Chat Control, qué se ha votado de verdad y por qué debería preocuparte igualmente
El Parlamento Europeo no ha aprobado Chat Control 2 ni ha autorizado el acceso generalizado a los mensajes cifrados. Sin embargo, la votación del 9 de julio, el procedimiento utilizado y la normalización del análisis privado de comunicaciones plantean serias dudas sobre la privacidad y los derechos fundamentales.
En las últimas horas, las redes sociales se han llenado de mensajes asegurando que el Parlamento Europeo ha aprobado Chat Control y ha dado vía libre al espionaje de las conversaciones privadas. La realidad no es exactamente así. El Parlamento no ha aprobado todavía Chat Control 2 ni autorizado el acceso generalizado a los mensajes cifrados de los usuarios. Sin embargo, sería un grave error utilizar ese matiz para concluir que no ha ocurrido nada importante o que la alarma es exagerada, porque no lo es.
Lo que el Parlamento Europeo votó el pasado 9 de julio no fue Chat Control 2, una propuesta permanente que impondría obligaciones de detección tan amplias que podrían desembocar en un escaneo generalizado de las comunicaciones, incluso en el propio dispositivo y antes de aplicar el cifrado. Esa regulación sigue negociándose y, de momento (insisto en lo de "de momento"), no ha sido aprobada. Lo que volvió a la mesa fue una nueva norma que recupera prácticamente íntegra la excepción temporal conocida como Chat Control 1, una excepción temporal a las normas europeas de privacidad que existía desde 2021 y que caducó el pasado 3 de abril, después de que el Parlamento rechazase prorrogarla en marzo. Esta norma permite (aunque no obliga) a las plataformas utilizar voluntariamente tecnologías para detectar material de abuso sexual infantil en las comunicaciones a las que el proveedor puede acceder en claro. La parte más conocida consiste en comparar las imágenes enviadas con huellas digitales de material ya identificado. Sin embargo, el reglamento original iba más allá y amparaba también la búsqueda de material nuevo y de patrones de captación de menores en las conversaciones escritas. Entre los proveedores que declararon haber utilizado estas herramientas figuran Google (Gmail), Meta (Facebook e Instagram) o Microsoft (LinkedIn).
Una vez entendido qué se ha votado exactamente, hay un matiz importante que casi nadie está contando. La votación del jueves no reactivó la norma en el acto. El Parlamento aprobó varias enmiendas a la posición del Consejo, entre ellas una que excluye expresamente las comunicaciones a las que se haya aplicado, se aplique o vaya a aplicarse cifrado de extremo a extremo. El texto vuelve ahora al Consejo, que dispone de tres meses para aceptar las enmiendas. Si las acepta, Chat Control 1 quedará reactivado hasta el 3 de abril de 2028. De lo contrario, se abrirá un procedimiento de conciliación entre ambas instituciones. Por tanto, a día de hoy la excepción continúa jurídicamente caducada.
Hay que insistir en que en los servicios que aplican correctamente cifrado de extremo a extremo, el proveedor no dispone normalmente del contenido en claro necesario para someterlo a estos sistemas. No consta que esta excepción se haya utilizado para analizar el contenido cifrado de WhatsApp, Signal, iMessage o los chats secretos de Telegram, y la enmienda del Parlamento pretende convertir esa exclusión técnica y práctica en una exclusión jurídica expresa, pero cuidado, porque eso no significa que estos servicios proporcionen privacidad absoluta, pues siguen existiendo metadatos, copias de seguridad y posibles compromisos de los dispositivos. Sí significa que, por ahora, el contenido protegido mediante cifrado de extremo a extremo queda fuera del ámbito de esta excepción. Por ahora.
