Chat Control: la UE ha legalizado la vigilancia masiva

·

9 de julio de 2026. Último día de pleno del Parlamento Europeo antes del receso de verano. La próxima sesión no es hasta el 14 de septiembre. Y justo ahí, en la última sesión antes de dos meses de silencio, se coloca la votación sobre una de las leyes más controvertidas de la historia digital europea. No es casualidad. Es estrategia.

Qué es Chat Control y por qué debería importarte

Si gestionas infraestructura, si tienes servidores, si prestas servicios de comunicación en Europa, o simplemente si usas internet para enviar un mensaje privado, esto te afecta. Chat Control no es un concepto abstracto de política digital: es un marco legal que permite el escaneo sistemático de comunicaciones privadas sin orden judicial, sin sospecha individualizada, y sin que tú lo sepas.

Y lo que es peor: ahora mismo está en vigor.

Para entender la magnitud del problema hay que distinguir dos cosas que la prensa suele confundir. No hay un «Chat Control»: hay dos, circulando en paralelo por las instituciones europeas, y la confusión entre ambos es precisamente lo que aprovechan los impulsores de la vigilancia.

Chat Control 1.0: la derogación «temporal» que no se muere

En julio de 2021, la UE aprobó la Regulación (UE) 2021/1232, una derogación temporal de la Directiva ePrivacy. La idea era dar cobertura legal a las plataformas de comunicación para que voluntariamente escanearan mensajes privados en busca de material de abuso sexual infantil (CSAM). Voluntariamente: las plataformas podían elegir si hacerlo o no.

Google, Meta, Microsoft y Snap se apuntaron inmediatamente. La derogación iba a expirar en agosto de 2024. Se extendió hasta abril de 2026. Cuando expiró, esas mismas empresas anunciaron que seguirían escaneando sin base legal. Y el 9 de julio de 2026, el Parlamento Europeo la resucitó hasta 2028.

Chat Control 2.0 (CSAR): la regulación permanente

En mayo de 2022, la Comisaria de Asuntos Internos (Ylva Johansson) presentó la propuesta de Regulación Permanente para Prevenir y Combatir el Abuso Sexual Infantil (CSAR, por sus siglas en inglés). A diferencia del 1.0, el CSAR haría obligatoria la detección y reporte de CSAM para las plataformas, incluyendo un requisito para eludir el cifrado de extremo a extremo mediante client-side scanning.

El CSAR lleva cinco rondas de trilogos (Parlamento, Consejo, Comisión) sin acuerdo. La última, el 29 de junio de 2026, colapsó precisamente sobre el escaneo sin sospecha. Las negociaciones se reanudan en septiembre bajo la presidencia irlandesa.

La cronología de un fraude democrático

La historia de cómo llegamos aquí es tan importante como el contenido de la ley. Demuestra que el proceso importa tanto como el resultado.

En marzo de 2026, el Parlamento Europeo hizo algo inesperado: rechazó la extensión de Chat Control 1.0. La comisión LIBE (Libertades Civiles) la rechazó por 38 votos a 28. El pleno votó 311 en contra de la extensión, 228 a favor, 92 abstenciones. La Enmienda 34, que rechazaba la evaluación automatizada de fotos y textos desconocidos, pasó por un solo voto: 307 a 306.

El 4 de abril de 2026, Chat Control 1.0 expiró legalmente. Parecía una victoria para la privacidad.

Pero entonces vino lo impensable. El 26 de junio, los embajadores de la UE acordaron revivir la ley. Como una regulación expirada técnicamente no puede «extenderse», el Consejo propuso formalmente una nueva ley con contenido idéntico vía procedimiento acelerado. Sin precedentes: el rechazo del Parlamento se consideraba definitivo, y el Consejo lo ignoró.

El 2 de julio, el Consejo adoptó su posición por procedimiento escrito. El 7 de julio, el Parlamento aprobó un procedimiento de urgencia bajo la Regla 170 del Reglamento, saltándose la comisión responsable (LIBE). Y el 9 de julio, la votación definitiva.

La votación del 9 de julio: 314 > 276, pero pierdes

Aquí está el detalle que define todo:

OpciónVotos
Rechazar Chat Control (pararlo)314
Mantener Chat Control (a favor)276
Abstenciones17

Más europarlamentarios votaron en contra de Chat Control que a favor. Y sin embargo, Chat Control pasó. ¿Cómo? Porque el procedimiento requería una mayoría absoluta de 361 MEPs para rechazar la posición del Consejo. No para aprobarla: para rechazarla. El umbral es asimétrico: necesitas más votos para parar una ley que para dejarla pasar.

