TechLaw
14/7/26

El Chat Control 1.0 aún no está en vigor porque el Parlamento Europeo ha aprobado dos enmiendas

7 min de lectura

Guillermo Passas Varo

El nuevo y polémico movimiento del Consejo y del grupo parlamentario mayoritario de Estrasburgo a través de la tramitación de urgencia de la segunda lectura de su prórroga al Chat Control 1.0 en el Parlamento Europeo ha causado un profundo revuelo entre quienes nos dedicamos al TechLaw y a la defensa de los derechos digitales. Sin embargo y a diferencia de lo que se está diciendo, el pasado 9 de julio no se aprobó definitivamente la prórroga, sino que gracias a la aprobación de dos enmiendas al texto original (la 26 y la 30), ahora es necesario que el Consejo se pronuncie sobre el punto más sensible de todo este debate sobre la privacidad: el cifrado de extremo a extremo (E2EE).

Un poco de arqueología jurídica digital para entender este culebrón

En diciembre de 2020 ocurrió un hito histórico en la regulación del mercado único digital. Fue la fecha de entrada en vigor del llamado Código Europeo de las Comunicaciones Electrónicas (CECE), es decir, de la fecha límite de transposición de la Directiva (UE) 2018/1972, que es el instrumento para la implementación del CECE. Esta política pública europea fue revolucionaria en tanto supuso la ampliación del ámbito subjetivo de la regulación en materia de telecomunicaciones a los llamados SCIIN, NI-ICS por sus siglas en inglés o Servicios de Comunicación Interpersonales Independientes de Numeración. Para que nos entendamos: servicios de mensajería instantánea a través de internet o plataformas OTT, over-the-top, (WhatsApp, Telegram, Signal…).

Las operadoras de telecomunicaciones tradicionales llevaban varios años quejándose de la proliferación de servicios de mensajería instantánea y de la asimetría regulatoria de las que éstos disfrutaban frente a sistemas de comunicación telefónicos (SMS, MMS…). Vamos, un clásico en los fenómenos tecnológicos disruptivos: en lugar de pedir simplificación regulatoria para los sectores tradicionales, piden igualar al alza. Al fin y al cabo, los sistemas regulatorios robustos son una forma de proteccionismo y sirven como barrera de entrada a nuevos operadores. Si a esto le sumas el debate sobre la brecha tecnológica entre la UE y EEUU y la incipiente guerra comercial, comprendes perfectamente el contexto de junio de 2018, que es el momento histórico en el que se aprobó el CECE.

Antes del CECE, los OTT eran considerados “servicios de la sociedad de la información” y su ámbito de regulación era, en esencia, nuestra archiconocida y archicitada Directiva 2000/31/CE, que regula los servicios de la sociedad de la información y del comercio electrónico (DSSICE). Con el CECE, además de encontrarse bajo el ámbito de la DSSICE, las OTT entran al acervo regulatorio del derecho de las telecomunicaciones.

¿Qué implica la entrada en vigor de la Directiva ePrivacy para las OTT?

Teóricamente, la Directiva ePrivacy contiene una limitación a su artículo 5 en el artículo 15, es decir, permite el procesamiento de datos con finalidades como la protección de la seguridad nacional, la defensa y seguridad públicas o el descubrimiento y persecución de delitos, pero esa limitación sigue el régimen que los administrativistas llaman “facultad de policía” de la Administración Pública. En este caso, la CNMC o el organismo regulador correspondiente tiene la potestad de ordenar la limitación de la privacidad de los usuarios de servicios de telecomunicaciones si afecta a alguna de estas áreas, y naturalmente que la persecución del CSAM y del grooming entraría dentro de ese ámbito.

Sin embargo, la realidad a menudo va más allá de lo que el derecho administrativo se cree capaz de prever: las OTT estaban procesando esos datos de forma voluntaria porque podían hacerlo y no porque estuvieran obligadas a ello. De hecho, la gobernanza de las propias OTT podía limpiamente realizar esta actividad a través de unos T&C claros, un interés legítimo invocado en consonancia con las autoridades, tecnologías como el hashing o el PhotoDNA (caja negra) y, en última instancia, por el interés público esencial del artículo 9.2.g) RGPD. Es decir, esta actividad era plenamente compatible con la “lex generalis” del mercado único digital, incluso siendo ésta tan restrictiva para algunos como lo es el RGPD.

