No, Europa no ha aprobado leer todos tus WhatsApp. Entonces, ¿qué ha pasado?

No, Europa no ha aprobado leer todos tus WhatsApp. Entonces, ¿qué ha pasado?

Chat Control no es fácil de entender. Hay una norma temporal, otra ley que Europa lleva años intentando aprobar, varias instituciones implicadas y una votación en la que hubo más votos en contra que a favor, pero el texto siguió adelante. Y cuando un tema es complicado, es fácil quedarse con la explicación más simple y, si añadimos que hablamos de privacidad, menores y mensajes privados, un titular llamativo genera mucho más debate y alcance que una explicación larga.

Por eso se está repitiendo que Europa ha aprobado leer todos nuestros WhatsApp. Precisamente WhatsApp es un mal ejemplo para explicar todo esto, porque sus conversaciones utilizan cifrado de extremo a extremo y el Parlamento Europeo ha dicho explícitamente que este tipo de comunicaciones queden fuera de las medidas de detección. Tampoco afecta, por tanto, a las conversaciones con este tipo de cifrado como Signal o Telegram.

chat 2.0 union europea

Así que no, Europa no ha aprobado leer todos tus WhatsApp. Pero eso no significa que aquí no esté pasando nada importante, todo lo contrario. Parte de lo que se está contando es cierto: se está discutiendo si determinadas plataformas pueden utilizar sistemas automáticos para analizar otras comunicaciones privadas con un objetivo muy concreto: detectar material relacionado con el abuso sexual infantil.

Pero vamos a tratar de apartar el ruido y a intentar entender primero qué ha pasado y qué no ha pasado. Después podremos entrar en el problema tecnológico y el debate, que, para mi, es bastante más interesante que el titular.

Qué ha pasado

En 2021, Europa permitió que algunas plataformas buscaran automáticamente material de abuso sexual infantil en sus servicios. Como las leyes europeas protegían la privacidad de nuestros mensajes, hizo falta crear una excepción temporal: normalmente las empresas no pueden analizar libremente lo que enviamos, pero durante un tiempo se les permitía utilizar determinadas herramientas para buscar ese tipo de contenido.

La idea era que esta excepción durase solo mientras Europa preparaba una ley definitiva. Era una solución provisional porque Europa todavía no había decidido cuáles debían ser las reglas permanentes, pero no quería que las plataformas dejaran de utilizar unas herramientas que ya servían para localizar y denunciar material de abuso sexual infantil. Así que les permitió seguir haciéndolo voluntariamente mientras se preparaba una regulación más completa.

El problema es que la ley definitiva todavía no ha llegado y además, por el camino, apareció ChatGPT en nuestras vidas y las cosas fueron cambiando. Europa, incapaz de sacar la ley adelante, prorrogó la excepción temporal en 2024, pero esta caducó el pasado 3 de abril de 2026. Desde ese día, las plataformas dejaron de contar con esa excepción europea específica que les permitía realizar voluntariamente estas actividades de detección. Es decir, ya no podían tratar de localizar este tipo de contenidos.

Lo que Europa está intentando hacer ahora (y de ahí tantos titulares) es recuperar esa excepción.

Hasta aquí, lo que ha pasado.

Qué no ha pasado

Europa no ha aprobado una nueva ley para leer todos nuestros mensajes, ni ha decidido que todas las plataformas tengan que analizar las conversaciones de sus usuarios y no ha aprobado la regulación permanente que suele aparecer en este debate con el nombre de Chat Control 2.0.

Y, como acabamos de ver, tampoco ha aprobado escanear todos nuestros WhatsApp, ya que como hemos visto, el Parlamento Europeo ha dicho que las comunicaciones cifradas de extremo a extremo queden fuera de estas medidas.

Pero esto no significa que no existan comunicaciones privadas que puedan ser analizadas.

La medida afecta a otros mensajes, correos electrónicos y comunicaciones dentro de servicios que no estén protegidos de la misma forma. La indignación no es por si un funcionario europeo va a leer nuestros mensajes, sino en qué casos una empresa puede utilizar una máquina para analizar una comunicación privada, qué cosas puede buscar esa máquina y qué ocurre cuando encuentra algo que considera sospechoso.

chat 2.0 union europea

Pero para entender por qué Europa permite algo así vamos a ver primero qué intentan encontrar esas plataformas.

¿Qué buscan exactamente?

Las plataformas digitales llevan años intentando localizar imágenes y vídeos de abuso sexual infantil que circulan por Internet. Una vez que uno de esos archivos ha sido identificado, puede crearse una especie de huella matemática que ayuda a reconocerlo si vuelve a aparecer.

