Reflexiones sobre el tratamiento de datos personales por prestadores de servicios de comunicaciones vía internet para la lucha contra abusos sexuales de menores en línea en el Reglamento (UE) 2021/1232

Doctrina

Reflexiones sobre el tratamiento de datos personales por prestadores de servicios de comunicaciones vía internet para la lucha contra abusos sexuales de menores en línea en el Reglamento (UE) 2021/1232

2021/11/29

Rodríguez Lainz, José Luis

Hasta la publicación del Reglamento (UE) 2021/1232, la lucha contra los abusos sexuales en línea se basaba en buena parte en políticas corporativas de las grandes operadoras de Internet; valiéndose para ello de poderosos sistemas de filtrado que, con técnicas de hashing, podían detectar en comunicaciones transmitidas vía mensajería instantánea, chats, correo electrónico o paquetes de datos destinados a ser almacenados en repositorios externos hashes coincidentes con anteriores contenidos cuya relación con la pornografía infantil estaba acreditada. El Reglamento, que, tras la Directiva (UE) 2018/1973, parte de la asimilación de los prestadores de tales servicios a los operadores sometidos a la Directiva 2002/58/CE, convierte tal colaboración voluntaria en un deber de utilización de las mismas técnicas de filtrado, a modo de excepción al mandato de lo establecido en los arts. 5.1 y 6.1 de la Directiva 2002/58/CE.

I. Los precedentes del Reglamento (UE) 2021/1232: el gran reto de la lucha contra la pornografía infantil y el abuso sexual de menores en red

El Reglamento (UE) 2021/1232 (LA LEY 17549/2021) (2) —en adelante, Reglamento— ha supuesto una audaz apuesta de la Unión Europea por la búsqueda de herramientas eficaces que permitan hacer frente a la cada vez más extendida compartición ilícita de contenidos de pornografía infantil o de abusos sexuales de menores a través de Internet.

Ya en octubre de 2010, cuando el fenómeno de los Smartphones y Tablets no estaba sino iniciando tímidamente su penetración en el universo de las comunicaciones, un estudio estadístico publicado a nivel de la Unión Europea por la Comisión (3) mostraba con preocupación cómo los niños comenzaban a tener sus primeros contactos con Internet a la edad de 7 años; y que un 63% de los niños entre 13 y 16 años accedían a Internet desde la garantía de intimidad que representaba estar solos en sus habitaciones. En España tuvo gran calado el acuerdo entre la Agencia Española de Protección de datos y el entonces popular portal de la red social conocida como Tuenti; que permitió sacar a la luz cómo un 90% de sus usuarios, pese a la prohibición explícita recogida en el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (LA LEY 13934/2007), eran niñas y niños menores de 14 años de edad, que simplemente habían variado los datos de su fecha de nacimiento para crear perfiles de identidad electrónica propios (4) . Tales datos no han hecho más que incrementarse de manera preocupante en la siguiente década: La edad media de acceso generalizado a Internet se ha reducido en España ya en 2019 a los 12 años de edad (5) ; mientras que la Encuesta sobre Equipamiento y Uso de Tecnologías de Información y Comunicación en los Hogares publicada por el INE para el año 2020 habla de que el 94,5% de los menores de edad hacían un uso generalizado de Internet; mientras que un 69,5% de la población de 10 a 15 años disponía de teléfono móvil propio frente al 66,0% de 2019.

Los riesgos que comporta una presión social en constante acentuación hacia la sexualización de comportamientos a edades cada vez más tempranas, pero sobre todo el libre y no controlado acceso de estos mismos menores a las redes sociales y al Universo de Internet les convierte en víctimas demasiado vulnerables a la acción de ciberdelincuentes u organizaciones criminales; que ven en aquéllos una fuente casi inagotable de inmensos beneficios económicos o de directa satisfacción de los más perversos y abyectos deseos de determinadas categorías de personas que alimentan sus fantasías eróticas o inconfesables deseos participando del sufrimiento de un número tristemente elevado de menores. La inquietud de cada vez más menores por explorar el mundo de la sexualidad, accediendo o compartiendo contenidos sin tener conocimiento de los serios riesgos a los que se exponen, está a solo un peldaño del riesgo de hacerse vulnerables a sufrir presión para exhibirse de forma obscena a través de contactos en la red con un grado de difusión incontrolable, o incluso a verse sometidos a la práctica de prostitución infantil en la red.

Los Estados democráticos, y más en el seno de la Unión Europea, se habían mostrado francamente preocupados por la proliferación de esta nueva problemática delincuencial marcadamente creciente. Pero esta capacidad de reacción venía condicionada por la propia evolución de las tecnologías de las comunicaciones; que siempre iban a un ritmo más acelerado que una capacidad de respuesta de los Estados lastrada por la falta de versatilidad de sus leyes y el sometimiento de las escasas herramientas a su alcance a unos principios de raigambre constitucional que impedían medidas invasivas de derechos fundamentales que permitieran actuar con éxito contra estas nuevas formas de delincuencia sexual. Pero esta insuficiencia y limitación técnica y jurídica de medios confrontaba con una severa imposición de un deber positivo de puesta de medios para la lucha contra esta clase de delincuencia que tanto daño podía provocar en el normal desarrollo evolutivo de los menores de edad; encontrando un incontestable reflejo en la jurisprudencia del Tribunal Europeo de Derechos Humanos, especialmente a partir de la trascendental STEDH, Sección 4ª, de 2 de diciembre de 2008 (caso K.U. v. Finlandia; asunto 2872/02); y que ha tenido como último exponente a la STEDH, Secc. 3ª, de 14 de septiembre de 2021 (caso VOLODINA v. Rusia; asunto 40419/19) (6) .

La STEDH del caso K.U. v. Finlandia nos vuelve a recordar que el efecto disuasorio de una norma penal se ve constreñido si no existen medios para identificar al autor real del delito y llevarlo ante la justicia; mostrándose especialmente exigente de que, al menos en cuanto respecta a los delitos contra las personas, existan disposiciones procesales que garanticen una efectiva investigación y enjuiciamiento de estos hechos. Pero es que esta obligación positiva se ve mayormente reforzada cuando es el bienestar físico y moral de un menor de edad el que está en juego; y más cuando se enfrenta a una maldad tan aberrante, y con efectos debilitantes para la víctima, como es el someterlo a un abuso sexual. Concluirá diciendo en su § 46 que: «Niños y otros individuos vulnerables tienen derecho a la protección del Estado, en forma de disuasión efectiva, de tan grave injerencia en el aspecto privado de su vida» (7) . De esta guisa, las necesidades de investigación y represión de un delito que afectaba directamente a la propia indemnidad sexual de una víctima de 12 años de edad (8) , confrontan con una norma sustantiva precedente que garantizaba el anonimato de comunicantes a través de Internet; considerando el Alto Tribunal europeo que tal priorización había privado a la víctima de su derecho a una investigación efectiva que garantizara la protección de su derecho a la vida privada, a través de la defensa de su propia dignidad personal. La garantía de la confidencialidad de la navegación a través de Internet, la libertad de expresión y el secreto de las comunicaciones no deberían considerarse como límites absolutos frente a una investigación criminal; y más cuando afectan a bienes jurídicos personalísimos, concluirá la sentencia en su § 49 (9) . Pero tampoco, obviamente, el fin último del esclarecimiento de un hecho con apariencia delictiva podría convertirse en un absoluto jurídico capaz de sobreponerse a cualquiera de los derechos fundamentales garantidos por el CEDH (LA LEY 16/1950), y a cualquier precio; deberíamos apostillar. Es evidente que los principios de proporcionalidad y necesidad, tan presentes en el mandato del apartado 2 del mismo art. 8 del CEDH (LA LEY 16/1950), se muestran como incontestables criterios moderadores de tal previa aseveración.

La lucha contra la pornografía infantil y la explotación sexual de menores de edad a través de las redes de comunicaciones electrónicas no se gana persiguiendo a los delincuentes una vez presentada una denuncia

Pero la lucha contra la pornografía infantil y la explotación sexual de menores de edad a través de las redes de comunicaciones electrónicas no se gana persiguiendo a los delincuentes una vez presentada una denuncia. Porcentualmente, el número de episodios que se denuncian, hemos de reconocerlo, no es sino una cifra insignificante frente a esa inmensa dramática realidad que oculta Internet. El miedo propio o del entorno familiar cercano, el desconocimiento o el sometimiento de los menores afectados a situaciones cercanas a la esclavitud lastran cualquier posibilidad de convertir la denuncia expresa en la fuente natural de conocimiento de la existencia de estas infracciones criminales.

El trabajo de campo, el ciberpatrullaje, ha sido de siempre el campo abonado para la prevención y detección de estas formas de delincuencia tan peculiares. Y la verdad es que estas técnicas de vigilancia en la red han aportado unos incontestables réditos a la lucha contra los abusos sexuales a menores a través de Internet.

Especial predicamento en esta línea de actuación tendría, en concreto, el análisis de la huella dejada por los ciperpederastas a través de los hashs propios de redes P2P; aprovechando la vulnerabilidad que representaba la exposición pública, en abierto, de las IIPP asignadas a quienes compartían archivos de contenido pedófilo. Tal técnica de investigación encontró un respaldo indiscutible en la jurisprudencia de nuestro Tribunal Supremo desde la STS 236/2008, de 9 de mayo (LA LEY 47575/2008); posteriormente seguida, entre otras, por las 292/2008, de 28 de mayo (LA LEY 86395/2008); 247/2010, de 18 de marzo y 680/2010, de 14 de julio. Y finalmente se vio respaldada por su incorporación como una más de las herramientas de investigación tecnológica en el art. 588 ter k de la LECRIM (LA LEY 1/1882); aparte de un reconocimiento explícito en la STEDH, Secc. 4ª, de 24 de abril de 2018 (caso BENEDIK v. Eslovenia; asunto 62357/14) (10) .

