Chat Control 1.0 todavía no ha vuelto a entrar en vigor. El Consejo de la Unión Europea debe decidir ahora si acepta las enmiendas aprobadas por el Parlamento Europeo.

Contexto

El 9 de julio de 2026, el Parlamento Europeo dio un paso importante para que Chat Control 1.0 pueda volver a entrar en vigor. Esta norma permitió desde 2021 que determinados proveedores analizaran voluntariamente comunicaciones privadas para detectar material de abuso sexual infantil y posibles conductas de captación de menores.

Chat Control 1.0 expiró el 3 de abril de 2026, ya que, no se aprobó a tiempo una nueva prórroga y, desde ese momento, dejó de existir la excepción europea que amparaba estas actividades. Ahora se pretende recuperarla y mantenerla hasta el 3 de abril de 2028.

La norma nació como una solución temporal mientras la Unión Europea preparaba una legislación permanente. Sin embargo, si esta nueva extensión termina aprobándose, una excepción creada en 2021 podría seguir aplicándose siete años después.

Qué se votó el 9 de julio

La votación no ha reactivado Chat Control 1.0 de forma inmediata. El Parlamento se encontraba en la segunda lectura del procedimiento y debía pronunciarse sobre la posición que el Consejo había aprobado el 2 de julio.

Primero se votó una propuesta para rechazarla por completo donde hubo 314 votos a favor del rechazo, 276 en contra y 17 abstenciones. Aunque el rechazo recibió más votos a favor que en contra, no salió adelante porque en esta fase era necesaria una mayoría absoluta de 361 eurodiputados.

Después se aprobaron varias enmiendas, la más importante excluye las comunicaciones a las que se aplique, se haya aplicado o se vaya a aplicar cifrado de extremo a extremo (E2EE).

Votación A favor En contra Abstenciones Votos necesarios Resultado
Rechazo completo de Chat Control 1.0 314 276 17 361 Rechazado
Exclusión de las comunicaciones protegidas mediante E2EE 369 236 6 361 Aprobada

La protección del cifrado fue una de las exigencias impulsadas por el Group of the Greens/European Free Alliance. La eurodiputada checa Markéta Gregorová, miembro de Česká pirátská strana, defendió esta condición durante la negociación y celebró que se reuniera la mayoría absoluta necesaria para conservar el cifrado. Gregorová también criticó que, pese a esta protección, continuase el análisis voluntario y masivo del resto de comunicaciones que no utilizasen E2EE. Sus declaraciones pueden consultarse en la crónica de Reuters sobre la votación.

El resultado y los siguientes pasos aparecen en la nota oficial del Parlamento Europeo. El Parlamento también ha publicado el texto aprobado el 9 de julio de 2026.

La posición enmendada vuelve ahora al Consejo y este dispone de un máximo de tres meses para aceptar todos los cambios, aunque puede decidir antes. Si los acepta, el Reglamento podrá aprobarse, publicarse y entrar en vigor. En el caso de no hacerlo, el Parlamento y el Consejo tendrán que intentar acordar un texto común mediante un proceso de conciliación.

La exclusión de E2EE no resuelve el problema

Dejar fuera las comunicaciones E2EE es una limitación necesaria. Sin embargo, esta enmienda no convierte Chat Control 1.0 en una norma ética ni respetuoso desde el punto de vista de la privacidad, además, viendo que la exclusión de las comunicaciones E2EE se ha logrado por 9 votos deja bastante claro el futuro que nos espera…

Muchos pensaréis que hoy en día todas las comunicaciones utilizan tecnología E2EE, dejarme deciros que estáis muy equivocados. Aquí algunos ejemplos de comunicaciones que NO utilizan E2EE:

  • Los correos electrónicos convencionales enviados sin OpenPGP, S/MIME u otro sistema específico de cifrado de extremo a extremo, incluidos los correos ordinarios de Gmail, Outlook y Yahoo Mail.
  • Los mensajes privados y grupales de Instagram, cuyo cifrado de extremo a extremo fue eliminado el 8 de mayo de 2026.
  • Los chats normales, grupos y canales de Telegram (los chats E2EE no vienen activados por defecto).
  • Los mensajes de texto privados, grupales y publicados en servidores de Discord. El E2EE se aplica a las llamadas de audio y vídeo, pero no a los mensajes escritos.
  • Los mensajes y canales de Microsoft Teams. Su E2EE se limita a determinadas llamadas individuales cuando la organización y ambos usuarios lo activan.

