JanitorAI anuncia bloqueo del servicio para usuarios del Reino Unido por la regulación de la Online Safety Act

 (blog.janitorai.com)
2 puntos por GN⁺ 2025-07-22 | 1 comentarios | Compartir por WhatsApp
  • JanitorAI, una plataforma de chatbots donde se crean personajes de IA personalizados para conversar, anunció oficialmente que bloqueará su servicio dentro del Reino Unido (Inglaterra, Escocia, Gales e Irlanda del Norte) a partir del 24 de julio
  • Esto se debe a la regulación excesiva de la Online Safety Act del Reino Unido y a la alta carga legal y financiera (multas de hasta 18 millones de libras y posible responsabilidad penal para el equipo directivo)
  • Obligaciones del nivel de grandes corporaciones, como evaluaciones legales de riesgo, implementación de sistemas de verificación biométrica y revisión legal continua, también se aplican a servicios pequeños y medianos, creando una barrera de entrada real para plataformas pequeñas
  • JanitorAI explicó la despedida de su comunidad del Reino Unido como "una decisión inevitable para proteger al equipo" y señaló que está explorando distintas opciones para cumplir con la normativa en el futuro, como la verificación de menores
  • Los usuarios no tendrán perjuicios adicionales más allá del bloqueo de acceso; sin eliminar cuentas, la restricción solo se aplicará al acceso desde IP del Reino Unido

Aviso del bloqueo del servicio y contexto

  • JanitorAI anunció que bloqueará el acceso dentro del Reino Unido a partir del 24 de julio de 2025 a las 23:59 (UTC)
  • Se trata de un aviso urgente hecho apenas 4 días antes, y la empresa expresó disculpas a los usuarios británicos

Impacto de la Online Safety Act del Reino Unido

  • El equipo del servicio inicialmente malinterpretó el alcance de la Online Safety Act, y más tarde entendió que en realidad no se trataba solo de moderación de contenido, sino de regulaciones de nivel corporativo aplicadas a todas las plataformas
  • Se imponen obligaciones imposibles de sostener para operadores pequeños, como evaluaciones legales de riesgo, verificación biométrica (por ejemplo, Persona, implementado por Reddit: 1.5 dólares por persona) y revisión legal constante
  • En caso de incumplimiento, podrían aplicarse multas de hasta 18 millones de libras y responsabilidad penal para los operadores (incluso cárcel)

Imposibilidad de cumplimiento y críticas a la política

  • Con regulaciones complejas como unas 250 páginas de la ley y más de 3,000 páginas de lineamientos de Ofcom, además de la ausencia de excepciones para plataformas pequeñas, el cumplimiento resulta inviable en la práctica
  • Han surgido críticas de que, mientras el gobierno británico se presenta como un hub de innovación, en la práctica creó una estructura que solo grandes empresas como Google pueden soportar

Impacto para los usuarios y orientación

  • Desde el 24 de julio, al acceder a JanitorAI desde una IP del Reino Unido se mostrará una página de bloqueo
  • Las cuentas de residentes del Reino Unido no se eliminarán; simplemente se aplicará una restricción de acceso
  • Si un usuario accede mediante métodos alternativos, la responsabilidad legal recae solo en el proveedor del servicio (la plataforma), y no hay sanción legal para el usuario

Planes futuros y postura de la empresa

  • JanitorAI no ha abandonado por completo el mercado del Reino Unido y está explorando activamente medidas adicionales de cumplimiento, como la verificación de menores
  • Junto con la preocupación de que "muchas plataformas innovadoras tomarán la misma decisión" y que "el Reino Unido está eligiendo aislarse de la innovación global", pidió a usuarios y autoridades que participen en peticiones para revisar la regulación
  • El equipo de JanitorAI subrayó que se trata de una medida de bloqueo temporal y dejó abierta la posibilidad de reanudar el servicio si en el futuro logra cumplir con los requisitos

Aclaración de malentendidos (FAQ)