314 supera a 276, pero no llega a 361. Así que la ley se considera adoptada.

En la misma sesión, una enmienda para limitar el escaneo a cuentas identificadas por el poder judicial obtuvo 322 votos. Tampoco alcanzó los 361. La única enmienda que pasó fue la exclusión de las plataformas con cifrado de extremo a extremo (E2EE) del escaneo, que sí consiguió mayoría.

El resultado: Chat Control 1.0 revivido es esencialmente el mismo de 2021, pero sin permiso legal para escanear mensajes E2EE. El escaneo de comunicaciones no cifradas sigue permitido, sin orden judicial, sin sospecha, hasta 2028.

Patrick Breyer, ex-eurodiputado y uno de los activistas más visibles contra Chat Control, lo resumió así:

The fact that Chat Control is moving forward against the will of the majority of voting MEPs is a farce and damages democracy.

Nocturnidad y alevosía: el timing lo es todo

El calendario del Parlamento Europeo para 2026 es público. Las sesiones de pleno están programadas con meses de antelación. La última sesión antes del receso de verano fue del 6 al 9 de julio. La siguiente no es hasta el 14 de septiembre.

La votación sobre Chat Control se colocó en el último día de pleno. Después de esa votación, el Parlamento se dispersa durante más de dos meses. No hay sesiones, no hay comisiones, no hay oportunidad de reacción inmediata. La atención pública está mínima: es verano, la gente está de vacaciones, los medios cubren otras cosas.

Esto no es accidental. Es una táctica clásica de legislación opaca: aprobar lo controvertido cuando nadie mira. El procedimiento de urgencia (Regla 170) se usó para saltarse la comisión LIBE, que es la que debería haber examinado el texto con detalle. En lugar de eso, se fue directamente al pleno con un procedimiento acelerado.

La secuencia completa, del 26 de junio al 9 de julio, son trece días. En trece días, el Consejo resucitó una ley expirada, el Parlamento la fast-trackeó saltándose comisiones, y se votó en el último pleno antes del verano. Si esto no es nocturnidad y alevosía, no sé qué lo es.

El problema técnico: client-side scanning

El núcleo técnico del conflicto es el client-side scanning (CSS): analizar el contenido de los mensajes en el dispositivo del usuario antes de que se cifren y envíen.

El argumento a favor es que preserva el cifrado E2EE en tránsito: los mensajes siguen cifrados mientras viajan por la red, pero el dispositivo local puede detectar material problemático antes de cifrarlo. Parece un compromiso razonable.

No lo es. Estos son los problemas:

1. Rompe el modelo de seguridad del E2EE. Si algo escanea tu mensaje antes de cifrarlo, el mensaje no está realmente cifrado de extremo a extremo. Es cifrado con una ventanilla. La premisa del E2EE es que nadie excepto el emisor y el receptor puede leer el contenido. CSS introduce un tercer actor que sí puede.

2. Falsos positivos masivos. Un estudio del propio Parlamento Europeo (abril 2023) concluyó que no existe tecnología fiable para detectar CSAM desconocido sin altas tasas de error. El problema es estadístico: la tasa base. Aunque un algoritmo tenga 99% de precisión, si el CSAM representa el 0.001% del tráfico, la inmensa mayoría de alertas serán falsos positivos. En Irlanda, de 4.192 reportes recibidos por la policía, solo el 20.3% resultó ser material real de explotación. 471 (11.2%) fueron falsos positivos. Eso son cientos de personas inocentes investigadas por un algoritmo que se equivocó.

3. Mission creep. La misma infraestructura que escanea CSAM puede reconfigurarse para escanear cualquier otra cosa. Hoy es material de abuso infantil, que nadie defiende. Mañana puede ser contenido «extremista», expresiones políticas, protestas, o lo que el gobierno de turno considere problemático. Signal lo ha advertido explícitamente: el mismo mecanismo podría usarse para bloquear comunicaciones críticas con el estado.

4. No funciona contra quien realmente quiere eludirlo. Cualquier persona con mínimos conocimientos técnicos puede eludir un client-side scanner: cifrado adicional, steganografía, formatos no soportados. CSS solo «funciona» contra usuarios que no intentan ocultar nada, que son precisamente los que no deberían ser vigilados.