A partir de diciembre de 2020, de repente esta actividad resultó ser incompatible de forma radical con la legislación aplicable, puesto que el artículo 5 de la ePrivacy prohíbe expresamente el procesamiento de las comunicaciones salvo que se haga obedeciendo a la autoridad nacional (la CNMC en el caso de España) en medidas limitativas de las restricciones a dicho artículo contenidas en el artículo 15 de esa misma directiva. Aquí nace la verdadera necesidad del Chat Control 1.0.

¿Qué diantres es eso del Chat Control 1.0?

El 6 de julio de 2021, el Parlamento Europeo aprobó en primera lectura con una amplísima mayoría absoluta (537 votos a favor frente a 133 votos en contra y 24 abstenciones) el Reglamento (UE) 2021/1232, que básicamente supone una limitación temporal del artículo 5 de la Directiva ePrivacy para la realización de las siguientes actividades:

  1. Detección de CSAM conocido mediante el cotejo de hashes con imágenes y vídeos ya en posesión de la autoridad judicial.
  2. Detección de CSAM nuevo mediante inteligencia artificial predictiva que procesa imágenes nuevas y las cataloga.
  3. Detección de grooming mediante sistemas de clasificación automática de texto de tipo predictivo. En 2021 aún no habían irrumpido los LLMs generalistas; su llegada posterior ha convertido esta capacidad de detección en algo mucho más potente de lo que el legislador llegó a imaginar, con las obligaciones añadidas que ello supone para quien despliega estos sistemas.

El objetivo de esta medida era permitir que las OTT siguieran realizando las actividades de detección automatizada de CSAM y grooming sin que se opusiera la prohibición absoluta del artículo 5 de la ePrivacy. La idea de la Comisión Europea era dotar a las OTT de una ventana legal antes de la aprobación de lo que se conoce como Chat Control 2.0, o CSAR. El motivo es que Chat Control 1.0 afecta a derechos fundamentales, y el TJUE lleva imponiendo la existencia de Sunset Clauses (cláusulas de puesta de sol o cláusulas de caducidad obligatorias) para todas las disposiciones que afecten a derechos fundamentales.

La primera resolución que impuso esta obligación legislativa en el ámbito del derecho tecnológico fue la STJUE Digital Rights Ireland (Asuntos acumulados C-293/12 y C-594/12), de 8 de abril de 2014, donde se determinó que una disposición de derecho derivado que establecía un periodo de retención general de datos establecido sin criterio objetivo era contraria al principio de proporcionalidad en tanto vulneraba lo dispuesto en los artículos 7 y 8 CDFUE. Sin embargo, la obligación de Sunset Clauses en materia de operadores de telecomunicaciones se impuso definitivamente a través del asunto La Quadrature du Net (Asuntos acumulados C-511/18, C-512/18 y C-520/18), STJUE de 6 de octubre de 2020, que determinó que la orden de rastreo o retención masiva de comunicaciones debe limitarse temporalmente al “estricto tiempo necesario” y que la prórroga automática de una medida de esta naturaleza es contraria a dicho principio.

La caída de la última prórroga y el apagón del rastreo masivo

La primera “deadline” del Chat Control 1.0 fue el 3 de agosto de 2024, pero el Parlamento Europeo y el Consejo, a propuesta de la Comisión, acordaron una prórroga el 29 de abril de 2024 para extender la excepción a la Directiva ePrivacy de las plataformas OTT hasta el 3 de abril de 2026. Entre medias, ocurrió el motín del Reglamento ePrivacy, que es el origen de este conflicto que analizaré en profundidad en mi blog de Substack. El caso es que el Parlamento Europeo, por diversas razones que no corresponden a un blog de carácter divulgativo, ha decidido retirar el apoyo al Chat Control 1.0, lo cual se materializó en el rechazo a la prórroga de 27 de marzo de 2026 por parte del Plenario en primera lectura.

Por tanto, desde el 3 de abril de 2026 se ha producido el llamado “apagón”, es decir, las OTT han interrumpido de forma provisional el rastreo automatizado y masivo de conversaciones, lo cual ha encendido las alarmas entre diversos grupos de interés y diversos estados miembros de la Unión Europea. La polémica en Bruselas se produce entre quienes defienden Chat Control 1.0 como herramienta indispensable para la lucha contra la ciberdelincuencia y quienes defienden el derecho a la privacidad de los usuarios como un bien jurídico irrenunciable. Todo esto a la espera de la inminente aprobación de la versión descafeinada del ya difunto Reglamento ePrivacy dedicada en exclusiva a combatir la ciberdelincuencia sobre menores de edad, el llamado CSAR.