  • Los usuarios del Reino Unido no serán castigados por usar JanitorAI; las sanciones penales y las multas solo aplican a los operadores de la plataforma
  • No se eliminarán cuentas; solo se aplicará el bloqueo de acceso desde IP del Reino Unido
  • Si un usuario accede por otros medios, eso queda a su criterio personal y se reafirma que no habrá consecuencias legales

Lecturas relacionadas

1 comentarios

 
GN⁺ 2025-07-22
Opiniones de Hacker News

  • Conozco bien el entorno empresarial en Europa y el Reino Unido. Pasa no solo en el gobierno, sino también en lugares como los grandes bancos. Contratan a dos tipos de empleados: los que hacen el trabajo real y los que ponen la mayor cantidad posible de obstáculos bajo el nombre de gestión de riesgos, compliance, seguridad, regulación, etc. (RCSR). Para RCSR contratan a tres veces más gente que para los puestos técnicos. Estas personas producen miles de páginas de lineamientos y hacen que avanzar con el trabajo sea prácticamente imposible. En nuestro equipo técnico llevamos 4 meses esperando solo la aprobación para probar una actualización de base de datos. La alta dirección no puede contradecir en absoluto a RCSR, que tiene poder como el clero en la Iglesia medieval. Ven como riesgo todo lo que se mueve, sin metas relacionadas con resultados reales. Los gerentes creen que RCSR ayuda con el control, pero en la práctica solo aumenta el trabajo sin sentido y la empresa termina atrapada detrás de muros que construyó ella misma

    • Mientras más intensa se vuelve la vigilancia de RCSR, peor se vuelve la seguridad real. Como el equipo de políticas no entiende bien la tecnología, se obsesiona con cosas poco importantes y consume la energía de desarrollo. Por ejemplo, por seguir la guía CIS de que “no se deben guardar secretos en variables de entorno” en k8s, nuestro equipo tuvo que pasar dos semanas modificando charts de Helm. Eso solo será una carga de mantenimiento a futuro y casi no aporta seguridad real. En ese tiempo podríamos haber implementado medidas de seguridad mucho más útiles de fondo, como políticas de red o CSP. En la parte alta del proceso solo hay matrices que miran riesgo e impacto, sin evaluar en absoluto el esfuerzo real invertido ni los resultados. Al final no queda ingeniería, solo trabajo sin sentido

    • Probablemente así se sienta. En realidad, los ingenieros suelen volverse insensibles a los datos. Como los marcos legales normalmente los hacen personas que no conocen el trabajo práctico, hay muchas leyes terribles. Pero en el mundo real, si violas la ley, en cualquier momento alguien puede demandarte, así que siempre hay que estar alerta. En Estados Unidos en particular, las personas pueden demandar directamente con base en este tipo de leyes. Claro, la mayoría de los requisitos de compliance no son tan complejos en principio, pero chocan con las prácticas de desarrollo de software, donde el uso libre de datos es la norma, y por eso resultan más irritantes. Antes, si era un blog público, era menos grave, pero ahora puede haber información médica o financiera de alguien de por medio, y si algo sale mal puede ocurrir un caso como Cambridge Analytica, así que el peso de la responsabilidad es mucho mayor. Es duro, pero como ingenieros tenemos que reconocer las consecuencias y la responsabilidad de lo que construimos. Esa falta de conciencia provoca grandes incidentes en la industria

    • En Estados Unidos existe un problema parecido, aunque algo menos grave. Nadie puede enfrentarse a los departamentos relacionados con compliance. Si llega una demanda, la pregunta será “¿por qué ignoraron el consejo del equipo de compliance?”, e incluso puede derrumbarse el escudo de protección legal de la empresa. Al equipo de compliance no le interesa sacar adelante el negocio, y por el otro lado el área operativa tampoco siente que cumplir normas tenga un incentivo claro. Al final, el riesgo de litigio hace que solo sobreviva un enfoque cauteloso que siempre prioriza compliance

    • No es un problema limitado a Europa. También trabajé en empresas bastante parecidas en Estados Unidos. El problema es la estructura de incentivos: existe el miedo de que incluso una infracción regulatoria menor pueda cerrar la empresa por completo (la dirección lo asume así), y no hay castigo por no cumplir la misión real. Entonces no hacer nada se vuelve la opción racional

