No espíes a mi gente, que de eso ya me encargo yo

La Unión Europea se presenta ante el mundo como adalid de la privacidad y los derechos digitales. Su historial con el Reglamento General de Protección de Datos (RGPD) o con iniciativas como la Digital Markets Act (DMA) y la Data Governance Act (DGA) alimenta esa reputación. Sin embargo, al analizar con lupa sus políticas recientes se observa un patrón inquietante: el mismo bloque que presume de proteger a las personas usuarias impulsa normas que erosionan la confidencialidad de las comunicaciones, refuerzan el control centralizado y facilitan la vigilancia masiva.

De la protección al rastreo: chat control y retención de datos

El caso paradigmático es la propuesta para combatir la pornografía infantil, conocida como Chat Control. La Comisión Europea quiere obligar a que todas las plataformas (incluidos los servicios con cifrado de extremo a extremo) escaneen todos los mensajes privados mediante algoritmos de reconocimiento. La Electronic Frontier Foundation advierte que esta obligación convertiría los teléfonos en “espías personalizables”: el escaneo del lado del cliente supone una vigilancia masiva y rompería el cifrado, poniendo en riesgo a periodistas, activistas y a cualquiera que dependa de comunicaciones seguras .

Esta crítica no viene sólo de organizaciones. Más de 500 investigadores y académicos han firmado una carta en la que denuncian que la tecnología de detección propuesta es infiable, genera numerosos falsos positivos y negativos y, lo que es peor, exige vulnerar el cifrado para implementar el escaneo en el dispositivo . La asociación EDRi va más allá: al exigir la verificación de edad y el escaneo indiscriminado, el proyecto equipara la seguridad infantil con la implantación de software espía en los dispositivos de toda la población . Incluso el Parlamento Europeo se ha planteado si es compatible con los artículos 7 y 8 de la Carta de Derechos Fundamentales y ha cuestionado la legalidad de obligar a interceptar mensajes cifrados sin sospecha previa .

Pese a estas advertencias, la Comisión ha intensificado sus planes de vigilancia. El plan de acción ProtectEU y el grupo de alto nivel conocido como “Going Dark” impulsan nuevos mandatos de retención de datos y puertas traseras. El propio Tribunal de Justicia de la UE ha declarado repetidamente que la retención indiscriminada es desproporcionada, pero la Comisión intenta reintroducirla. La Electronic Frontier Foundation recuerda que retener grandes volúmenes de metadatos viola la privacidad, crea enormes objetivos para ciberdelincuentes y que las puertas traseras debilitan la seguridad de todas las personas usuarias . La lógica subyacente parece ser que la única forma de combatir el crimen es vigilar a toda la población, aunque esto destruya la presunción de inocencia.

Identidad digital y euro digital: control centralizado con fachada de privacidad

Otra pieza clave de la estrategia europea es la Regulación de Identidad Digital (eIDAS 2/EUDI). Sobre el papel, el proyecto ofrece un monedero digital que permitiría a la ciudadanía demostrar su identidad y gestionar credenciales de forma sencilla. Sin embargo, la organización técnica Dyne alerta de que este diseño convierte la identidad digital en un nuevo canal de vigilancia privada y estatal. Las grandes plataformas móviles, (Android e iOS), podrían espiar cada presentación de credenciales porque controlan las APIs que lo permiten, y la revocación de credenciales depende de una autoridad central, generando un punto único de fallo . Este sistema podría reforzar la dependencia de gigantes tecnológicos y dificultar la soberanía digital, justo lo contrario de lo que promete.

Las sombras se extienden también al proyecto del euro digital. La UE afirma que la moneda digital ofrecerá pagos offline, garantizará la resiliencia y separará la identidad de los datos de pago para proteger la privacidad. Sin embargo, análisis independientes advierten que la propuesta puede convertir la moneda en un instrumento de vigilancia financiera. El economista Julien Prat destaca que con el euro digital “los pagos podrían ser rastreados directamente por el BCE, lo que suscita preocupaciones sobre vigilancia financiera” . Un informe de GIS Report subraya que el Banco Central Europeo habla de “pseudonimizar” pequeñas transacciones pero reconoce que las operaciones “grandes” serán trazables; además, las leyes contra el blanqueo de capitales exigirán registrar la identidad en muchos pagos y no está claro dónde se sitúan los umbrales . El mismo documento señala que esta moneda sería programable, permitiendo imponer límites de gasto o fechas de caducidad . La promesa de privacidad se desmorona si cada euro puede ser programado y vigilado.

Regulaciones “pro‑usuario” con efectos perversos

La UE ha presentado normativas que aparentemente empoderan a las personas usuarias, pero cuyos efectos prácticos pueden ser ambiguos:

• Data Act y DGA: las autoridades presentan estas leyes como herramientas para democratizar el acceso a datos, facilitar la portabilidad y evitar contratos injustos . La DGA pretende crear intermediarios neutrales para compartir datos y aplicar técnicas de anonimización . No obstante, obligar a compartir datos industriales puede acabar beneficiando a grandes empresas con capacidad de procesarlos y consolidar oligopolios, mientras que centralizar la intermediación crea nuevos puntos de vigilancia.

