-
El Parlamento Europeo prorrogó el escaneo voluntario hasta abril de 2028.
-
Existen servicios de mensajería privada que resisten a la intrusión.
En el hemiciclo de Estrasburgo quedaban unos ciento doce escaños vacíos. Era la última jornada de la sesión plenaria previa al receso de verano, esa hora en que los pasillos huelen a maletas y los debates se apuran porque hay vuelos que tomar. Los eurodiputados que sí estaban levantaron la mano contra el escaneo indiscriminado de mensajes privados: 314 votaron para rechazarlo, 276 para mantenerlo, 17 se abstuvieron.
Ganaron los 276.
No hubo trampa, ni sobornos, ni una sala llena de lobistas. Bastó un artificio jurídico. En segunda lectura, el reglamento interno del Parlamento exige que el rechazo alcance la mayoría absoluta de la cámara —361 votos de 720— y no la simple mayoría de los presentes. Las ausencias no cuentan como noes. Se revivió el debate sobre el escaneo de mensajes privados justo en un momento en que se sabía que no habría suficiente gente para rechazarlo.
El 26 de marzo de 2026, el Parlamento Europeo rechazó la prórroga: 311 votos contra 228, con 92 abstenciones. La derogación expiró el 3 de abril y el escaneo se quedó sin cobertura legal. Podría haber terminado ahí. El 2 de julio, el Consejo adoptó el texto original de la Comisión como su posición de segunda lectura, un movimiento que trasladó la carga: ya no había que aprobar la norma, había que reunir 361 votos para tumbarla. El 7 de julio, el Partido Popular Europeo activó el procedimiento de urgencia, saltándose la comisión responsable, por 331 votos contra 304. El 9 de julio, la norma volvió.
Rechazada en marzo. Expirada en abril. Vigente en julio.
Los ciudadanos tienen que ganar todas las veces. Los celadores tienen que ganar una sola. Existe una asimetría evidente en el juego legislativo en el que la única opción del ciudadano es protegerse en herramientas que no puedan vigilar.
Tu correspondencia privada depende de una derogación
El nombre completo de la norma que revivió este 9 de julio de 2026 es Reglamento (UE) 2021/1232, sobre una derogación temporal de ciertas disposiciones de la Directiva 2002/58/CE. Esa directiva, conocida como ePrivacy, es la que garantiza el secreto de las comunicaciones electrónicas en la Unión Europea.
Léase de nuevo. No es un reglamento que proteja la confidencialidad: es un reglamento que la suspende. La arquitectura legal trata el secreto de la correspondencia como una regla que admite excepciones, y las excepciones tienen fecha de vencimiento. Esta expiró el 3 de abril y acaba de renovarse hasta el 2028.
Conviene precisar qué toca esta norma y qué deja intacto. Chat Control 1.0 —el que se prorrogó— permite, sin obligar, que las plataformas escaneen mensajes no cifrados: Gmail, los mensajes directos de Instagram, Discord, Snapchat, Skype, Xbox. El propio reglamento afirma en sus considerandos que nada en él debe interpretarse como debilitamiento del cifrado de extremo a extremo, y la votación del 9 de julio sumó una enmienda que excluye expresamente esas comunicaciones. WhatsApp, Signal e iMessage quedaron fuera.
Chat Control 2.0 es el reglamento permanente, propuesto en 2022, que convertiría la detección en obligatoria para todas las plataformas y abriría la puerta al escaneo del lado del cliente, client-side scanning: el análisis del contenido en el teléfono del usuario, antes de que se cifre. Ese reglamento no está aprobado. Cinco rondas de negociación a tres bandas colapsaron, y la sexta se reanuda en septiembre bajo presidencia irlandesa.
Ya en agosto del año pasado advertimos que la versión suavizada funcionaba como antesala de la dura. Si bien la privacidad está consagrada, no solo en la Declaración de Derechos Humanos, sino en la Carta de Derechos Fundamentales de la Unión Europea bajo el artículo 7 —toda persona tiene derecho al respeto de su vida privada y familiar, su hogar y sus comunicaciones— y bajo el artículo 8, se sigue insistiendo en legalizar vías de violar estos derechos.
Artículo 8 – Protección de datos personales
1. Toda persona tiene derecho a la protección de sus datos personales.
2. Dichos datos deben ser tratados de forma justa, con fines específicos y sobre la base del consentimiento del interesado o de cualquier otro fundamento jurídico legítimo. Toda persona tiene derecho de acceso a los datos recopilados sobre ella y a su rectificación.
3. El cumplimiento de estas normas estará sujeto al control de una autoridad independiente.Carta de los Derechos Fundamentales de la Unión Europea
Y aquí está el problema que ninguna de las dos versiones de la ley resuelve: cuando la privacidad se ejerce solo mientras una ley no la suspenda, ha dejado de ser un derecho para volverse una concesión, y toda concesión exige que quien la otorga demuestre por qué vale la pena.
