Carta Abierta a la Normativa ASI: NO al Client-Side Scanning!

CSA regulation

Hoy, Mailfence y otras empresas que dan prioridad a la privacidad publican su Carta Abierta en relación con la propuesta de reglamento sobre Abuso Sexual Infantil (ASI).

A continuación se muestra la carta conjunta iniciada por Tuta, que Mailfence y otras empresas centradas en la privacidad co-firmaron.

Carta Abierta a los Estados Miembros de la UE sobre la Propuesta de Reglamento sobre el Abuso Sexual Infantil (ASI)

“Estimados Ministros de Interior, Justicia y Economía de los Estados miembros de la UE,

Nos dirigimos a usted como pequeñas y medianas empresas y organizaciones de Europa, preocupadas por la propuesta de Reglamento sobre Abuso Sexual Infantil (ASI). Colectivamente, le exhortamos a garantizar que la posición de (insertar aquí el nombre del país) sobre este expediente se acerque lo más posible a la del Parlamento Europeo (PE). Todos estamos de acuerdo en que garantizar la seguridad de los menores de edad en Internet es uno de los deberes más importantes de las empresas tecnológicas y, por este motivo, la propuesta de Reglamento de la Comisión Europea nos parece extremadamente preocupante.

Si se aplicara tal y como está propuesto, afectaría negativamente a la privacidad y la seguridad de los menores de edad en internet, al tiempo que tendría consecuencias dramáticas e imprevistas en el panorama de la ciberseguridad de la UE, además de crear una carga administrativa ineficaz*.

El Parlamento Europeo adoptó recientemente su posición sobre el expediente, reconociendo que las tecnologías de escaneado no son compatibles con el objetivo de disponer de comunicaciones confidenciales y seguras. Por ello, los cambios cruciales que presenta para la propuesta reflejan las opiniones del Supervisor Europeo de Protección de Datos (SEPD), de los servicios jurídicos del Consejo, así como de innumerables expertos en criptografía y ciberseguridad**.

También refleja la opinión de entre el 63% y el 69% de las empresas, autoridades, ONG y ciudadanos consultados por la Comisión Europea en su evaluación de impacto***.

Como pequeñas y medianas empresas y organizaciones tecnológicas, compartimos sus preocupaciones, ya que sabemos que buscar contenidos específicos —como texto, fotos y vídeos— en una comunicación cifrada de extremo a extremo requeriría la implementación de una puerta trasera, o de una tecnología similar denominada “escaneado del lado del cliente”. Incluso si este mecanismo se crea con el propósito de luchar contra la delincuencia en línea, también sería utilizado rápidamente por los propios delincuentes, poniendo a los ciudadanos y a las empresas en mayor riesgo en línea al crear vulnerabilidades para todos los usuarios por igual.

La protección de datos es una gran ventaja competitiva

Como empresas tecnológicas que operan en la Unión Europea, hemos creado productos y servicios en consonancia con el sólido marco de protección de datos de la UE, que sigue sirviendo de ejemplo e inspiración en el mundo entero. El RGPD permitió la creación en Europa de empresas tecnológicas éticas que dan prioridad a la privacidad y que, de otro modo, nunca habrían podido competir con las grandes tecnológicas (“Big Tech”). Proporcionó a las empresas europeas una fuerte ventaja competitiva en ese campo a escala internacional y permitió a los consumidores poder encontrar por fin alternativas a los servicios estadounidenses y chinos.

Nuestros usuarios, tanto dentro como fuera de la UE, han llegado a confiar en nuestro compromiso de salvaguardar sus datos y esta confianza es un motor clave de nuestra competitividad.

La curva de aprendizaje para adaptarnos a la necesaria carga administrativa que conlleva el GDPR fue pronunciada, pero mereció la pena. Sin embargo, el Reglamento sobre el ASI podría amenazar este punto de venta único de las empresas europeas de TI y también añadiría una nueva carga administrativa que, tememos, podría abrumar tanto a nuestras empresas como a los organismos encargados de hacer cumplir la ley. Teniendo en cuenta el volumen de comunicaciones y contenidos que transitan por nuestros servicios, incluso una tasa de error insignificante de las tecnologías aplicadas para escanear en busca de material abusivo daría lugar a millones de falsos positivos que habría que revisar manualmente cada día.

El Reglamento sobre ASI podría erosionar la confianza y la seguridad en línea

En un mundo en el que las vulneraciones de datos y los escándalos relacionados con la privacidad son cada vez más frecuentes, la reputación de la UE por su estricta protección de datos es un argumento de ventas único para las empresas que operan dentro de sus fronteras. Nos proporciona una ventaja competitiva, asegurando a nuestros clientes que su información se maneja con el máximo cuidado e integridad.