Se trata de imágenes y vídeos, esto es importante. El sistema encuentra una imagen (o vídeo) y compara su huella con las de imágenes que ya sabemos que infringen la ley. Si encuentra una coincidencia, puede marcar el archivo para que se revise, se retire y, cuando corresponda, se denuncie.

Se trata de buscar patrones, como digo tantas veces, así que la máquina no necesita mirar la foto ni comprender toda la escena. En este caso, está buscando algo que ya conocemos. Tiene una huella y comprueba si encuentra otra igual o suficientemente parecida mediante las técnicas utilizadas para este tipo de detección.

Este tipo de herramientas ya se utilizaba antes de 2021. Europa quería que las plataformas pudieran seguir utilizándolas voluntariamente, pero había un problema: las normas europeas protegen la privacidad de nuestras comunicaciones y podían dejar a las empresas sin una base legal clara para analizar el contenido enviado por sus usuarios. Por eso se creó la famosa excepción temporal.

Hasta aquí la idea es sencilla. El problema empieza cuando no buscamos una imagen conocida, sino algo nuevo, o ni siquiera haya imágenes sino una conversación. Pero volveremos a este punto más adelante.

¿Por qué estamos hablando de esto otra vez?

Primer porque Europa creó una solución temporal y todavía no ha conseguido aprobar la definitiva cinco años después. En 2022, la Comisión Europea presentó una propuesta para crear reglas permanentes que suele aparecer bajo el nombre de Chat Control 2.0.

El problema es que Europa lleva años negociando esa regulación sin conseguir cerrar un acuerdo definitivo. Mientras tanto, seguía utilizando la excepción temporal de 2021.

chat 2.0 union europea

La excepción se prorrogó en 2024, pero volvió a llegar su fecha de caducidad. El 3 de abril de 2026 expiró y Europa se encontró en una situación bastante extraña: la ley definitiva seguía sin estar aprobada y la solución temporal también había terminado.

Por eso el Consejo de la Unión Europea, donde están representados los gobiernos de los países miembros, adoptó el 2 de julio una posición para recuperar esas medidas. El texto volvió al Parlamento Europeo y el 9 de julio se produjo la votación que ha provocado gran parte del debate de estos días.

Había más votos en contra. ¿Cómo pudo avanzar?

En la votación hubo 314 votos en contra, 276 a favor y 17 abstenciones, es decir hubo más eurodiputados en contra que a favor.

Pero en esta fase concreta del procedimiento europeo no bastaba con tener más votos negativos que positivos. Para detener el texto hacían falta 361 votos en contra, la mayoría absoluta de todos los miembros del Parlamento Europeo. Hubo 314 y, como no se alcanzaron los 361 necesarios, el texto siguió adelante.

Por leemos cosas como: «las ausencias contaron como votos a favor». No es exactamente así, pero una persona que no acudió a votar no aparece como si hubiera pulsado el botón del sí porque no votó a favor para conseguir esos 361 votos necesarios para detener el texto.

Ahora que sabemos qué ha pasado, hablemos del verdadero problema

Hasta aquí los hechos. Lo que intenta recuperar Europa es una excepción (la que permite a las plataformas analizar voluntariamente otras comunicaciones para buscar material relacionado con el abuso sexual infantil).

La primera pregunta que nos podemos hacer es si la medida es desproporcionada. Para mi lo es.

Es como si la policía sabe que algunas personas transportan bolsos falsificados en sus coches y para intentar encontrarlos decide instalar un control en una autopista y hacer pasar por él a todos los vehículos. No solo a los coches de personas investigadas, ni a quienes han estado relacionados con redes de falsificación, sino a todos. Millones de conductores que no han hecho nada pasarían por el sistema porque entre ellos puede haber algunos que transporten mercancía ilegal.

Evidentemente el abuso sexual infantil es infinitamente más grave que vender un bolso falso. Pero precisamente por eso conviene separar la gravedad del delito del diseño de la herramienta utilizada para perseguirlo. La pregunta no es si el delito merece ser perseguido con todos los recursos que tengamos. La pregunta es si para encontrar a una minoría estamos dispuestos a analizar las comunicaciones de una mayoría que no está bajo ninguna sospecha.

Utilizamos palabras como «detección» o «escaneo», porque una máquina puede hacer el análisis y ningún empleado tiene que sentarse inicialmente a leer uno por uno nuestros mensajes. Pero las comunicaciones han sido procesadas igualmente. Para decidir que una conversación no contiene nada sospechoso, el sistema ha tenido que analizarla de alguna forma.

