Inquietud por el último lío legal de la UE: ¿podrá la policía espiar tu WhatsApp?

La polémica estallaba este miércoles. Mientras en España se debatía sobre la situación epidemiológica o la polémica sobre el consumo de carne, en el Parlamento Europeo se aprobaba un nuevo reglamento, en principio temporal, con una amplia mayoría de votos a favor: 537 diputados a favor, 133 en contra y 20 abstenciones. ¿El problema? Que los que se posicionaron en contra decidieron dar la voz de alarma por algo que, según ellos, esconde esta nueva legislación: la vigilancia masiva de nuestras comunicaciones de forma automatizada, incluso de todo lo que mandemos por correos privados o aplicaciones encriptadas, como WhatsApp o Signal. Prácticamente una intervención total de nuestras comunicaciones, pero, ¿de verdad se ha aprobado algo así?

La normativa, que ha sido apodada 'Chatcontrol', se basa en una nueva excepción colocada sobre la Directiva 2002/58/CE (también conocida como e-Privacy y que determina la protección de las comunicaciones de servicios no numerados) con la idea de luchar contra la pornografía infantil y los abusos sexuales a menores online. Así, bajo esa premisa, la nueva legislación permite a los proveedores de servicios de mensajería, sus dueños, controlar y vigilar lo que se mueve en su interior con el objetivo de poder avisar a las entidades policiales de los países de actividades sospechosas. Eso es lo que marca el texto aprobado, pero ni ese énfasis en la excepción ha calmado a muchos activistas por la privacidad que creen que el uso de este problema no es más que un 'caballo de Troya' para legitimar la vigilancia masiva y automatizada de todo tipo de aplicaciones. Una opinión que ha generado mucho debate, pero cuyo alarmismo choca con la opinión de expertos y abogados.

TE PUEDE INTERESAR

Que no te la cuele WhatsApp: cómo evitar que las 'apps' de mensajería sepan todo de ti

Mikel Cid

Frente a la opinión de grupos como el Partido Pirata, comandados por su representante Patrick Breyer, abogados y expertos en privacidad españoles preguntados por este periódico, optan por una versión mucho más moderada de lo que está ocurriendo. Piden no bajar la guardia en cuanto a estas normativas, pues no es la primera vez que se instaura algo así y que se juega al borde de la intervención de comunicaciones, pero ni es algo nuevo, ni va a romper con la protección de todos estos servicios. Hay puntos clave como que, al menos de momento, será voluntario ejercer esta vigilancia automatizada por parte de los proveedores o la insistencia en que se trata de un caso excepcional y temporal. Además, añaden un punto clave: lo que acaba de aprobar la UE da cobertura legal a algo que llevan haciendo años la mayoría de proveedores.

¿Es suficiente con esto para evitar la preocupación? No, pues no es la primera excepción que se añade en los últimos años ni la primera medida que roza los límites del reglamento, pero tampoco se está abriendo, en su opinión, una puerta para que la policía pueda espiar todas tus comunicaciones sin más con esta medida. "Es un caso excepcional, y como tal hay que tratarlo, no se puede obviar aunque creas que puede ser una forma de abrir una puerta para todo lo demás", comenta el abogado experto en privacidad y derecho digital, Carlos Sánchez-Almeida.

Realidad y riesgos

Sergio Carrasco, otro abogado experto en entornos digitales, tiene una opinión similar a la de Almeida, y así lo expresa. "Al final es una colaboración del prestador con las instituciones, y lo importante será ver el cómo. Eso sí, el regularlo de forma masiva es lo que puede crear dudas, porque te lleva a pensar en 'scan' generalizado como el que usan para la publicidad. Si solo es verificación con una base de datos de contenido, y notificación para que se obtenga la autorización y así investigar más a fondo, es posible que la medida salga adelante, pero lo más importante va a ser ver los detalles", comenta.

Para él, el gran punto no pasa por la modificación de esta ley, que lo que hace es añadir una nueva excepción centrada en luchar contra un problema como la pornografía infantil, sino, por un lado, cómo se hará ese control y por otro, si se va a obligar a las empresas a hacerlo. "Algunos prestadores ya hacen algo así para publicidad o control voluntario, por eso hay que ver cómo se detalla esta nueva colaboración. Quién tiene acceso y bajo qué circunstancias, si serán palabras, 'hash' de contenido, etc. De momento no es obligatorio, pero si pasa a serlo habría que mirarlo mucho más detalladamente, y ver qué ocurre con las aplicaciones encriptadas, porque teóricamente no pueden hacer este rastreo cómo proveedores de emails u otros servicios", señala.

