El recientemente autorizado regulador de contenidos de Internet del Reino Unido ha publicado el primer conjunto de borradores de Códigos de Práctica bajo la Ley de Seguridad en Línea (OSA, por sus siglas en inglés), que se convirtió en ley a fines del mes pasado.
Seguirán más códigos, pero este primer conjunto, que se centra en cómo se espera que respondan los servicios de usuario a usuario (U2U) a diferentes tipos de contenido ilegal, ofrece una orientación sobre cómo está pensado Ofcom para dar forma y hacer cumplir las amplias leyes del Reino Unido. nuevo reglamento de Internet en un área clave.
Ofcom dice que su primera prioridad como “regulador de seguridad en línea” será proteger a los niños.
El borrador de las recomendaciones sobre contenido ilegal incluye sugerencias de que las plataformas más grandes y de mayor riesgo deberían evitar presentar a los niños listas de amigos sugeridos; los usuarios infantiles no deberían aparecer en las listas de conexiones de otros; y no debe hacer que las listas de conexiones de los niños sean visibles para otros.
También propone que las cuentas fuera de la lista de conexiones de un niño no puedan enviarle mensajes directos; y la información de ubicación de los niños no debe ser visible para otros usuarios, entre una serie de mitigaciones de riesgos recomendadas destinadas a mantener a los niños seguros en línea.
“La regulación ya está aquí y no perdemos tiempo en establecer cómo esperamos que las empresas tecnológicas protejan a las personas de daños ilegales en línea, al tiempo que defienden la libertad de expresión. Los niños nos han hablado de los peligros que enfrentan y estamos decididos a crear una vida en línea más segura para los jóvenes en particular”, dijo Melanie Dawes, directora ejecutiva de Ofcom, en un comunicado.
“Nuestras cifras muestran que la mayoría de los niños de secundaria han sido contactados en línea de una manera que potencialmente los hace sentir incómodos. Para muchos, esto sucede repetidamente. Si estos acercamientos no deseados ocurrieran con tanta frecuencia en el mundo exterior, la mayoría de los padres difícilmente querrían que sus hijos salieran de casa. Sin embargo, de alguna manera, en el espacio en línea, se han vuelto casi una rutina. Eso no puede continuar”.
La OSA impone a los servicios digitales, grandes y pequeños, la obligación legal de proteger a los usuarios de los riesgos que plantean los contenidos ilegales, como el CSAM (material de abuso sexual infantil), el terrorismo y el fraude. Aunque la lista de delitos prioritarios en la legislación es larga (incluidos también el abuso de la imagen íntima; acecho y acoso; y cyberflashing, por nombrar algunos más.
Los pasos exactos que los servicios y plataformas dentro del alcance deben seguir para cumplir no están establecidos en la legislación. Ofcom tampoco prescribe cómo deben actuar las empresas digitales ante todo tipo de riesgos de contenido ilegal. Pero los códigos de práctica detallados que está desarrollando tienen como objetivo proporcionar recomendaciones para ayudar a las empresas a tomar decisiones sobre cómo adaptar sus servicios para evitar el riesgo de ser encontradas infringiendo un régimen que les permite imponer multas de hasta el 10% de la facturación anual global por violaciones.
Ofcom está evitando un enfoque único para todos, y en el borrador del código se proponen algunas recomendaciones más costosas solo para servicios más grandes y/o más riesgosos.
También escribe que es «probable que tenga las relaciones de supervisión más estrechas» con «los servicios más grandes y riesgosos», una línea que debería brindar cierto grado de alivio a las nuevas empresas (de las que generalmente no se espera que implementen tantas de las medidas recomendadas). mitigaciones como servicios más establecidos). Se definen los servicios “grandes” en el contexto de la OSA como aquellos que tienen más de 7 millones de usuarios mensuales (o alrededor del 10% de la población del Reino Unido).
“Se exigirá a las empresas que evalúen el riesgo de que los usuarios se vean perjudicados por contenido ilegal en su plataforma y tomen las medidas adecuadas para protegerlos de él. Se presta especial atención a los «delitos prioritarios» establecidos en la legislación, como el abuso infantil, la captación de niños y el fomento del suicidio; pero podría tratarse de cualquier contenido ilegal”, escribe en un comunicado de prensa, y añade: “Dada la gama y diversidad de servicios en el ámbito de las nuevas leyes, no estamos adoptando un enfoque único para todos. Estamos proponiendo algunas medidas para todos los servicios dentro del alcance y otras medidas que dependen de los riesgos que el servicio haya identificado en su evaluación de riesgos de contenido ilegal y el tamaño del servicio”.
