Signal, DuckDuckGo y NordVPN amenazan con dejar Canadá por ley de metadatos

Qué exige el Bill C-22: metadatos, backdoors y 12 meses de retención

El Bill C-22 fue presentado por el ministro de Justicia Gary Anandasangaree en marzo de 2026. La segunda lectura fue aprobada el 20 de abril y la propuesta se encuentra actualmente en fase de comité parlamentario, donde puede recibir enmiendas antes de avanzar hacia su aprobación definitiva. Su nombre oficial, Ley de Acceso Lícito de 2026, refleja una filosofía legislativa extendida entre los gobiernos occidentales: garantizar que las fuerzas del orden mantengan capacidad de vigilancia en un entorno tecnológico que ha evolucionado hacia el cifrado por defecto.

Qué datos deben retenerse y durante cuánto tiempo

La ley obligaría a los proveedores de servicios de comunicación a conservar metadatos de usuarios durante un período de hasta doce meses. Los metadatos afectados incluyen:

• Con quién se comunica el usuario (destinatarios de llamadas, mensajes o conexiones)
• Cuándo se producen esas comunicaciones (marcas temporales precisas)
• Desde dónde se realizan (datos de localización e identificadores de red)
• Qué dispositivo se utiliza (identificadores de terminal como IMEI o dirección MAC)

Es fundamental entender qué no recoge la ley: no se exige retener el contenido de los mensajes, el historial de navegación web ni la actividad en redes sociales. Sin embargo, para los expertos en privacidad, esta distinción es menos tranquilizadora de lo que parece. Los metadatos permiten trazar un perfil detallado de la vida de una persona —sus relaciones, sus rutinas, sus desplazamientos— sin necesidad de leer ni una sola palabra de sus conversaciones.

Los backdoors: la obligación más polémica

Más allá de la retención de datos, el Bill C-22 exigiría que las empresas construyan capacidades técnicas de interceptación —coloquialmente conocidas como “puertas traseras” o backdoors— para permitir que la Policía Montada de Canadá (RCMP) y el Servicio Canadiense de Inteligencia de Seguridad (CSIS) accedan a los datos bajo requerimiento judicial.

Este requisito plantea un dilema técnico sin solución aparente para servicios diseñados desde su base con arquitectura de cero conocimiento. Signal, por ejemplo, no almacena los mensajes de sus usuarios ni las claves de cifrado en sus servidores. No existe ningún punto del sistema donde la empresa pueda “abrir una puerta”: arquitectónicamente, no hay nada que entregar aunque se quisiera. Exigir una backdoor a Signal sería equivalente a exigir que el servicio reconstruya desde cero su arquitectura, abandonando la promesa de privacidad que lo define.

A quién afecta la ley

Las obligaciones recaerían sobre los proveedores de servicios de comunicación que operan en Canadá, lo que incluye tanto a empresas con sede en el país como a las que prestan servicios a usuarios canadienses desde el exterior. Esto convierte a cualquier aplicación de mensajería, VPN o buscador con usuarios en Canadá en un destinatario potencial de la norma, independientemente de dónde estén sus servidores.

Quién amenaza con abandonar Canadá: Signal, NordVPN y más

La respuesta de la industria al Bill C-22 ha sido inusualmente contundente. Empresas de distintos tamaños, con modelos de negocio y sedes en países muy diferentes, han coincidido en un mismo mensaje: si la ley se aprueba en su forma actual, algunas de ellas preferirán retirarse del mercado canadiense. A continuación, las posturas de cada actor.

Signal

El vicepresidente de Signal, Udbhav Tiwari, fue el más directo. La organización sin ánimo de lucro preferiría salir de Canadá antes que “comprometer las promesas de privacidad” que ha hecho a sus usuarios. La postura de Signal no es una cuestión de voluntad política, sino de imposibilidad técnica: la arquitectura de cero conocimiento del servicio hace que la empresa no tenga acceso a los mensajes ni a las claves de cifrado de sus usuarios. Cumplir con los requisitos de backdoor exigiría desmantelar los fundamentos mismos del servicio.

DuckDuckGo

El buscador privado DuckDuckGo ha anunciado que retiraría su servicio de VPN de Canadá si el Bill C-22 se aprueba en su forma actual. DuckDuckGo ha construido su propuesta de valor sobre la promesa de no rastrear a sus usuarios, y considera que las obligaciones de retención de metadatos son incompatibles con ese compromiso.

NordVPN

NordVPN, uno de los proveedores de VPN más utilizados del mundo, ha declarado que “considerará todas las opciones, incluyendo limitar o retirar su presencia” en Canadá. La empresa, con sede en Panamá, basa parte de su modelo de negocio en operar desde jurisdicciones que no imponen obligaciones de registro de actividad de usuarios. Una ley de retención de metadatos en un mercado importante como el canadiense representa un precedente preocupante para su modelo de negocio global.

Windscribe: el caso más urgente

Windscribe es un caso particular: es una empresa canadiense, con sede en Toronto, lo que significa que la ley la afectaría de forma directa e inmediata como entidad nacional. Su CEO, Yegor Sak, ya ha comenzado a explorar activamente la posibilidad de reubicar la empresa fuera de Canadá si la norma prospera. Para Windscribe, no existe la opción de simplemente “retirar el servicio del país” y seguir operando desde fuera: la ley afectaría a la empresa en su totalidad.

ExpressVPN

ExpressVPN también se ha sumado al coro de la oposición, añadiendo su voz a la de los otros proveedores de VPN y reforzando la sensación de que el sector de privacidad en su conjunto considera el Bill C-22 una amenaza existencial para su modelo de negocio.