No se trata de ejemplos hipotéticos. El informe de la Comisión Europea de 2025 confirma que Google, LinkedIn, Meta y Microsoft trataron datos al amparo de Chat Control 1.0.

Qué permite realmente Chat Control 1.0

Chat Control 1.0 crea una excepción a la confidencialidad protegida por los artículos 5.1 y 6.1 de la Directiva 2002/58/CE, conocida como Directiva ePrivacy. El propio Reglamento 2021/1232 reconoce que restringe la confidencialidad de las comunicaciones.

Gracias a esta excepción los proveedores pueden acogerse a Chat Control 1.0 para utilizar tecnologías específicas para analizar el contenido y datos de tráfico relacionados de las conversaciones privadas de todos sus usuarios.

La norma utiliza constantemente la palabra «voluntario», esa “voluntariedad” pertenece al proveedor, no al usuario. La empresa decide si aplica estas tecnologías dentro de su servicio y el usuario no elige si quiere que sus comunicaciones sean vulneradas.

Tampoco se exige una orden judicial individual para analizar cada cuenta. El sistema puede revisar comunicaciones de personas sobre las que no existe ninguna sospecha previa.

Las tecnologías pueden utilizarse para buscar material ya conocido, detectar posible material que todavía no ha sido identificado y localizar patrones de conversación relacionados con la captación sexual de menores.

Este planteamiento introduce varios problemas que no pueden desaparecer con una herramienta más precisa o con una promesa de uso ético. Para buscar contenido hay que analizar comunicaciones legítimas, punto. Para confirmar una alerta sobre material nuevo se necesita intervención humana para revisarla. Para detectar variantes se necesitan sistemas basados en similitudes y probabilidades, por lo que el problema de falsos positivos siempre existirá. Si una denuncia se comparte, aparecen nuevos puntos que abren la posibilidad de filtración.

Los falsos positivos, la exposición durante la revisión humana, la conservación insegura de datos y el aumento de la superficie de ataque no son simples errores de implementación, son consecuencias inherentes a la propia naturaleza de la medida. Se pueden intentar añadir salvaguardas para mitigar estos riesgos, pero nunca se podrá eliminar por completo la posibilidad de que ocurran.

Material previamente conocido

Las empresas pueden comparar las imágenes y los vídeos enviados a través de sus servicios con huellas digitales pertenecientes a material previamente identificado.

Un hash criptográfico exacto como MD5 solo permite reconocer un archivo que contiene exactamente los mismos bytes. Para la finalidad que persigue Chat Control 1.0, utilizar un hash exacto es una medida inútil y no se puede utilizar de forma efectiva. Si se modifica un solo byte del archivo el resultado deja de coincidir aunque la imagen continúe mostrando lo exactamente lo mismo.

Por ese motivo, la detección de copias modificadas se apoya en hashes perceptuales. Esta tecnología en lugar de representar cada byte extraen características visuales de la imagen o del vídeo y generan una huella de su apariencia. Después comparan la distancia entre esa huella con las almacenadas en una base de datos y si la distancia queda por debajo del umbral fijado marca la existencia de una posible coincidencia.

Esta aproximación permite reconocer versiones recortadas, comprimidas, giradas o alteradas con filtros. También significa que ya no se está comprobando si dos archivos son idénticos, se está decidiendo si se parecen lo suficiente según el modelo y el umbral elegidos. Cuanto más se intenta resistir a las modificaciones, mayor es la necesidad de aceptar coincidencias aproximadas y mayor es el riesgo de señalar contenido legítimo, aumentando el número de falsos positivos.

La Comisión Europea menciona que se han utilizado tecnologías como PhotoDNA, CSAI Match, PDQ, TMK+PDQF y MD5 Hash Matching en su informe de aplicación de 2025.