El regulador parece estar actuando con relativa cautela al asumir sus nuevas responsabilidades, y el proyecto de código sobre contenidos ilegales cita con frecuencia una falta de datos o pruebas que justifiquen decisiones preliminares para no recomendar ciertos tipos de mitigaciones de riesgos, como que Ofcom no proponga coincidencias de hash para detectar contenido terrorista; ni recomendar el uso de IA para detectar contenidos ilegales previamente desconocidos.
Aunque señala que tales decisiones podrían cambiar en el futuro a medida que se recopile más evidencia (y, sin duda, a medida que cambien las tecnologías disponibles).
También reconoce la novedad del esfuerzo, es decir, intentar regular algo tan amplio y subjetivo como la seguridad/daños en línea, diciendo que quiere que sus primeros códigos sean una base sobre la que construir, incluso a través de un proceso regular de revisión, sugiriendo que la guía cambian y se desarrollan a medida que madura el proceso de supervisión.
“Reconociendo que estamos desarrollando un nuevo y novedoso conjunto de regulaciones para un sector sin regulación directa previa de este tipo, y que nuestra base de evidencia existente es actualmente limitada en algunas áreas, estos primeros Códigos representan una base sobre la cual construir, a través de ambos iteraciones posteriores de nuestros Códigos y nuestra próxima consulta sobre la Protección de los Niños”, escribe Ofcom. «En este sentido, nuestros primeros Códigos propuestos incluyen medidas destinadas a una gobernanza y responsabilidad adecuadas para la seguridad en línea, que tienen como objetivo incorporar una cultura de seguridad en el diseño organizacional e iterar y mejorar los sistemas y procesos de seguridad a lo largo del tiempo».
En general, este primer paso de recomendaciones parece razonablemente poco controvertido; por ejemplo, Ofcom se inclina por recomendar que todos los servicios U2U tengan “sistemas o procesos diseñados para eliminar rápidamente el contenido ilegal del que tenga conocimiento” (tenga en cuenta las advertencias); mientras que los servicios U2U “multirriesgos” y/o “grandes” se presentan con una lista más completa y específica de requisitos destinados a garantizar que tengan un sistema de moderación de contenidos que funcione y tenga suficientes recursos.
Otra propuesta sobre la que está consultando es que todos los servicios de búsqueda general deberían garantizar que las URL identificadas como alojamiento CSAM estén desindexadas. Pero no es una recomendación formal que los usuarios que comparten CSAM sean bloqueados todavía, citando una falta de evidencia (y políticas de plataforma existentes inconsistentes sobre el bloqueo de usuarios) para no sugerir eso en este momento. Aunque el borrador dice que «tiene como objetivo explorar una recomendación sobre el bloqueo de usuarios relacionado con CSAM a principios del próximo año».
Ofcom también sugiere que los servicios que se identifican como de riesgo medio o alto deberían proporcionar a los usuarios herramientas que les permitan bloquear o silenciar otras cuentas en el servicio. (Lo cual no debería ser controvertido para casi todos, excepto tal vez para el propietario de X, Elon Musk).
También evita recomendar ciertas tecnologías más experimentales y/o inexactas (y/o intrusivas), por lo que, si bien recomienda que servicios más grandes y/o con mayor riesgo de CSAM realicen detección de URL para detectar y bloquear enlaces a sitios CSAM conocidos, no sugiere que realicen detección de palabras clave para CSAM, por ejemplo.
Otras recomendaciones preliminares incluyen que los principales motores de búsqueda muestren advertencias predictivas sobre búsquedas que podrían estar asociadas con CSAM; y brindar información sobre prevención de crisis para búsquedas relacionadas con suicidios.
Ofcom también propone que los servicios utilicen la detección automatizada de palabras clave para encontrar y eliminar publicaciones vinculadas a la venta de credenciales robadas, como tarjetas de crédito, apuntando a los innumerables daños que surgen del fraude en línea. Sin embargo, recomienda no utilizar la misma tecnología para detectar estafas de promoción financiera específicamente, ya que le preocupa que recoja una gran cantidad de contenido legítimo (como contenido promocional para inversiones financieras genuinas).
Los observadores de la privacidad y la seguridad deberían dar un suspiro de alivio al leer el borrador de la guía, ya que Ofcom parece estar alejándose del elemento más controvertido de la OSA: es decir, su impacto potencial en el cifrado de extremo a extremo (E2EE).
Esto ha sido un tema clave de discordia con la legislación de seguridad en línea del Reino Unido, con un gran rechazo, incluso por parte de varios gigantes tecnológicos y empresas de mensajería segura. Pero a pesar de las fuertes críticas públicas, el gobierno no modificó el proyecto de ley para eliminar a E2EE del alcance de las medidas de detección de CSAM; en cambio, un ministro ofreció una garantía verbal, hacia el final de la aprobación del proyecto de ley por el parlamento, diciendo que no se podía exigir a Ofcom que ordenara escaneo a menos que exista “tecnología apropiada”.