Pero el éxito de esta técnica de investigación se hacía depender en buena medida de la ingenuidad de los partícipes en las redes de compartición a la hora de definir los archivos que compartían, con el empleo de términos más o menos alusivos de lo que sus contenidos albergaban. La concienciación de los compartidores de archivos de contenido pedófilo de tal vulnerabilidad llevó rápidamente a una sofisticación en las técnicas de transmisión o disponibilidad de tales archivos. De las redes P2P se pasó rápidamente al intercambio vía chats privados o incluso a la disponibilidad de los contenidos ilícitos en concretos alojamientos en la cloud computing¸ la nube, para su compartición en herméticas redes igualmente privadas (11) . Y ello cerraba las puertas a estas ya vetustas formas de ciberpatrullaje.

El compromiso en la lucha contra la pornografía infantil y el empleo de las redes de telecomunicaciones para la comisión de abusos sexuales contra menores encontró igualmente una relevante respuesta tanto a nivel internacional como del Derecho de la Unión Europea. Pero, como veremos, no se llegaba a superar de forma eficaz el lastre la inexistencia de unas normas claras que permitieran definir cuáles eran los límites al empleo de técnicas de investigación tecnológica especialmente invasivas de derechos fundamentales de los presuntos delincuentes o terceros, en un contexto de reglas que abarcaban desde la investigación policial en un escenario no claramente disgregado de una noción de auténtica prevención del delito, hasta la investigación dirigida por una autoridad judicial o fiscal.

El Protocolo Facultativo de la Convención sobre los Derechos del Niño (LA LEY 3489/1990) relativo a la venta de niños, la prostitución infantil y la utilización de niños en la pornografía, aprobado por la Asamblea General de las Naciones Unidas de 25 de mayo de 2000 (Resolución A/RES/54/263), recogía ya en su art. 8 toda una serie de medidas procesales en relación a la investigación de estos delitos desde una perspectiva claramente teleológica; aunque sin llegar a definir concretas medidas de investigación tecnológica de carácter especial ajustadas a las peculiaridades de estas formas de delincuencia.

Sin embargo, a nivel del Consejo de Europa, el Convenio del Consejo de Europa para la protección de los niños contra la explotación y el abuso sexual, hecho en Lanzarote el 25 de octubre de 2007 (LA LEY 25048/2007), sí recogería, en una clara tendencia al avance en la técnica normativa, en su art. 30.5, la posibilidad de emplear instrumentos de investigación de naturaleza secreta destinados a garantizar la investigación y enjuiciamiento efectivos de los delitos tipificados con arreglo al Convenio; permitiendo, en concreto, a las unidades o servicios de investigación, en su caso, la posibilidad de investigaciones secretas, así como de «…identificar a las víctimas de los delitos tipificados con arreglo al art. 20, en particular mediante el análisis de material de pornografía infantil, como fotografías y grabaciones audiovisuales, que se haya transmitido o hecho accesible recurriendo a tecnologías de la información y la comunicación».

A nivel de la Unión Europea, el apartado 35 de la Resolución sobre la Comunicación de la Comisión relativa a los contenidos ilícitos y nocivos en Internet [COM(96)0487 C4-0592/1996] (12) se haría eco de la necesidad de regulación de medidas procesales eficaces que permitieran la identificación de aquellas personas que utilizaran Internet como medio para la difusión de pornografía infantil. Tras el malogrado intento de la Propuesta de Acción Común 97/154/JAI, adoptada por el Consejo en virtud del art. K.3 del Tratado de la Unión Europea (LA LEY 109/1994), relativo a la lucha contra la pornografía infantil en Internet, la Comunicación de la Comisión COM(2000)890 final al Consejo, al Parlamento Europeo, al Comité Económico y Social y al Comité de las Regiones, sobre la creación de una sociedad de la información más segura mediante la mejora de la seguridad de las infraestructuras de información y la lucha contra los delitos informáticos (eEUROPE 2002) (13) , veía en la posibilidad de conservación y acceso a información referente a tráfico de comunicaciones sobre contenidos relacionados con la explotación sexual y la pornografía infantil una incuestionable necesidad. Pero habría que esperar hasta la crucial Directiva 2011/92/UE (LA LEY 28682/2011), del Parlamento Europeo y del Consejo, relativa a la lucha contra los abusos sexuales y la pornografía infantil y por la que se sustituye la Decisión Marco 2004/68/JAI, del Consejo (14) , para que una referencia clara de naturaleza normativa a la posibilidad de empleo de herramientas de investigación tecnológica discreta viera definitivamente la luz. En el considerando 27 hace referencia a la necesidad de diseño de instrumentos de investigación eficaces; entre los que se encontrarían la interceptación de comunicaciones y la vigilancia discreta, incluida la vigilancia electrónica; aunque matizándose que «...teniendo en cuenta, entre otras cosas, el principio de proporcionalidad y la índole y gravedad de las infracciones que se estén investigando». Su art. 15.3, aceptando implícitamente la sujeción de tales medidas de investigación a los principios de necesidad y proporcionalidad, establecería que: «Los Estados miembros adoptarán las medidas necesarias para garantizar que las personas, unidades o servicios responsables de la investigación o del enjuiciamiento de las infracciones contempladas (...) dispongan de instrumentos de investigación eficaces, tales como los que se utilizan contra la delincuencia organizada y en otros casos de delincuencia grave».

Estas iniciativas normativas se vieron satisfactoriamente complementadas por la labor de cribado y control externo realizada por determinadas organizaciones de la sociedad civil dedicadas al descubrimiento de material pornográfico infantil que circulara a través de las redes de telecomunicaciones (15) ; o por la política corporativa de determinados prestadores de servicios de comunicaciones a través de Internet o proveedores de servicios de redes sociales destinada a evitar que sus bases de datos y plataformas se convirtieran en santuarios de impunidad de los delincuentes sexuales. Las primeras llegaban a realizar labores de auténtico ciberpatrullaje, en su difícil cometido de rastrear chats o ubicaciones de intercambio de archivos que se hicieran vulnerables al escrutinio ajeno; las últimas, gracias a la aplicación de políticas de filtrado de contenidos, metadatos y datos de tráfico de comunicaciones, mediante herramientas automáticas que permitían detectar contenidos o ubicaciones sospechosos. La detección de la posesión o intercambio de este tipo de material era puesta en conocimiento de autoridades policiales o judiciales de los Estados en los que estuvieran residenciados los datos o las personas que los intercambiaran.

La realmente eficaz labor corporativa de las grandes prestadoras de servicios de la sociedad de la información de difusión universal comenzó a desplegarse sobre todo a partir de la primera década del presente Siglo. A modo de ejemplos, la herramienta desarrollada por Microsoft en colaboración con Canadá, conocida bajo las siglas CETS —Child Exploitation Tracking System—, basada en la recopilación de evidencias obtenidas por agencias de investigación de distintos Estados, permitía la recopilación, compartición y análisis de información de esta naturaleza para la explotación por fuerzas y cuerpos de seguridad, sin necesidad de empleo de técnicas intrusivas; siendo objeto de cesión gratuita a numerosos Estados (16) . Una iniciativa protagonizada por Google y Microsoft en noviembre de 2013 permitió la aplicación de sistemas de bloqueo de información, obviamente a través de control de términos empleados en motores de búsqueda, mediante la detección de hasta 100.000 vocablos; afectando a búsquedas en navegadores tan populares como Google,Yahoo o Bing (17) .

Pero el gran salto se daría con la política de escrutinio no solo en motores de búsqueda, sino frente a esas nuevas estrategias que estaban generalizándose entre quienes comparten tal tipo de contenidos en sus alojamiento en repositorios virtuales. Con tal motivo, Microsoft diseñó en 2009 la herramienta conocida como PhotoDNA. Esta herramienta, compartida con otras operadoras como Twitter, Facebook y Flipboard, se basa en una tecnología de comparación de imágenes. Cada vez que se detectan imágenes de pornografía infantil se crea una firma única digital, un hash, que puede ser comparada con las firmas de otras imágenes para encontrar copias o contenidos idénticos; permitiendo detectar, reportar y eliminar de las redes éstas e incluso imágenes similares (18) . Aparte de su empleo para detectar tales contenidos en red conforme se comparten o mediante el escrutinio de la información almacenada en la nube por las operadoras comprometidas en tales menesteres, esta herramienta es facilitada de forma igualmente gratuita a fuerzas policiales u organizaciones dedicadas a la lucha contra la pornografía infantil.

Un mayor nivel de éxito en la lucha contra el llamado Child sexual abuse material, se está encontrando en sistemas tales como CSAM Detection System, empleado recientemente por Apple

Un mayor nivel de éxito en la lucha contra el llamado Child sexual abuse material —CSAM— se está encontrando en sistemas tales como CSAMDetection System, empleado recientemente por Apple (19) . Gracias a él, todas las imágenes que son almacenadas por dispositivos de Apple, son automáticamente guardadas en la iCloud; procediéndose a un sistema de escaneado CSAM, y a su comparación a través de la base de datos NeuralHash; donde las imágenes son sometidas a una comparativa con hashes respecto de los que se ha detectado la presencia de pornografía infantil o abusos sexuales a menores en línea. NeuralHash (20) chequea desde el propio cliente los contenidos que se almacenan en iCloud; obtiene el hash de los contenidos, y lo compara con una base de datos en la que se conservan datos facilitados por entidades o corporaciones que luchan contra el CSAM. La detección de coincidencias significativas (el sistema detecta pequeñas alteraciones del tipo recortes o ajustes de edición) que pudieran estar detrás de un mismo contenido alterado no impide la labor de comparación; y ello aunque el cambio provocara una variación en el hash original. Detectada la coincidencia se inicia un protocolo de actuación tendente primero a verificar el contenido y, si es preciso, adoptar medidas contra el usuario; arbitrándose a su vez mecanismos de revisión para cuando el cliente no esté conforme con la detección/verificación. El sistema, por tanto, no analizaría en un sentido estricto contenidos, al menos en un primer nivel de actuación; se limita a cruzar datos conocidos de hashes de los que se tiene constancia de su implicación en difusión de pornografía infantil con los hashes de las imágenes o contenidos que acceden a iCloud. Como podremos ver posteriormente, la herramienta Neuralhash ha inspirado indudablemente la concepción de toda la dimensión técnica del sistema de filtrado en que se basa el Reglamento (UE) 2021/1232 (LA LEY 17549/2021).

