La polémica Ley de Seguridad en Línea del Reino Unido es ahora ley
La controvertida Ley de Seguridad en Línea del Reino Unido se ha convertido en ley
Jeremy Wright fue el primero de cinco ministros del Reino Unido encargados de impulsar la histórica legislación del gobierno británico sobre la regulación de Internet, la Ley de Seguridad en línea. El gobierno actual del Reino Unido le gusta presentar sus iniciativas como “de clase mundial” pero durante un breve período en 2019 eso podría haber sido cierto. En aquel entonces, tres primeros ministros atrás, el proyecto de ley – o al menos el libro blanco que formaría su base – delineaba un enfoque que reconocía que las plataformas de redes sociales eran en verdad los árbitros de facto de lo que era un discurso aceptable en una gran parte de Internet, pero que esta era una responsabilidad que no necesariamente querían y no siempre podían cumplir. Se criticaba a las empresas de tecnología tanto por las cosas que pasaban por alto, como también, por los defensores de la libertad de expresión, por las cosas que eliminaban. “Hubo una especie de realización emergente de que la autorregulación no sería viable por mucho tiempo más”, dice Wright. “Y por lo tanto, los gobiernos necesitaban involucrarse”.
El proyecto de ley buscaba establecer una forma de manejar el contenido “legal pero perjudicial”: material que no estaba explícitamente en contra de la ley pero que, individual o colectivamente, representaba un riesgo, como la desinformación en salud, publicaciones que fomentan el suicidio o los trastornos alimentarios, o desinformación política con el potencial de socavar la democracia o crear pánico. El proyecto de ley tuvo sus críticos, en particular aquellos que se preocuparon porque otorgaba demasiado poder a las grandes empresas de tecnología. Pero fue ampliamente elogiado como un intento reflexivo de lidiar con un problema que estaba creciendo y evolucionando más rápido de lo que la política y la sociedad podían adaptarse. De sus 17 años en el parlamento, dice Wright: “No estoy seguro de haber visto algo por parte de la legislación potencial que haya tenido un consenso político tan amplio detrás”.
Habiendo pasado, finalmente, por las dos cámaras del Parlamento del Reino Unido, la ley recibió la sanción real hoy. Ya no es de clase mundial: el Reglamento de Servicios Digitales de la Unión Europea entró en vigor en agosto. Y la Ley de Seguridad en línea se convierte en una legislación más amplia y controvertida que la que Wright defendió. Los más de 200 artículos de la ley abarcan un amplio espectro de contenido ilegal que las plataformas deberán abordar y les otorgan una “obligación de cuidado” en relación a lo que sus usuarios, especialmente los niños, ven en línea. Algunos de los principios más sutiles en torno a los daños causados por el contenido legal pero perjudicial se han atenuado, y se ha añadido un requisito altamente divisivo para que las plataformas de mensajería escaneen los mensajes de los usuarios en busca de material ilegal, como abuso sexual infantil, algo que las empresas de tecnología y las organizaciones defensoras de la privacidad consideran un ataque injustificado a la encriptación.
Las empresas, desde las grandes tecnológicas hasta las plataformas y aplicaciones de mensajería más pequeñas, deberán cumplir con una larga lista de nuevos requisitos, empezando por la verificación de edad para sus usuarios. (Wikipedia, el octavo sitio web más visitado en el Reino Unido, ha dicho que no podrá cumplir con la regla porque viola los principios de la Fundación Wikimedia sobre la recolección de datos de sus usuarios.) Las plataformas deberán evitar que los usuarios más jóvenes vean contenido inapropiado para su edad, como la pornografía, el ciberacoso y el hostigamiento; publicar evaluaciones de riesgo sobre los peligros potenciales para los niños en sus servicios; y proporcionar a los padres vías fáciles para informar sus preocupaciones. El envío de amenazas de violencia, incluyendo violación, en línea ahora será ilegal, al igual que ayudar o alentar el autolesionismo en línea o transmitir pornografía falsa, y las empresas deberán actuar rápidamente para eliminarlos de sus plataformas, junto con los anuncios fraudulentos.