Material no identificado anteriormente

Cuando el material todavía no se conoce, no existe una huella previa con la que compararlo. En estos casos se utilizan clasificadores e inteligencia artificial para analizar una imagen o un vídeo y calcular la probabilidad de que represente abuso sexual infantil.

El resultado no es una certeza, es una predicción basada en posibles indicios.

El proveedor puede ajustar el nivel de sensibilidad de la herramienta, si reduce el umbral para intentar detectar más casos reales, también aumenta la cantidad de contenido legítimo señalado y si sube el umbral para reducir las alertas erróneas aumentará el riesgo de dejar pasar material pedófilo real.

Ese equilibrio queda en manos de la empresa que configura el sistema, abriendo la posibilidad de forzar adrede coincidencias en el máximo número de chats para obtener un “permiso legítimo” para proceder a su escaneo.

Captación sexual de menores

Chat Control 1.0 también permite analizar conversaciones escritas para detectar patrones relacionados con la captación sexual de menores o grooming.

El artículo 3 del Reglamento 2021/1232 establece que las condiciones en las que se debe basar esta tecnología de detección limitándose a indicadores relevantes y factores de riesgo identificados objetivamente, como la diferencia de edad y la probable participación de un menor. Además, no debería ser capaz de deducir el contenido general de la conversación, sino únicamente señalar patrones asociados a un posible abuso.

Aun con esas limitaciones, seguimos hablando de un sistema automático que examina conversaciones privadas para decidir cuáles resultan sospechosas.

El lenguaje humano depende del contexto. Una frase puede cambiar completamente de significado según quién la diga, a quién se dirija y qué mensajes la rodeen. Una broma, una conversación familiar o una diferencia cultural pueden ser interpretadas de forma incorrecta por un clasificador.

Qué pueden hacer las empresas después de una detección

El artículo 3 del Reglamento 2021/1232 permite que los proveedores adopten varias medidas después de detectar contenido o una conducta sospechosa.

  1. Revisar la alerta. Cuando se trata de posible material nuevo o de captación sexual de menores, una persona puede acceder al contenido para confirmar o descartar la detección automática.

  2. Retirar o bloquear el contenido. El proveedor puede impedir que el material siga estando disponible dentro del servicio.

  3. Bloquear o suspender la cuenta. También puede limitar el acceso del usuario, interrumpir el servicio o poner fin a su prestación.

  4. Presentar una denuncia. Una sospecha que la empresa considere fundada y verificada puede enviarse a las autoridades competentes o a organizaciones que actúen en interés público contra el abuso sexual de menores.

  5. Crear una nueva huella digital. Si el material ha sido identificado de manera fiable, el proveedor puede generar un hash no reversible para facilitar futuras detecciones.

  6. Conservar datos relacionados con el caso. La empresa puede guardar la información durante el tiempo que considere estrictamente necesario para las finalidades permitidas. El límite general es de doce meses desde la detección.

Los 4 problemas principales

Los falsos positivos

Los falsos positivos no son solo una posibilidad teórica. Durante la vigencia de Chat Control 1.0 Google, Meta, Mircorsoft y Yubo comunicaron tasas de error bastante dispares:

Proveedor Tasa de error en 2023 Tasa de error en 2024
Google 1,14 % 0,54 %
Meta 0,32 % 0,12 %
Microsoft Sin datos Sin datos
Yubo 20 % 13 %

El caso que ilustra con más claridad este problema es el de Yubo. En 2023, una de cada cinco alertas generadas automáticamente fue descartada después de que un ser humano revisara el contenido. El sistema había señalado esas comunicaciones como posibles indicios de un delito grave, pero tras la revisión humana se confirmó el falso positivo.

Todos estos datos pueden consultarse en la sección 2.1.6 del informe de la Comisión Europea.

Las cifras no son directamente comparables porque cada proveedor utilizó un método diferente para calcularlas. Esto no aporta tranquilidad, muestra que ni siquiera existe una forma común y transparente de medir la precisión de unas herramientas que pueden provocar la revisión de nuestras comunicaciones.

La gravedad de un falso positivo no depende de que la tasa total parezca alta o baja. Cada error convierte una comunicación legítima en material sospechoso y puede exponer la vida privada de una persona que no ha cometido ningún delito.