Conviene detenerse aquí, porque el propósito de todo esto suena noble y razonable. Además, «escaneo voluntario» parece una expresión relativamente inofensiva. Sin embargo, no lo es. Lo que esta norma permite es que empresas privadas, en su mayoría estadounidenses, sometan a análisis automatizado mensajes directos, correos y fotografías sin autorización judicial previa y sin que exista una sospecha individualizada contra sus usuarios. El reglamento exige supervisión humana y, cuando se trata de material nuevo o de posibles casos de captación de menores, una confirmación humana antes de comunicar la alerta. Pero la decisión de aplicar el sistema al conjunto de las comunicaciones no la toma un juez, sino la propia empresa. Tampoco tiene por qué informarse al usuario de que una conversación concreta ha sido analizada o remitida a una organización o autoridad. Sin embargo, que exista una revisión humana posterior no elimina la injerencia inicial ni convierte en inocuo el examen preventivo de correspondencia privada.
La cuestión es que la protección de la infancia se está convirtiendo en la justificación recurrente para desplegar sistemas, muchas veces abusivos, de verificación de edad, identificación de usuarios y vigilancia preventiva que terminan afectando al conjunto de la población. Ya analicé este desplazamiento en este otro artículo, donde explicaba por qué combatir abusos reales no exige renunciar al pseudonimato, a la confidencialidad de las comunicaciones ni a las garantías propias de un Estado de derecho.
Por si todo esto fuera poco, según los datos que recopila el jurista y exeurodiputado Patrick Breyer , cerca de la mitad de las alertas recibidas por la policía criminal alemana (BKA) por esta vía carece de relevancia penal. También sostiene que alrededor del 40 % de las personas investigadas en Alemania por estos delitos son menores. Son cifras procedentes de una de las voces más activas contra Chat Control y deben valorarse como tales. Conviene, además, no mezclar otros dos datos diferentes que cita Breyer. Por una parte, afirma que aproximadamente el 99 % de los avisos remitidos a las autoridades europeas procede de Meta. Por otra, menciona un análisis interno de Facebook según el cual más del 90 % del material detectado en 2020 era idéntico o visualmente similar a contenido que ya había sido denunciado.
Más difícil de justificar es cómo Chat Control 1 ignora la crítica del propio Supervisor Europeo de Protección de Datos, que lleva años advirtiendo sobre la inseguridad de la base jurídica de esta excepción, la enorme discrecionalidad que deja en manos de las empresas, las tasas de error de algunas de las tecnologías empleadas y la ausencia de salvaguardas suficientes frente al análisis general e indiscriminado de las comunicaciones. La propia Comisión Europea ha reconocido que los datos facilitados por las empresas son fragmentarios, incompletos y difícilmente comparables, por lo que no permiten alcanzar una conclusión definitiva sobre la proporcionalidad de la medida. Dicho de otro modo, se permite someter a examen preventivo la correspondencia privada de millones de personas sin que se haya podido demostrar con datos sólidos cuál es su eficacia real ni si el sacrificio de derechos resulta proporcionado.
El argumento que siempre se utiliza contra la soberanía digital es que se trata de paranoia o de una fricción innecesaria. «¿Para qué montar tu propio servidor si Google lo hace gratis y mejor?». Pues bien, resulta que «gratis» incluye permitir que Google decida unilateralmente si analiza tu correo y que la Unión Europea acaba de mantener abierta la vía legal para que pueda seguir haciéndolo, sin autorización judicial previa, si el Consejo acepta las enmiendas del Parlamento.
Y hay un principio que ninguna estadística puede tapar. Cuando es el Estado quien quiere abrir la correspondencia de un ciudadano, necesita sospechas individualizadas, garantías legales y una autorización judicial motivada. Que el primer análisis lo haga ahora una empresa privada no elimina la injerencia; simplemente desplaza a un actor comercial una decisión que, en manos públicas, exigiría pasar por un juez. En otras palabras, la "carta" se abre igual. Solo ha cambiado quién la abre y quién ha dejado de pedir permiso.
