Uma agência centralizada proposta para dar suporte à detecção e remoção de material de abuso sexual infantil (CSAM) também avaliará como preservar tecnicamente a privacidade ao detectar tal conteúdo em comunicações de texto incluídas no escopo da lei, de acordo com o último compromisso da projeto de lei para combater CSAM.
O rascunho, datado de 14 de junho e visto pela Euractiv, fornece exemplos de comunicações visuais incluídas nos poderes das autoridades para detectar CSAM, conforme relatado anteriormente pela Euractiv.
A proposta foi enviada pela Presidência Belga do Conselho da UE ao Comitê de Representantes Permanentes (COREPER), incluindo os 27 embaixadores. Isso pode significar que o arquivo, parado nos pipelines legislativos por meses, pode finalmente ser resolvido.
Conforme relatado pela Euractiv, durante a reunião do Conselho de Justiça e Assuntos Internos da semana passada, a presidência belga abordou as preocupações das delegações sobre o projeto de lei.
Os belgas buscam um acordo COREPER, com a Comissária de Assuntos Internos, Ylva Johansson, esperando que as negociações interinstitucionais, conhecidas como trílogos, comecem após o verão.
O rascunho anterior excluía comunicações de áudio do escopo, mas incluía conteúdo visual.
A versão mais recente exclui comunicações de texto e esclarece que ordens de detecção se aplicam apenas a conteúdo visual, de imagens e componentes de vídeo a GIFs e adesivos. No entanto, o documento diz que a solicitação de crianças ainda deve ser identificada por meio de componentes visuais, tanto quanto possível.
O regulamento visa criar um sistema para detectar e relatar CSAM online.
O aplicativo foi criticado por permitir que autoridades judiciais solicitassem a verificação de mensagens privadas em plataformas como WhatsApp ou Gmail, que atualmente são protegidas por criptografia de ponta a ponta.
O papel do Centro da UE na privacidade
O último rascunho passa o bastão para o Centro da UE e a Comissão Europeia quando se trata de criptografia de ponta a ponta (E2EE). O regulamento não deve enfraquecer as medidas de segurança cibernética, incluindo E2EE, diz o rascunho.
O E2EE garante que apenas o remetente e o destinatário possam ler uma mensagem, mantendo-a privada até mesmo do provedor da plataforma, como WhatsApp ou Signal.
Para manter a E2EE, as tecnologias destinadas à detecção de CSAM em serviços E2EE devem ser certificadas e testadas pelo Centro da UE e acordadas pela Comissão Europeia antes que esta aprove “as tecnologias que podem ser usadas para executar as ordens de detecção”.
O Centro da UE também é visto como um auxiliar dos provedores de plataforma na avaliação do custo da análise de dados anonimizados para detectar CSAM. Os provedores devem implementar mecanismos de controle parental, lidar com relatórios de CSAM em potencial e gerar dados estatísticos para avaliação.
Os provedores podem buscar suporte técnico do Centro da UE sobre medidas de verificação de idade que preservem a privacidade, com custos cobertos pelo Centro para micro, pequenas ou médias empresas. A Comissão pode emitir atos delegados sobre compartilhamento de custos.
Exclusão e bloqueio de pedidos
O novo texto exige que os provedores de mecanismos de busca on-line removam da lista sites que exibem CSAM.
Ordens de exclusão e bloqueio podem ser emitidas por uma autoridade competente ou judicial de um estado-membro para provedores de serviços online. Essas empresas devem então notificar os usuários sobre os motivos da exclusão, para que eles possam exercer seu direito de reparação.
As autoridades competentes são as autoridades jurídicas nacionais. Os Estados-membros que exigem autorização judicial devem informar e atualizar a Comissão.
Os provedores devem notificar imediatamente as autoridades emissoras sobre qualquer incapacidade de conformidade, relatar as ações tomadas para bloquear o acesso ao CSAM e atualizar regularmente sobre sua eficácia.
Avaliação de risco
As avaliações de risco devem ser atualizadas pelo menos uma vez a cada três anos para serviços de baixo risco, pelo menos uma vez a cada dois anos para serviços de médio risco e pelo menos uma vez por ano para serviços de alto risco, diz o novo texto.
A Autoridade de Coordenação categoriza os serviços por nível de risco e pode solicitar assistência do Centro da UE, com base nos relatórios que os provedores enviam à Autoridade.
Os resultados classificam os serviços como de alto, médio ou baixo risco, garantindo avaliações qualitativas e comparáveis.
A Comissão pode estabelecer atos adicionais para definir a metodologia e os critérios de categorização de risco.
As Autoridades de Coordenação, que supervisionam a implementação da lei em cada país, podem exigir atualizações de outros estados-membros e provedores de serviços de baixo a médio risco. As avaliações devem apontar riscos para componentes de serviço específicos ou grupos de usuários, visando mitigar CSAM efetivamente.
Os provedores de serviços de hospedagem ou comunicação interpessoal devem mitigar os riscos identificados de CSAM, concentrando-se em partes ou usuários específicos.
Eles devem fornecer ferramentas acessíveis para os usuários denunciarem CSAM e compartilharem informações sobre linhas diretas. A coleta de dados estatísticos deve avaliar os riscos, garantindo que nenhum dado pessoal seja incluído.
(Editado por Eliza Gkritsi/Zoran Radosavljevic)
Leia mais com Euractiv