El factor humano en la revisión

Cuando se detecta material nuevo o una posible conducta de captación, el contenido no puede enviarse como denuncia sin una confirmación humana previa. La posición del Consejo de 2026 mantiene esta exigencia.

La revisión humana evita que una alerta automática se convierta inmediatamente en una denuncia. Sin embargo, para confirmar o descartar esa alerta alguien debe acceder al contenido señalado.

Imagina que envías a un familiar una fotografía de una tarjeta bancaria para que copie los datos (Práctica totalmente desaconsejada). Si la conversación queda asociada por error a una alerta, parte de esa información puede terminar ante la persona encargada de revisarla.

Ahora imagina que dos adultos comparten de forma consentida una fotografía de carácter íntimo. Un clasificador que busca desnudez, contenido sexual o determinados patrones visuales puede señalarla aunque sea completamente legal. Para descartar la alerta, una persona ajena a esa relación tendría que revisarla. El Supervisor Europeo de Protección de Datos ha advertido expresamente del riesgo de que estas tecnologías señalen imágenes producidas y compartidas de manera consentida.

El Reglamento obliga a los proveedores a establecer procedimientos internos para evitar abusos, accesos no autorizados y transferencias indebidas. Esa obligación aparece en el artículo 3.1.g del Reglamento.

La existencia de controles no elimina el riesgo. Ningún sistema puede garantizar que nunca habrá un abuso interno, una filtración o un acceso indebido.

Las denuncias no llegan únicamente a las fuerzas de seguridad

A mi parecer, este es uno de los puntos más preocupantes del Reglamento.

Los proveedores no solo pueden enviar las denuncias a las autoridades policiales, también pueden compartirlas con organizaciones que actúen en interés público contra el abuso sexual de menores.

El informe de la Comisión Europea de 2025 muestra que las empresas declararon haber compartido datos con las siguientes entidades.

Organización País Naturaleza
NCMEC, National Center for Missing & Exploited Children Estados Unidos Privada y sin ánimo de lucro
IWF, Internet Watch Foundation Reino Unido Privada, independiente y sin ánimo de lucro
PHAROS Francia Pública e integrada en la policía judicial francesa

Google, LinkedIn, Meta, Microsoft y Yubo declararon compartir información con NCMEC. Yubo también informó de transferencias a IWF y PHAROS.

Estas organizaciones pueden realizar una labor valiosa, pero esto no impide cuestionar el modelo. Una empresa privada puede analizar una comunicación privada y enviar información sensible a otra organización privada situada fuera de la Unión Europea sin una orden judicial individual contra el usuario.

Como usuario me vienen a la cabeza múltiples preguntas acerca de las garantías en el tratamiento de mi información.

  • ¿Quién me garantiza que esas organizaciones conservarán mi información de forma segura?
  • ¿Quién comprueba que nunca se reutilice para obtener una ventaja económica, entrenar herramientas o alimentar otras bases de datos?

No estoy afirmando que las entidades mencionadas estén utilizando los datos con esos fines, mi preocupación es que el sistema me obliga a confiar en una cadena de empresas y organizaciones que yo no he elegido. Una obligación jurídica de respetar el RGPD no equivale a una garantía técnica de que nunca habrá conservación indebida, hackeos o filtraciones.

También me pregunto en qué momento aceptamos que entidades/organizaciones pasaran a formar parte de un circuito que recibe comunicaciones íntimas y datos personales. Si se considera necesario investigar un posible delito, deberían intervenir los cuerpos y fuerzas de seguridad del Estado bajo controles judiciales claros. Incorporar organizaciones privadas a esa cadena amplía el número de personas y sistemas con acceso a información que nunca debería haber salido de una conversación privada.

Aumento de la superficie de ataque

La dificultad de mantener la privacidad de una comunicación aumenta a medida que crece el número de sistemas y personas que pueden acceder a ella.

En una comunicación protegida correctamente mediante E2EE sabemos que el contenido solo debería estar disponible en los dispositivos del emisor y del receptor. Un atacante que quiera acceder a dicha comunicación tendría que comprometer uno de esos extremos. Aunque Chat Control 1.0 aún no se aplica sobre E2EE (por ahora) el aumento de la superficie de ataque es real para el resto de comunicaciones.