En el borrador del código, la recomendación de Ofcom de que los servicios más grandes y riesgosos utilicen una técnica llamada coincidencia de hash para detectar CSAM evita la controversia ya que solo se aplica «en relación con el contenido comunicado». en público en U2U [user-to-user] servicios, cuando sea técnicamente factible implementarlos” (énfasis en él).
«De acuerdo con las restricciones de la Ley, no se aplican a las comunicaciones privadas ni a las comunicaciones cifradas de extremo a extremo», también estipula.
Ofcom ahora consultará sobre los borradores de códigos que se publicaron hoy, solicitando comentarios sobre sus propuestas.
Su guía para empresas digitales sobre cómo mitigar los riesgos de contenido ilegal no estará finalizada hasta el próximo otoño, y no se espera el cumplimiento de estos elementos hasta al menos tres meses después. Por lo tanto, hay un período de preparación bastante generoso para que los servicios y plataformas digitales tengan tiempo de adaptarse al nuevo régimen.
También está claro que el impacto de la ley será escalonado a medida que Ofcom haga más de este «sombreado» de detalles específicos (y a medida que se introduzca cualquier legislación secundaria requerida).
Aunque algunos elementos de la OSA, como los avisos informativos que Ofcom puede emitir sobre el servicio dentro del alcance, ya son obligaciones exigibles. Y los servicios que no cumplan con los avisos informativos de Ofcom pueden enfrentar sanciones.
También hay un plazo establecido en la OSA para que los servicios incluidos lleven a cabo la primera evaluación de riesgos de sus hijos, un paso clave que ayudará a determinar qué tipo de mitigaciones pueden necesitar implementar. Por lo tanto, hay mucho trabajo que las empresas digitales ya deberían estar haciendo para preparar el terreno para el régimen completo que se avecina.
«Queremos que los servicios tomen medidas para proteger a las personas lo antes posible y no vemos ninguna razón por la que deban retrasar la adopción de medidas», dijo un portavoz de Ofcom a TechCrunch. “Creemos que nuestras propuestas de hoy son un buen conjunto de medidas prácticas que los servicios podrían adoptar para mejorar la seguridad de los usuarios. No obstante, estamos consultando sobre estas propuestas y observamos que es posible que algunos elementos de ellas cambien en respuesta a la evidencia proporcionada durante el proceso de consulta”.
Cuando se le preguntó cómo se determinará el riesgo de un servicio, el portavoz dijo: “Ofcom determinará qué servicios supervisamos, en función de nuestra propia opinión sobre el tamaño de su base de usuarios y los riesgos potenciales asociados con sus funcionalidades y modelo de negocio. Hemos dicho que informaremos a estos servicios dentro de los primeros 100 días después del Asentimiento Real, y también lo mantendremos en revisión a medida que nuestra comprensión de la industria evolucione y haya nueva evidencia disponible”.
Sobre el cronograma del código de contenido ilegal, el regulador también nos dijo: “Una vez que hayamos finalizado nuestros códigos en nuestra declaración regulatoria (actualmente planificada para el próximo otoño, sujeto a respuestas de consulta), los enviaremos al Secretario de Estado para que los establezca. en el parlamento. Entrarán en vigor 21 días después de su aprobación en el parlamento y podremos tomar medidas coercitivas a partir de entonces y esperamos que los servicios comiencen a tomar medidas para cumplirlas a más tardar en esa fecha. No obstante, algunas de las mitigaciones pueden tardar en implementarse. Adoptaremos un enfoque razonable y proporcionado en las decisiones sobre cuándo tomar medidas de cumplimiento teniendo en cuenta las limitaciones prácticas a las que se aplican las mitigaciones”.
«Adoptaremos un enfoque razonable y proporcionado para el ejercicio de nuestros poderes de aplicación, en línea con nuestro enfoque general de aplicación y reconociendo los desafíos que enfrentan los servicios a medida que se adaptan a sus nuevas funciones», escribe también Ofcom en la consulta.
“Para el contenido ilegal y los deberes de seguridad infantil, esperaríamos priorizar sólo las infracciones graves para tomar medidas coercitivas en las primeras etapas del régimen, para permitir a los servicios una oportunidad razonable de cumplir. Por ejemplo, esto podría incluir casos en los que parezca haber un riesgo muy significativo de daño grave y continuo a los usuarios del Reino Unido, y a los niños en particular. Si bien consideraremos lo que es razonable caso por caso, todos los servicios deben esperar que cumplan plenamente dentro de los seis meses posteriores a la entrada en vigor de la obligación de seguridad correspondiente”.