Las respuestas al cuestionario incluyen referencias de dos tipos de legislación de la UE: «Reglamentación» y «Directiva». Las reglamentaciones tienen efecto directo y se aplican automáticamente a todos los estados miembro sin necesidad de legislación de implementación nacional, sujeta a cualquier discreción expresamente estipulada. Las Directivas establecen objetivos vinculantes a nivel de la UE pero los estados miembro deben plasmarlas en leyes nacionales; esto puede resultar en diferencias de interpretación, alcance o nivel de protección, dependiendo de si la Directiva permite una armonización mínima (con medidas nacionales más estrictas) o requiere una armonización máxima (las medidas nacionales se limitan a los requisitos de la Directiva).
Definiciones legales
El Convenio del Consejo de Europa para la Protección de Niños contra Explotación y Abuso Sexual (Convenio de Lanzarote), ratificado por todos los estados miembro, establece las normas de derecho penal mínimas vinculantes en toda Europa. Aunque no es una legislación de la UE, informa directamente y sustenta el derecho penal de la UE en este tema.
La legislación de la EU define coherentemente «niño/a o menor» como una persona de menos de 18 años de edad. Esta definición aparece en todas las Directivas de la UE relevantes que abordan el tráfico, abuso sexual, explotación sexual, derechos de las víctimas y salvaguardas de procedimiento de la UE en línea con el Convenio de Lanzarote. Si bien la legislación de la UE no adopta una única definición universal de «menor», cuando se usa este término generalmente se hace referencia a una persona menor de 18 años. La UE no establece una edad uniforme de consentimiento para actividades sexuales. En cambio, «edad de consentimiento sexual» se define como «la edad debajo de la cual, de conformidad con el derecho nacional, se prohíbe participar en actividades sexuales con un menor». En consecuencia, la edad legal de consentimiento para actividades sexuales varía en los distintos estados miembro.
La legislación de la UE no establece una definición autónoma de «conducta sexualmente explícita», pero el término se utiliza en las definiciones de otros términos, incluido «pornografía infantil». La definición de «material de abuso sexual infantil» (CSAM) hace referencia directa a la definición de pornografía infantil, que incluye representaciones de un menor participando en «conducta sexual explícita real o simulada» e «imágenes realistas» de un menor participando en conductas sexualmente explícitas, entre otros elementos.
«Abuso sexual infantil» se aborda en la penalización de la conducta específica según el Convenio de Lanzarote y la Directiva 2011/93/UE (CSAD), incluida la participación en actividades sexuales con un menor por debajo de la edad de consentimiento sexual definida en el país, además de la conducta que involucre coacción, abuso de autoridad o explotación de vulnerabilidades.
La conducta que se describe normalmente como «instigación» o « grooming» se aborda en el delito de «procuración de menores».
La legislación de la UE no usa el término «sextorsión» expresamente, pero la conducta relacionada se incluye en delitos que involucren coacción, amenazas, explotación sexual y uso indebido de imágenes sexuales de menores según el Convenio de Lanzarote y CSAD.
Requisitos/recomendaciones reglamentarias
La legislación de la UE no impone la obligación general a las plataformas en línea de monitorizar proactivamente todo el contenido. No obstante, establece obligaciones estructuradas de notificación y acción, denuncias, eliminación y mitigación de riesgos en múltiples instrumentos.
La Ley de Servicios Digitales (DSA) requiere que los proveedores de alojamiento implementen mecanismos de notificación y acción que permitan a cualquier persona o entidad notificar el contenido ilegal, incluido el CSAM, a las plataformas en línea. Al tomar conocimiento del contenido ilegal, las plataformas en línea debe actuar expeditivamente para eliminar o inhabilitar el acceso a él so pena de perder la protección de la responsabilidad. Las plataformas deben notificar a los organismos de seguridad la sospecha de delitos que impliquen amenazas a la vida o a la seguridad. Las plataformas en línea muy grandes (VLOP, por sus siglas en inglés), definidas como plataformas con 45 millones o más de usuarios activos mensuales en la UE, deben realizar evaluaciones anuales de riesgos sistémicos e implementar medidas de mitigación razonables y proporcionadas, incluidas herramientas de protección de menores como verificación de edad y controles parentales.
La Directiva de Servicios de Medios Audiovisuales requiere que las plataformas para compartir vídeos (VSP, por sus siglas en inglés) tomen «medidas adecuadas» para proteger a los usuarios del contenido delictivo, incluido el CSAM, según la legislación europea.
