«Chat Control» es un proyecto de reglamento de la UE (propuesto por la Comisión el 11 de mayo de 2022) que establecería un marco jurídico para detectar, denunciar y retirar en línea material de abuso sexual infantil (CSAM). En su forma más controvertida, obligaría a las aplicaciones de mensajería y a los servicios en línea a escanear automáticamente lo que envían los usuarios —textos, imágenes, vídeos—, incluidas conversaciones destinadas a seguir siendo privadas y cifradas de extremo a extremo. Técnicamente, traslada la vigilancia al origen: a tu propio dispositivo, antes de que el cifrado proteja tus mensajes («escaneo en el dispositivo», o CSS). Las autoridades de protección de datos y el Servicio Jurídico del Consejo han señalado que este enfoque es problemático porque equivale a registros generalizados sin sospecha individual previa.

En la práctica, la app de mensajería incorpora un módulo que calcula una «huella» (hash perceptual) para cada imagen o analiza cada mensaje antes de enviarlo, y compara el resultado con bases de datos de referencia (catálogos de hashes de CSAM, listas de patrones, modelos de ML). Si el algoritmo «cree» que coincide con contenido prohibido, crea un informe y activa una cadena de alertas hacia un centro designado o las autoridades. El problema es de principio y práctico: en principio, te escanean constantemente sin conexión con una investigación; en la práctica, estos sistemas no son ni perfectos ni neutrales. La investigación muestra vulnerabilidades estructurales: los atacantes pueden generar falsos positivos a gran escala, envenenar conjuntos de hashes o esconder un «objetivo secundario» (p. ej., reconocimiento facial dirigido) dentro de un esquema de hashing supuestamente limitado al CSAM. Los errores ocurren y tienen consecuencias humanas (cierre de cuentas, investigaciones injustificadas). Ya se vio en 2022: Google denunció a padres que habían tomado fotos médicas de sus hijos por indicación del médico; se cerraron cuentas y la sospecha perduró pese a archivarse los casos.

El problema central atañe al secreto de las comunicaciones y a la protección de datos. La Carta de los Derechos Fundamentales de la UE (arts. 7 y 8) y el CEDH (art. 8) protegen la privacidad y la integridad de las comunicaciones. El TJUE ha anulado reiteradamente mecanismos de vigilancia generalizada e indiscriminada —aunque persigan fines legítimos— por no ser selectivos ni proporcionales (Digital Rights Ireland, Tele2 Sverige). En resumen: no se puede cribar a toda una población «por si acaso». El Comité Europeo de Protección de Datos (CEPD) y el Supervisor Europeo de Protección de Datos (SEPD) han advertido expresamente que la propuesta, tal y como está redactada, absorbería de facto casi todas las comunicaciones, enfriando la libertad de expresión (periodistas, ONG, profesiones protegidas).

Varios indicios sólidos sugieren que no, si impone detección indiscriminada. El Servicio Jurídico del Consejo ha subrayado el impacto sobre los derechos fundamentales de escanear contenido interpersonal sin focalización. El Parlamento (a través de la comisión LIBE) votó en noviembre de 2023 rechazar el escaneo masivo y proteger explícitamente el cifrado de extremo a extremo. Eso no significa que el escaneo sea imposible, pero debe ser estrictamente selectivo, proporcionado y sometido a un fuerte control judicial. Cualquier solución que eluda el cifrado mediante CSS sistemático colisiona con esos principios.

Un reglamento es un acto legislativo de la UE (art. 288 TFUE) de alcance general, obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro. A diferencia de una directiva, no necesita transposición nacional: se aplica tal cual, al mismo tiempo y del mismo modo en todas partes. La UE lo utiliza cuando quiere una norma uniforme para todo el mercado y para todos los ciudadanos.

La Comisión propone el texto. Luego lo co-deciden el Parlamento Europeo (eurodiputados) y el Consejo de la UE (ministros de los Estados miembros) mediante el procedimiento legislativo ordinario. En la práctica, esto implica lecturas sucesivas, enmiendas y, a menudo, «trílogos» entre Comisión–Consejo–Parlamento. Si Parlamento y Consejo no adoptan el mismo texto, no sale adelante. El resultado final es, por tanto, un compromiso político entre gobiernos y representantes electos.