Esta confianza, una vez erosionada, es difícil de reconstruir, y cualquier medida que la comprometa, como el escaneado obligatorio o la verificación obligatoria de la edad, tiene el potencial de perjudicar a las empresas tanto grandes como pequeñas.

Además, la UE ha adoptado recientemente el Reglamento 2023/2841, que obliga a las instituciones y organismos de la UE a evaluar el uso del cifrado de extremo a extremo entre sus medidas de gestión de riesgos de ciberseguridad. También hay múltiples propuestas “cibernéticas” de la UE actualmente en consideración, como la Ley de Ciberresiliencia y la Ley de Ciberseguridad. Apoyar un enfoque opuesto para el Reglamento sobre ASI no haría más que socavar el marco de ciberseguridad de la UE, creando un nuevo conjunto de medidas contradictorias, incoherentes e ineficaces que las empresas no podrían aplicar sin poner en peligro a los ciudadanos y a las empresas.

La propuesta del Parlamento Europeo va en la dirección correcta

Por lo tanto, aplaudimos al Parlamento Europeo por su postura decidida en la defensa del derecho de los ciudadanos europeos a la privacidad y a unas comunicaciones seguras. El compromiso del Parlamento Europeo con estos principios no sólo es un testimonio de su dedicación a los derechos humanos, sino también un faro de esperanza para empresas como la nuestra, que dan prioridad a la protección de datos y a la seguridad.

La posición del Parlamento incluye alternativas al escaneado que tienen un impacto mínimo en la ciberseguridad y la protección de datos y que, según los expertos, serían más eficaces y eficientes que el escaneado obligatorio.

Estos cambios de paradigma supondrían ir más allá de la falsa dicotomía entre privacidad y seguridad, al tiempo que harían que la propuesta respetara el principio de proporcionalidad, tal y como solicitó el Comité de Control Reglamentario. Aunque no sean perfectos a nuestros ojos, los cambios que el Parlamento Europeo introdujo en su posición son un buen compromiso para sustentar la seguridad y la confidencialidad digitales y proteger mejor a los menores de edad en internet. Creemos que estos cambios logran el equilibrio adecuado entre la protección de la infancia y la salvaguarda de la privacidad y la ciberseguridad.

Como representantes de la dinámica comunidad de pequeñas empresas europeas, exhortamos a los Estados miembros de la UE a seguir defendiendo los valores de la privacidad, la ciberseguridad y la protección de datos. Estos principios no sólo se alinean con el compromiso de la UE con los derechos humanos, sino que también sirven de base para un entorno empresarial próspero y competitivo. Defendamos y reforcemos estos principios, garantizando que la UE siga siendo defensora de la privacidad en el mercado global.

Por estos motivos, le solicitamos que:

  • Garantice que la posición del Consejo se ajuste lo más posible a la del Parlamento Europeo. Esto permitirá una adopción más rápida del Reglamento al tiempo que se aprovecha el importante trabajo del Parlamento Europeo.
  • Proteja el alto nivel de derechos fundamentales —y en particular de protección de datos— del que disfrutan los ciudadanos en la Unión Europea.
  • Se abstenga de obligar a empresas como nosotros a llevar a cabo una vigilancia masiva de la correspondencia privada en nombre de las fuerzas del orden.
  • Garantice un alto nivel de ciberseguridad en la UE protegiendo el cifrado de extremo a extremo y aportando las salvaguardas necesarias en el texto. En particular, no deben imponerse el escaneado del lado del cliente ni las puertas traseras.
  • Preserve la confidencialidad de la correspondencia.
  • Minimice la carga administrativa de la propuesta haciéndola más eficaz y eficiente, mediante alternativas al escaneado masivo.”

Signatarios

Blacknight Solutions (Ireland)
E Foundation (France)
Element (United Kingdom)
Logilab (France)
Mail.de GmbH (Germany)
Mailfence (Belgium)
Matrix Foundation (United Kingdom)
Murena (France)
Nextcloud (Germany)
Olvid (France)
Open-Xchange (Germany)
Proton (Switzerland)
Renvis (Greece)
Surfshark (Lithuania)
TelemetryDeck (Germany)
Threema (Switzerland)
Tresorit (Switzerland)
Tuta (Germany)

Asociaciones profesionales y simpatizantes

ACT | The App Association
Cyberstorm
Defend Democracy
Encryption Europe
Gate 15
ISOC-CAT
Myntex
Privacy & Access Council of Canada
Quilibrium
SecureCrypt
Studio Legale Fabiano

*Se puede consultar un resumen detallado de la propuesta, elaborado por la ONG EDRi, aquí

**Para más información, puede leer su declaración de julio de 2023

***Véase en particular la página 134 de la evaluación de impacto

Recomendado para usted