En un comunicado, la Secretaria de Tecnología del Reino Unido, Michelle Donelan, dijo: “La ley protege la libertad de expresión, empodera a los adultos y garantizará que las plataformas eliminen el contenido ilegal. Pero en el centro de esta ley está la protección de los niños. Me gustaría agradecer a los activistas, parlamentarios, sobrevivientes de abusos y organizaciones benéficas que han trabajado incansablemente, no solo para que esta ley llegue a buen puerto, sino también para asegurar que el Reino Unido sea el lugar más seguro del mundo en línea”.
- Los trabajadores de la Apple Store temen que el gigante tecnológico...
- Apple lanza la primera beta de tvOS 17.2 para desarrolladores
- Características renovadas de navegación en la aplicación Apple TV e...
La aplicación de la ley será responsabilidad del regulador de telecomunicaciones del Reino Unido, Ofcom, que dijo en junio que comenzará las consultas con la industria después de que se otorgue la sanción real. Es poco probable que la aplicación comience de inmediato, pero la ley se aplicará a cualquier plataforma con un número significativo de usuarios en el Reino Unido. Las empresas que no cumplan con las nuevas reglas se enfrentan a multas de hasta £18 millones ($21,9 millones) o el 10 por ciento de sus ingresos anuales, según sea mayor.
Parte de la controversia en torno a la ley se debe menos a lo que contiene y más a lo que no contiene. El largo proceso legislativo significa que su desarrollo coincidió con la pandemia de Covid-19, lo que permitió a los legisladores tener una vista en tiempo real del impacto social de la desinformación y la información errónea. La difusión de mensajes antivacunas y anti-confinamiento se convirtió en un obstáculo para las iniciativas de salud pública. Después de que lo peor de la pandemia hubo pasado, esas mismas falsedades alimentaron otras teorías de conspiración que continúan perturbando la sociedad. El documento base original que sirvió de fundamento para el proyecto de ley incluía propuestas para obligar a las plataformas a abordar este tipo de contenido, que individualmente podría no ser ilegal pero que en conjunto crea peligros. Eso no se incluyó en la legislación final, aunque la ley sí crea un nuevo delito de “comunicaciones falsas”, penalizando el causar daño deliberadamente al comunicar algo que el emisor sabe que es falso.
“Una de las cosas más importantes era abordar los daños que ocurren a gran escala. Y debido a que se centró tanto en piezas individuales de contenido, se perdió eso”, dice Ellen Judson, jefa del centro de investigación digital del grupo de expertos Demos. La ley incluye reglas estrictas que obligan a las plataformas a actuar rápidamente para eliminar cualquier publicación ilegal, como contenido terrorista o abuso sexual infantil, pero no se centra en las campañas de desinformación compuestas por una sucesión de contenido engañoso, sin entender que “cuando esto se convierte en cosas que se vuelven virales y se propagan, entonces el daño puede ocurrir acumulativamente”.
Wright dice que la exclusión de la desinformación y la información errónea de la ley se debió en parte a la confusión entre los ámbitos de competencia de diferentes departamentos. El Departamento de Cultura, Medios de Comunicación y Deporte “se le dijo que la Oficina del Gabinete se encargaría de todo esto. ‘No se preocupen sus lindas cabezas al respecto, se hará en otro lugar en algo llamado la agenda Defending Democracy‘”, dice. “Y luego creo que, posteriormente, en realidad no ocurrió así. Entonces creo… que todavía hay una brecha ahí”.
Según la ley, se espera que las grandes plataformas controlen el contenido potencialmente perjudicial pero no ilegal aplicando sus propios estándares de manera más consistente de lo que hacen actualmente, algo que los defensores de la libertad de expresión han criticado al considerar que otorga a las empresas privadas el control sobre lo que se considera discurso aceptable en línea, pero que algunos expertos en desinformación e información errónea consideran una evasión de responsabilidad que significa que las grandes tecnológicas serán menos responsables de difundir falsedades. Sin embargo, los expertos legales afirman que el cumplimiento de la ley requerirá que las plataformas sean más transparentes y proactivas. “Deben establecer todos esos procesos sobre cómo se tomarán sus decisiones, o corren el riesgo de ser percibidos como una plataforma que controla todo tipo de libertad de expresión”, dice Emma Wright, líder de tecnología en el despacho de abogados Harbottle & Lewis. Eso probablemente se convierta en una carga bastante significativa. “Es el nuevo RGPD“, dice.