La Reglamentación Interina (UE) 2021/1232 permite el uso voluntario de tecnologías de detección (incluido hashing e IA) para detectar, denunciar y eliminar el CSAM en línea, a pesar de las restricciones a la privacidad relevantes. El contenido ilegal sospechoso debe someterse a revisión y confirmación por parte de una persona antes de que las plataformas en línea cumplan con sus obligaciones de denuncia. La vigencia de la Reglamentación se ha extendido al 3 de abril de 2026.
Una reglamentación sobre CSAM propuesta establecería un marco a largo plazo y reemplazaría la reglamentación interina con una norma permanente acerca del uso voluntario de tecnologías de detección, entre otros elementos. Los detalles de la reglamentación propuesta están sujetos a negociaciones continuas y su adopción definitiva sigue pendiente.
Requisitos/recomendaciones de verificación de edad
La legislación europea no impone un requisito universal de verificación de edad para acceder a las plataformas en línea.
Según el artículo 28 de la DSA, las plataformas a las que acceden menores deben adoptar medidas adecuadas y proporcionadas para garantizar un alto nivel de privacidad, seguridad y protección. Puede solicitarse verificación de edad donde sea apropiado y proporcionado, especialmente en servicios de mayor riesgo como los sitios web de pornografía.
Las VLOP deben incorporar herramientas de verificación de edad y control parental como parte de las medidas de mitigación de riesgos.
La reglamentación sobre CSAM propuesta no establece un requisito general de verificación de edad para el acceso a las plataformas, pero puede incluir medidas de riesgo con base en la edad en determinadas circunstancias para plataformas específicas.
Requisitos/recomendaciones de consentimiento parental
No existe un requisito universal de consentimiento parental antes de que un menor use una plataforma en línea.
Según el artículo 8 del Reglamento de Protección General de Datos (RGPD), donde el consentimiento sea el fundamento legal para procesar datos personales, el consentimiento parental es obligatorio para los niños menores de la «edad de consentimiento digital»—edad predeterminada de 16 años, pero los estados miembro pueden definir una edad diferente de consentimiento digital no inferior a 13 años.
La DSA no obliga al consentimiento parental pero requiere que las VLOP proporcionen herramientas de control parental y alienta el cumplimiento de las leyes aplicables, incluido el RGPD.
Recursos legales de las víctimas infantiles
La legislación de la UE establece recursos penales, civiles, de eliminación y de protección de datos para las víctimas infantiles de explotación sexual en línea. La Directiva 2011/93/UE requiere que los estados miembro penalicen los delitos relacionados con grooming y CSAM, permitan las investigaciones y la acusación. La DSA obliga a las plataformas en línea a eliminar el contenido ilegal cuando tomen conocimiento de él y permite órdenes de eliminación vinculantes, mientras que los estados miembro deben garantizar la rápida eliminación o bloqueo del CSAM.
Las víctimas tienen derecho a información, asistencia, protección y acceso a compensación según la Directiva de Derechos de las Víctimas y, donde corresponda, la Directiva Antitráfico. Según el RGPD, las víctimas pueden invocar el derecho a eliminación y objetar el procesamiento ilegal de datos personales, incluidas las imágenes de CSAM.
Requisitos de «Seguridad desde el diseño»
A pesar de que la legislación europea no usa el término «Seguridad desde el diseño» explícitamente, existen obligaciones relacionadas. El artículo 25 del RGPD requiere protección de datos desde el diseño y de manera predeterminada, obliga la integración de medidas técnicas y organizativas adecuadas en los sistemas desde el comienzo y de manera continua. El artículo 28 de la DSA obliga a las plataformas a las que acceden menores a implementar medidas adecuadas y proporcionadas que garanticen un alto nivel de seguridad y las VLOP deben integrar medidas de protección de menores en sus procesos de evaluación de riesgos sistémicos y mitigación. Estas obligaciones se aplican continuamente y deben incorporarse antes de implementar nuevas funciones que puedan influir en los riesgos sistémicos.
Las autoridades de protección de datos nacionales supervisan el cumplimiento de las obligaciones del RGPD, con posibles multas de hasta 20 millones de euros o el 4 % de los ingresos anuales globales. Los coordinadores de servicios digitales nacionales supervisan las obligaciones de la DSA; en el caso de los VLOP, la Comisión Europea supervisa las obligaciones de dicha ley, con posibles multas de hasta el 6 % de los ingresos anuales globales.