Ofcom publica directrices para cumplir con la ley de seguridad en línea del Reino Unido
La Ofcom, reguladora de comunicaciones del Reino Unido, ha lanzado sus primeras directrices para que las empresas tecnológicas cumplan con la extensa Ley de Seguridad en Línea después de un arduo proceso legislativo de varios años. Estas propuestas, parte de un proceso de publicación en varias fases, detallan cómo las plataformas de redes sociales, motores de búsqueda, juegos en línea y móviles, y sitios web de pornografía deberían abordar contenido ilegal, como material de abuso sexual infantil (CSAM), contenido terrorista y fraudes.
Las directrices, presentadas como propuestas para recopilar comentarios antes de ser aprobadas por el Parlamento del Reino Unido a finales del próximo año, serán inicialmente voluntarias. Las empresas tecnológicas pueden garantizar el cumplimiento de la ley siguiendo las directrices al pie de la letra, pero también pueden adoptar su propio enfoque siempre que demuestren la conformidad con las reglas generales de la ley y estén dispuestas a defender su caso ante la Ofcom.
«Por primera vez, esto coloca una obligación de cuidado en las empresas tecnológicas»
«Gill Whitehead, líder de seguridad en línea de Ofcom, explica en una entrevista con The Verge: «Por primera vez, esto coloca una obligación de cuidado en las empresas tecnológicas para que tengan la responsabilidad de la seguridad de sus usuarios. Cuando se dan cuenta de que hay contenido ilegal en su plataforma, deben retirarlo y también necesitan realizar evaluaciones de riesgos para entender los riesgos específicos que esos servicios pueden llevar».
El objetivo es que los sitios sean proactivos para detener la propagación de contenido ilegal y no simplemente reaccionar después del hecho. La intención es fomentar el cambio de un enfoque reactivo a uno más proactivo, según Claire Wiseman, abogada especializada en tecnología, medios, telecomunicaciones y datos.
Ofcom estima que alrededor de 100,000 servicios pueden estar sujetos a las amplias reglas, aunque solo las plataformas más grandes y de mayor riesgo deberán cumplir con los requisitos más estrictos. Ofcom recomienda que estas plataformas implementen políticas como no permitir que desconocidos envíen mensajes directos a niños, utilizar coincidencia de hash para detectar y eliminar CSAM, mantener equipos de moderación de contenido y búsqueda, y ofrecer formas para que los usuarios informen contenido perjudicial.
Las grandes plataformas tecnológicas ya siguen muchas de estas prácticas, pero Ofcom espera ver una implementación más consistente. Whitehead afirma: «Creemos que representan las mejores prácticas disponibles, pero no se aplican necesariamente de manera uniforme. Algunas empresas las aplican de manera esporádica, pero no necesariamente de manera sistemática, y creemos que hay un gran beneficio para una adopción más generalizada y sistemática».
Sin embargo, hay un gran excepción: la plataforma conocida como X (anteriormente Twitter). Los esfuerzos del Reino Unido con la legislación datan de mucho antes de la adquisición de Twitter por parte de Elon Musk, pero se aprobó mientras él despedía a grandes secciones de sus equipos de confianza y seguridad y supervisaba un aflojamiento de los estándares de moderación, lo que podría poner a X en desacuerdo con los reguladores.
Las directrices de Ofcom, por ejemplo, especifican que los usuarios deben poder bloquear fácilmente a otros usuarios, pero Musk ha declarado públicamente su intención de eliminar la función de bloqueo de X. Se ha enfrentado a la Unión Europea por normas similares y, según informes, incluso ha considerado retirarse del mercado europeo para evitarlas. Whitehead se negó a comentar cuando se le preguntó si X había cooperado en las conversaciones con Ofcom, pero dijo que el regulador había estado «ampliamente alentado» por la respuesta de las empresas tecnológicas en general.
«Creemos que representan las mejores prácticas disponibles, pero no se aplican necesariamente de manera uniforme».