De lejos, la cláusula más divisiva de las más de 300 páginas de la Ley de Seguridad en Línea es la Sección 122, que ha sido ampliamente interpretada como obligar a las empresas a escanear los mensajes de los usuarios para asegurarse de que no están transmitiendo material ilegal. Eso sería increíblemente difícil, quizás incluso imposible, de hacer sin romper el cifrado de extremo a extremo en plataformas como WhatsApp y Signal. El cifrado de extremo a extremo significa que el remitente y el destinatario de un mensaje pueden ver su contenido, pero el propietario de la plataforma en la que se envía no puede hacerlo. La única forma de cumplir con la ley, según los expertos, sería instalar un software de escaneo del lado del cliente en los dispositivos de los usuarios para examinar los mensajes antes de enviarlos, lo que haría que el cifrado fuera en gran medida inútil. El gobierno dijo durante el desarrollo del proyecto de ley que las empresas podrían encontrar una solución técnica para escanear mensajes sin socavar el cifrado; sin embargo, las empresas y expertos argumentaron que esa tecnología no existe, y quizás nunca exista.
“Eso le da a Ofcom, como regulador, la capacidad de obligar a empresas como la nuestra a poner monitoreo de contenido de terceros [en nuestros productos] que escanea unilateralmente todo lo que pasa por las aplicaciones”, dijo Matthew Hodgson, director ejecutivo de la empresa de mensajería cifrada Element, a ENBLE antes de que se aprobara la ley. “Eso socava el cifrado y proporciona un mecanismo en el que los actores maliciosos de cualquier tipo podrían comprometer el sistema de escaneo para robar los datos que circulan”.
Empresas cuyos productos dependen del cifrado de extremo a extremo amenazaron con abandonar el país, incluido Signal. Meta dijo que podría retirar WhatsApp del Reino Unido si se aprobara la ley. Ese momento crítico ha pasado y ambos servicios siguen disponibles, aunque después de una retractación de último minuto por parte del gobierno de que no obligaría a las plataformas a adoptar una tecnología inexistente para escanear los mensajes de los usuarios, lo que algunos consideraron como una retirada.
Sin embargo, la cláusula sigue presente en el acto, lo cual preocupa a los activistas de privacidad y libertad de expresión, quienes lo ven como parte de una serie de amenazas contra el cifrado. Si la Ley de Seguridad en Línea implica que las empresas deben eliminar el cifrado o sortearlo mediante análisis en el lado del cliente, “potencialmente se abriría [los datos] a ser recopilados por el aparato de vigilancia en general”, según Nik Williams, funcionario de políticas y campañas del grupo de campaña Index on Censorship.
La Ley de Seguridad en Línea tiene preocupantes coincidencias con otra legislación, la Ley de Poderes Investigativos, que permite al gobierno obligar a las plataformas a eliminar el cifrado. Williams dice que la superposición entre las dos leyes crea “una puerta de vigilancia entre la OSB y la IPA en la que los servicios de seguridad, como el MI5, el MI6 y el GCHQ, pueden acceder a datos a los que antes no podían acceder… Diría que probablemente es una expansión sin precedentes de los poderes de vigilancia”.
La mañana siguiente a que el Proyecto de Ley de Seguridad en Línea pasara por la Cámara de los Lores, el Ministerio del Interior del Reino Unido lanzó una nueva campaña contra la mensajería cifrada, dirigida específicamente a Facebook Messenger.
El exministro Jeremy Wright dice que la cuestión del cifrado “francamente no está resuelta. Creo que el gobierno ha evitado dar una opinión concluyente sobre lo que significa para el cifrado”. Sin embargo, dice, la respuesta es poco probable que sea tan absoluta como lo plantean los opositores de la ley. El cifrado no será prohibido, dice, pero las plataformas tendrán que explicar cómo sus políticas en torno al mismo equilibran la seguridad con el derecho a la privacidad de sus usuarios. “Si puedes cumplir con esos deberes de seguridad utilizando el cifrado o con el cifrado como parte del servicio, estás bien”, dice. Si no, “tienes un problema… no puede ser cierto, seguro, que una plataforma tenga derecho a decir: ‘Bueno, opero con cifrado, así que eso es una carta para salirme libremente de los deberes de seguridad'”.