La Comisión no puede probar que esto sirva, y lo escribió
Esa demostración existe y está publicada. Se llama COM(2025) 740 final, es el informe de implementación que la propia Comisión Europea presentó al Parlamento el 27 de noviembre de 2025, y su lectura completa produce una impresión que ningún activista podría fabricar.
Hay que empezar por una distinción que el informe hace y que cambia todo el debate. Para detectar material de abuso ya conocido, la tecnología compara huellas digitales —hashes, firmas numéricas de cada imagen— contra una base de datos. Es precisa: la herramienta más usada, PhotoDNA de Microsoft, reporta un falso positivo por cada 50.000 millones. Las cifras de la tabla del informe lo confirman: Google bajó su tasa de error del 1,14% al 0,54% entre 2023 y 2024, y Meta, del 0,32% al 0,12%.
El problema es que Chat Control 2.0 no quiere expandir esa parte. Quiere expandir la otra.
Para detectar material nuevo —nunca antes catalogado— y para detectar grooming —el acoso a menores en el texto de una conversación—, no sirve comparar huellas: hace falta un clasificador de inteligencia artificial que adivine, a partir de patrones, si algo es abuso. Y ahí las cifras del propio informe se desploman. Yubo, la única plataforma que reportó esa detección, informó un error del 20% en 2023 y del 13% en 2024. La tecnología precisa es la que ya está desplegada sobre material conocido; la tecnología que la Comisión quiere volver obligatoria, y aplicar sobre conversaciones cifradas, es la que se equivoca.
Conviene imaginar qué significa ese error del lado de quien lo sufre, porque no es una estadística abstracta. Un padre le manda a la pediatra, por chat, la foto de un sarpullido en su hijo. Dos amigos se reenvían un meme de humor negro. Una pareja adulta intercambia una imagen íntima y consentida.
En cualquiera de esos casos, un clasificador entrenado para adivinar puede marcar la conversación como sospechosa de abuso, y a partir de ahí la maquinaria se pone en marcha: revisión humana, aviso a un centro, remisión a la policía.
No es una hipótesis remota. Los propios datos de Meta muestran que, en una muestra de 150 cuentas reportadas, el 75% no tenía ninguna intención de dañar a un menor: compartían el material por indignación o mal gusto. En Irlanda, de 4.192 remisiones recibidas en 2020, el 11% claramente no era abuso. Y un fiscal alemán advirtió ante el Bundestag, en marzo de 2023, que la detección de contenido desconocido mediante inteligencia artificial arroja tantos falsos positivos que ciudadanos inocentes terminan bajo sospecha e investigación.
La sospecha, además, deja rastro: la policía irlandesa conserva los datos personales de todas las remisiones, incluidas las que ella misma confirma que no eran abuso. El error del algoritmo no se borra cuando un humano lo descarta; queda archivado en una red de vigilancia que la persona nunca supo que la incluía.
Para los estudios, tres Estados no entregaron ninguna cifra. Alemania —el país más poblado de la Unión— se negó a aportar estadísticas argumentando que no existe base legal para la detección voluntaria. Solo Estonia y Suecia pudieron confirmar que las condenas que reportaban provenían efectivamente de los avisos recibidos. Y sobre el conjunto, la Comisión escribe que, con los datos disponibles, no es posible establecer un vínculo claro entre esas condenas y los reportes de los proveedores.
Sin cifras completas de condenas. Sin trazabilidad entre el aviso y la sentencia. Sin base legal, según uno de los veintisiete miembros de la Unión.
El informe llega entonces a la pregunta de la proporcionalidad —si el beneficio justifica la intromisión— y responde que los datos disponibles son insuficientes para dar una respuesta definitiva. Dos oraciones más abajo concluye que no hay indicios de que la derogación no sea proporcionada. La doble negación como método: de la ausencia de prueba se deduce la ausencia de culpa.
Sería deshonesto detenerse aquí. El mismo informe sostiene que miles de niños fueron identificados en el período y que millones de imágenes salieron de circulación. Nadie discute que el abuso sexual infantil existe, ni que sus víctimas son reales, ni que combatirlo es una obligación.
La cuestión es otra: tras cinco años de escaneo, la institución que lo defiende no logra demostrar que la vigilancia indiscriminada haya sido la causa de esos rescates, ni que expandirla a los clasificadores que fallan un 20% vaya a salvar a un niño más. Cuando quien pide suspender un derecho no puede medir lo que obtiene a cambio, deja de estar argumentando y pasa a estar pidiendo confianza.
Ese es el pedido exacto que Bitcoin nació para rechazar porque los terceros de confianza siempre terminan abusando de la confianza que se les entregó.
El trabajo de Alcides Peron y colegas, Más allá de la represión digital: el tecnoautoritarismo en los gobiernos de extrema derecha, publicado en Cogent Social Sciences en 2025, rastrea cómo sistemas de vigilancia con inteligencia artificial instalados para el «control del crimen» en Israel, Brasil y Hungría terminaron apuntando a quienes desafiaban al gobierno. Esto lo hemos visto ocurrir una y otra vez en la historia. Y así quienes insisten en empujar Chat Control 2.0 tengan buenas intenciones —de lo que no hay certeza, y, bajo amenaza, cualquier buena intención flaquea—, no sabemos para qué será utilizada esa ley de vigilancia masiva en el futuro.