• ePrivacy Regulation: después de años de debate, la Comisión decidió retirar la propuesta que buscaba actualizar la privacidad en comunicaciones electrónicas, alegando falta de consenso y presiones industriales  . La retirada deja un vacío que está siendo ocupado por regulaciones como la Digital Services Act (DSA), menos centradas en la confidencialidad y más en la moderación de contenidos.

• Digital Services Act: aunque la DSA busca combatir contenidos ilegales, organismos como el CSIS advierten que obliga a las plataformas a retirar o restringir contenidos “ilegales” definidos por cada Estado miembro, con riesgos de sobre‑censura y efecto Bruselas. Para evitar multas de hasta el 6 % de su facturación, las plataformas podrían eliminar más contenido del necesario, y al ser difícil implementar bloqueos por país, podrían optar por retiradas globales . Esto puede convertir los estándares europeos en la referencia mundial y afectar a la libertad de expresión incluso fuera de la UE.

• AI Act: se celebra como el primer marco integral sobre inteligencia artificial, pero investigaciones de Statewatch muestran que incluye numerosas excepciones para las fuerzas de seguridad y deja abiertas fisuras para la vigilancia biométrica en tiempo real . La ley prohíbe prácticas como la puntuación social, pero permite que autoridades desplieguen sistemas de reconocimiento facial en situaciones “urgentes”, sin supervisión real . La clasificación de riesgos puede quedar obsoleta rápidamente, y el control democrático es limitado.

Incluso cuando la UE sanciona a corporaciones que abusan de su posición dominante, el resultado puede ser ambivalente. La Autoridad de Competencia francesa multó a Apple con 150 millones de euros porque su mecanismo App Tracking Transparency (ATT), presentado como defensa de la privacidad, impuso obstáculos desproporcionados a los pequeños editores mientras Apple seguía rastreando en sus propios servicios . El regulador consideró que el objetivo de proteger datos no era el problema, sino que Apple usó la privacidad como pretexto para reforzar su dominio y penalizar a la competencia . La ironía es que la UE critica estas prácticas, pero sus propias iniciativas replican lógicas de control y centralización.

Privacidad como excusa y la erosión de la confianza

A través de estas políticas, la UE dibuja una narrativa contradictoria. Por un lado, proclama que su agenda digital es human‑centric y respetuosa con los derechos fundamentales; por otro, impulsa tecnologías y normas que habilitan la vigilancia masiva y la concentración de poder. Esta disonancia tiene varias consecuencias:

1. Perpetúa la dependencia tecnológica. La identidad digital y el euro digital dependen de infraestructuras de Google, Apple y grandes bancos. Esto consolida el oligopolio tecnológico y limita la soberanía europea.

2. Erosionan el cifrado y el anonimato, pilares de la seguridad digital. Las puertas traseras y el escaneo obligatorio no protegen a los menores, sino que exponen a toda la sociedad a abusos.

3. Generan un “efecto Bruselas inverso”: mientras la UE aspiraba a exportar altos estándares de privacidad, sus normas sobre moderación de contenidos y control de datos pueden exportar la censura y la vigilancia.

4. Deslegitiman la agenda digital europea. Si la protección de la privacidad se convierte en un instrumento de poder corporativo o estatal, la ciudadanía dejará de confiar en las instituciones que proclaman defenderla.

Hacia un enfoque coherente y democrático

Las tensiones entre privacidad, seguridad y competencia son reales, pero no pueden resolverse sacrificando derechos fundamentales. En lugar de imponer escaneos masivos y controles centralizados, la UE podría:

• Favorecer medidas selectivas con autorización judicial para investigar delitos graves, en lugar de vigilar a toda la población.

• Adoptar diseños descentralizados para la identidad digital y las monedas digitales, donde la clave privada resida en hardware controlado por la persona usuaria y no en servicios de Big Tech.

• Fortalecer las autoridades de protección de datos y dotarlas de recursos para aplicar el RGPD, en lugar de reabrir la norma para suavizarla.

• Garantizar que las políticas de competencia se aplican de manera simétrica: si se limita el rastreo de terceros, las grandes plataformas no deben disfrutar de privilegios ocultos.

• Incorporar a la sociedad civil y a la comunidad técnica en todas las fases del diseño e implementación de nuevas tecnologías reguladas.

La Unión Europea se encuentra ante una encrucijada: puede seguir explotando la retórica de la privacidad mientras despliega herramientas de vigilancia, o puede liderar un modelo realmente respetuoso con los derechos humanos, la innovación responsable y la soberanía digital. El futuro digital europeo dependerá de que sus políticas sean coherentes con los principios que proclama.