    • Dijiste que llevaban 4 meses esperando aprobación para probar una actualización de base de datos; yo antes me quejaba si tardaba un día en llegar a producción después del cambio. En mi empresa anterior bastaban 4 horas. Si se diseñan bien los sistemas automáticos y los procesos, la mayoría de los cambios podrían aprobarse rápido. Es desesperante esa reacción organizacional donde, cada vez que hay un problema o cambia una regulación, solo aumenta la cantidad de gente cuyo único poder es decir “NO”

  • No me gusta el enfoque del Reino Unido sobre la seguridad en línea y me parece poco realista. Las leyes siempre se sienten como si las hubiera escrito alguien que imprimiría sus correos para leerlos. Dicho eso, tampoco creo que “plataforma pequeña = exención” sea necesariamente razonable. Si la intención es proteger a los niños, entonces el contenido riesgoso (por ejemplo, promover el suicidio) sigue siendo un problema sin importar el tamaño de la plataforma. De hecho, un lugar pequeño y poco conocido (como cierto sitio tipo chan) podría ser aún más peligroso

    • Las pequeñas empresas no quieren una exención total; lo que quieren es al menos poder cumplir la regulación sin ser una gran corporación. Por ejemplo, con el impuesto al embalaje plástico, empresas como Amazon arman equipos enteros para adaptarse bien, pero un pequeño negocio puede salir perdiendo solo por la carga administrativa. Si a las empresas por debajo de cierto nivel de ingresos se les aplicara una tarifa fija con menor carga administrativa, se mantendría la intención original y se evitaría un daño real

    • El problema es la eficiencia de la ley. Si para evitar el impacto de un asteroide se obligara a todos los edificios a tener un techo de concreto de 1 metro de grosor, al final los edificios pequeños cargarían con el peso y los grandes casi no sentirían el impacto. Aunque parezca absurdo, regulaciones de ese estilo terminan expulsando del mercado a los pequeños y dejando con vida solo a las grandes empresas con capital. Mientras la tolerancia social al riesgo siga bajando, la captura regulatoria a favor de las grandes empresas también llegará de forma natural

    • El Reino Unido es un ejemplo representativo de cómo funcionan en la práctica las regulaciones tecnológicas. Últimamente también he notado que en Hacker News cada vez hay más comentarios pidiendo regulación. En particular, cuando surgen quejas por errores en LLM o por salidas similares a contenido con copyright, abundan las reacciones de “hay que regularlo” o “hay que castigarlo”. Mucha gente cree que si se introduce regulación, solo las grandes empresas saldrán castigadas y los consumidores disfrutarán productos perfectos. Pero en la práctica, una regulación dura hace que las empresas se retiren de ese país, y los usuarios sigan usando el servicio con VPN si hace falta. Las empresas evitan los países regulados o cierran operaciones allí. Cuando uno señala los efectos secundarios de la regulación, rápidamente lo despachan con un “pues eximamos a las empresas pequeñas”. Mientras más de cerca se ve una regulación tecnológica dura en la vida real, más gente termina rechazándola

    • El objetivo final de la regulación en línea en el Reino Unido muchas veces termina siendo la ‘vigilancia’. No piensan demasiado en cómo se usarán los datos, pero impulsan con obsesión leyes para vigilar

  • Como en este caso, cosas como https://www.thehamsterforum.com/threads/big-sad-forum-news-online-safety-act.2091/ están ocurriendo repetidamente (por cierto, en el Reino Unido incluso un foro de aficionados a los hámsters terminó siendo ilegal)

    • Al ver que thehamsterforum incluso propone que todos se muden a Instagram, queda claro por qué a las grandes empresas este tipo de leyes en realidad les convienen. Mientras más regulación hay, más altas son las barreras de entrada, y solo las grandes empresas con equipos internos de abogados califican para participar en el servicio