Las grandes tecnológicas: Apple, Google y Meta

La oposición no se limita a las empresas especializadas en privacidad. Apple, Google y Meta han advertido que las exigencias de backdoor de la ley podrían obligarlas a debilitar el cifrado de extremo a extremo en sus propios servicios —iMessage, Google Messages, WhatsApp— no solo para usuarios canadienses, sino potencialmente a escala global. La razón técnica es la misma que en el caso de Signal: un sistema de cifrado con una puerta trasera accesible por un gobierno ya no es, por definición, cifrado de extremo a extremo.

La EFF y la comunidad de derechos digitales

La Electronic Frontier Foundation (EFF), la organización de referencia en derechos digitales con sede en San Francisco, calificó el Bill C-22 de “pesadilla de vigilancia rediseñada”. La EFF señala que las leyes de retención masiva de metadatos no han demostrado ser eficaces en la prevención del crimen, pero sí crean infraestructuras de vigilancia que pueden ser utilizadas de forma abusiva.

Qué significa esto para los usuarios y el precedente europeo

Qué cambia para los usuarios canadienses

Si el Bill C-22 se convierte en ley en su forma actual, las consecuencias para los usuarios en Canadá serían concretas:

• Los proveedores de servicios digitales estarían obligados a guardar un registro de con quién se comunican, cuándo y desde dónde durante al menos un año, accesible por las autoridades
• Los usuarios que utilicen Signal, DuckDuckGo VPN, NordVPN u otros servicios afectados podrían encontrarse sin acceso a esas herramientas en el mercado canadiense
• Quienes necesiten estos servicios por razones profesionales —periodistas, abogados, activistas, trabajadores de organizaciones humanitarias— verían reducidas sus opciones de comunicación segura
• La presión sobre los grandes proveedores (Apple, Google) podría traducirse en un debilitamiento del cifrado en aplicaciones de uso masivo, con consecuencias para todos los usuarios independientemente de su perfil

No obstante, hay que señalar que la ley no exige retener contenidos: los mensajes en sí, los archivos enviados o el historial de navegación quedarían fuera del alcance de la norma tal como está planteada actualmente.

El precedente europeo: la Directiva que el Tribunal de Justicia anuló

Para los lectores europeos —y especialmente para los españoles— este debate no es nuevo. En 2006, la Unión Europea aprobó la Directiva de Retención de Datos (2006/24/CE), que obligaba a los proveedores de servicios de comunicaciones a conservar metadatos de sus usuarios durante períodos de entre seis meses y dos años. El objetivo declarado era el mismo que el del Bill C-22: facilitar la investigación de delitos graves y el terrorismo.

En 2014, el Tribunal de Justicia de la Unión Europea (TJUE) anuló esa directiva en la sentencia Digital Rights Ireland. El tribunal consideró que la retención masiva e indiscriminada de metadatos de todos los ciudadanos, con independencia de si existía sospecha de delito alguno, constituía una interferencia de gran magnitud y particular gravedad en los derechos fundamentales a la privacidad y a la protección de datos, consagrados en los artículos 7 y 8 de la Carta de los Derechos Fundamentales de la UE.

El TJUE fue aún más lejos en sentencias posteriores —Digital Rights Ireland en 2014 y Tele2/Watson en 2016— consolidando el principio de que la retención masiva de datos no puede considerarse proporcionada en una sociedad democrática, aunque se justifique en nombre de la seguridad nacional.

España vivió directamente este debate. La trasposición española de la directiva europea fue también objeto de críticas por parte de organizaciones de derechos civiles, y la anulación europea obligó a revisar el marco legal nacional. El Reglamento General de Protección de Datos (RGPD), en vigor desde 2018, consagra principios como la minimización de datos y la limitación del plazo de conservación que son diametralmente opuestos a lo que propone el Bill C-22.

Por qué esto importa en Europa

Aunque el Bill C-22 es una ley canadiense, sus implicaciones trascienden fronteras por varias razones:

• Si las grandes plataformas tecnológicas se ven obligadas a introducir backdoors para cumplir con la ley canadiense, esas mismas vulnerabilidades técnicas existirán también para sus usuarios europeos
• El precedente normativo de un país democrático del G7 puede servir de argumento para que otros gobiernos presionen en la misma dirección
• Los proveedores de VPN y aplicaciones de privacidad que abandonen Canadá se verán presionados también en otros mercados que sigan caminos legislativos similares
• El debate reabre en Europa la pregunta sobre si el RGPD y la jurisprudencia del TJUE ofrecen protección suficiente ante las presiones de los gobiernos en materia de seguridad

Una advertencia honesta: nada está decidido

Es importante concluir con una aclaración que no siempre aparece en la cobertura mediática de esta noticia: a fecha de publicación, ninguna de las empresas mencionadas ha abandonado Canadá. Todas las declaraciones recogidas en este artículo son advertencias condicionales formuladas en respuesta a una propuesta legislativa que todavía está en tramitación.

El Bill C-22 se encuentra en fase de comité parlamentario, donde puede recibir enmiendas significativas. La presión de la industria tecnológica, la sociedad civil y las organizaciones de derechos digitales es un factor real en ese proceso. No sería la primera vez que una ley de vigilancia masiva se modera o retira ante la oposición coordinada de múltiples actores.

Lo que el caso canadiense pone de manifiesto, con independencia de cómo concluya, es que el conflicto entre la seguridad estatal y la privacidad digital es una tensión estructural de nuestro tiempo —y que los usuarios, en última instancia, son quienes más tienen que ganar o perder en ese debate.