Esta tormenta de polémica digital es lo que ha llevado al Consejo y al grupo mayoritario del Parlamento Europeo a promover la tramitación de urgencia (artículo 170 del Reglamento Interno del Parlamento Europeo) de la segunda lectura de la prórroga al Chat Control 1.0 en pleno mes de julio. Mediante una artimaña legislativa, el Parlamento Europeo aprobó el pasado 7 de julio por mayoría de 331 a 304 votos dicho cauce de tramitación, produciéndose la votación sobre el fondo el 9 de julio.

Dos enmiendas que, sin subvertir la prórroga, retrasan su entrada en vigor

El pasado 9 de julio se votó 33 veces pero sólo tres votaciones nos interesan realmente: una muy importante que no consiguió los 361 votos necesarios para aprobar algo en segunda lectura y dos que sí lo consiguieron.

La que no lo consiguió fue la moción de rechazo al texto del Consejo. A pesar de conseguir más votos a favor que votos en contra, el artículo 68 del Reglamento Interno del Parlamento exige para aprobar cualquier cosa en segunda lectura, incluyendo el rechazo al texto del Consejo, la mayoría absoluta de los eurodiputados presentes y ausentes, es decir, un mínimo de 361 diputados. En este caso, 314 eurodiputados votaron a favor de rechazar el texto del Consejo frente a 276 que votaron en contra de rechazarlo y 17 que se abstuvieron. La mayoría rechazó, pero no fue mayoría suficiente: la magia de la UE.

Pero hubo dos votaciones que sí lograron agrupar a más de 361 eurodiputados y ambas trataban sobre lo mismo: el blindaje del cifrado de extremo a extremo (E2EE). En resumen: que no van a poder rastrear masivamente tus conversaciones de WhatsApp, Signal y Telegram, pero sí las de Instagram, Gmail u Outlook.

Sin embargo, esto tampoco lo podían hacer antes. El Chat Control 1.0 nunca autorizó el procesamiento de los mensajes con carácter previo al cifrado de extremo a extremo, esto es más una consigna política relacionada con la interpretación de las intenciones de algunos Estados con su actitud ante el difunto Reglamento ePrivacy y ante el nuevo CSAR o Chat Control 2.0. Así que técnicamente estas dos enmiendas, la 26 de varios grupos parlamentarios y la 30 de Renew Europe no son más que una salvaguarda ante algo que todavía no existe.

Sin embargo, gracias a la aprobación de estas dos enmiendas en el Parlamento Europeo, Chat Control 1.0 sigue sin prorrogarse y el apagón persistirá hasta que el Consejo ratifique o rechace las enmiendas del Parlamento. Dos escenarios:

  1. Aprobación en un plazo máximo de 3 meses: Si el Consejo ratifica, en menos de 3 meses se reanudará Chat Control 1.0 con las enmiendas del Parlamento y la excepción a la Directiva ePrivacy quedará prorrogada hasta el 3 de abril de 2028. Este es el escenario más probable.
  2. Conciliación: Si el Consejo rechaza las enmiendas del Parlamento, se convocará el Comité de Conciliación, que puede demorar la prórroga hasta primavera de 2027. Este escenario es poco probable por la urgencia de los Estados en aprobar la medida, pero no es del todo descartable dada la posición beligerante de Estados clave en el control de las OTT.

De modo que, aunque la prórroga de Chat Control 1.0 aún no está en vigor, está en camino de convertirse en una realidad de aquí a semanas, salvo sorpresas. En las mismas condiciones que las prórrogas anteriores, simplemente que con un par de advertencias sobre el cifrado de extremo a extremo y con fecha de caducidad el 3 de abril de 2028. Para las plataformas que operan en Europa, el episodio deja una lección sobre el cumplimiento europeo en materia de comunicaciones y datos: lo que ayer era una base jurídica sólida hoy puede ser una infracción. Como siempre, la UE es más aburrida cuando terminas de enterarte de la película.

VIDEOCONSULTA · 60 MIN

Si crees que nos necesitas,
cuéntanoslo.

90
60
100
%
{"@context":"https://schema.org","@type":"Article","headline":"El Chat Control 1.0 aún no está en vigor porque el Parlamento Europeo ha aprobado dos enmiendas","description":"El 9 de julio el Parlamento votó la prórroga del Chat Control 1.0: 314 en contra, 276 a favor, y salió adelante. Qué se votó y qué pasa con el cifrado E2EE.","author":{"@type":"Person","name":"Guillermo Passas Varo"},"publisher":{"@type":"Organization","name":"PASSAS","url":"https://passas.io"},"datePublished":"2026-07-14","mainEntityOfPage":{"@type":"WebPage","@id":"https://passas.io/blog/chat-control-1-0-prorroga-enmiendas-cifrado-2026"}}