Más duro en este caso es David Maeztu, también abogado. Para este experto, el nuevo reglamento no hace otra cosa que abrir la puerta a una mayor vigilancia, en este caso para una mayor protección a los menores, y dar cobertura legal a lo que ya hacen las plataformas forma voluntaria. "Abre la puerta, mejor dicho valida continuar, a la monitorización masiva de las comunicaciones, como siempre con la excusa de la protección de los menores. Teóricamente la situación es temporal, se dan tres años a esta medida temporal, pero ya hemos visto con otras normas en este sentido que acaba siendo indeterminado en el tiempo", comenta.

Sobre hasta dónde puede llegar esto, Maeztu recuerda que por ahora es voluntario y que en el caso de WhatsApp o Signal, teóricamente y según las tecnologías que usan, no podrían montar algo que leyese el contenido pues la encriptación de extremo a extremo hace que solo el emisor y el receptor conozcan el contenido real. "Lo que se pretende es validar algo que los prestadores ya hacen de manera voluntaria, pero quieren darle cobertura jurídica. La limitación temporal es la excusa (pues luego lo renovarán) para que se estime proporcional en caso de cuestión ante el TJUE. De momento es voluntario para las empresas, por lo que podrían negarse a rastrear el contenido y avisar de posibles sospechas, pero de todos modos las 'apps' encriptadas por naturaleza no podrían dar alertas con el contenido".

El caso de Google y Microsoft

Sobre la cobertura que dan a las empresas, lo cierto es que hay muchas compañías multinacionales y gigantes de la tecnología que llevan años aplicando medidas automatizadas para cazar posibles casos de abuso de menores, pornografía infantil o incluso terrorismo. Como recuerda Jorge Morell, abogado experto, entre otras cosas, en el estudio de los términos y condiciones de servicios online, Google y Microsoft fueron de los primeros en montar sistemas de este tipo, capaces de, a través de 'hashes' o pequeños reconocimientos de los correos electrónicos que escaneaban los emails sin abrirlos, detectar contenido sospechoso o peligroso relacionado con menores. "Crearon bases de datos con contenidos que ya había denunciado la policía y los cotejaban con las comunicaciones que se enviaban. Si en algún caso cuadraba, este era reportado a las autoridades que pedían permiso a un juez para poder acceder al contenido. Y de esto te hablo de 2013 o 2014".

El sistema, conocido de forma generalizada como PhotoDNA, es incluso anterior. En 2009, Microsoft, creadora de la tecnología, se la donaba al NCMEC (Centro nacional de niños perdidos y explotados de Estados Unidos) con la idea de que toda compañía que quisiese pudiese sumarse a la iniciativa para luchar contra estos crímenes. Se sumó primero Google, pero luego también decidieron hacer lo mismo redes como Facebook o Twitter. En 2014 este invento saltó a la fama porque sirvió para detener a diversas personas acusadas de traficar con contenidos pornográficos. Pero, obviamente, tampoco es perfecto.

"El problema de estos rastreadores son los falsos positivos. Yo he tenido varias sentencias absolutorias en las que la policía utilizaba software parecido para escanear redes 'p2p' en busca de pedófilos. Los acusados se salvaron porque pudimos demostrar que no se habían abierto los ficheros", comenta Almeida. Algo parecido menciona Morell, que recuerda las dudas en torno a si estas máquinas podían bloquear contenidos que no tenían nada que ver con pornografía infantil. "Tienen fallos, pero bueno si lo que usan es un sistema de chequeo, que coteje las imágenes que se publican con una base de datos en la que aparecen las fotos denunciadas es difícil que eso pase. Lo malo que claro, todas las que no estén pasan sin filtro", añade.

Atentos a lo que puede venir

En lo que sí coinciden todos los abogados es en que hay que estar atentos a lo que está por venir, pues no es la primera vez que se ponen al límite las normas de privacidad y en estos casos los detalles hacen mucho. Es lo que comenta, por ejemplo, Lorenzo Cotino. Para este experto, este nuevo ejemplo debe empezar a preocuparnos si lo leemos junto a movimientos anteriores. Hace unos meses se aprobó un nuevo reglamento antiterrorista en el que tampoco se obliga a los proveedores a hacer rastreo de contenidos para detectar mensajes relacionados con el terrorismo, pero sí tienen derecho y libertad para hacer un rastreo en el uso de la plataforma. Es decir, están cubiertos judicialmente hablando.

A esto hay que sumarle que también se intentó algo parecido con los contenidos que estaban bajo 'copyright' y que solo se frenó con la presión de algunos grupos y el debate interno de las instituciones europeas. "Hay una línea clara en todo este paquete de reformas que busca ir al límite en la legislación y empujar a las plataformas a un control ya sea voluntario u obligatorio de los contenidos que se publican en ellas. Por lo que se busca un rastreo de nuestras comunicaciones. Visto cómo se han ido sucediendo los acontecimientos, hay que decir que la línea es preocupante".