Una técnica similar, aunque más avanzada, basada en el procedimiento del hashing (expresión incluso empleada en el Considerando 7 del Reglamento) es usada por el CSAM Image Classifier (21) . Esta herramienta, facilitada por la Fundación Thorn —Digital Defenders of Children—, se sustenta en una clasificación de aprendizaje automático, por procedimientos de inteligencia artificial, que permite evaluar y predecir si un determinado archivo contiene imágenes de pornografía infantil o abuso de menores. La comparativa se realiza sobre conjuntos de datos correspondientes a cientos de miles de imágenes, incluida la pornografía para adultos, CSAM y varias imágenes benignas; con lo que el abanico de posibilidades de detección se expande más allá de hashes plenamente identificados o pequeñas variantes de los mismos, hasta alcanzar a imágenes hasta entonces desconocidas. El procedimiento genera hashes criptográficos y perceptivos para imágenes; comparando éstos con hashes CSAM conocidos. El hashing, al igual que sucede en el CSAMDetection System de Apple, se lleva a cabo en la infraestructura propia del cliente asociado para mantener en la medida de lo posible su privacidad. El sistema cuenta asimismo con la misma herramienta comparativa aplicada a archivos de vídeo, el Video Hash Matching; a la vez que un sistema de compartición de información, el SaferList for Detection, que permite comparar los hashes aportados por los distintos clientes asociados, ampliando así las capacidades de detección.

La tendencia actual se dirige decididamente a tratar de aunar esfuerzos entre las principales operadoras del mundo de Internet y las redes sociales; en la que destaca la labor desarrollada por el consorcio Internet Watch Foundation (22) ; tratando de facilitar la compartición de herramientas de detección de contenidos de abusos sexuales a menores compartidos, distribuidos o poseídos a través de las redes de comunicaciones, gracias a la utilización conjunta de herramientas de hashing tales como la ya citada PhotoDNA o MD5. Iniciativa que ha permitido que gigantes del sector como Facebook, Google, Microsoft, Twitter y Yahoo aúnen sus esfuerzos mediante la compartición de información; permitiendo a su vez la inactivación, clausura, de un promedio diario de 500 sitios web relacionados con la compartición de pornografía infantil (23) .

II. Sobre la necesidad de articular una excepción a la norma prohibitiva de los arts. 5.1, 6.1 y 15.1 de la Directiva 2002/58/CE

La técnica del filtrado, una vez superada la simple labor de ciberpatrullaje basada en el solo escrutinio de la información compartida en redes P2P en busca de coincidencias de hashes sospechosos, supone, nunca lo olvidemos, una labor de inmisión tanto en datos de tráfico, como metadatos, como contenidos de comunicaciones electrónicas. Es cierto que buena parte de la información que se presenta en forma de metadatos (24) en paquetes de datos que circulan por Internet se hace igualmente visible a través de las cabeceras IP —IP headers—, que por definición y por su propia funcionalidad son vulnerables al escrutinio ajeno sin necesidad de empleo de herramientas que interfieran o se adentren en un determinado proceso comunicativo; pero bien sea desde la dimensión de la protección formal del secreto frente al conocimiento ajeno o por simple aplicación de criterios de expectativa razonable de privacidad en el normal uso de las redes de telecomunicaciones o servicios de la sociedad de la información, es evidente que una tal búsqueda, el escrutinio de contenidos compartidos o transmitidos por estas vías, afectaría al principio de confidencialidad de las comunicaciones garantido en el art. 7 de la Carta de Derechos Fundamentales de la Unión Europea (LA LEY 12415/2007) —CDFUE—; al igual que el acceso, almacenamiento y consiguiente tratamiento de la información obtenida y su posterior contraste con bases de datos de hashes sospechosos de contener pornografía infantil afectaría al derecho a la protección de datos personales del art. 8. La aplicación directa de ambos preceptos sería consecuencia del mandato de los arts. 5.1 y 15.1 de la Directiva 2002/58/CE (LA LEY 9590/2002) (25) , y su expansión al ámbito de servicios de comunicaciones interpersonales independientes de la numeración por mandato de la Directiva (UE) 2018/1972 (LA LEY 20019/2018) (26) ; la protección de estos datos, por el Reglamento General de Protección de Datos (LA LEY 6637/2016) —Reglamento (UE) 2016/1979, en lo sucesivo RGPD (27) —.

La técnica del filtrado encontraba cierto nivel de respaldo, o mejor dicho condescendencia, a nivel de la Unión Europea, como consecuencia de ser una labor indispensable para el buen gobierno del libre tráfico de datos a través de las redes de telecomunicaciones, mediante la implicación del llamado principio de neutralidad en la red. Incluso buena parte de las políticas de seguridad de los proveedores, que no olvidemos estaban obligados a implementar medidas de seguridad para proteger a los usuarios de amenazas en la red, partían, además, de la necesidad de realizar filtrados de contenidos transmitidos o compartidos en red en busca de tales amenazas externas. Este principio nace en el ámbito del Derecho de la Unión como reacción a la tendencia de prestadores de servicios de Internet —PSI— a realizar discriminaciones, bloqueos y filtrados de comunicaciones en función de varios criterios; entre los que se encontraban la cualidad del cliente a efectos comerciales o la política comercial de dar preferencia a determinados contenidos frente a otros (transferencia de datos frente a P2P,…). Por ello, tal principio orientador de la política de la Unión Europea pretendía avanzar hacia el establecimiento de instrumentos jurídicos eficaces que instauraran a nivel normativo la regla general de que tales operadores no pudieran, a su elección, y salvo justificación técnica, dar prioridad o ralentizar el acceso a determinadas aplicaciones o servicios. Un primer acercamiento a tal necesidad de actuación de la Unión encontró como hito crucial el Dictamen del Supervisor Europeo de Protección de Datos sobre la neutralidad de la red, la gestión del tráfico y la protección de la intimidad y los datos personales (DOUE 2012/C 34/01); y como último referente normativo al Reglamento (UE) 2015/2120 (LA LEY 17960/2015) (28) . Esta norma llega a reconocer finalmente un principio de salvaguardia del derecho de los ciudadanos al acceso a una Internet abierta; abriéndose a la posibilidad de aplicación por las operadoras de técnicas de filtrado destinadas a la mejora de la operatividad del servicio, a asegurar una gestión razonable del tráfico, siempre que se adaptaran a los principios de transparencia, no discriminación y proporcionalidad —art. 3.2 del Reglamento (UE) 2015/2120 (LA LEY 17960/2015)—. Pero la misma norma imponía como límites la prohibición expresa de que tales medidas no permitan supervisar lo que se define como contenido específico y que no se mantengan por más tiempo del necesario. El Reglamento no define en concreto qué entiende por contenido específico; aunque si acudimos a lo que nos dice su considerando 10 («La gestión razonable del tráfico no requiere técnicas que supervisen el contenido específico de los datos que se transmiten por el servicio de acceso a internet»), llegaremos a la conclusión de que lo que se pretende proteger es la información que se transmite en la carga útil de los distintos paquetes de datos que circulan por Internet: su contenido.

Nunca deberíamos olvidar que tanto el filtrado de comunicaciones electrónicas que pretende el Reglamento (UE) 2021/1232 (LA LEY 17549/2021), como el de datos almacenados en repositorios externos que practican determinados prestadores de servicios de Internet por propia iniciativa no tienen por cometido facilitar el correcto y eficiente tránsito de información en la red, sino descubrir situaciones de abuso sexual de menores o compartición de pornografía infantil. Esta labor de vigilancia puede encontrar su base o justificación en la autoprotección de los propios usuarios, mediante el empleo de técnicas de control parental o autocontrol a nivel de usuarios de una concreta red o empresa; pero también en la obtención, casi automática o por defecto, de un consentimiento de los usuarios para que los datos o comunicaciones que comparten o los contenidos que albergan en la nube, puedan ser objeto de una labor de vigilancia por parte de las operadoras que les prestan sus servicios de acceso a Internet en general, redes sociales, comunicaciones electrónicas bidireccionales o multidireccionales o almacenamiento de datos en red. Consentimientos que generalmente suelen estar amparados en normas jurídicas de protección de datos bastante menos estrictas que las que rigen en el Derecho de la Unión; y que podrían poner en cuestión la propia legitimidad de su utilización como evidencias en investigaciones criminales desarrolladas en el marco territorial y jurídico de la Unión Europea.

Que pudieran existir normas jurídicas a nivel de los Estados miembros que llegaran a imponer sistemas de filtrado para algunas finalidades legítimas concretas era una afirmación que incluso llegó a encontrar un cierto respaldo en el Tribunal de Justicia de la Unión Europea. La solución que plantea a este respecto la STJUE, Sala 3ª, de 24 de noviembre de 2011 (asunto C-70/10 (LA LEY 211678/2011)), parte de una dimensión estática de los datos compartidos a través de redes P2P, que los haría susceptibles de alguna forma de control externo o filtrado (29) ; aunque no, desde luego, excesiva, omnicomprensiva, ilimitada en el tiempo y que haga residir la carga de su llevanza exclusivamente en los operadores de comunicaciones. La sentencia resolvía cuestión prejudicial en la que se discutía la licitud de la imposición de sistemas de filtrado de comunicaciones tipo P2P y recopilación e identificación de direcciones IP, a los efectos de comprobar la existencia de descargas ilícitas de contenidos amparados por derechos de la propiedad intelectual.

