersonales independientes de la numeración para el tratamiento de datos personales y de otro tipo con fines de lucha contra los abusos sexuales de menores en línea (Reglamento 2021/1232).
El Reglamento 2021/1232 establece una excepción a las disposiciones de los artículos 5 y 6 de la Directiva e-Privacy, para que las empresas tecnológicas que voluntariamente quieran luchar contra el abuso de menores en Internet puedan tratar datos personales y cualquier otra información que sea necesaria para tal fin, siempre y cuando cumplan con las salvaguardias establecidas en el mismo y, adicionalmente, se respeten los principios y obligaciones del RGPD.
Es importante resaltar que la excepción contenida en el Reglamento 2021/1232 está limitada a tres años desde la fecha de su aplicación y, por tanto, servirá de puente legislativo hasta que se apruebe una nueva regulación en esta materia. Esta regulación deberá establecer si las actividades para detectar abuso de menores en línea serán voluntarias o se configurará como una obligación para las empresas tecnológicas y, en este último caso, si los mensajes cifrados de extremo a extremo (como los mensajes de WhatsApp), también se incluirán en esta hipotética nueva obligación. ■