Esto no es una solicitud de asesoramiento legal, y cualquier respuesta en este tema no debe tomarse como asesoramiento legal.
Esta es una solicitud de asesoramiento general y no específico.
Es realmente incómodo preguntar esto como mi primer tema aquí en Meta, pero no he encontrado ninguna respuesta decente. Estaba en el proceso de averiguar cómo eliminar contenido ilegal de mis copias de seguridad de S3 si alguna vez tuviera que hacerlo, y tomé la desafortunada(?) decisión de “consultar” a ChatGPT si debía tener en cuenta alguna ley que pudiera estar relacionada con esto… lo que me llevó por este túnel de conejo.
Antecedentes
El año pasado, el Congreso de los Estados Unidos aprobó la Ley REPORT, que impone requisitos a los proveedores para informar instancias de CSAM al NCMEC (Centro Nacional para Niños Desaparecidos y Explotados) CyberTipline, y conservar este contenido hasta por un año. Según mi entendimiento limitado, “proveedores” incluye a cualquiera que aloje un foro de Discourse, ya que somos un “proveedor de servicios de comunicación electrónica o proveedor de servicios de computación remota”.
Hasta donde pude encontrar, los hosters de la UE tienen una obligación de informar, pero no tienen una política de retención como la de EE. UU., aparte de algún tipo de propuesta (no he leído completamente este PDF, pero al menos se menciona en la página 8).
Encontré un artículo que menciona que el Reino Unido también tiene las Regulaciones de Seguridad en Línea (Información de Contenido CSEA) de 2025, que entran en vigor el 3 de noviembre de 2025. Parece indicar que los proveedores también están obligados a almacenar estos datos de CSAM durante un año. Creo que también leí que los proveedores del Reino Unido están obligados a utilizar la detección de hash de imágenes para filtrar imágenes conocidas de CSAM junto con URL de CSAM en alguna parte, pero no puedo encontrar la fuente.
¿Nos aplica esto, como comunidad Discourse?
Probablemente. No he encontrado nada que diga lo contrario, pero corríjanme si me equivoco.
Para mí, he estado trabajando duro configurando un servidor Discourse autoalojado en AWS para el pequeño negocio de un familiar (mientras aprendo sobre Ingeniería en la Nube/DevOps/IaC), y la probabilidad de que alguien publique CSAM en nuestro foro es infinitesimal.
Es más probable que me caiga un rayo dos veces en un día soleado.
Sin embargo, quiero tener la infraestructura de almacenamiento de retención requerida y un plan listo en caso de que algún individuo malintencionado y autodestructivo quisiera causar problemas: una preparación de “romper el cristal en caso de emergencia”. Estoy hablando de configurar un bucket de retención dedicado, asegurarlo con cifrado y/o roles de IAM, mantener registros de acceso, tener un procedimiento para transferir de forma segura estos datos de CSAM fuera de su bucket de subidas, etc.
Preguntas
Mis preguntas se dirigen principalmente a los hosters de EE. UU., aunque parece que los hosters del Reino Unido y la UE también podrían querer estas respuestas pronto.
- ¿Han lidiado con contenido CSAM antes en sus comunidades?
- ¿Cuál fue su procedimiento para lidiar con ello? NSFW AI Triage → informe → almacenamiento? ¿Cuándo contactaron a un abogado para esto (si es que lo hicieron)? ¿Cómo lidiaron con las copias de seguridad de bases de datos y subidas que pueden o no haber almacenado estos datos?
- ¿Han configurado el almacenamiento de retención requerido? Si es así, ¿cómo cumplieron con las regulaciones pertinentes?
- ¿Bucket S3 dedicado? ¿Cifrado? ¿Lo tienen en una cuenta de nube diferente?
- ¿Utilizan algún software proactivo de detección/bloqueo de hash de imágenes en su infraestructura para que este contenido no llegue a sus servidores en primer lugar? ¿Alguna solución que no cueste un ojo de la cara?
Agradecería enormemente algún tipo de guía o referencias generales y NO LEGALES para usar, ya que toda la información que puedo encontrar en línea parece estar orientada a alguien que trabaja en una gran empresa con mucho dinero y experiencia, pero estoy bastante seguro de que estas leyes se aplican a todos. Incluso si nadie sube nunca este tipo de contenido ilegal a ningún foro de Discourse en todo el mundo, prefiero prevenir que lamentar.