Cuando se introduce un sistema de detección aparecen nuevos puntos sensibles. Hay herramientas que analizan el contenido, sistemas que generan alertas, paneles internos utilizados por trabajadores, bases de datos donde se conserva la información y canales mediante los que se envían denuncias a terceros. Todo esto provoca que la superficie de ataque crezca.

Un atacante ya no tiene por qué limitarse a comprometer al emisor o al receptor. También puede intentar acceder a la infraestructura donde se almacenan las alertas, atacar las cuentas de los trabajadores, aprovechar una mala configuración o comprometer a una de las organizaciones que recibe los datos.

El Reglamento exige almacenamiento seguro y procedimientos contra accesos no autorizados. Esa obligación establece un objetivo, pero no puede garantizar el resultado, ningún sistema es al 100% seguro. Existen vulnerabilidades desconocidas, errores de configuración, credenciales robadas, fallos en proveedores, amenazas internas y ataques a la cadena de suministro que pueden poner nuestros datos a merced de los cibercriminales.

Cada copia, cada transferencia y cada nuevo punto de acceso añade otra oportunidad para que una comunicación privada termine en manos de quien no debería verla.

Por el bien de los niños

Hemos llegado a un punto en el que cualquier crítica a Chat Control parece colocarnos en contra de la protección de los menores, una forma muy eficaz de evitar el debate.

Los pederastas y demás abusadores son criminales. El criminal siempre intentará ir un paso por delante de las medidas de seguridad. Los que posean unos conocimientos técnicos mínimos podrán utilizar cifrado de extremo a extremo, cifrar sus propias comunicaciones antes de enviarlas, cambiar de servicio o desplazarse a plataformas fuera del alcance de la Unión Europea.

También pueden iniciar el contacto con un menor dentro de una plataforma acogida a Chat Control 1.0 y, antes de comenzar la actividad delictiva, convencerlo para continuar la conversación en un servicio con E2EE o situado fuera del alcance de la norma. El primer acercamiento podría producirse en un canal analizado, pero las actividades delictivas terminarían trasladándose a otros canales fuera de la norma.

Los usuarios normales seguirán utilizando los servicios más conocidos. No cambiarán de plataforma, no cifrarán manualmente sus archivos y, en muchos casos, ni siquiera sabrán qué protección aplica su correo o su aplicación. Sus comunicaciones legítimas serán las que permanezcan expuestas al análisis automatizado.

Esto limita seriamente la eficacia de la norma. Los delincuentes con capacidad para adaptarse abandonarán los canales vigilados, mientras el sistema continuará examinando las comunicaciones de millones de personas que no intentan ocultar ningún delito. Puede que esta medida detecte a unos pocos que no tomen precauciones, pero no elimina las redes criminales ni evita que se trasladen a espacios más seguros para sus actividades.

El resultado es una medida de alcance desproporcionado y efectividad limitada, sacrificando la confidencialidad del usuario legítimo sin asegurar que los principales responsables sigan utilizando los servicios sometidos al control.

El Supervisor Europeo de Protección de Datos advirtió en febrero de 2026 de que el régimen sigue sin ofrecer garantías específicas y eficaces contra la vigilancia general e indiscriminada. También señaló la falta de una base jurídica suficientemente clara para el tratamiento de datos bajo el RGPD.

Desde mi punto de vista, la protección de los niños se está utilizando para hacer aceptable una infraestructura de vigilancia que sería mucho más difícil de defender con cualquier otro argumento. La gravedad del abuso sexual infantil provoca una reacción emocional comprensible y precisamente por ello la utilizan para presentar cualquier límite como un obstáculo y cualquier crítica como falta de compromiso con las víctimas.

Sin embargo, una medida no se vuelve válida solo porque su fin sea legítimo, debe demostrar su efectividad y proporcionaliad. Como ya hemos comentado antes, una medida que afecta a todos los ciudadanos y claramente no es efectiva ya que es absurdamente fácil de eludir demuestra que no cumple estos criterios.