Tras la propuesta de 2022, el expediente chocó con varios bloqueos políticos en 2024. Desde julio de 2025, bajo la presidencia danesa del Consejo, ha vuelto a acelerar: la prensa especializada señala el objetivo político de cerrar un acuerdo en otoño, con una fecha mencionada en torno al 14 de octubre de 2025 y posiciones que se endurecen en septiembre. Nada está decidido: la posición del Parlamento protege el E2EE y, en el Consejo, el equilibrio se mueve según las coaliciones nacionales; algunas capitales ya formaron «minorías de bloqueo» en el pasado. El calendario se acelera y los intercambios técnicos (¿escaneo voluntario? ¿limitarse a imágenes conocidas? ¿excluir grooming?) siguen siendo objeto de disputa.

El equilibrio de fuerzas en el Consejo ha cambiado desde julio de 2025. Bajo presidencia danesa, un nuevo texto —inspirado en gran medida en los compromisos belga y húngaro de 2024— vuelve a poner sobre la mesa el escaneo obligatorio (también antes del cifrado) y una categorización de riesgos por servicio. Un resumen interno de la reunión del grupo de «aplicación de la ley» del 11 de julio de 2025, filtrado por netzpolitik.org, lo resume así: una mayoría de países «puede vivir» con la propuesta danesa, persiste una minoría de bloqueo y algunos indecisos clave (Alemania, Francia, Bélgica, Finlandia, Luxemburgo, Estonia, República Checa, etc.) pesan mucho.

Visualmente, el mapa de julio de 2025 publicado por el eurodiputado Patrick Breyer muestra de un vistazo qué gobiernos están «a favor», «en contra/neutral» o «indecisos». Es una instantánea activista pero útil para situar tu país.

Países explícitamente «a favor» el 11/07 (o positivos con el texto danés) … Italia, España, Hungría, Letonia, Lituania, Chipre, Croacia, Suecia (apoyo gubernamental, con luz verde parlamentaria pendiente), Dinamarca (autora del texto). Francia declaró estar lista para «apoyar en principio» el texto, en particular la prórroga del régimen transitorio, lo que por ahora la sitúa entre los más favorables. Portugal es «muy positiva», pero mantiene reservas sobre la parte de cifrado.
Países «en contra» (o críticos formalmente en puntos clave) … Polonia (rechaza el escaneo obligatorio y la inclusión del E2EE; señala riesgos para la ciberseguridad y la invalidez del «consentimiento» forzado), Austria (vinculada por una firme posición parlamentaria contra el CSS y el debilitamiento del cifrado), Países Bajos (graves reservas sobre las «órdenes de detección» y el CSS). Eslovenia y Luxemburgo expresan serias dudas sobre la proporcionalidad y el escaneo en el dispositivo.
«Indecisos / en revisión» (o divididos internamente) … Alemania (nueva coalición aún arbitrando, históricamente opuesta al escaneo del E2EE), Bélgica (política interna «difícil» sobre cifrado tras su compromiso de 2024), Estonia (división interna seguridad vs. protección de datos en CSS), Finlandia (texto «más bien problemático», en revisión), República Checa (en periodo electoral, posición pendiente), Irlanda (acoge con beneplácito salvaguardias de ciberseguridad, pero con cautela), Eslovaquia (positiva en ambición, abierta a contraargumentos), Rumanía (no citada en ese informe concreto). Estas sutilezas importan: el Servicio Jurídico del Consejo sigue considerando que el CSS choca con los derechos fundamentales, lo que pesa sobre los indecisos.

En resumen: la adopción depende de un puñado de capitales (París, Berlín, Bruselas, Helsinki, Luxemburgo, Praga, Dublín). Y, incluso entre los «favorables», varios parlamentos nacionales podrían imponer salvaguardias. Para una visión general, véase el mapa de julio de 2025 (indicativo).