Resulta imposible negar que estas técnicas de filtrado, dirigidas al hallazgo de contenidos ilícitos relacionados con los abusos sexuales de menores en línea, a que se refiere el Reglamento (UE) 2021/1232 (LA LEY 17549/2021), constituirían un tratamiento de datos personales en los términos a que se refiere el art. 4.2 del RGPD (LA LEY 6637/2016). El ámbito territorial del RGPD, por mandato de su art. 3.1 (30) , y aunque ello pudiera suponer una colisión de normas con los ordenamientos internos de otros Estados, especialmente el de la sede jurídica del prestador o del lugar donde se almacenen y gestionen los datos facilitados por sus clientes, abarcaría indiscutiblemente a las bases de datos y herramientas destinadas a la localización de archivos de pornografía infantil. Las posibilidades de prestación de un consentimiento específico al empleo de tales técnicas de filtrado en búsqueda de dichos contenidos ilícitos, como consecuencia de la prestación de un determinado servicio de la sociedad de la información, dentro de los márgenes del principio de licitud del tratamiento, de conformidad con lo establecido en su art. 6, sería, en este marco, aparentemente indiscutible. Pero es que la propia norma que regula el principio de licitud del tratamiento establecía como auténtica excepción a esta prevalencia del previo consentimiento del interesado para el tratamiento de sus datos personales para uno o varios fines específicos, aquellas situaciones en que «el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño» —art. 6.1,f—. El apartado 4 del mismo precepto (31) condiciona la posibilidad de tratamiento de datos sin consentimiento del interesado al cumplimiento a una serie de condicionantes, basados en la garantía de los principios de necesidad y proporcionalidad en el contexto de una sociedad democrática, y con la finalidad específica de salvaguardar los objetivos indicados en el art. 23, apartado 1; entre los que se encontraban la prevención y detección de infracciones penales —apartado d)— y la protección de los derechos del interesado y de los derechos y libertades de otros —apartado i)—. Y teniendo en cuenta que las técnicas empleadas, aunque supusieran una inmisión automática sobre metadatos y contenidos de paquetes de datos que circulaban o tenían por destino circular por Internet, no eran por regla general sino auténticas búsquedas ciegas dirigidas a contrastar los hashes almacenados en bases de datos propias sobre archivos gráficos o audiovisuales de demostrada relación con la pornografía infantil y el abuso sexual de menores, las expectativas de superación de tales criterios de ponderación eran bastante altas.

Pero esta consideración alcanzaría validez jurídica en tanto en cuanto no pudiéramos relacionar este supuesto de filtrado de contenidos realizado por prestadores de determinados servicios de la sociedad de la información consistentes en la facilitación de comunicaciones unidireccionales o bidireccionales entre sus clientes o el almacenamiento de datos externos gestionados por aquéllos con el régimen peculiar de las comunicaciones electrónicas sometidas al mandato de la Directiva 2002/58/CE (LA LEY 9590/2002). En tanto en cuanto estas formas de comunicación pudieran participar de la condición de comunicaciones electrónicas a los efectos de lo establecido en la Directiva 2002/58/CE (LA LEY 9590/2002), sí deberían someterse a esas estrictas limitaciones del principio del consentimiento que se fundamentan en los criterios de funcionalidad y estricta utilidad en su conservación y tratamiento; en un contexto en el que tales consentimientos encontrarían un dificilísimo encaje jurídico. No debemos olvidar que el art. 95 del Reglamento (UE) 2016/679 (LA LEY 6637/2016), aunque no cierra la posibilidad de expandir buena parte de su articulado y principios a aquélla, destaca la consideración de la Directiva 2002/58/CE (LA LEY 9590/2002) como una regulación excepcionada de su mandato; en tanto en cuanto la aplicación de concretas normas del RGPD supusiera la imposición de «…obligaciones adicionales a las personas físicas o jurídicas en materia de tratamiento en el marco de la prestación de servicios públicos de comunicaciones electrónicas en redes públicas de comunicación de la Unión en ámbitos en los que estén sujetas a obligaciones específicas con el mismo objetivo establecidas en la Directiva 2002/58/CE (LA LEY 9590/2002)». Y esto resultará trascendental, pues, no olvidemos, los destinatarios finales de las obligaciones impuestas en la Directiva 2002/58/CE (LA LEY 9590/2002) no eran sino los prestadores de servicios públicos de comunicaciones electrónicas en redes públicas de comunicación, tal y como se establecía en su art. 3. Ello incluiría, obviamente no solo a los proveedores de servicios de comunicaciones electrónicas disponibles al público, sino también a los proveedores de las redes públicas de comunicaciones que den soporte a dispositivos de identificación y recopilación de datos —art. 3 in fine— y a los prestadores que exploten redes públicas de comunicaciones. Pero quedarían, por tanto, fuera de su ámbito de aplicación los prestadores de servicios de la sociedad de la información, por mucho que su cometido fuera idéntico al de aquéllas.

Sin duda, el temor a una previsible fuerte oposición por parte de las grandes compañías del sector de las redes sociales, buscadores o fabricantes y distribuidores/gestores de dispositivos de telecomunicaciones, y así se reconoce veladamente en la Directiva (UE) 2018/1972 (LA LEY 20019/2018), considerando 9, llevó al legislador comunitario a corregir esta aparente incongruencia de una manera tan sutil que prácticamente ha quedado inadvertida. La Directiva (UE) 2018/1972 (LA LEY 20019/2018) es considerada como una norma que expande el mandato de la Directiva 2002/58/CE (LA LEY 9590/2002) a los que define como servicios de comunicaciones interpersonales independientes de la numeración; entre los que enuncia al correo web y los servicios de mensajería —Considerando 7—.

La asimilación es tan sutil que solamente de una detenidísima lectura de la norma puede llegarse a tal conclusión; incluso doctrinalmente discutible. El primer acercamiento entre los proveedores de servicios de comunicaciones electrónicas disponibles al público y los proveedores de servicios de comunicaciones interpersonales independientes de la numeración se encuentra en su considerando 18; y se hace en el sentido precisamente inverso, de justificar un trato diferenciado respecto de aquéllos, solo excepcionable cuando concurriera una razón de interés público (32) . Sin embargo, en el considerando 42, con correlación con el art. 1.2, ya se les da un trato análogo en cuanto respecta a la excepción a la necesidad de sometimiento a previa autorización administrativa a la puesta en funcionamiento; criterio de exclusión que se verá reforzado en el considerando 44. Sin embargo, aquí ya se encuentra un claro posicionamiento por ese criterio de equiparación que proclama el Reglamento (UE) 2021/1232 (LA LEY 17549/2021) en su considerando 9; toda vez que estos servicios de comunicaciones interpersonales independientes de la numeración son considerados como una categoría más de las sometidas a la Directiva (UE) 2018/1972 (LA LEY 20019/2018) (33) . La equiparación alcanzará igualmente a la necesidad de implantación de medidas de seguridad equiparables a la trascendencia del servicio prestado y al riesgo ínsito en este tipo de comunicaciones —considerando 95—; servirá de justificación para, en aplicación del principio de proporcionalidad, excluir de la estricta aplicación de determinados derechos de los usuarios en atención a la dimensión (microempresas) de la empresa prestadora —considerando 255, en concordancia con el art. 98, respecto de todo aquello que no afectara a los principios de no discriminación y salvaguardia de derechos fundamentales regulados en los arts. 99 y 100—; para la definición conjunta de los denominados servicios agrupados —considerando 283—, así como para la imposición de soluciones de interoperabilidad en el supuesto de que la conectividad extremo a extremo entre usuarios finales esté en peligro —art. 61.1,c—.

Sin embargo, el Anexo I excluye a los servicios de comunicaciones interpersonales independientes de la numeración de la llamada Lista de condiciones que pueden asociarse a las autorizaciones generales (apartado A.1). Lista en la que entre sus cláusulas se encuentran la (p)rotección de los datos personales y de la intimidad específica del sector de las comunicaciones con arreglo a la Directiva 2002/58/CE (LA LEY 9590/2002) —apartado 2— y el (p)ermiso de interceptación legal por las autoridades nacionales competentes conforme al Reglamento (UE) 2016/679 (LA LEY 6637/2016) y a la Directiva 2002/58/CE (LA LEY 9590/2002). Y esta exclusión comportaría implicitamente, nada más y nada menos, que una no aplicación de los arts. 5 (LA LEY 9590/2002) y 15.1 de la Directiva 2002/58/CE (LA LEY 9590/2002), en cuanto a la posible regulación de excepciones al principio de confidencialidad de contenidos, datos de tráfico y datos de geolocalización distintos a los de tráfico. De esta guisa, nos encontramos con que a nivel del Derecho de la Unión, estos proveedores de servicios de la sociedad de la información, sin perjuicio de tener garantizados tales derechos de conformidad con el mandato de los arts. 7 (LA LEY 12415/2007), 8 (LA LEY 12415/2007) y 52 de la CDFUE (LA LEY 12415/2007), quedarían excluidos de los arts. 5 (LA LEY 9590/2002) y 15.1 de la Directiva 2002/58/CE (LA LEY 9590/2002); aunque la implicación de tales derechos fundamentales quedara garantizada por el art. 100.2 de la Directiva (UE) 2018/1972 (LA LEY 20019/2018) (34) , y su indiscutible correlación con el Reglamento General de Protección de Datos (LA LEY 6637/2016). La total sumisión de estos prestadores de servicios de la sociedad de la información que facilitan herramientas de mensajería instantánea o comunicaciones bidireccionales a la Directiva 2002/58/CE (LA LEY 9590/2002), con la consiguiente aparente excepción de aplicación del RGPD, que lo era, no lo olvidemos a los solos efectos de imposición de más obligaciones a los operadores concernidos por la norma, podría por ello ser considerada más como un desiderátum que como un incontestable jurídico.