Las regulaciones de Ofcom también abarcan cómo los sitios deben abordar otros daños ilegales, como contenido que fomente o ayude al suicidio o autolesiones graves, acoso, pornografía vengativa y otras formas de explotación sexual, así como el suministro de drogas y armas. Los servicios de búsqueda deben proporcionar «información de prevención de crisis» cuando los usuarios ingresen consultas relacionadas con el suicidio, y cuando las empresas actualicen sus algoritmos de recomendación, deben realizar evaluaciones de riesgos para asegurarse de que no amplifiquen contenido ilegal. Si los usuarios sospechan que un sitio no cumple con las reglas, Whitehead afirma que habrá una vía para presentar quejas directamente a Ofcom. Si se descubre que una empresa está en violación, Ofcom puede imponer multas de hasta £18 millones (alrededor de $22 millones) o el 10% de los ingresos mundiales, según cuál sea mayor. Los sitios infractores incluso pueden ser bloqueados en el Reino Unido.
La consulta de hoy aborda parte del territorio menos polémico de la Ley de Seguridad en Línea, como la reducción de la propagación de contenido que ya era ilegal en el Reino Unido. A medida que Ofcom publique actualizaciones futuras, deberá abordar temas más delicados, como el contenido legal pero perjudicial para los niños, el acceso de menores a la pornografía y las protecciones para mujeres y niñas. Quizás lo más controvertido será interpretar una sección que los críticos han afirmado podría socavar fundamentalmente el cifrado de extremo a extremo en aplicaciones de mensajería.
La sección en cuestión permite a Ofcom exigir a las plataformas en línea que utilicen la llamada «tecnología acreditada» para detectar CSAM. Sin embargo, WhatsApp, otros servicios de mensajería encriptada y grupos de derechos digitales dicen que este escaneo requeriría vulnerar los sistemas de cifrado de las aplicaciones y violar la privacidad del usuario. Whitehead dice que Ofcom planea consultar sobre esto el próximo año, dejando incierto su impacto completo en la mensajería cifrada.
«No estamos regulando la tecnología, estamos regulando el contexto».
Hay otra tecnología que no se enfatiza en la consulta de hoy: la inteligencia artificial. Pero eso no significa que el contenido generado por IA no esté bajo las reglas. La Ley de Seguridad en Línea intenta abordar los daños en línea de manera «tecnológicamente neutral», dice Whitehead, independientemente de cómo se hayan creado. Así que el CSAM generado por IA estaría dentro del alcance simplemente por ser CSAM, y un deepfake utilizado para cometer fraude estaría dentro del alcance por el fraude. «No estamos regulando la tecnología, estamos regulando el contexto», dice Whitehead.
Aunque Ofcom dice que está tratando de adoptar un enfoque colaborativo y proporcionado con la Ley de Seguridad en Línea, sus reglas aún podrían resultar onerosas para sitios que no son gigantes tecnológicos. BBC News señala que el conjunto inicial de directrices de Ofcom tiene más de 1,500 páginas. La Fundación Wikimedia, la organización sin fines de lucro detrás de Wikipedia, señala que cada vez es más difícil cumplir con diferentes regímenes regulatorios en todo el mundo, incluso si apoya la idea de la regulación en general. «Ya estamos lidiando con nuestra capacidad para cumplir con la Ley de Servicios Digitales [de la UE]», dice Rebecca MacKinnon, vicepresidenta de defensa global de la Fundación Wikimedia, señalando que la organización sin fines de lucro cuenta con solo unos pocos abogados dedicados a las regulaciones de la UE en comparación con las legiones que pueden dedicar empresas como Meta y Google.
«Estamos de acuerdo como plataforma en que tenemos responsabilidades», dice MacKinnon, pero «cuando eres una organización sin fines de lucro y cada hora de trabajo es un juego de suma cero, eso es problemático».
Whitehead de Ofcom admite que la Ley de Seguridad en Línea y la Ley de Servicios Digitales son más «primos reguladores» que «gemelos idénticos», lo que significa que cumplir con ambas requiere trabajo adicional. Ella dice que Ofcom está tratando de facilitar la operación en diferentes países, señalando el trabajo del regulador en la creación de una red global de reguladores de seguridad en línea. La aprobación de la Ley de Seguridad en Línea durante una era turbulenta en la política británica ya fue difícil. Pero a medida que Ofcom comienza a llenar los detalles, los verdaderos desafíos pueden estar apenas comenzando.