Apple. Abandonó en 2022 su plan de detección de CSAM para iCloud Photos (escaneo en dispositivo), algo bien recibido por defensores del cifrado. Desde entonces ha enfatizado el refuerzo del E2EE (Advanced Data Protection). Esto sigue siendo incompatible con un CSS generalizado; la empresa prioriza la seguridad sistémica frente al escaneo por IA en dispositivos.

Meta / WhatsApp. Posición pública consistente: sin puertas traseras y sin escaneo impuesto que debilite el E2EE. Will Cathcart ha reiterado que la app no «romperá» el cifrado —mensajes similares durante los debates en RU/UE. La prensa técnica subraya que el CSS socava la confidencialidad que WhatsApp promete.

Google. Defiende el E2EE (especialmente en Messages/RCS) y, en general, el hashing del lado del servidor cuando es lícito y proporcionado, sin dañar el E2EE universal. Análisis europeos recuerdan los límites de tecnologías como PhotoDNA (útil para contenido conocido, no para «desconocido» ni grooming), base de los argumentos contra el CSS generalizado.

Microsoft. Promotor de PhotoDNA desde hace años (detección mediante hashes de contenido ya conocido, no CSS). En la UE aboga por normas proporcionadas y herramientas de procedencia/traçabilidad, no por el escaneo en tiempo real de todos los chats cifrados. El alcance de PhotoDNA no equivale al CSS para «desconocidos».

Signal. Línea dura: preferiría salir de un mercado antes que debilitar el E2EE. Meredith Whittaker ha dicho que Signal no integrará CSS obligatorio ni ninguna «excepción» al E2EE.

Threema. Se opone firmemente a «Chat Control», alertando sobre la inseguridad sistémica que introduciría cualquier CSS.

Element / Matrix. Advierte contra el retorno del escaneo masivo y del daño al ecosistema de código abierto (servidores autoalojados, federación), donde imponer escáneres cliente/servidor sería irrealista y peligroso.

Proton (Mail/Drive/Pass/VPN). Celebra la posición de 2023 del Parlamento que excluye el E2EE de la detección y considera el CSS técnica y jurídicamente insostenible.

Telegram. Sin postura clara a nivel UE sobre CSS; su cifrado no está activado por defecto en todos los chats, lo que lo convierte en un caso híbrido en el debate.

Tendencia general: los servicios verdaderamente E2EE rechazan el CSS obligatorio. Entre las «Big Tech», la línea pública es proteger el E2EE y evitar un mecanismo generalizado de escaneo en el dispositivo.

Si se introdujera un CSS generalizado, cada dispositivo se convertiría en un puesto de inspección permanente. Tus mensajes y fotos se cribarían antes del cifrado y los errores podrían desencadenar informes —cierres de cuentas, bloqueo de servicios esenciales (correo, nube), incluso investigaciones policiales—. Hay casos documentados que muestran cómo esos errores pueden arruinar una vida digital en horas. Más allá de eso, debilitar el ecosistema E2EE abre superficies de ataque: más código, más puntos de acceso, más riesgo. Para profesiones protegidas (abogados, médicos, periodistas) socava directamente el secreto profesional; para víctimas de violencia o activistas, elimina espacios seguros. A escala industrial, la confianza en los servicios digitales europeos se resentiría si la UE fuese la primera región democrática en imponer tal escaneo masivo.

No, no unilateralmente. Si se adopta, un reglamento prevalece sobre cualquier norma nacional en conflicto (primacía del derecho de la UE) y se aplica directamente. Un Estado no puede crear una excepción nacional sin enfrentarse a un procedimiento de infracción de la Comisión y, en última instancia, a una sentencia del TJUE. Antes de la adopción, Francia puede influir en el Consejo, construir coaliciones para enmendar o bloquear; tras la adopción, puede impugnar ante el TJUE (recurso de anulación) o, si el texto lo permite, aplicar salvaguardias máximas dentro de la flexibilidad prevista (fuerte control judicial, auditorías públicas, exclusión del CSS, etc.). Pero una prohibición nacional frontal de una obligación establecida por un reglamento chocaría con el derecho de la UE.