Cómo afecta a los europeos

El impacto práctico para cualquier ciudadano europeo es directo:

  • Tus mensajes privados pueden ser escaneados sin que lo sepas, sin orden judicial, y sin que tengas forma de verificar qué se hace con los datos generados. Si usas Gmail, Facebook Messenger, Skype, Snapchat, iCloud Mail o Xbox, ya está pasando.
  • El escaneo es «voluntario» por parte de las plataformas, pero la presión regulatoria es real. Si una plataforma no escanea, puede ser considerada «no cooperativa» y enfrentarse a consecuencias regulatorias. «Voluntario» en este contexto significa «si no lo haces, te lo exigiremos de otra forma».
  • Los falsos positivos te pueden afectar personalmente. Si el algoritmo marca una foto tuya legítima (un niño en la playa, una consulta médica, una imagen artística), tu cuenta puede ser suspendida, tus datos pueden ser reportados a autoridades, y puedes acabar en una lista de sospechosos sin haber hecho nada malo.
  • El cifrado de extremo a extremo está bajo amenaza. La enmienda que excluye E2EE del escaneo en Chat Control 1.0 es un alivio temporal, pero el CSAR (Chat Control 2.0) sigue en negociación y el Consejo sigue insistiendo en el client-side scanning para plataformas cifradas.

El choque frontal con el RGPD

Aquí es donde la cosa se pone jurídicamente interesante, y donde el absurdo se hace evidente: la UE está aprobando una ley que contradice su propia normativa de protección de datos.

El Reglamento General de Protección de Datos (RGPD/GDPR) establece principios que Chat Control viola de manera flagrante:

Artículo 5 – Principios relativos al tratamiento:

  • Licitud, lealtad y transparencia: el escaneo se realiza sin que el usuario lo sepa. No hay transparencia.
  • Limitación de la finalidad: los datos escaneados para CSAM podrían usarse para otros fines. No hay garantía de limitación.
  • Minimización de datos: se escanean todos los mensajes de todos los usuarios. Es lo opuesto a la minimización.

Artículo 6 – Licitud del tratamiento: No hay base legal clara. No hay consentimiento (el usuario no sabe que le escanean), no hay obligación legal (el escaneo es «voluntario» para las plataformas), y el «interés legítimo» es cuestionable cuando afecta a comunicaciones privadas de toda la población.

Artículo 9 – Categorías especiales de datos: El escaneo puede incidentalmente procesar datos sensibles: salud, orientación sexual, creencias religiosas, opiniones políticas. Una foto médica, un mensaje sobre terapia, una conversación íntima. Todo eso pasa por el escáner.

Artículo 22 – Decisiones automatizadas: El escaneo es automatizado y puede resultar en la suspensión de cuentas o reporte a autoridades sin intervención humana previa.

No soy yo quien lo dice. La European Data Protection Board (EDPB) y el European Data Protection Supervisor (EDPS) lo han dicho en repetidas opiniones conjuntas (2023, 2024, 2025). Su posición textual es que la propuesta «could become the basis for de facto generalized and indiscriminate scanning of the content of virtually all types of electronic communications».

Más escalofriante aún: el Servicio Jurídico del propio Consejo de la UE emitió un dictamen el 10 de junio de 2026 diciendo que el escaneo «voluntario» propuesto constituye escaneo generalizado de comunicaciones, incompatible con el Artículo 7 de la Carta de Derechos Fundamentales de la UE (derecho a la vida privada) sin sospecha razonable y autorización judicial previa.

Es decir: los propios abogados del Consejo dicen que la propuesta del Consejo es ilegal según la Carta de la UE. Y la aproban igual.

La Comisión Europea, por su parte, ha intentado encajar Chat Control dentro del marco del RGPD argumentando que la protección de menores es un interés legítimo superior. Pero el Tribunal de Justicia de la UE ya ha establecido jurisprudencia contra la retención generalizada de datos (casos Digital Rights Ireland y Tele2/Watson), y el Tribunal Europeo de Derechos Humanos dictaminó en febrero de 2024 que exigir el debilitamiento del cifrado E2EE «no puede considerarse necesario en una sociedad democrática».

La UE está creando una contradicción legal interna: por un lado exige el RGPD, por el otro aprueba una ley que lo viola. Es como poner un límite de velocidad y luego obligar a los coches a ir por encima.

El choque con la Constitución Española y la LSSI

En España, el conflicto es aún más directo porque tenemos un marco constitucional que protege explícitamente el secreto de las comunicaciones.

Artículo 18.3 de la Constitución

El Artículo 18.3 de la Constitución Española establece:

Se garantiza el secreto de las comunicaciones y, en especial, de las postales, telegráficas y telefónicas, salvo resolución judicial.