Existen alternativas más proporcionadas, se pueden dedicar más recursos a investigaciones policiales, infiltración en redes criminales, cooperación internacional, retirada de contenido público, equipos especializados, protección de menores dentro de las plataformas y el más importante CONTROL PARENTAL. Esta última es la medida más efectiva, los padres deben ser los responsables de saber que hacen sus hijos en el mundo digital.

Proteger a los niños y respetar la privacidad no son objetivos incompatibles. Presentarlos como si tuviéramos que elegir uno de los dos solo sirve para evitar el debate sobre los límites de la vigilancia.

El principio del fin de la confidencialidad digital

El mayor peligro no se limita a la finalidad actual, si no, a la construcción de una infraestructura capaz de analizar comunicaciones privadas, generando alertas, conservando datos y enviándolos a terceros. Esta infraestructura seguirá existiendo después de esta prórroga y los proveedores ya habrán desarrollado las herramientas, los canales de denuncia estarán operativos y la excepción legal habrá contribuido a normalizar este modelo. Todo ello facilita el camino hacia Chat Control 2.0.

Chat Control 2.0 pretende sustituir este régimen temporal por un marco permanente. La propuesta contempla la posibilidad de imponer órdenes de detección a determinados proveedores para buscar material de abuso sexual infantil y posibles casos de captación de menores. Lo que ahora se presenta como una decisión voluntaria de las empresas podría convertirse en una obligación legal dictada por una autoridad.

Por tanto, Chat Control 1.0 no debe entenderse como una medida temporal aislada. Este marco temporal está permitiendo desarollar y mantener en funcionamiento las tecnologías, los procedimientos y los canales de denuncia que podrían utilizarse posteriormente para aplicar Chat Control 2.0. Además, se acostumbra a la sociedad a aceptar que sus comunicaciones privadas sean analizadas de forma preventiva.

Para mí, ahí comienza el principio del fin. No porque toda la privacidad desaparezca de un día para otro, sino porque se crea la herramienta legal y se acepta la idea que permitirá en un futuro extenderla sin tanta fricción. Cuando la vigilancia ya forma parte de la infraestructura, el siguiente debate deja de ser si debe existir y pasa a ser para qué más puede utilizarse.

Chat Control image by mullvad
Fuente: Mullvad.

Contéstate estas preguntas

Imagina que en tu casa se instalan cámaras y micrófonos en todas las habitaciones, un sistema que analiza lo que haces, lo que dices y cuando encuentra algo sospechoso envía una parte de la grabación a un desconocido para que decida si has cometido un delito.

Nadie te está investigando basándose en indicios reales de que estés cometiendo un delito, si no que el sistema analiza tu vida privada porque existe la posibilidad de que cualquier persona pueda cometerlo.

¿Dónde está el límite?

¿Hablarías con la misma libertad sobre cualquier tema?

¿Compartirías la misma información con tu pareja, amigos o familia?

¿Aceptarías ese sistema únicamente porque te aseguran que se utiliza para perseguir delitos graves?

Nuestras comunicaciones digitales forman parte de nuestra vida privada y a través de ellas hablamos con familiares, amigos y parejas. Si sabemos que un sistema puede analizarlas y que un error puede exponerlas ante un desconocido, empezaremos a medir lo que decimos y lo que hacemos. Esto se llama perder libertad.

Creo que es lógico decir que si no aceptas este nivel de vigilancia dentro de tu casa, tampoco deberías aceptarlo en tus conversaciones digitales.

Qué podemos hacer

En el momento de escribir este artículo, la prórroga de Chat Control 1.0 todavía no ha sido aprobada definitivamente. El expediente legislativo continúa pendiente de la decisión del Consejo en segunda lectura.

Lo que podemos hacer depende de la fase en la que se encuentre el procedimiento y de la institución que tenga capacidad para intervenir en ese momento.

Fase actual. Presionar a los gobiernos nacionales reunidos en el Consejo

La siguiente decisión corresponde al Consejo de la Unión Europea, la institución que representa a los gobiernos de los Estados miembros. En sus reuniones participan los ministros nacionales competentes según la materia tratada y cada uno defiende la posición de su gobierno. Su estructura y funcionamiento pueden consultarse en la página oficial del Consejo de la Unión Europea.

