Privacidad para los poderosos, vigilancia para el resto: El reglamento tecnológico propuesto por la UE va demasiado lejos
El mes pasado, lamentamos la Ley de IA Fronteriza de California de 2025. La Ley favorece el cumplimiento por encima de la gestión de riesgos, al tiempo que blinda a los burócratas y a los legisladores de su responsabilidad. Sobre todo, impone normas reguladoras de arriba abajo, en lugar de dejar que la sociedad civil y los expertos de la industria experimenten y desarrollen normas éticas de abajo arriba.
Tal vez podríamos descartar la Ley como un ejemplo más de la inclinación intervencionista de California. Pero algunos políticos y reguladores estadounidenses ya están pidiendo que la Ley sea una "plantilla para armonizar la supervisión federal y estatal" La otra fuente de esa plantilla sería la Unión Europea (UE), por lo que merece la pena estar atentos a la normativa que sale de Bruselas.
La UE ya va muy por delante de California en la imposición de regulaciones preocupantes y verticalistas. De hecho, la Ley de Inteligencia Artificial de la UE de 2024 sigue el principio general de precaución de la UE. Como explica el grupo de reflexión interno del Parlamento de la UE, "el principio de precaución permite a los responsables de la toma de decisiones adoptar medidas cautelares cuando las pruebas científicas sobre un peligro para el medio ambiente o la salud humana son inciertas y hay mucho en juego" El principio de precaución confiere un poder inmenso a la UE a la hora de regular ante la incertidumbre, en lugar de permitir la experimentación con los guardarraíles de las multas y el derecho de responsabilidad civil (como en Estados Unidos). Ahoga el aprendizaje ético y la innovación. Debido al principio de precaución y a la regulación asociada, la economía de la UE sufre una mayor concentración del mercado, mayores costes de cumplimiento normativo y una menor innovación, en comparación con un entorno que permite la experimentación y una gestión sensata del riesgo. No es de extrañar que sólo cuatro de las 50 empresas tecnológicas más importantes del mundo sean europeas.
De la innovación ahogada a la privacidad ahogada
Junto con el principio de precaución, la segunda fuerza motriz de la regulación de la UE es el avance de los derechos, pero escogiendo de la Carta de los Derechos Fundamentales de la UE derechos que a menudo entran en conflicto con otros. Por ejemplo, el Reglamento General de Protección de Datos (RGPD) de la UE de 2016 se impuso con la idea de proteger un derecho fundamental a la protección de datos personales (esto es técnicamente independiente del derecho a la privacidad, y da a la UE mucho más poder para intervenir - pero eso es materia de revistas académicas). El GDPR acabó cercenando el derecho a la libertad económica.
Esta vez, los derechos fundamentales se despliegan para justificar la lucha de la UE contra los abusos sexuales a menores. Todos amamos los derechos fundamentales y todos odiamos el abuso infantil. Pero, a lo largo de los años, los derechos fundamentales se han desplegado como un arma contundente y poderosa para ampliar los poderes reguladores de la UE. La propuesta de reglamento sobre abuso sexual infantil (ASI) no es una excepción. Lo que es excepcional es el alcance de la intrusión: la UE propone vigilar las comunicaciones entre los ciudadanos europeos, agrupándolos a todos como amenazas potenciales en lugar de como discursos protegidos que gozan de un derecho prima facie a la intimidad.
Desde el 26 de noviembre de 2025, la maquinaria burocrática de la UE ha estado negociando los detalles de la CSA. En el último borrador, afortunadamente se ha eliminado, al menos formalmente, el escaneado obligatorio de las comunicaciones privadas. Pero hay una trampa. Los proveedores de servicios de alojamiento y comunicación interpersonal deben identificar, analizar y evaluar cómo podrían utilizarse sus servicios para cometer abusos sexuales a menores en línea y, a continuación, adoptar "todas las medidas de mitigación razonables" Ante un mandato tan abierto y la amenaza de la responsabilidad civil, muchos proveedores pueden llegar a la conclusión de que la forma más segura -y más prudente desde el punto de vista legal- de demostrar que han cumplido la directiva de la UE es desplegar un escaneado a gran escala de las comunicaciones privadas.
El borrador del CSA insiste en que las medidas de mitigación deben limitarse, siempre que sea posible, a partes específicas del servicio o a grupos específicos de usuarios. Pero la estructura de incentivos apunta en una dirección. La vigilancia generalizada puede acabar siendo la única opción viable para el cumplimiento de la normativa. Lo que hoy se presenta como voluntario corre el riesgo de convertirse mañana en una obligación de facto.
En palabras de Peter Hummelgaard, Ministro de Justicia danés: "Cada año se comparten millones de archivos que muestran abusos sexuales a menores. Y detrás de cada imagen y vídeo, hay un niño que ha sido sometido a los abusos más horribles y terribles. Esto es completamente inaceptable" Nadie discute la gravedad o la turpitud del problema. Y, sin embargo, bajo esta narrativa, se espera que la industria de las telecomunicaciones y los ciudadanos europeos absorban peligrosas medidas de mitigación de riesgos que probablemente impliquen la pérdida de privacidad para los ciudadanos y amplios poderes de vigilancia para el Estado.
El coste, se nos dice, no es nada comparado con el beneficio.
Después de todo, ¿quién no querría luchar contra el abuso sexual infantil? Ya es hora de respirar hondo. Los abusadores de menores deben ser castigados severamente. Esto no dispensa a una sociedad libre de respetar otros valores fundamentales.
Pero, espere. Hay más..
¿Vigilancia generalizada? Bueno, no del todo generalizada
A pesar del imperativo moral de proteger a los niños -un imperativo moral tan imperioso que la UE está dispuesta a violar otros valores fundamentales para promoverlo-, la propuesta de ley CSA introduce una conveniente excepción. Todo lo que entre dentro del ámbito de la seguridad nacional y cualquier servicio de comunicación electrónica que no esté a disposición del público(es decir, que sólo esté disponible para los funcionarios electos y los burócratas) quedaría totalmente al margen. Las charlas privadas entre ciudadanos requieren escrutinio, pero las conversaciones de quienes dicen protegernos están fuera de los límites.
Como dijo el buen ministro, "detrás de cada imagen y vídeo hay un niño que ha sido sometido a los abusos más horribles y terribles" Si eso es cierto para cada "imagen y vídeo", ¿por qué no lo sería también para los mensajes protegidos por las excepciones de seguridad nacional y de no divulgación de la CSA? ¿Se disipa de algún modo el horror cuando los usuarios son políticos o burócratas? ¿Se convierte de repente lo inaceptable en aceptable cuando afecta a quienes redactan las normas?
En la jerarquía de derechos de la UE, proteger a los niños triunfa sobre la privacidad. Pero proteger a los eurócratas triunfa sobre proteger a los niños. Al final, la tecnología moderna ofrece a los políticos oportunidades sin precedentes para vigilar a los ciudadanos, al tiempo que se eximen a sí mismos del escrutinio.
Todavía no se habla -que sepamos- de imponer medidas similares en Estados Unidos. Pero, desde el impuesto sobre el patrimonio hasta la regulación de la IA - pasando por los orígenes mismos del Estado administrativo estadounidense - las malas ideas procedentes de Europa tienen una desagradable manera de abrirse camino al otro lado del Charco.