    • Me da curiosidad por qué motivo el foro volvió a operar después de hacer “algo nuevo”. Dicen que cumplieron mediante cambios en los términos de servicio y la adopción de nuevas herramientas de moderación, pero realmente me pregunto a qué conclusión llegaron para considerar que ya no había riesgo, y si de verdad esas herramientas son suficientes

    • El foro sigue activo incluso ahora, así que me hace pensar si la publicación original estaba equivocada

    • Supongo que por eso el café de la serie Fleabag se siente más normal (aunque los cuyos y los hámsters no son lo mismo)

  • No sé bien qué clase de servicio es, pero entré al sitio y parece ser un servicio 18+; además dice que están prohibidos “pornografía infantil, representaciones sexuales de menores, gore excesivo, bestialidad y violencia sexual”. No estoy 100% de acuerdo con toda la Online Safety Act, pero este tipo de servicios sí parece requerir una evaluación de riesgos aparte

    • Solo leyendo el artículo me pareció problemático, pero al mirar el sitio directamente la explicación se siente insuficiente y hay elementos de riesgo, así que parece que sí hace falta algún tipo de regulación. Pero me pregunto si otros servicios con riesgos más bajos también están siendo afectados de la misma manera

    • Hasta donde sé, la función principal de este servicio es ofrecer a los usuarios modelos de IA con censura mínima. Todo está permitido salvo contenido ilegal (y por “ley” también entran reglas impuestas por procesadores de pago como Visa/Mastercard), así que prácticamente puede hacerse cualquier cosa. Probablemente haya mucho contenido sexual por la demanda del mercado adulto, pero eso se debe a la demanda del mercado, no a la naturaleza del servicio

    • La queja que plantean no parece ser tanto contra la evaluación de riesgos en sí, sino contra el alcance de esa evaluación y su costo excesivo

  • Hay una frase que dice: “Encontrar una forma de acceder al sitio es responsabilidad del usuario, y el usuario no será castigado”. Si el operador realmente estuviera preocupado por la responsabilidad legal, no debería haber dejado ese tipo de comentario; debilita tanto esa publicación como la credibilidad de su esfuerzo de cumplimiento

    • En la práctica es casi imposible bloquear a quienes usan VPN. A menos que el gobierno controle a todos los proveedores de internet, y ni siquiera el Reino Unido puede llegar tan lejos con facilidad. En un país normal, el operador del sitio no debería ser responsable por eso

    • El operador dijo claramente que su objetivo es volver a entrar al mercado británico y cumplir completamente con la normativa. Solo evaluó mal el alcance de la regulación y por eso bloqueó el servicio en el Reino Unido; es una medida temporal

  • Es realmente frustrante que las leyes y regulaciones no tomen en cuenta el tamaño del proveedor. Siempre tratan a los grandes operadores como villanos y ganan popularidad con el pretexto de “proteger a los niños”, pero en la práctica eso favorece a las grandes empresas. Solo ellas pueden absorber todos los costos, como la asesoría legal, y así terminan quedándose con todo el mercado. Lo mismo va a pasar con la AI Act: tanto las pymes como los consumidores van a salir perjudicados

    • En la práctica, esta ley sí toma en cuenta el tamaño del proveedor, pero el problema es que la línea base en sí está pensada para las grandes empresas. Es una estructura construida tras años de lobby por parte de esas compañías. Oficialmente el Reino Unido parece tener poca corrupción, pero cuando uno ve cómo se toman realmente las decisiones, más bien la corrupción es común. Esta ley casi no tiene apoyo popular. Siempre usan campañas mediáticas en periódicos y demás, poniendo a los niños al frente, pero el contenido real de la ley está lejos de su intención original. Hay elecciones, pero las políticas no cambian

    • Es captura regulatoria. El impacto sobre los pequeños negocios también es un resultado intencional