Sí. En el derecho europeo, el secreto de las comunicaciones y la confidencialidad abogado-cliente están en el núcleo del derecho a la privacidad (Carta, CEDH art. 8). El TEDH otorga una protección «reforzada» al privilegio profesional: sin confidencialidad, el derecho de defensa y el periodismo de investigación se vacían de contenido. Del mismo modo, ePrivacy exige confidencialidad de las comunicaciones electrónicas. El CSS introduce un mecanismo que inspecciona los mensajes antes del cifrado, debilitando mecánicamente esa confidencialidad —también para profesiones protegidas—. El CEPD/SEPD han advertido que imponer tecnologías de detección a las mensajerías puede conducir a un barrido casi generalizado de las comunicaciones con tasas de error preocupantes. En otras palabras, incluso con «exenciones» sobre el papel, un escáner generalizado en el dispositivo es difícil de conciliar con el secreto profesional tal y como se protege en Europa.

Porque un derecho fundamental no depende de lo que tengas que ocultar, sino del poder que el Estado o las empresas pueden ejercer sobre tu vida. La vigilancia preventiva de todos diluye la presunción de inocencia, enfría la expresión y multiplica los errores. Las tecnologías de detección también «encuentran» inocentes: los falsos positivos generan informes, cierres de cuentas e investigaciones —con daños muy reales—. Incluso en términos de eficacia policial, inundar los servicios con alertas dudosas desvía recursos de los casos genuinos. Las autoridades europeas de protección de datos señalan que las tasas de error para detectar contenido «nuevo» siguen siendo preocupantes. Y la confidencialidad también protege a otros: víctimas de abusos, activistas, profesionales médicos y jurídicos, denunciantes, periodistas. Si debilitas a uno, nos debilitas a todos.

Todos compartimos el objetivo de proteger a los menores. La cuestión es la eficacia real y el coste social. Los análisis técnicos indican que el CSS amplía drásticamente la red, genera muchos falsos positivos y puede ser eludido por delincuentes decididos (redes cerradas, herramientas fuera de la UE, ML adversarial). Cada falso positivo consume tiempo de investigación y retrasa los casos reales. Existen enfoques más selectivos y eficaces: más recursos humanos y judiciales, infiltración y vigilancia dirigidas, cooperación internacional enfocada, actuación más fuerte en el origen, educación y priorizar informes verdaderamente accionables. En resumen, hay que favorecer herramientas eficaces y proporcionadas frente al escaneo indiscriminado de toda la población.

En junio de 2025, la Comisión publicó una «hoja de ruta» para garantizar el «acceso legal y eficaz a los datos» para las fuerzas de seguridad. Incluye una hoja de ruta tecnológica sobre cifrado a partir de 2026 y financiación de capacidades de descifrado para 2030 (p. ej., Europol). Este telón de fondo estratégico mantiene la presión política sobre el cifrado de extremo a extremo y ayuda a explicar el impulso por aprobar a corto plazo un texto como el CSAR. Es crucial recordar que el cifrado fuerte también protege a hospitales, empresas, administraciones y ciudadanos frente al crimen y el espionaje. Debilitarlo en nombre del «acceso legal» crea agujeros aprovechables también por actores maliciosos.

En esta fase, el desarrollo y la explotación recaerían en gran medida en actores privados: grandes empresas (Apple, Meta, Microsoft, Google) y compañías especializadas (p. ej., PhotoDNA/MS). Tres preocupaciones principales siguen. Primera, la transparencia: los modelos, umbrales y datos de entrenamiento son secretos comerciales, por lo que es difícil auditarlos. Segunda, la dependencia: la UE externalizaría una función soberana (la detección) a proveedores mayoritariamente extraeuropeos, con actualizaciones unilaterales y sesgos importados. Tercera, la ampliación de fines («function creep»): una vez exista la infraestructura, ampliar el ámbito (terrorismo, «desinformación», fraude…) será tentador si no hay salvaguardias estrictas y exigibles. El episodio de Apple en 2021 ilustra los riesgos: anunció un escaneo de CSAM en el dispositivo y luego dio marcha atrás tras la oposición de criptógrafos y reguladores, precisamente por el potencial de deriva y la dificultad de garantizar un uso estrictamente acotado.

