El regulador de daños en línea, Ofcom, ha publicado su primer código de prácticas para abordar los daños ilegales en virtud de la Ley de Seguridad en Línea (OSA), dando a las empresas tres meses para prepararse antes de que comience la aplicación en marzo de 2025.
Publicado el 16 de diciembre de 2024, los códigos y la guía de daños ilegales de Ofcom describen los pasos que los proveedores deben tomar para abordar los daños ilegales en sus servicios.
Esto incluye nombrar a un alto ejecutivo para que sea responsable del cumplimiento de la OSA, financiar y dotar de personal adecuadamente a los equipos de moderación de contenidos, mejorar las pruebas algorítmicas para limitar la difusión de contenidos ilegales y eliminar cuentas administradas por organizaciones terroristas o en nombre de ellas.
La OSA, que cubre más de 100.000 servicios en línea, se aplica a los motores de búsqueda y a las empresas que publican contenido creado por usuarios, y contiene 130 “delitos prioritarios” que cubren una variedad de tipos de contenido (incluidos el abuso sexual infantil, el terrorismo y el fraude) que las empresas deberán abordar. abordar de forma proactiva a través de sus sistemas de moderación de contenidos.
Con la publicación de los códigos, los proveedores ahora tienen como fecha límite el 16 de marzo de 2025 para cumplir con su deber legal de evaluar el riesgo de que se produzcan daños ilegales en sus servicios, después de lo cual se espera que implementen inmediatamente las medidas de seguridad establecidas en los códigos. , o utilizar otras medidas efectivas para proteger a los usuarios.
Ofcom ha dicho que está dispuesto a tomar medidas coercitivas si los proveedores no actúan con prontitud para abordar los riesgos de sus servicios. Según la OSA, el incumplimiento de sus medidas –incluido el hecho de no completar el proceso de evaluación de riesgos dentro del plazo de tres meses– podría provocar que las empresas sean multadas con hasta el 10% de sus ingresos globales o £18 millones (lo que sea mayor).
“Durante demasiado tiempo, los sitios y aplicaciones no han estado regulados, no han sido responsables y no han querido priorizar la seguridad de las personas sobre las ganancias. Eso cambia a partir de hoy”, dijo la directora ejecutiva de Ofcom, Melanie Dawes.
“El foco de la seguridad está ahora firmemente puesto en las empresas tecnológicas y es hora de que actúen. Estaremos observando de cerca la industria para garantizar que las empresas cumplan con los estrictos estándares de seguridad establecidos para ellas en nuestros primeros códigos y directrices, y pronto se implementarán más requisitos en la primera mitad del próximo año”.
El secretario de tecnología, Peter Kyle, que presentó su borrador de Declaración de prioridades estratégicas (SSP) al regulador en noviembre de 2024, describió los códigos como un “cambio sustancial en la seguridad en línea” que significa que las plataformas tendrán que eliminar de manera proactiva una serie de ilegales. contenido.
“Este gobierno está decidido a construir un mundo en línea más seguro, donde las personas puedan acceder a sus inmensos beneficios y oportunidades sin estar expuestas a un entorno anárquico de contenido dañino”, dijo.
“Si las plataformas no dan un paso al frente, el regulador cuenta con mi respaldo para utilizar todos sus poderes, incluida la emisión de multas y la solicitud a los tribunales para bloquear el acceso a los sitios. Estas leyes marcan un restablecimiento fundamental de las expectativas de la sociedad sobre las empresas de tecnología. Espero que cumplan y estaré observando de cerca para asegurarme de que así sea”.
Si bien se prevé que el SSP esté finalizado a principios de 2025, la versión actual contiene cinco áreas de enfoque, que incluyen seguridad desde el diseño, transparencia y rendición de cuentas, regulación ágil, inclusión y resiliencia, e innovación en tecnologías de seguridad en línea.
Según la OSA, Ofcom tendrá que informar al secretario de Estado sobre las acciones que ha tomado en contra de estas prioridades para garantizar que las leyes brinden espacios en línea más seguros, que luego se utilizarán para informar los próximos pasos.
Ofcom dijo que llevará a cabo una consulta adicional en la primavera de 2025 para ampliar los códigos, que incluirá la revisión de propuestas sobre la prohibición de cuentas que compartan material de abuso sexual infantil, protocolos de respuesta a crisis para eventos de emergencia como los disturbios de agosto de 2024 en Inglaterra y la uso de “coincidencia de hash” para evitar el intercambio de imágenes íntimas no consensuadas y contenido terrorista.
Según la Cláusula 122 de la OSA, Ofcom tiene el poder de exigir a los proveedores de servicios de mensajería que desarrollen e implementen software que escanee los teléfonos en busca de material ilegal. Conocido como escaneo del lado del cliente, este método compara valores hash de mensajes cifrados con una base de datos de valores hash de contenido ilegal almacenado en el dispositivo de un usuario.
Los proveedores de comunicaciones cifradas han dicho que el poder de Ofcom para exigir una vigilancia general en las aplicaciones de mensajería privada de esta manera “reduciría catastróficamente la seguridad y la privacidad de todos”.
En respuesta a la publicación de los códigos, Mark Jones, socio del bufete de abogados Payne Hicks Beach, dijo que el hecho de que hayan transcurrido 14 meses entre que la OSA reciba el consentimiento real en octubre de 2023 y que los códigos entren en vigor en marzo de 2025 muestra que “hay No ha habido urgencia” para abordar los daños ilegales.
“Seamos claros: esto es, hasta cierto punto, autorregulación. Los proveedores deciden por sí mismos cómo cumplir con las obligaciones legales y qué es proporcional para ellos”, afirmó. “Sin embargo, Ofcom tiene poderes de ejecución, como multas de hasta 18 millones de libras esterlinas o el 10% de la facturación global o incluso el bloqueo de sitios en los casos más graves. Pero, ¿veremos que estos poderes se utilicen rápidamente o que se utilicen en absoluto? Los críticos dicen que los códigos de práctica no van lo suficientemente lejos y que se está adoptando un enfoque gradual ante los daños ilegales”.
Xuyang Zhu, socio del bufete de abogados global Taylor Wessing, añadió que si bien se publicarán más códigos de práctica, las empresas ahora tienen plazos estrictos que cumplir y ya no pueden retrasar la adopción de medidas para implementar medidas de seguridad.
“Las empresas deben actuar ahora si quieren evitar incumplimientos y enfrentar multas potencialmente significativas”, dijo. “Para muchos servicios, se necesitará mucho tiempo y esfuerzo para realizar la evaluación de riesgos, revisar el sistema y los datos para identificar los riesgos, así como implementar medidas de cumplimiento para mitigar los daños identificados. No será una tarea fácil y, para garantizar que las empresas puedan cumplir el plazo, deben empezar ahora”.
Ofcom publicó previamente su borrador de códigos de seguridad infantil en línea para empresas de tecnología en abril de 2024. Según los códigos, Ofcom espera que todos los servicios de Internet a los que los niños puedan acceder (incluidas las redes sociales y los motores de búsqueda) lleven a cabo controles rigurosos de la edad y configuren sus algoritmos para filtrar el contenido más dañino de los feeds de estos niños e implementar procesos de moderación de contenido que garanticen que se tomen medidas rápidas contra este contenido.
Los proyectos de códigos también incluyen medidas para garantizar el cumplimiento de las empresas de tecnología, incluido el nombramiento de una persona de alto nivel responsable del cumplimiento de las obligaciones de seguridad de los niños, una revisión anual por parte del organismo superior de todas las actividades de gestión de riesgos relacionadas con la seguridad de los niños y un código de conducta para los empleados. que establece estándares para los empleados en torno a la protección de los niños.