El origen de este pretendido principio de plena equiparación, como nos dirá la Opinión del Supervisor Europeo de Protección de Datos 7/2000 sobre la Propuesta de Reglamento relativo a la aplicación de excepciones temporales a la Directiva 2002/58/CE (LA LEY 9590/2002) para combatir el abuso sexual de menores en línea (35) , se encuentra en la Comunicación de la Comisión al Parlamento Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las Regiones: Estrategia de la UE para una lucha más eficaz contra el abuso sexual de menores de 24 de julio de 2020 —COM(2020) 607 final— (36) ; donde se hace eco precisamente de esa expansión del mandato de la Directiva 2002/58/CE (LA LEY 9590/2002) a servicios tales como la mensajería y el correo electrónico (37) . Ello habría de comportar que, a la entrada en vigor de la Directiva (UE) 2018/1972 (LA LEY 20019/2018) el 20 de diciembre de 2020, estas medidas voluntarias de filtrado de contenidos por parte de determinados prestadores de servicios de la sociedad de la información dejarían de tener cobertura legal dentro del ámbito propio del Derecho de la Unión. Ésta y no otra es la razón última que se esconde detrás del legislador comunitario a la hora de regular en el Reglamento (UE) 2021/1232 (LA LEY 17549/2021) una excepción temporal a la aplicación en concreto de los arts. 5.1 y 6.1 de la Directiva 2002/58/CE (LA LEY 9590/2002); e, indirectamente, 15.1, lógicamente. Se da por ello la paradoja de que la indiscutible confirmación de la tesis sostenida por la Comisión no ha de encontrarse en la norma a la que se atribuye tal efecto, sino gracias a la confirmación que de ello se deduce en el mandato del nuevo Reglamento; especialmente en su considerando 9 y en sus arts. 1 y 3.1. Que en la decisión de aprobación de la norma de excepción temporal haya tenido una fuerte influencia, además, la más reciente jurisprudencia del TJUE es algo innegable. Abordaremos brevemente esta influencia al realizar la valoración final sobre conformidad con el Derecho de la Unión y la jurisprudencia del Tribunal Europeo de Derechos Humanos —TEDH— de la norma.

III. Breves notas sobre la regulación del filtrado de contenidos y datos de tráfico por proveedores de servicios de comunicaciones interpersonales independientes de la numeración en el Reglamento (UE) 2021/1232

Fácil resulta constatar cómo lo que pretende el Reglamento (UE) 2021/1232 (LA LEY 17549/2021) no es sino dar una cobertura provisoria a las estrategias corporativas de los grandes prestadores de servicios de Internet de aplicar herramientas de filtrado en la detección y neutralización de contenidos de pornografía infantil o abusos sexuales de menores en línea; y ello ante la constatación por las altas instituciones de la Unión Europea de que no solo estas prácticas estaban reportando un éxito incontestable en la lucha frente a tan execrables conductas, sino que a corto plazo una respuesta institucional que pretendiera dar un similar nivel de cobertura era, simplemente inviable. La propia constatación de la variación del escenario que suponía ese casi subliminal sometimiento de algunos de estos operadores que prestaban servicios de comunicaciones vía Internet a la férrea disciplina de la Directiva 2002/58/CE (LA LEY 9590/2002), como consecuencia de la entrada en vigor de la Directiva (UE) 2018/1972 (LA LEY 20019/2018), forzó una polémica decisión del Consejo de la Unión Europea por imponer este régimen temporal excepcional; aun frente a la decidida opinión contraria del Supervisor Europeo de Protección de Datos y una jurisprudencia del Tribunal de Justicia que comprometía peligrosamente su conformidad con el Derecho de la Unión.

Pero el gran salto hacia delante de la norma pasa por convertir lo que hasta entonces era una decisión corporativa altruista y voluntaria en obligación legal derivada del solo hecho de prestar determinados servicios de la sociedad de la información en el ámbito territorial de la Unión. La voluntariedad torna en obligatoriedad; y lo que a la postre debería ser responsabilidad de las fuerzas policiales o agencias estatales dedicadas a la prevención de la comisión de esta clase de delitos en red, pasa a ser cometido de unos prestadores de servicios que han de asumir, ope legis, el rol de auténticos auxiliares en la labor del ciberpatrullaje.

Los destinatarios de la norma, anticipa ya su art. 1.1, serán precisamente esos nuevos personajes sometidos al yugo de la Directiva 2002/58/CE (LA LEY 9590/2002): proveedores de servicios de comunicaciones interpersonales independientes de la numeración. La obligación, en términos generales, del empleo de tecnologías específicas para el tratamiento de datos personales y de otro tipo destinadas a la detección de abusos sexuales de menores en línea cometidos a través de sus servicios, denunciarlos y proceder a su retirada. La norma afectará tan solo a contenidos gráficos o fonográficos; mas no comunicaciones de audio —art. 1.2—.

El concepto de servicio de comunicaciones interpersonales independientes de la numeración se remite a lo dispuesto en el art. 2.7 de la Directiva (UE) 2018/1972 (LA LEY 20019/2018); tal y como se deduce del art. 2.2. Este concepto abarcaría, por tanto, a todo «servicio de comunicaciones interpersonales que no conecta a través de recursos de numeración pública asignados, es decir, de un número o números de los planes de numeración nacional o internacional, o no permite la comunicación con un número o números de los planes de numeración nacional o internacional». De este modo, toda intermediación en procesos comunicativos aprovechando canales o redes de comunicaciones electrónicas, cuando estas comunicaciones lo fueran «...entre un número finito de personas, en el que el iniciador de la comunicación o participante en ella determina el receptor o receptores y no incluye servicios que permiten la comunicación interpersonal e interactiva como una mera posibilidad secundaria que va intrínsecamente unida a otro servicio», estaría sometida al mandato de la norma. La prestación de servicios de mensajería instantánea, chats, o correo electrónico supondría la obligación de sometimiento al mandato del Reglamento. Y solamente quedaría excluida, en tanto que estos servicios no fueran sino una prestación adicional o secundaria; como sucedería, por ejemplo, con redes sociales que permitieran comunicaciones interpersonales de los usuarios a través de un chat privado como simple opción. Quedan curiosamente también fuera de esta obligación, pero también del sometimiento mismo a la Directiva 2002/58/CE (LA LEY 9590/2002), el análisis automatizado de información albergada en la nube por aplicaciones tales como el iCloud, con la misma finalidad de lucha contra los abusos sexuales de menores en red, así como el control de búsquedas a través de motores de búsqueda —browsers— mediante aplicación de sistemas de alarma por empleo de palabras clave catalogadas como relacionadas con este tipo de actividad ilícita.

El concepto de abuso sexual de menores en línea se asocia al art. 2 de la Directiva 2011/93/UE (LA LEY 24038/2011) (38) , a través de una norma de remisión contenida también en el art. 2.1) del Reglamento. Este concepto abarcará, por ello, al amplio concepto de pornografía infantil, tal y como es definida en el art. 2,c) de la Directiva 2011/93/UE (LA LEY 24038/2011) (39) ; así como el de espectáculo pornográfico; considerándose como tal la exhibición en directo dirigida a un público por medio de las tecnologías de la información y la comunicación de un menor participando en una conducta sexualmente explícita real o simulada, o de los órganos sexuales de un menor con fines principalmente sexuales —art. 2,e)—. Pero también toma en consideración el Reglamento el concepto de embaucamiento de menores; que se relaciona igualmente con el concepto de tal recogido en el art. 6.1 de la Directiva 2011/93/UE (LA LEY 24038/2011) (40) . Esta consideración expande el objeto de escrutinio a objetos que van más allá del intercambio de imágenes; pues alcanza a conversaciones dirigidas a obtener comportamientos sexuales activos por parte de menores, generalmente a través de conversaciones vía chat o correspondencia electrónica (41) . El embaucamiento de menores, como nuevo objetivo de cibervigilancia, no entraba necesariamente en los patrones de búsqueda asociados a la lucha contra los abusos sexuales de menores en la red. Es un ámbito añadido que impone el legislador comunitario como objeto de tutela; y que encuentra un claro reflejo en la diferenciación que se hace entre tratamiento legal de la tecnología actualmente en funcionamiento y de tecnologías que se diseñen en el futuro en los apartados c) y d) del art. 3.1 del Reglamento.

La salvaguardia de la confidencialidad de las comunicaciones y la limitación del tratamiento de datos a finalidades concretas relacionadas con criterios de funcionalidad para el buen tránsito de la comunicación o necesidades propias de la facturación impuestos en los arts. 5.1 y 6.1 de la Directiva 2002/58/CE (LA LEY 9590/2002) quedará excepcionada, por ello, conforme a lo establecido en el art. 3.1 del Reglamento, en tanto en cuanto ello sea estrictamente necesario para la finalidad de «...detectar y retirar el material de abuso sexual de menores en línea y denunciarlo a las autoridades policiales y a las organizaciones que actúen en interés público contra los abusos sexuales de menores, y de detectar el embaucamiento de menores y denunciarlo a las autoridades policiales y a las organizaciones que actúen en interés público contra los abusos sexuales de menores».

Pero esta excepción se sujeta a otros condicionantes adicionales en el mismo precepto. El tratamiento, con clara reminiscencia del desarrollo del principio de licitud del tratamiento a que se refiere el art. 6 del Reglamento General de Protección de Datos (LA LEY 6637/2016), ha de ser proporcionado y limitado a tecnologías utilizadas por los proveedores para tales fines, así como abarcar tan solo a los datos de contenido y de tráfico estrictamente necesarios para dichos fines.

La norma se decanta con claridad por técnicas de filtrado que se basen en el procedimiento más generalizadamente utilizado hasta la fecha por las operadoras que se prestaban a tal labor de forma voluntaria: el hashing; al que de forma tan explícita se refiere el considerando 7 del Reglamento, cuando nos habla de tecnología de funciones de resumen (hashing) para imágenes y vídeos; aunque también se remite a la posibilidad de empleo de clasificadores e inteligencia artificial para el análisis de textos o datos de tráfico. En este sentido, no pretende sino hacerse eco de las herramientas que hasta la fecha se estaban empleando para tal menester. Y se muestra comprensivo de la alta capacidad de respeto de los mismos principios que enarbola en su utilización práctica; aunque impone una adaptación a las posibilidades de respeto de tales principios conforme al estado de la técnica en el sector. Ahora bien, continúa el art. 3.1,b) imponiendo un principio de menor injerencia para la privacidad de los usuarios; hasta el punto de exigir que sean las menos intrusivas para la intimidad. Esta menor intrusividad se asienta también en la aplicación del principio de protección de datos desde el diseño y por defecto, a que se refiere el artículo 25 del Reglamento (UE) 2016/679 (LA LEY 6637/2016); así como a que estas herramientas «…se utilicen para escanear el texto de comunicaciones, que no sean capaces de deducir la sustancia del contenido de las comunicaciones, sino que sean únicamente capaces de detectar patrones que apunten a posibles abusos sexuales de menores en línea». Automatización y carácter selectivo de la búsqueda en ese primer plano de detección, tan propio de los sistemas de filtrado, se convierten de este modo en una exigencia insoslayable: Debe evitarse a toda costa que esa introspección en el análisis automatizado de datos de contenido y metadatos permita adentrarnos innecesariamente en el contenido mismo de la información analizada.

La distinción entre las tecnologías a las que el Reglamento está dando carta de naturaleza y la posible evolución de éstas o implantación de nuevas tecnologías se refleja en los dos siguientes apartados del art. 3.1. Las primeras habrán de ser sometidas a una evaluación de impacto relativa a la protección de datos conforme al mandato del art. 35 del RGPD (LA LEY 6637/2016); consecuencia directa de que estas técnicas entrañan un alto riesgo para los derechos y libertades de las personas físicas. Se exige igualmente el sometimiento a procedimiento de consulta a la autoridad nacional de control en los términos referidos en el art. 36 del mismo Reglamento. Cuando se trata de nuevas tecnologías surgidas con posterioridad al 2 de agosto de 2021, estas mismas obligaciones se ven implementadas con la aportación a la autoridad competente de cada Estado miembro de un informe sobre las medidas adoptadas para demostrar la conformidad con el asesoramiento por escrito emitido por la autoridad de control competente de conformidad con el artículo 36.2, del RGPD.

La funcionalidad y eficacia de las herramientas de filtrado o detección ganan protagonismo en las dos letras siguientes del art. 3.1. El apartado e) impone un criterio de fiabilidad; exigente de la minimización de la tasa de error en la detección de contenidos relacionados con abusos sexuales de menores en línea, así como procedimientos de rectificación de sus consecuencias sin demora. Cuando se trata de herramientas destinadas a la detección de actos de embaucamiento, el apartado f) se muestra más cauteloso, sin duda consciente del alto riesgo de injerencias innecesarias en contenidos de conversaciones que no necesariamente pudieran ir encaminadas a esa concreta finalidad ilícita; comprometiendo seriamente la posibilidad de respeto de criterios de proporcionalidad y necesidad en la injerencia sobre la confidencialidad de las comunicaciones que representan, hasta el punto de poder llegar a tensionarla severamente. Estas tecnologías destinadas a detectar tales patrones de comportamiento, por ello, habrán de limitarse al «…uso de indicadores fundamentales pertinentes y factores de riesgo identificados objetivamente, como la diferencia de edad y la probable participación de un menor en la comunicación escaneada, sin perjuicio del derecho a una revisión humana».

Las siguientes exigencias —apartado g)— inciden ya en el ámbito del control interno, código de conducta, del personal destinado a trabajar con las herramientas de filtrado. Se exige, por ello, el establecimiento de procedimientos internos «…para prevenir el abuso, el acceso no autorizado y las transferencias no autorizadas de datos personales y de otro tipo». La no plena automatización de las técnicas de selección del material ilícito, en claro parangón con el art. 22 del RGPD (LA LEY 6637/2016), se garantiza mediante la supervisión o incluso intervención humanas en relación con la aplicación de dichas tecnologías (42) ; así como mediante la exigencia de una confirmación humana previa a la remisión a las autoridades policiales u organizaciones que actúan en interés público contra los abusos sexuales de menores de aquellos materiales que no se hayan considerado anteriormente material de abuso sexual de menores en línea (43) . Estas exigencias vienen acompañadas de la obligación de publicación y remisión de informes anuales sobre la actividad desarrollada; incluyendo volumen de datos tratados, información sobre transferencia de datos personales fuera de la Unión u organizaciones con las que se hayan compartido datos (44) , número de casos detectados con índices o tasas de error y medidas aplicadas para la minimización de éstos, y número de reclamaciones en relación con casos detectados.

Las garantías de los derechos de los usuarios igualmente adquieren un especial protagonismo en los subapartados iv) a vi) de la letra g). Esta garantía abarca al establecimiento de mecanismos de recurso adecuados; que, en caso de retirada de contenidos, bloqueo de cuentas o suspensión de servicios, deberá abarcar la indicación de la vía de recursos a nivel interno del prestador, posibilidad de presentar reclamación ante la autoridad de control, así como información sobre el derecho a un recurso judicial en los términos a que se refiere el art. 5 (45) . Esta misma garantía impone igualmente un específico deber de información a los usuarios, «…de manera clara, destacada y comprensible de que han invocado, de conformidad con el presente Reglamento, la excepción legal a los artículos 5, apartado 1, y 6, apartado 1, de la Directiva 2002/58/CE (LA LEY 9590/2002) en relación con la confidencialidad de las comunicaciones de los usuarios, únicamente para los fines establecidos en la letra a), inciso i), del presente apartado, la lógica subyacente a las medidas que hayan tomado en virtud de la excepción y el impacto en la confidencialidad de las comunicaciones de los usuarios, incluida la posibilidad de que los datos personales se compartan con las autoridades policiales y las organizaciones que actúen en interés público contra los abusos sexuales de menores» (46) .

La detección de un supuesto de abuso sexual de menores en línea es lo que, por mandato del apartado h), activa la necesaria adopción de una serie de medidas que tienden a garantizar la preservación de contenidos y datos de tráfico asociados, la evitación de la continuidad de la acción ilícita y el deber de puesta en conocimiento del hecho a la autoridad competente por el correspondiente canal de denuncias. Unos y otros deben ser almacenados en forma segura; y ello abre paso al deber de dar cumplimiento a una serie de deberes relacionados con tal cometido.

El primer paso ha de ser el de la denuncia; que podrá dirigirse tanto a autoridades policiales y judiciales competentes, como a organizaciones que actúen en interés público contra los abusos sexuales de menores. El apartado j) insiste en este deber, aunque clarifica que el deber de denuncia exigirá no solo la detección del presunto abuso; sino el carácter fundado de la sospecha y el deber de verificación. Recuérdese en este sentido la obligación que se impone en el apartado g), subapartado iii) de someter a confirmación humana todo material de abuso sexual en línea que no haya sido previamente catalogado, considerado anteriormente como material de abuso sexual de menores en línea. De este modo, sí se dispensarían del deber de confirmación humana aquellas detecciones que partieran de la coincidencia con hashes asignados a contenidos ilícitos previamente detectados; en los que la verificación de coincidencia se limitaría a la confirmación de su inclusión en la correspondiente base de datos. Cuando se aplicaran herramientas basadas en la búsqueda de semejanzas significativas, como sucede con la herramienta NeuralHash, sería conveniente, al menos en mi modesta opinión, someter el hallazgo a confirmación humana; como única forma de poder tener conocimiento real de unas variaciones que podrían privar de naturaleza ilícita al contenido (47) .

La siguiente obligación podría plantear serias dudas sobre su proporcionalidad y necesidad; pues se impone «bloquear la cuenta del usuario de que se trata, o de suspender o poner fin a la prestación del servicio a dicho usuario». En no pocas ocasiones será suficiente con garantizar la preservación del archivo ilícito, sin necesidad de bloquear al usuario en el uso de unas herramientas de comunicaciones que pueden resultar esenciales para el desarrollo de su vida profesional o social; y más en un contexto en el que la detección puede deberse a una situación absolutamente ocasional o simple error del usuario (48) . De hecho, esta norma contrasta con claridad con el objetivo marcado en el art. 1 del Reglamento, donde se habla no tanto de bloqueos de cuentas o suspensiones de servicios, como de «…retirar el material de abuso de menores en línea de sus servicios». Para retirar de la circulación el material ilícito no es preciso, siempre y en todo caso, bloquear la cuenta del presunto infractor o dejarle sin prestar determinados servicios, como si de una sanción contractual de origen legal se tratara.

Un archivo pornográfico compartido puede tener años de vida y circular impunemente por las redes de comunicaciones

El subapartado iii) de la letra g) se muestra acorde con las herramientas basadas en el hashing como forma de etiquetar archivos o contenidos ilícitos y facilitar la detección de contenidos mediante la inserción en bases de datos propias para facilitar la detección en futuros intercambios (49) . La norma, sin embargo, guarda silencio sobre la posibilidad de compartición de estos hashes entre distintos prestadores o con autoridades policiales; ni menos sobre los procedimientos y salvaguardias que deberían cumplirse para tal cometido, en el que reside la clave para la eficacia de estas herramientas de filtrado. Además, es una exigencia que llega a descontextualizarse del proceso mismo de tratamiento del dato concreto captado; para pasar a ser un simple referente que permitirá la detección de ulteriores eventuales utilizaciones del mismo material ilícito. Un archivo pornográfico compartido puede tener años de vida; y circular impunemente por las redes de comunicaciones, sin que ello comporte tener que relacionarlo con el usuario a quien se detectara compartiéndolo o transmitiéndolo a terceras personas.

El subapartado iv) de la misma letra g) es el que impone la garantía de la recurribilidad por parte del usuario afectado de la decisión del prestador de almacenar, denunciar y bloquear contenidos y servicios; para lo cual deberán arbitrarse las medidas adecuadas que faciliten el ejercicio de dicho derecho.

El subapartado i) impone límites funcionales y temporales a la preservación o retención de los datos que se consideren relacionados con una situación de abuso sexual en línea. No deberán, por ello, almacenarse «…más tiempo del estrictamente necesario para el fin pertinente establecido en la letra h) y, en cualquier caso, no más de doce meses a partir de la fecha en que se detectó el presunto abuso sexual de menores en línea». Ello deberá entenderse, sin duda, independientemente de la orden de conservación que pueda imponerse por la autoridad competente en orden a poder servir de evidencia en una investigación criminal o permitir la práctica de pruebas periciales con acceso a la información original detectada.

El deber de colaboración con autoridades policiales y judiciales competentes, más allá del deber de denuncia, viene establecido, finalmente en el subapartado v). Norma que impone a los prestadores la obligación de responder a las solicitudes remitidas por éstas, dirigidas a proporcionarles «…los datos necesarios para la prevención, detección, investigación o enjuiciamiento de infracciones penales establecidas en la Directiva 2011/93/UE (LA LEY 24038/2011)». La información, por ello, es solo accesible para la persecución de las infracciones criminales relacionadas con el abuso sexual de menores, tal y como es concebido en las distintas modalidades típicas que se describen en la Directiva 2011/93/UE (LA LEY 24038/2011); no para otras infracciones criminales sin conexión con tales delitos. La norma se abre a la posibilidad de que las autoridades investigadoras cuenten con fuentes de conocimiento propias, incluidas herramientas basadas en técnicas de hashing, bien para cotejar información, bien para poder ampliar o contrastar información facilitada previamente a través de los canales de denuncia por el propio prestador.

El Reglamento establece un plazo de vigencia de tres años, según se colige del mandato del párrafo segundo de su art. 10; sin que se llegue a justificar, más allá de reducir el plazo inicialmente previsto en el texto del proyecto de cinco años, sin duda siguiendo el consejo de la Opinión del Supervisor Europeo de Protección de Datos, las razones de tal extensión temporal de una medida.

IV. ¿Es conforme el Reglamento con el derecho primario de la Unión Europea y el Convenio Europeo de Derechos Humanos?

La posición del Supervisor Europeo de Protección de Datos se decantó, finalmente, en su Opinión 7/2020 antes citada, por mostrar su desacuerdo con los términos en los que se había redactado la Propuesta del Reglamento (UE) 2021/1232 (LA LEY 17549/2021). En este informe desfavorable se destacaba el temor real de que esta regulación excepcional pudiera expandirse a la salvaguardia de otros bienes o valores jurídicos; pues se trataba del empleo de una técnica invasiva sobre la privacidad de los ciudadanos que comparten datos en forma de sentimientos, impresiones o imágenes a través de las redes de comunicaciones electrónicas. Este riesgo hace que el Supervisor Europeo se muestre reacio a la aprobación de la norma hasta que no se establecieran las garantías que seguidamente se describen en sus conclusiones.

Aun así esta comprensible preocupación, que trasciende en modo de oposición condicionada, partía de un claro sesgo en la valoración realizada de la norma comunitaria: Presuponer que la norma era más una excepción al RGPD que a la aplicación de la cláusula de exceptuación contenida en el art. 15.1 de la Directiva 2002/58/CE (LA LEY 9590/2002). Las constantes referencias que se hacen en el Reglamento al RGPD sin duda que acabarían por lastrar tal convicción a la hora de abordar su análisis; pero no deberíamos olvidar que, pese a esa reiterada remisión al RGPD que se contiene en el Reglamento (UE) 2021/1232 (LA LEY 17549/2021), la Directiva 2002/58/CE (LA LEY 9590/2002) en la que se enmarca el supuesto excepcional no es sino un régimen especial que no permite la imposición de nuevas cargas a los operadores obligados más allá de las establecidas en ésta; que la aplicación de diversas normas jurídicas y obligaciones que tienen por fuente al RGPD no serían en este caso sino cumplimiento del mandato específico del Reglamento. No es correcto, como pretende dicho dictamen, poner en cuestión si la Propuesta en sí misma tuviera o no por objeto «…proporcionar una base jurídica para el tratamiento de datos a los efectos del Reglamento General de Protección de Datos (LA LEY 6637/2016)». La base jurídica es simplemente diversa; y la referencia al RGPD adquiere un rol meramente instrumental.

Pero donde sí hemos de establecer un amplio nivel de coincidencia, o al menos inquietud, es en la preocupación sí manifestada de que la norma está pretendiendo derivar a la iniciativa privada elementos nucleares de la regulación de esta excepción legal. Y es que el planteamiento sobre la suficiencia y eficacia de los sistemas de filtrado de informaciones circulantes a través de las redes, y, sobre todo, el estricto cumplimiento de los principios de proporcionalidad y necesidad de la medida, de su sujeción a un principio de estricta necesidad en el nivel de injerencia para la implentación de tales herramientas, se hace residenciar en una propuesta de los prestadores concernidos que, tras los correspondientes controles previos internos, simplemente habrá de someterse a las directrices de un organismo de control; el cual incluso podría entenderse que asume un rol casi legislativo, de definición de los parámetros que permitirán discernir si una determinada herramienta se ajusta o no a tales exigencias. Y ello, desde luego, como nos llega a sugerir el Supervisor Europeo, podría poner en entredicho el principio de legalidad; e incluso las exigencias propias del principio de previsibilidad de la norma habilitante, en su dimensión de la previa definición normativa y su cognoscibilidad por parte de los ciudadanos. La admonición en este sentido contenida en el apartado 54 no puede ser más explícita: «Es insuficiente disponer que las excepciones temporales se entienden "sin perjuicio" del RGPD y exigir una consulta previa a las autoridades de protección de datos. Los colegisladores deben asumir su responsabilidad y garantizar que la excepción propuesta cumple con los requisitos del artículo 15, apartado 1, de acuerdo con la interpretación del Tribunal de Justicia de la Unión Europea» Y ello, a riesgo, incluso de socavar la seguridad jurídica por no identificación debida de las medidas de excepción —apartado 56—. Se considera crucial la imposición de reglas claras y precisas sobre su ámbito de aplicación, así como la imposición de garantías mínimas «…para que las personas cuyos datos personales se vean afectados tengan suficientes garantías de que los datos recibirán una protección efectiva contra el riego de abuso».

Si bien la opción por someter a los propios prestadores a deberes de cibervigilancia e identificación de contenidos relacionados con abusos sexuales de menores en línea propios de las autoridades encargadas de la prevención y persecución de éstos es en sí misma arriesgada, hemos de decir que la argumentación vertida por el Supervisor pudiera ser en buena parte excesivamente rigorista. Por supuesto que echamos de menos una mayor definición de cuáles son las salvaguardias y garantías que debían regir la utilización de estas herramientas de filtrado de información incluso a nivel mismo de su diseño. Pero hemos de partir de la base de que el legislador comunitario en cierto modo está validando las herramientas ya en uso como punto de partida; a las que somete, sin embargo, a un inmediato control mediante una evaluación de impacto y procedimiento de consulta previa a la autoridad de control. Este estándar normalizado previo es sometido a claras indicaciones que tienden a garantizar la sujeción de tales herramientas a un incontestable principio de proporcionalidad entre la finalidad perseguida y la injerencia real a la que se somete a la ciudadanía; que comienzan por la elección de la solución del mínimo sacrificio posible en un contexto de proporcionalidad, y que restringe el nivel de inmisión a un nivel tal que impida adentrarnos a la sustancia del contenido de las comunicaciones no más allá de su finalidad única de detectar patrones que apunten a posibles abusos sexuales de menores en línea. Estos elementos definidores de la naturaleza propia de las herramientas de filtrado nos permiten poder elucidar qué clase de tecnología podría adaptarse a tales exigencias: sistemas de búsquedas ciegas totalmente automatizadas en un primer nivel de prospección; y que solamente permitirían sacar a la luz, identificándolos, aquellos contenidos que pudieran relacionarse con la finalidad de detección de situaciones de abuso sexual de menores en línea. Podría haberse adentrado el legislador aún más en el nivel técnico de la definición de tales tecnologías, y, sobre todo, evitar convertir a la autoridad de control en una especie de legislador capaz de imponer medidas adicionales a las propuestas en aplicación de tales principios sí definidos; pero una adecuada lectura del articulado del Reglamento, conciliada con la abundante información que se facilita en sus considerandos sobre a qué tecnología concreta se está refiriendo, podría permitir superar esos déficits de normatividad comprensiblemente destacables.

Por otra parte, los procedimientos de control interno en garantía de evitación de situaciones de abuso o arbitrariedad; la garantía adicional que supone la necesidad de someter a un criterio humano determinadas categorías de contenidos no previamente catalogados, y la ponderada necesidad de asegurar el principio de tutela judicial efectiva de los usuarios suponen una importante adición en el cumplimiento y respeto de tales principios informadores. Más dudoso, ya lo hemos anticipado, sería la automática aplicación de la verdadera sanción de bloqueo o suspensión de prestación de servicios derivada de una concreta interceptación de material ilícito; que requeriría de una modulación en su aplicación al caso concreto.

En cuanto a la limitación temporal de la medida legislativa, el Consejo optó finalmente por un acercamiento a la posición planteada por el Supervisor Europeo de Protección de Datos, reduciendo el plazo de cinco a tres años; cuando éste sugería no ir más allá de dos. Pero realmente esta limitación temporal carece de una justificación clara, no más allá de la evidente sincronía con la jurisprudencia del TJUE de la que seguidamente hablaremos. La norma no pretende establecer una excepción temporal para hacer frente a un preocupante incremento de los supuestos de intercambio de pornografía infantil, por mucho que éstos se recrudecieran durante los confinamientos derivados de la pandemia COVID-19; tampoco trata de buscar una solución perentoria mientras se buscaran eventuales nuevas soluciones legislativas, pues el avanzado proyecto de Reglamento conocido como ePrivacy (50) apenas ofrece variación frente a la situación anterior de la Directiva 2002/58/CE (LA LEY 9590/2002) a este respecto. Realmente no podemos encontrar otra explicación a esta excepción temporal que no sea la de la de regular esta práctica generalizada en la labor corporativa de prestadores de servicios de Internet, mientras se aborda la búsqueda de una solución pactada con éstos. Pero el excesivo tiempo transcurrido hasta que se aprobó definitivamente la norma, y su condicionamiento con la fecha de entrada en vigor de la Directiva (UE) 2018/1972 (LA LEY 20019/2018), nos hacen ver que la limitación temporal podría obedecer realmente a la urgencia en regular el sector antes de la entrada en vigor de ésta; aunque finalmente se postergara.

¿Pero sería acorde con la jurisprudencia del TJUE este régimen diseñado por el legislador comunitario?

Precisamente esa preocupación por la limitación temporal de la medida demuestra un evidente intento del legislador comunitario de adaptarse a unas exigencias del TJUE que lastraron severamente la propia existencia de regímenes de conservación preventiva de datos, una vez declarada la invalidez de la Directiva 2006/24/CE (LA LEY 3617/2006) (51) ; exigencias que tendrían por punto de arranque indiscutible a la STJUE (Gran Sala) de 21 de diciembre de 2016 (asuntos TELE2 SVERIGE AB y otros; C-203/15 y C-698/15). Esta sentencia, sin embargo era poco amiga de regímenes legales que establecieran un deber de conservación, que no retención, basado en la ingente recopilación preventiva de datos relativos a comunicaciones para una eventual ulterior utilización procesal. El esquema que planteaba la sentencia, dentro de la sintonía con el mandato del art. 15.1 de la Directiva 2002/58/CE (LA LEY 9590/2002), no era sino el de una orden de retención de datos acordada por una autoridad judicial, administrativa independiente, o simplemente administrativa sometida al control o supervisión de una autoridad judicial o administrativa independiente; para una finalidad lícita concreta de entre las relacionadas en dicho precepto, basada en criterios selectivos de naturaleza subjetiva, teleológica, espacial o territorial y temporal; y en el que el factor tiempo, entendido como duración de la medida excepcional, jugaba un trascendental papel en el juicio de proporcionalidad. Ni siquiera una solución legislativa como la Investigatory Powers Act británica, que permitiera la emisión por autoridades gubernativas de órdenes de retención de datos que apenas en nada se diferenciarían de regímenes legales de conservación preventiva y generalizada, tenía cabida en ese esquema diseñado en el precedente de la STJUE (Gran Sala) de 21 de diciembre de 2016, ni podría escapar de esta exigencia; tal y como advirtiera con contundencia el apartado 2 del fallo de la STJUE (Gran Sala) de 6 de octubre de 2020 (asunto PRIVACY INTERNATIONAL; C-623/17) (52) .

Un régimen legal que permitiera el filtrado generalizado de todos los datos de tráfico, metadatos y contenidos de comunicaciones electrónicas en formato mensajería instantánea o correo electrónico como el pretendido por el Reglamento (UE) 2021/1232 (LA LEY 17549/2021), encontraría por ello un difícil encaje en dicha sentencia de 21 de diciembre de 2021; preocupada especialmente no solo en la protección de la privacidad de las comunicaciones y protección de datos personales, sino también en la garantía de la libertad de expresión del art. 11 de la CDFUE (LA LEY 12415/2007), o más bien libertad de comunicaciones. Tan pernicioso para este último derecho podría ser cualquier ciudadano consciente de que cualquier registro de sus comunicaciones sería almacenado en inmensas bases de datos durante períodos de tiempo no precisamente desdeñables, como tener noticia de que todas sus comunicaciones vía Internet serían objeto de un proceso de filtrado del que podría desconfiarse comprensiblemente de su alcance, aunque destinado a tan trascendental causa como es la lucha contra la explotación sexual de menores en red. Existe sin duda una evidente diferencia cualitativa entre la conservación preventiva de datos y este sistema de filtrado que, como hemos visto, incluso en parte poseía ya un cierto grado de respaldo en el Derecho de la Unión Europea; pero la medida no dejaba de ser una medida legislativa que afectaba de forma generalizada a cualquier usuario de la red, y durante un período de tiempo más cercano a la vigencia temporal de una norma jurídica que a necesidades concretas de respeto del principio de proporcionalidad en su aplicación.

El encaje con la jurisprudencia del Tribunal de Luxemburgo habría de venir con la fundamental STJUE (Gran Sala) de 6 de octubre de 2020 (casos LA QUADRAUTE DU NET y otros; asuntos 511, 512 y 520/18); que ha cambiado claramente el rumbo de sus propios precedentes. Y es que, aún en el contexto de singulares órdenes de retención de datos, la sentencia, apartado 1, inciso primero, del fallo, se mostró favorable a la conformidad con el Derecho de la Unión de órdenes de retención generalizada e indiferenciada de datos de tráfico y localización para la protección de la seguridad nacional ante concretas amenazas graves para la seguridad nacional; siempre que el Estado en cuestión se enfrentara a «…una amenaza grave para la seguridad nacional que resulte real y actual o previsible, pudiendo ser objeto la decisión que contenga dicho requerimiento de un control efectivo bien por un órgano jurisdiccional, bien por una entidad administrativa independiente, cuya decisión tenga carácter vinculante, que tenga por objeto comprobar la existencia de una de estas situaciones, así como el respecto de las condiciones y de las garantías que deben establecerse, y teniendo en cuenta que dicho requerimiento únicamente podrá expedirse por un período temporalmente limitado a lo estrictamente necesario, pero que podrá renovarse en caso de que persista dicha amenaza». La sentencia se sigue moviendo por la misma línea de la decisión singularizada, máxime si no dejamos atrás ese acotamiento que se realiza en la sentencia dictada el mismo día a instancia del Investigatory Powers Tribunal británico; sin embargo comienza a tambalear sus propios cimientos en el sentido de que permite aventurar que otras soluciones jurídicas podrían ser posibles. Es por ello previsible una posible evolución del TJUE favorable a su conformidad con los arts. 5.1, 6.1 y 15.1 de la Directiva 2002/58/CE (LA LEY 9590/2002) y 7, 8, 11 y 52 de la CDFUE (LA LEY 12415/2007); teniendo para ello especialmente en cuenta la finalidad perseguida por la norma, así como el sometimiento del deber de filtrado dentro de unos muy estrictos límites que suponen una afectación al mínimo técnicamente posible de la confidencialidad de las comunicaciones gestionadas por los prestadores concernidos por la norma, y sobre todo a unos esenciales principios de proporcionalidad y necesidad en el tratamiento de tales datos y, más en concreto, en la labor de selección y detección de concretos contenidos ilícitos.

Aunque uno de los puntos débiles de la norma sería, en ese contexto de privatización del ciberpatrullaje, la dejación normativa en la concreta definición de las herramientas de filtrado y protocolo de funcionamiento, con posible afectación de un principio tan arraigado en materia de salvaguardia de la privacidad como es el de la calidad de la norma habilitante —art. 8.2 del CEDH (LA LEY 16/1950)—, podríamos encontrar jurisprudencia del TEDH que podría servir de claro sustento a la legitimidad jurídica de sistemas preventivos como el regulado en el Reglamento. Efectivamente, una vez superado el difícil dilema de apreciar cómo el diseño y homologación jurídica de estas herramientas pasa por lo que no deja de sr una auténtica auditoría interna de su funcionamiento, así como por la supervisión y aprobación del organismo de control nacional, mediante la exigencia de una rigorosa ponderación de los elementos normativos definidores que sí marcan los contornos de tales diseños técnicos, la cita de la reciente STJUE, Gran Sala, de 25 de mayo de 2021 (caso CENTRUM FÖR RÄTTVISA v. Suecia; asunto 35252/08) se nos antoja imprescindible. Esta sentencia abre las puertas a esquemas de filtrado masivo de datos, bulk interception, para finalidades relacionadas con los intereses vitales de los Estados miembros del Consejo de Europa. La sentencia parte de nuevo de esquemas más próximos a sistemas de retención de datos como los aceptados por la jurisprudencia del TJUE, y más en un contexto de la llamada inteligencia extranjera (53) que a una norma que imponga sistemas de filtrado con carácter general. Pero de nuevo abre las puertas a la aplicación de su doctrina en un contexto de férrea sujeción al respeto de los principios y garantías impuestos por la norma para minimizar la afectación de derechos relacionados con el entorno de la privacidad de la ciudadanía, y para una finalidad tan destacada en el marco del Consejo de Europa como es la protección de los menores frente situaciones de abuso sexual (54) . Si unas herramientas tan potentes de escrutinio de toda la información procedente del extranjero a través de las redes de comunicaciones electrónicas pueden encontrar cabida en el art. 8.2 del CEDH (LA LEY 16/1950) mediante la implementación de medidas tendentes a reforzar el principio de la menor injerencia posible y poner coto a cualquier riesgo de abuso o arbitrariedad en su explotación, resultaría más que probable que una rigurosa aplicación del Reglamento (UE) 2021/1232 (LA LEY 17549/2021), teniendo precisamente como cometido la lucha contra la lacra social de la explotación sexual de menores en red, pudiera llegar a superar el juicio de control de calidad de la norma habilitante por parte del TEDH. Pero todo dependería de esa estricta aplicación de la norma por los prestadores concernidos por el deber de filtrado; y, sobre todo, de la escrupulosa labor de vigilancia y tutela por parte de las autoridades de control nacionales.

En resumen, no estamos en condiciones de poder aseverar que el Reglamento (UE) 2021/1232 (LA LEY 17549/2021) pueda ser considerado de forma inconcusa como una norma conforme con la CDFUE (LA LEY 12415/2007) y, en general, con el Derecho Primario de la Unión; y tampoco que la norma pudiera superar con éxito un eventual control de calidad de la norma habilitante por parte del Tribunal Europeo de Derechos Humanos. Pero la jurisprudencia de los Tribunales de Luxemburgo y Estrasburgo ha abierto nuevos espacios de tolerancia, cuya exploración podría eventualmente permitir una adaptación de la norma a las exigencias propias de la doctrina emanada de ambas.

Volver a página de inicio

Volver a página de inicio