Por tanto, los ciudadanos de cada Estado miembro debemos dirigir la presión hacia los gobiernos, los ministerios implicados y la representación permanente de su país ante la Unión Europea.

A día de hoy, las acciones más útiles en una democracia plena serían:

  1. Comunicarse con el gobierno y los ministerios competentes expresando nuestras preocupaciones.
  2. Pedir que nuestro país rechace cualquier texto que permita analizar comunicaciones privadas sin sospecha previa ni autorización judicial.
  3. Apoyar campañas coordinadas en distintos Estados miembros para impedir que el Consejo alcance la mayoría necesaria.

Seamos realistas, enviar un correo a los funcionarios de nuestro país no va a lograr cambiar nada por sí solo. La única forma de ejercer una presión real es organizarnos a nivel social, utilizar las redes, hacer ruido y mostrar un descontento general frente a Chat Control 1.0. La organización ciudadana es vital para demostrar nuestro rechazo a la norma en toda la Unión Europea.

Si no conseguimos frenarlo y el Consejo acepta todas las enmiendas aprobadas por el Parlamento el 9 de julio, el Reglamento quedará adoptado con esos cambios y podrá entrar en vigor después de su publicación. En ese caso no habrá una nueva votación en el Parlamento.

Si el Consejo no acepta todas las enmiendas

Si el Consejo no acepta todas las enmiendas aprobadas por el Parlamento, se abrirá un procedimiento de conciliación para intentar alcanzar un acuerdo entre ambas instituciones.

El Comité de Conciliación estará formado por los miembros del Consejo o sus representantes, uno por cada Estado miembro, y por el mismo número de eurodiputados. La delegación del Parlamento estará presidida por el presidente de la Cámara o por uno de los vicepresidentes responsables de la conciliación. El ponente del expediente y el presidente de la comisión parlamentaria responsable también formarán parte de ella. Los demás integrantes serán designados por los grupos políticos.

La Comisión Europea participará en las reuniones para intentar acercar las posiciones del Parlamento y del Consejo, aunque la decisión final corresponderá a los representantes de ambas instituciones.

Si Chat Control 1.0 llega a esta fase, la presión deberá mantenerse en los dos frentes. Por un lado, los ciudadanos tendremos que continuar presionando a los gobiernos por su participación como miembros del Consejo. Por el otro, será necesario contactar con los eurodiputados que formen parte de la delegación parlamentaria y exigirles que no acepten un texto común el cual permitirá el espionaje indiscriminado de los ciudadanos europeos.

Si el Parlamento y el Consejo no consiguen acordar ese texto dentro del plazo establecido, toda la propuesta se considerará no adoptada y Chat Control 1.0 continuará sin entrar en vigor. El Parlamento Europeo explica oficialmente la composición y el funcionamiento de esta fase.

Si el texto vuelve al pleno

Si la conciliación termina con un texto conjunto, este deberá ser aprobado nuevamente por el Parlamento y por el Consejo. Ninguna de las dos instituciones podrá introducir nuevas enmiendas. En el Parlamento será suficiente una mayoría simple de los votos emitidos y en el Consejo será necesaria una mayoría cualificada.

Tomando como referencia la participación registrada el 9 de julio, las cifras serían las siguientes:

Institución Votos para aprobar Votos para bloquear
Parlamento Europeo 296 de 590 295 de 590
Consejo de la Unión Europea 15 de 27 y 65 % de la población 4 de 27 y más del 35 % de la población

Las cifras del Parlamento dependen de la participación, por lo que la tabla se basa en los 590 votos válidos y las 17 abstenciones registradas el 9 de julio.

Durante aquella votación, 314 eurodiputados apoyaron el rechazo de Chat Control 1.0 y 276 votaron en contra. Sin embargo, el rechazo necesitaba alcanzar una mayoría absoluta de 361 votos y no salió adelante. El resultado completo de la votación puede consultarse aquí.

En una tercera lectura se aplicaría una mayoría simple. Si se repitiera la misma distribución, con 314 votos contra el texto conjunto y 276 a favor, Chat Control 1.0 sería rechazado.

Esta fase abriría una nueva oportunidad para detener la propuesta. La presión debería dirigirse a todos los eurodiputados para votar por el Rechazo de Chat Control 1.0. El Parlamento Europeo explica las reglas de la tercera lectura y el Consejo detalla el funcionamiento de la mayoría cualificada.

Qué votaron los representantes españoles

La votación de los eurodiputados españoles quedó distribuida de la siguiente manera:

Partido o afiliación A favor del rechazo Contra el rechazo Abstenciones No votaron
Partido Popular 0 18 0 4
PSOE y PSC-PSOE 1 18 0 1
Vox 4 0 0 2
Podemos 2 0 0 0
Independientes 2 0 0 0
Bloque Nacionalista Galego 1 0 0 0
Esquerra Republicana de Catalunya 1 0 0 0
Movimiento Sumar 1 0 0 0
Comuns 1 0 0 0
Compromís 1 0 0 0
Partido Nacionalista Vasco 1 0 0 0
EH Bildu 1 0 0 0
Se Acabó la Fiesta 0 1 0 0
Total 16 37 0 7

El Partido Popular y el PSOE, incluyendo al PSC-PSOE, aportaron 36 de los 37 votos españoles contra el rechazo. El voto restante fue el de Alvise Pérez.

En total, siete eurodiputados españoles no participaron en la votación. Cuatro pertenecen al Partido Popular, dos a Vox y uno al PSOE.

Estos son los nombres de los eurodiputados que, a mi parecer, tenían demasiada prisa por comenzar sus vacaciones:

Eurodiputado Partido Perfil oficial
Elena Nevado del Campo Partido Popular Parlamento Europeo
Esther Herranz García Partido Popular Parlamento Europeo
Pilar del Castillo Vera Partido Popular Parlamento Europeo
Rosa Estaràs Ferragut Partido Popular Parlamento Europeo
José Cepeda PSOE Parlamento Europeo
Jorge Buxadé Villalba Vox Parlamento Europeo
Juan Carlos Girauta Vidal Vox Parlamento Europeo

Las ausencias las podéis comprobar en el resultado nominal de la votación filtrando por país y Did not vote.

Fight Chat Control

Fight Chat Control es una iniciativa ciudadana contraria a Chat Control. Su página reúne información sobre Chat Control 1.0 y Chat Control 2.0, las votaciones celebradas y las posiciones de diferentes representantes políticos. También ofrece recursos para localizar eurodiputados y contactar con ellos.

La plataforma resulta especialmente útil para conocer qué representantes apoyan estas medidas, el estado actual de la medida y ayudar a coordinar la oposición ciudadana en diferentes países.

Os animo a consultar la página, compartir sus recursos y contactar con el mayor número posible de representantes políticos. Una campaña verdaderamente europea tendrá mucha más fuerza que varias protestas aisladas dentro de cada país.

El estado oficial de Chat Control 1.0 puede seguirse en el expediente legislativo 2025/0429(COD).

Conclusión

Chat Control 1.0 nos afecta a todos, ya que permite analizar comunicaciones privadas sin que exista una investigación/sospecha previa contra los sujetos que participan en ellas.

La exclusión de la tecnología E2EE reduce el alcance de la norma, pero no resuelve el problema. Los correos, mensajes, imágenes y vídeos enviados sin esa protección siguen perdiendo una confidencialidad que debería ser dada por derecho.

Permitir Chat Control 1.0 es aceptar que todos podemos ser sometidos a vigilancia automatizada con el pretexto de que alguno de nosotros cometa un delito. Esto afecta a la libertad con la que hablamos, a la información que compartimos y a la relación de confianza que mantenemos con nuestras comunicaciones digitales.

Una democracia debe perseguir a los delincuentes mediante investigaciones dirigidas, controles judiciales y medidas proporcionadas. No mediante el análisis preventivo de las conversaciones de toda la población.

Si aceptamos este modelo estaremos permitiendo una herramienta de vigilancia preparada para aumentar su alcance en el futuro. Hoy se presenta como una excepción limitada, mañana puede convertirse en la base técnica y legal para controlar mucho más.

Fuentes y documentos consultados