Gobiernos y autoridades de protección de datos —especialmente en Alemania, Países Bajos y otros— han planteado objeciones de principio: incompatibilidad con los derechos fundamentales, inseguridad técnica, ineficacia operativa (demasiadas alertas y falsos positivos). El ministro de Justicia alemán, por ejemplo, ha afirmado que el «chat control» no tiene cabida en un Estado de derecho, y la cámara neerlandesa frenó públicamente versiones anteriores. El panorama es fluido, no obstante: algunos países que bloquearon en 2024 ahora apoyan compromisos que reintroducen el CSS. De ahí la importancia de seguir en tiempo real la postura de tu gobierno.

La referencia del Parlamento sigue siendo la posición adoptada en noviembre de 2023 (LIBE + mandato de negociación): no a la vigilancia masiva, exclusión del E2EE de la detección y medidas dirigidas basadas en sospecha razonable. Esta línea fue apoyada por una amplia mayoría de grupos (Verdes/ALE, La Izquierda, S&D y gran parte de Renew). Contradice un CSS generalizado.

Tras las elecciones de 2024, la legislatura 2024–2029 renovó las delegaciones francesas (RN/Patriotas por Europa, LR/PPE, Renaissance–MoDem–Horizons/Renew, PS–Place Publique/S&D, LFI/La Izquierda, Ecologistas/Verdes). A día de hoy, la mayoría de posiciones públicas siguen las líneas de grupo:
• Verdes/ALE y La Izquierda (LFI): oposición frontal al CSS y a cualquier debilitamiento del E2EE; apoyaron la línea LIBE 2023.
• S&D (PS/Place Publique) y Renew (Renaissance/Modem/Horizons): en general alineados con LIBE 2023 (proteger E2EE, enfoque selectivo), aunque algunos eurodiputados podrían estar «abiertos» a medidas muy acotadas sobre contenido conocido bajo control judicial.
• PPE (Les Républicains): dividido entre partidarios de la «seguridad» (a favor de obligaciones de detección) y preocupaciones de «Estado de derecho/técnicas» (proporcionalidad y seguridad del cifrado).
• Patriotas por Europa / familia ID (RN y aliados): postura heterogénea según los expedientes de seguridad/privacidad; no hay una línea francesa única a favor de un CSS obligatorio en el momento de escribir esto.
• ECR: generalmente favorable a herramientas de investigación más fuertes, pero no a costa de una puerta trasera generalizada al E2EE (con matices internos).

Empieza explicando el mecanismo sin jerga: «Quieren instalar un software en nuestros móviles que lea los mensajes antes de cifrarlos, para comparar lo que enviamos con bases de imágenes y modelos automatizados. Si la máquina se equivoca, puede denunciarnos por error». Luego, el problema: «Esto no es un debate a favor o en contra de proteger a los menores; es sobre el método: escanear a todo el mundo todo el tiempo es desproporcionado e ineficaz. Los delincuentes se adaptan; mientras tanto, se debilita la seguridad y la privacidad de todos». Por último, la solución: «Financiar a las personas y a los tribunales, investigar de forma dirigida, cooperar entre países, retirar contenido en el origen, educar y prevenir —sin romper el cifrado». Para un mensaje de 30 segundos:
«‘Chat Control’ es un escáner en nuestros teléfonos que lee los mensajes antes de enviarlos. Puede equivocarse y señalar a inocentes. Rompe el secreto de las comunicaciones (médicos, abogados, periodistas) y crea agujeros para atacantes. Protejamos a los menores con medios eficaces y proporcionados —no vigilando a 450 millones de europeos».
En conversaciones más largas, usa analogías concretas: «¿Aceptarías que un agente abriese todas tus cartas ‘por si acaso’?» Recuerda que, en Europa, la confidencialidad de las comunicaciones y el secreto profesional son derechos protegidos —y que las autoridades de protección de datos han advertido sobre errores y derivas—. Propón una acción clara: firma la petición, escribe a tus eurodiputados, coméntalo en tu trabajo o en la escuela y usa mensajerías que se oponen públicamente al CSS obligatorio.