  • Aquí hay una explicación de la ley relacionada: https://www.gov.uk/government/publications/online-safety-act-explainer/online-safety-act-explainer#who-the-act-applies-to. Según lo que entendí, Amazon necesitaría verificación de edad para más del 80% de todo su inventario de libros, y por el 20% restante también tendría responsabilidad debido a la definición amplísima de “experiencia en línea adecuada para la edad de los niños”. Como señaló janitorai, esta ley sí les aplica y también alcanza a todo el contenido que generan. Probablemente bloquear el acceso al mercado británico sea la mejor respuesta. Por cierto, parece que esta ley no se aplica a un sitio web primario si no hay interacción entre visitantes. Por ejemplo, un blog sin comentarios estaría bien

  • Por lo que entendí a grandes rasgos de la ley, pensé que solo aplicaba si había varios millones de usuarios británicos https://www.onlinesafetyact.net/analysis/categorisation-of-services-in-the-online-safety-act. No me queda claro si realmente este sitio entra en ese caso o si yo entendí todo mal (no soy abogado)

    • Ese es el umbral para imponer requisitos adicionales. Todos (salvo que entren en una exención específica) tienen “deberes de protección al usuario”. Solo escucharlo ya suena a requisitos administrativos complejos y costosos por todas partes. Y para determinar si uno está exento también hay que pagar abogados. La ley en sí es ambigua y tiene demasiadas zonas grises imprevistas. No es un “ruling”, sino la ley y sus normas de implementación. PDF relacionado: https://www.ofcom.org.uk/siteassets/resources/documents/consultations/category-1-10-weeks/263963-categorisation-research-and-advice/categorisation-research-and-advice.pdf

    • La lista de verificación de Ofcom para saber si aplica a un servicio no usa ese criterio; parece que basta con tener aunque sea un solo cliente de pago en el Reino Unido https://ofcomlive.my.salesforce-sites.com/formentry/RegulationChecker

    • Es realmente agotador ese concepto de que, porque “personas de nuestro país accedieron a tu sitio”, nuestro país crea que puede reclamar jurisdicción sobre ese servidor (alojado en otro país), e incluso sobre su operador (que vive en el extranjero), hasta el punto de imponer sanciones penales

    • Esa fuente no trata de cómo se aplica realmente la ley, sino de propuestas vigentes en 2024

    • Las leyes enormes de cientos de páginas siempre tienen montones de puntos ciegos. Últimamente el Reino Unido se ha convertido en un país que realmente arresta gente por “crímenes” en línea, así que ya hasta salen leyes así de absurdas

  • Por estas razones, parece que todo internet se está encaminando a una crisis tipo Kessler Syndrome, como un efecto dominó de basura espacial. En Estados Unidos también, los 50 estados están intentando regular la IA por su cuenta; originalmente OBBB iba a contener eso por 10 años, pero fracasó. Ahora cada estado puede crear sus propias reglas. Cumplir con todas las regulaciones del mundo ya se está volviendo casi imposible

    • Si los costos operativos suben demasiado, al final solo quedarán unos pocos sitios gigantes a nivel global, y cientos de sitios pequeños sobrevivirán con bloqueo por región. Mientras el ciberespacio dependa de ganar dinero y de usar elementos del mundo real como la verificación de identidad, nunca podrá ser realmente independiente https://www.eff.org/cyberspace-independence

    • La Balkanization de internet al final es un desenlace inevitable. La alternativa sería que los estados entregaran la soberanía de una infraestructura hoy esencial a actores extranjeros, y los gobiernos no van a elegir eso. Cuando internet era solo un pasatiempo, todavía podía tolerarse, pero ahora que es la base de la vida misma, ya no se acepta ceder la soberanía de la infraestructura a gobiernos extranjeros y big tech

    • Cada vez que el tema de la “balcanización de internet” entra en el debate público, yo más bien veo esa tendencia de forma positiva. Creo que solo debería permitirse una comunicación global instantánea de este tipo cuando la humanidad esté preparada para asumir la responsabilidad que implica

  • Yo también creo que tendré que bloquear a los visitantes del Reino Unido cuando usen Marginalia Search. Como desarrollador solo, no puedo cargar con todas las exigencias legales :-/

    • Por cierto, si entras a la página de estado, el servicio aparece normal pero sale como “no disponible”. ¡Este tipo de fallas sí están bien! https://status.marginalia.nu