La UE votará el Reglamento CSAR: el nuevo marco europeo sobre detección de abusos sexuales y cifrado digital

La Unión Europea se prepara para votar el 14 de octubre el Reglamento sobre prevención y lucha contra el abuso sexual infantil, conocido como ChatControl o CSAR Regulation. El texto prevé que todas las plataformas de mensajería, incluidas las que utilizan cifrado de extremo a extremo, implanten un sistema de escaneo automático de mensajes, fotos, vídeos y enlaces en los dispositivos de los usuarios antes del cifrado. La medida se presenta como un instrumento de protección de menores, aunque suscita un amplio debate por sus efectos sobre la privacidad, la seguridad digital y la continuidad de los modelos de comunicación segura.

En este contexto, Alemania se ha mostrado hasta ahora contraria al proyecto, aunque actualmente parece dudar sobre su posición. Por ello, Meredith Whittaker, presidenta de la fundación que gestiona Signal, uno de los principales proveedores de mensajería cifrada, ha manifestado que la obligación de implantar sistemas de escaneo resulta incompatible con su arquitectura de seguridad. Y ha advertido que, en caso de aprobarse el reglamento en sus términos actuales, podría abandonar el mercado europeo. La posición de Signal refleja el dilema regulatorio: armonizar la protección de derechos fundamentales de los menores con la preservación del cifrado como estándar de seguridad digital utilizado por millones de usuarios y empresas.

La propuesta normativa plantea que el control se realice directamente en los dispositivos, transformándolos en puntos de supervisión bajo un esquema legal de alta intensidad. Este diseño genera interrogantes prácticos sobre la proporcionalidad de la medida, la viabilidad técnica de su implementación y el reparto de responsabilidades entre proveedores y autoridades de supervisión.

El debate en torno a Signal muestra cómo la regulación puede condicionar la continuidad de servicios digitales en el mercado único. La aplicación de un sistema de detección masiva, aunque orientado a un fin legítimo, corre el riesgo de configurar una forma de vigilancia generalizada sin distinguir entre usuarios ni contextos. En este escenario, las empresas afectadas por este Reglamento deberán anticipar planes de cumplimiento, evaluaciones de impacto y posibles ajustes de modelo de negocio.