Pero, a pesar de lo anteriormente expuesto, siendo ya de por sí grave, creo que lo más escandaloso han sido las formas. Dejen que les cuente... El Parlamento Europeo ya había rechazado esta prórroga en marzo. Tras la caducidad de la norma, el expediente se reabrió y el Consejo remitió su posición al Parlamento, abriendo una segunda lectura que se tramitó por la vía de urgencia a instancias del Partido Popular Europeo y con la presidencia de Roberta Metsola facilitando la maniobra, según ha documentado la prensa especializada. El detalle decisivo está en la letra pequeña reglamentaria. En segunda lectura, rechazar la posición del Consejo no requiere mayoría simple, sino mayoría absoluta de los miembros del Parlamento (360 votos en esta ocasión), se presenten los que se presenten.
Y la votación se convocó para el último pleno antes de las vacaciones, cuando más de un centenar de eurodiputados ya no participó en la votación. El resultado lo dice todo. Votaron por rechazar la norma 314 eurodiputados y solo 276 se opusieron al rechazo, con 17 abstenciones. Es decir, la mayoría de los votantes querían tumbarla, pero no lo consiguieron, porque el listón estaba en 360 y, con ese umbral, cada ausencia y cada abstención jugaba en la práctica a favor del texto. Surrealista. No hace falta inventar ninguna ilegalidad para describir lo ocurrido. La segunda lectura estaba prevista en el procedimiento legislativo, pero se recurrió a la vía de urgencia y se escogió un calendario en el que el umbral reforzado resultaba especialmente difícil de alcanzar. La maniobra fue formalmente válida, pero políticamente muy cuestionable. No sé a ustedes, pero a mí todo esto muy democrático no me parece.
Vamos a poner un poco de orden, porque me gusta explicar las cosas tal y como son y mucha gente está contando en redes afirmaciones que no son del todo ciertas. Creo que existen argumentos de sobra para oponerse a lo aprobado sin necesidad de exagerar ni inventar. Para empezar, no compro el argumento de que «esto ya se hacía» o de que «es voluntario». El análisis generalizado de comunicaciones privadas sin autorización judicial previa me parece una monstruosidad incompatible con los principios de una democracia liberal, con independencia de quién lo ejecute, de la tecnología que utilice o del noble propósito con el que se envuelva. La protección de la infancia es una causa sagrada y, precisamente por eso, resulta obsceno utilizarla como ariete para normalizar la vigilancia preventiva de personas inocentes. Los delincuentes más sofisticados migrarán a canales cifrados o clandestinos; el análisis indiscriminado garantiza, sobre todo, que la correspondencia del resto deje de ser verdaderamente inviolable.
El creador de Telegram, Pavel Durov, ha calificado estas maniobras en X (Twitter) de «trucos propios de una república bananera». Durov defiende claramente sus propios intereses y exagera cuando afirma que la norma ya permite escanear cualquier mensaje privado. Sin embargo, eso no invalida su crítica al procedimiento. Cuando quienes impulsan una medida pierden una primera votación y después aceleran la tramitación y escogen un calendario en el que el umbral reforzado resulta mucho más difícil de alcanzar, el daño no lo sufre únicamente una norma concreta, sino la confianza en el sistema. Fondo y forma se dan aquí la mano, porque una medida muy difícil de justificar ha superado su principal obstáculo mediante un procedimiento que, aun siendo formalmente legal, resulta políticamente muy cuestionable.
Todo esto ocurre, además, en un momento especialmente delicado. La negociación de Chat Control 2, el marco permanente que pretende imponer nuevas obligaciones de evaluación, mitigación, detección y comunicación, continuará durante el segundo semestre de 2026 bajo la presidencia irlandesa del Consejo. El alcance definitivo de esas obligaciones y su posible relación con el cifrado de extremo a extremo siguen siendo objeto de disputa. La mensajería cifrada permanece fuera de esta excepción temporal hoy, pero conviene no dar por hecho que seguirá estándolo mañana y conviene todavía menos delegar su defensa en quienes acaban de demostrar cómo juegan.