El Tribunal Constitucional ha interpretado este artículo de forma amplia. En la sentencia 114/1984 estableció que el bien jurídico protegido es «la libertad de las comunicaciones», y que la protección se aplica «sea cual fuere la forma de interceptación, mientras dure el proceso de comunicación». Aunque el texto constitucional menciona solo correo postal, telégrafo y teléfono (porque es de 1978), el Tribunal Constitucional ha extendido la protección al correo electrónico, chats y otros medios electrónicos, siempre que empleen algún artificio técnico.

El propio BOE, en su análisis de derechos fundamentales, recoge que el secreto garantiza «la impenetrabilidad por terceros, públicos o privados, ajenos a la comunicación misma». Y la jurisprudencia es clara: la única excepción legítima es la resolución judicial.

Chat Control 1.0 permite el escaneo sin orden judicial. No hay resolución judicial. No hay sospecha individualizada. Hay escaneo masivo de comunicaciones por parte de plataformas privadas. Esto choca frontalmente con el Artículo 18.3 CE.

Además, el Código Penal español (Ley Orgánica 18/1994, que modificó los artículos 192 bis y 497 bis) tipifica como delito la interceptación de telecomunicaciones sin autorización judicial. Si una plataforma escanea mensajes sin orden judicial, ¿no está técnicamente cometiendo una interceptación? La ley europea le da cobertura, pero la ley española la prohíbe. El conflicto normativo es real.

La LSSI-CE (Ley 34/2002)

La Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI-CE) regula las obligaciones de los prestadores de servicios en España. Y aquí hay varios puntos de fricción:

1. Obligación de no supervisión. La LSSI establece que los prestadores de servicios de intermediación «no tienen obligación de supervisar los contenidos que alojan, transmiten o clasifican». Chat Control hace exactamente lo contrario: anima (y en el CSAR obligaría) a supervisar el contenido de las comunicaciones que transmiten.

2. Deber de colaboración, no de vigilancia. La LSSI exige a los proveedores que colaboren con las autoridades competentes «cuando se les requiera para interrumpir la prestación de un servicio o retirar un contenido». Es decir: la autoridad pide, el proveedor colabora. Chat Control invierte el modelo: el proveedor vigancia proactivamente y reporta. No hay requerimiento previo, no hay orden judicial.

3. Obligación de informar sobre medidas de seguridad. La LSSI obliga a los proveedores a «informar a sus clientes sobre las medidas de seguridad que ellos mismos aplican en la provisión de sus servicios». Si una plataforma está escaneando mensajes, ¿informa a sus usuarios? En la práctica, no. Google no te dice «estamos escaneando tu Gmail». Meta no te dice «estamos leyendo tu Messenger». Hay una opacidad que contradice la obligación de transparencia de la LSSI.

4. La AEPD como autoridad competente. La Agencia Española de Protección de Datos es el organismo que aplica la LSSI en materia de comunicaciones comerciales y protección de datos. Si un ciudadano español considera que sus comunicaciones están siendo escaneadas sin su consentimiento, ¿puede denunciarlo ante la AEPD? Técnicamente sí, porque el RGPD es directamente aplicable y la AEPD es la autoridad de control. Pero Chat Control 1.0 proporciona una base legal europea que la AEPD tendría que respetar, creando un limbo jurídico: el RGPD dice que no se puede, la regulación europea de Chat Control dice que sí se puede, y la Constitución española dice que solo con orden judicial.

España como defensora de Chat Control

Aquí hay un detalle que duele: España ha sido uno de los países más firmes defensores de Chat Control dentro del Consejo de la UE. Junto con Francia, España ha impulsado activamente el escaneo obligatorio. Es decir: el gobierno español está presionando para que se apruebe una ley que contradice la Constitución que juró defender.

Las grandes tecnológicas: escaneando sin ley desde abril

Hay otro aspecto de este caso que merece destacarse. Cuando Chat Control 1.0 expiró el 4 de abril de 2026, Google, Meta, Microsoft y Snap anunciaron que seguirían escaneando mensajes privados. Sin base legal. Sin consecuencias.

Llevan más de tres meses escaneando comunicaciones privadas de europeos sin amparo legal. Nadie les ha multado. Nadie les ha sancionado. Nadie les ha exigido que paren.

Esto demuestra algo que como sysadmin sé bien: las grandes plataformas operan por encima de la ley. Pueden permitirse ignorar el marco legal porque saben que la Comisión Europea no va a actuar contra ellas mientras estén «colaborando» con los objetivos de Chat Control. Es un caso de libro de impunidad corporativa.