¿Quién pone las reglas de la máquina?

Supongamos que aceptamos el análisis automático de determinadas comunicaciones privadas para detectar abuso sexual infantil. La siguiente pregunta debería ser: ¿qué busca exactamente el sistema?

Cuando hablamos de una imagen ilegal ya conocida, existe una huella matemática de un archivo previamente identificado y la tecnología intenta encontrar una coincidencia. El propio reglamento europeo describe el uso de tecnologías de hashing para comparar imágenes o vídeos con firmas digitales de material verificado.

Pero el reglamento temporal no se limita al material conocido. Su ámbito también ha incluido tecnologías destinadas a detectar material nuevo y ahí ya no buscamos necesariamente una coincidencia exacta, sino patrones, señales o comportamientos que un sistema considera sospechosos. Y claro, alguien tendrá que decidir cuáles son esos patrones.

Alguien decide qué palabras, qué imágenes, qué relaciones entre mensajes o qué comportamientos elevan el nivel de sospecha. Alguien fija el umbral a partir del cual una conversación pasa a ser sospechosa o revisada. Y, aunque el reglamento intenta darnos motivos para fiarnos y nos dice que minimiza errores, la propia Comisión reconoce la existencia de falsos positivos y explica que los proveedores utilizan revisión humana para intentar reducirlos. En su informe de implementación publicado en 2025 aparecen ratios de error comunicados por los propios proveedores y diferencias importantes entre empresas y tecnologías.

Esto importa muchísimo porque un falso positivo no es simplemente que Netflix te recomiende una película que no te gusta. Estamos hablando de una comunicación privada que un sistema puede relacionar erróneamente con uno de los delitos socialmente más graves que existen.

¿Qué ocurre con esa persona? ¿Quién revisa la conversación? ¿Durante cuánto tiempo se conservan los datos? ¿Quién accede a ellos? ¿Cómo sabe el usuario que ha sido señalado por error? ¿Cómo puede defenderse? ¿No habrá filtraciones? ¿Podemos fiarnos?

El reglamento contiene garantías y mecanismos de reclamación. Damos por hecho que Europa ha pensado bien estos temas, pero la existencia de garantías no elimina el riesgo.

Y ¿podría utilizarse para otra cosa?

El reglamento actual dice claramente que el procesamiento debe tener como único objetivo detectar y combatir el abuso sexual infantil online. No permite utilizar esta excepción para perseguir fraude fiscal, buscar opiniones políticas o analizar conversaciones con fines publicitarios.

Pero creo que sí es legítimo pensar que una vez que aceptamos técnicamente que las comunicaciones privadas pueden ser procesadas de forma automática para encontrar determinados patrones, ¿qué garantiza que esa capacidad nunca se amplíe para otros fines?

Las leyes cambian y los gobiernos cambian. Pero también las amenazas que una sociedad considera prioritarias cambian, ya lo hemos visto otras veces. Europa ha aprobado durante los últimos años una enorme cantidad de regulación sobre plataformas, contenidos, desinformación, mercados digitales, inteligencia artificial y datos, que luego han tenido excepciones, cambios o se han suavizado en determinados casos. Pensar que una capacidad tecnológica creada para una finalidad nunca puede ser reclamada posteriormente para otra, exige o una confianza enorme en las instituciones actuales y futuras o, me vais a perdonar, o ser un poco ilusos a estas alturas.

Los datos también pueden filtrarse, robarse o utilizarse de formas que no estaban previstas cuando fueron recogidos, lo sabemos y lo hemos visto demasiadas veces. Que una ley prohíba un uso no hace técnicamente imposible ese uso. No estoy afirmando que vaya a ocurrir pero en los últimos meses han sido muchas las empresas que nos han enviado un escueto mail de disculpa porque los datos de los usuarios se han filtrado.

¿Y las plataformas?

Hay algo que a mi me genera más dudas. Estamos hablando continuamente de Europa, pero Chat Control 1.0 permite actividades voluntarias de los proveedores. Son las propias empresas las que utilizan las tecnologías de detección dentro de sus servicios. Y esas empresas ya procesan enormes cantidades de información sobre nosotros. ¿Tenemos motivos para pensar que plataformas como las redes sociales no tienen “muchos “demasiados” incentivos para querer sacar más provecho a estos datos?

Saben qué contenido vemos, cuánto tiempo permanecemos delante de una publicación, con quién interactuamos, qué anuncios pulsamos y qué temas consiguen mantener nuestra atención. Gran parte de la economía digital se ha construido precisamente sobre la capacidad de conocer y predecir nuestro comportamiento. Por supuesto, que una plataforma pueda analizar datos para publicidad no significa que pueda utilizar legalmente la información obtenida mediante esta excepción para vender anuncios. La finalidad del Reglamento 2021/1232 está limitada a combatir el abuso sexual infantil y el tratamiento sigue sujeto al Reglamento General de Protección de Datos.

Pero volvemos a la misma cuestión. Estamos concediendo capacidad de análisis sobre comunicaciones privadas a empresas cuyo negocio, en muchos casos, depende de conocer cada vez mejor a sus usuarios.

El problema de analizar a todos para encontrar a unos pocos

El Supervisor Europeo de Protección de Datos ha utilizado una expresión mucho menos llamativa que «leer tus WhatsApp», pero probablemente mucho más importante: “análisis general e indiscriminado de comunicaciones privadas”. En febrero de 2026 volvió a advertir de que una nueva extensión de la excepción debía incorporar salvaguardas efectivas frente a este tipo de monitorización y reducir la cantidad de comunicaciones afectadas.

¿Creemos que es proporcionado analizar comunicaciones de personas sobre las que no existe ninguna sospecha para intentar encontrar entre ellas a quienes sí están cometiendo un delito?

Podemos tener sistemas automáticos, rápidos y de una precisión extraordinaria. Podemos prometer que las imágenes de los vehículos se borrarán inmediatamente cuando no encuentre nada, contratar supervisores, poner procedimientos de reclamación y sanciones… y todo esto mejora el sistema, pero analizar las conversaciones de todos los ciudadanos, es algo demasiado desproporcionado.

Mientras tanto, Europa sigue sin aprobar la ley definitiva

Y me gustaría añadir algo que también me sorprende: Europa considera el problema suficientemente grave como para mantener durante años una excepción a las normas de privacidad de las comunicaciones, pero no lo considera suficientemente importante para que sus instituciones hayan sido capaces de conseguir la regulación permanente que debía sustituirla.

La excepción nació en 2021, se prorrogó, expiró y ahora intentan recuperarla. Y la ley definitiva nunca parece llegar. Y estamos hablando de las instituciones de la Unión Europea, de miles de funcionarios, asesores, equipos jurídicos y representantes políticos sostenidos con presupuestos públicos enormes. Podemos entender que regular un problema tan complejo requiera tiempo, pero cinco años después resulta razonable exigir algo más que otra prórroga de una excepción temporal.

Y la votación del 9 de julio tampoco ayuda a generar confianza. Hubo 314 votos en contra y 276 a favor, pero el texto avanzó porque no se alcanzaron los 361 votos necesarios para bloquearlo. Las reglas del procedimiento son las que son y ya hemos explicado por qué ocurrió. Pero conocer el procedimiento no obliga a considerar normal el resultado político.

Cuando una medida que afecta a la privacidad de las comunicaciones avanza con más representantes votando en contra que a favor, mientras la regulación definitiva lleva años atascada, quizá el problema no sea que los ciudadanos no entendemos Europa.

Entonces, ¿debería preocuparnos Chat Control?

Pues yo creo que sí. A mi me preocupa porque estamos aceptando la idea de que para encontrar comportamientos delictivos puede ser legítimo procesar automáticamente comunicaciones privadas de personas que no están bajo ninguna sospecha.

Lo que mencionaba antes: quién define lo que busca el sistema, cuántos falsos positivos puede haber, quién termina viendo una conversación marcada, qué le ocurre a una persona señalada por error, qué seguridad tienen los datos procesados, qué capacidad real tenemos para saber si una plataforma utiliza información para una finalidad distinta… y qué pasa si dentro de diez años otro legislador decide que se utilice para perseguir otros delitos.

Y, si después de cinco años de excepciones temporales, Europa sigue sin ser capaz de aprobar una ley definitiva y una votación en la que el texto ha avanzado con más votos en contra que a favor, no estoy segura de que las instituciones europeas nos hayan dado demasiadas razones para pedirnos simplemente que confiemos en ellas.

Imagen de Susana García

Susana García

Formación a empresas, conferenciante y redactora Inteligencia Artificial.
Autora libros “IA desde cero” y "Técnicas y Modelos de Machine Learning"
Profesora Ingeniería Industrial en la Universidad Nebrija y Negocios Digitales en la Univ. Europea.
Especializada en IA China
Economista de profesión y periodista de vocación.
Escribo sobre la industria de la IA en AI Insider y sobre IA China en la Revista Mundo Global.

Todas las entradas de Susana García