Según los borradores discutidos por los ministros del Interior, los agentes de inteligencia, los policías y los militares quedarían exceptuados del escaneo. También los propios ministros, recordándonos que, a los ojos de algunos gobernantes, hay ciudadanos de primera y segunda clase, unos con más prerrogativas que otros. Vitalik Buterin, cofundador de Ethereum, lo señaló el año pasado: resulta revelador que quienes redactan la ley busquen excluirse de ella. Si la herramienta es fiable, precisa y proporcionada, no se entiende la excepción. Si no lo es, no se entiende la ley.
La infraestructura sobrevive a la intención de quien la construyó. Y un derecho que debe reconquistarse cada vez que alguien lo somete a votación no es un derecho, es un permiso.
Quién puede ser obligado, y quién no
¿Por qué Signal e iMessage quedaron fuera del escaneo de Chat Control 1.0, y Gmail y los mensajes directos de Instagram, dentro? No por deferencia del legislador. Quedaron fuera porque, hoy, su proveedor no puede leerlos: el cifrado de extremo a extremo impide que la propia empresa vea el contenido. Los mensajes directos de Instagram, de hecho, entraron en el alcance de la norma cuando Meta les retiró ese cifrado en mayo de 2026.
Pero esa protección no es definitiva, y aquí está lo que Chat Control 2.0 persigue. Donde hay una empresa, hay a quién obligar. Si el reglamento permanente impone el escaneo del lado del cliente, cualquier servicio con una compañía detrás —incluido WhatsApp, incluido Signal— tendría que analizar los mensajes en el teléfono, antes de cifrarlos. Signal respondió que preferiría abandonar el mercado europeo antes que hacerlo; WhatsApp adoptó la misma posición. Que la respuesta sea marcharse revela hasta qué punto la orden es posible: no se amenaza con huir de algo que no puede alcanzarte.
Los únicos servicios a los que el escaneo no puede obligar son los que no tienen una empresa a la cual dirigir la orden: arquitecturas entre pares, sin servidor central, como Briar, o Bitchat, la aplicación inspirada en Bitcoin, Keet, construida sobre la red de Holepunch de Tether, o la recientemente lanzada por el equipo de Cake Wallet y basada en tecnología de Signal, Radar Chat. Nadie a quien enviarle un requerimiento, nada que compeler. Y aquí la honestidad obliga a nombrar la debilidad: esas herramientas casi no se usan. El efecto de red juega en su contra, y la comodidad empuja a la mayoría hacia las plataformas vigiladas. La defensa existe, pero está casi vacía.
Donde hay un tercero, entra la vigilancia; donde el usuario custodia sin intermediario, la orden no encuentra destinatario. La coerción sobre el dinero y la coerción sobre la palabra no son la misma norma, pero obedecen a la misma lógica: buscan siempre el punto donde alguien, distinto de ti, guarda lo que es tuyo. Como bien dijo Nick Szabo, “los terceros de confianza son huecos de seguridad”.
Lo que no vence en abril de 2028
La mayoría del Parlamento Europeo votó para proteger la correspondencia privada de cientos de millones de personas. No alcanzó. Volverá a votarse, y la próxima vez la sala podría estar más llena, o más vacía, o el umbral podría contarse de otro modo.
Esa es la naturaleza de un permiso. Se renueva, se deja expirar, se resucita por vía de urgencia el último jueves antes de las vacaciones. La política se moldea de acuerdo con los que mandan. Los trílogos sobre Chat Control 2.0 se reanudan en septiembre y nadie sabe cómo terminarán. Queda abierto si el escaneo obligatorio llegará al dispositivo, si el cifrado de extremo a extremo resistirá esa embestida, si el Consejo aceptará en octubre la enmienda que lo excluye.
Lo que no queda abierto es la pregunta de fondo. Si una mayoría no bastó para proteger tu correspondencia, ¿qué la protege?
No un voto: los votos se repiten hasta que salen bien. No una directiva: las directivas admiten derogaciones. No la promesa de un funcionario que se exceptúa a sí mismo de la vigilancia que diseña.
Satoshi Nakamoto lo tuvo muy claro a la hora de diseñar Bitcoin como una red entre pares. En noviembre de 2008, incluso antes del minado del bloque génesis, escribía en la lista de correos de criptografía:
Los gobiernos son expertos en desmantelar redes controladas centralmente como Napster, pero las redes P2P puras como Gnutella y Tor parecen mantenerse firmes.
Satoshi Nakamoto
Casi veinte años después, estas palabras siguen siendo ciertas y válidas, tanto para el dinero digital y torrents, como para servicios de mensajería privados y resistentes a la censura. Los servicios que no dependen de la honestidad de nadie son los que separan los derechos de los permisos. Una regla escrita en la ley se rediscute. Una propiedad escrita en la matemática no se somete a quórum. La mejor forma de protegerte es haciéndote responsable y usando las herramientas.