El precedente: si funciona para esto, funciona para todo

Quizás lo más preocupante de todo este proceso no es el contenido de la ley, sino el procedimiento. Consideremos lo que ha pasado:

  1. Una ley temporal expiró.
  2. El Parlamento la rechazó explícitamente.
  3. El Consejo la resucitó como «nueva ley con contenido idéntico» vía procedimiento acelerado.
  4. El Parlamento la aprobó con un umbral asimétrico que permite que una ley pase aunque la mayoría vote en contra.
  5. Todo en trece días, coincidiendo con el último pleno antes del verano.

Si este procedimiento funciona para Chat Control, funciona para cualquier otra cosa. Mañana puede ser escaneo de contenido «extremista». Pasado mañana, verificación de identidad obligatoria para usar internet. El mecanismo está validado: resucitar leyes rechazadas, saltarse comisiones, votar en el último día antes del receso, usar umbrales que favorecen al status quo del Consejo.

Qué viene ahora

La posición enmendada del Parlamento (Chat Control 1.0 sin E2EE) vuelve al Consejo, que tiene tres meses para aprobarla o rechazarla. Si no acepta todas las enmiendas, se convoca un comité de conciliación.

Mientras tanto, el CSAR (Chat Control 2.0) sigue en trilogos. Cinco rondas sin acuerdo. La presidencia irlandesa retoma las negociaciones en septiembre. Los puntos sin resolver:

  1. ¿Se permite el escaneo sin sospecha de forma permanente? El Consejo lo quiere; el Parlamento no.
  2. ¿Se incluyen plataformas E2EE? El Consejo quiere client-side scanning; el Parlamento y los expertos dicen que rompe el cifrado.
  3. Verificación de edad obligatoria: se reporta progreso para excluirla, pero sin acuerdo.

El CSAR es la amenaza real a largo plazo. Chat Control 1.0 es «voluntario» y no toca E2EE. El CSAR sería obligatorio y potencialmente incluiría client-side scanning para plataformas cifradas. Si se aprueba con esas condiciones, el cifrado de extremo a extremo tal como lo conocemos deja de existir en la UE.

Qué podemos hacer

Como administrador de sistemas y como ciudadano, hay varias cosas que podemos hacer:

A nivel técnico:

  • Usar y promover herramientas con cifrado E2EE real: Signal, Matrix/Element, Proton Mail.
  • Configurar nuestros propios servicios de comunicación cuando sea posible: instancias de Matrix o Rocket Chat autoalojadas, servidores de correo con cifrado en tránsito.
  • Auditar qué servicios que usamos están escaneando y migrar a alternativas que no lo hagan.

A nivel legal/político:

  • Contactar con nuestros eurodiputados y preguntarles cómo votaron el 9 de julio y por qué.
  • Apoyar a organizaciones como EDRi, noyb, y Fight Chat Control que están haciendo el trabajo de oposición que las instituciones deberían hacer.
  • Difundir información. La opacidad de este proceso se sostiene porque poca gente lo entiende. Explicarlo es ya un acto de resistencia.

A nivel profesional:

  • Si gestionas servicios de comunicación (y muchos de nosotros lo hacemos, aunque sea a través de formularios web, comentarios, o foros), revisar tus políticas de privacidad y términos de servicio. Si alguna vez se te «invita» a escanear, debes tener claro qué dice tu marco legal.
  • Documentar. Si detectas escaneo no autorizado en tus servicios, registrar y reportar. La AEPD debería ser el canal, aunque su eficacia en este contexto es cuestionable.

Cierre

El 9 de julio de 2026, el Parlamento Europeo aprobó una ley que la mayoría de sus miembros votó en contra. Lo hizo en el último pleno antes del verano, mediante un procedimiento acelerado que saltó la comisión responsable, resucitando una ley que ya había expirado y que el propio Parlamento había rechazado tres meses antes.

La ley permite el escaneo de comunicaciones privadas sin orden judicial, contradice el RGPD que la propia UE aprobó, choca con el Artículo 18.3 de la Constitución Española, y ha sido calificada de ilegal por los propios abogados del Consejo de la UE.

Y sin embargo, sigue adelante.

Como persona que trabaja en infraestructura y que gestiona servicios para cientos de sitios, esto me preocupa profundamente. No por lo que significa hoy (el impacto inmediato es en las grandes plataformas estadounidenses), sino por lo que significa mañana. El precedente está fijado. El mecanismo funciona. Y la regulación permanente (CSAR) sigue en marcha.

La pregunta no es si llegará el escaneo obligatorio. La pregunta es cuándo, y si estaremos preparados para resistirlo.

Fuentes: The Register, Wikipedia, Fight Chat Control, European Parliament, EDPB/EDPS, BOE, Tribunal Constitucional, Patrick Breyer.

Comments

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *