El Código de Prácticas sobre Desinformación de la Unión Europea es una de las iniciativas más multinacionales y con buenos recursos en la práctica actualmente, ya que cuenta con el apoyo de todo el bloque y de sus gobiernos miembros detrás de su marco. El Código fue desarrollado por un grupo de trabajo sobre desinformación requerido por la Comisión Europea y contiene recomendaciones para empresas y otras organizaciones que quieran operar en la Unión Europea. Además del Código, la UE proporciona a los gobiernos miembros y a los países que desean comerciar y trabajar con el bloque pautas sobre cómo organizar sus empresas en línea y planificar las respuestas a la desinformación a través de la formación digital, la verificación de datos, los medios de comunicación y el apoyo a la sociedad civil, entre otras intervenciones.

El Código fue formulado e informado principalmente por el Grupo europeo de expertos de alto nivel sobre noticias falsas y desinformación en marzo de 2018.  El grupo, integrado por representantes del ámbito académico, la sociedad civil, los medios de comunicación y los sectores tecnológicos, elaboró un informe que incluyó cinco recomendaciones centrales que luego se convirtieron en los cinco pilares bajo los cuales se organiza el Código. Ellas son:

1. mejorar la transparencia de las noticias en línea, lo que implica un intercambio de datos sobre los sistemas adecuado y respetuoso de la privacidad que permita su circulación en línea;
2. promover la capacitación en medios de comunicación e información a fin de contrarrestar la desinformación y ayudar a los usuarios a navegar en el entorno de los medios digitales;
3. desarrollar herramientas para empoderar a los usuarios y periodistas a fin de hacer frente a la desinformación y fomentar una interacción positiva con las tecnologías de la información en rápida evolución;
4. salvaguardar la diversidad y la sustentabilidad del ecosistema de los medios informativos europeos; y
5. promover la investigación continua sobre el impacto de la desinformación en Europa para evaluar las medidas tomadas por diferentes actores y ajustar constantemente las respuestas necesarias.

Estos principios se integraron en el Código, publicado en octubre de 2018, aproximadamente seis meses después de la publicación del informe del grupo de expertos. La Unión Europea invitó a las empresas de tecnología a suscribir el Código y muchas participaron, junto con otras partes interesadas de la sociedad civil y las instituciones de la UE que trabajaron para implementar elementos de estos principios. Entre los firmantes se encuentran Facebook, Google, Microsoft, Mozilla, Twitter, así como la Asociación Europea de Agencias de Comunicación y diversas agencias de comunicación y publicidad. Estos grupos se comprometieron no solo con los principios, sino también con una serie de informes anuales sobre su avance en la aplicación, ya sea como profesionales de la comunicación, empresas de publicidad o de tecnología.

Como participantes en la iniciativa, las empresas acuerdan un conjunto de estándares voluntarios destinados a combatir la propagación de engaños y mentiras dañinos en línea y envían informes anuales sobre sus políticas, productos y otras iniciativas para cumplir sus pautas. La iniciativa ha tenido un éxito modesto al involucrar plataformas en el diálogo con la UE en torno a estos temas y abordarlos con los gobiernos miembros, otros actores del sector privado y los ciudadanos.

Los informes anuales de estas empresas y la evaluación general de la implementación del Código de Prácticas sobre Desinformación hacen una revisión de los avances que ha tenido el código en su primer año de existencia, de octubre de 2018 a 2019. Los informes concluyen que, si bien el Código ha avanzado en general en la incorporación de ciertos aspectos de sus cinco principios centrales a los firmantes del sector privado, se ha visto limitado por su "naturaleza autorregulada, la falta de uniformidad en la implementación y la falta de claridad en torno a su alcance y algunos de los conceptos clave". 

Una evaluación de septiembre de 2020 consideró que el código había logrado un progreso modesto pero había resultado insuficiente de diversas maneras, y proporcionó recomendaciones para mejorar. Señala que "[l]a información y las conclusiones que se exponen en esta evaluación respaldarán las reflexiones de la Comisión sobre las iniciativas políticas pertinentes, incluida la Acción para la democracia europea, así como también la Ley de servicios digitales, que tendrán como objetivo fijar normas generales aplicables a todos servicios de la sociedad de la información". Esto ayuda a describir de qué manera el Código sobre Desinformación encaja dentro de un programa más amplio de iniciativas europeas, vinculándose con códigos similares sobre la moderación del discurso de odio, los esfuerzos relacionados para garantizar la privacidad del usuario, la protección de los derechos de autor y la ciberseguridad, y mayores esfuerzos para promover los principios democráticos en el espacio en línea.

Otras organizaciones han realizado evaluaciones independientes que ofrecen su propia perspectiva sobre el proyecto de la Comisión Europea. El proyecto encargó a una empresa consultora, Valdani, Vicari y Asociados (VVA), que también revisara el proyecto, y determinó lo siguiente: 

• "El Código de Prácticas no debe abandonarse. Ha establecido un marco común para abordar la desinformación; sus objetivos y actividades son de gran relevancia y ha producido resultados positivos. Constituye un primer paso crucial en la lucha contra la desinformación y muestra el liderazgo europeo en un tema de carácter internacional.
• Algunos inconvenientes se relacionaron con su naturaleza autorreguladora, la falta de uniformidad en la implementación y la falta de claridad en torno a su alcance y algunos de los conceptos clave.
• La implementación del Código debe continuar y su efectividad podría fortalecerse acordando terminología y definiciones".

El fondo Carnegie Endowment for International Peace (Fondo Carnegie Endowment para la paz internacional) completó una evaluación en un período similar después de finalizar su primer año de implementación, publicada en marzo de 2020. El autor descubrió que la UE efectivamente había avanzado en áreas como la capacitación en medios de comunicación e información, donde varios firmantes tecnológicos han creado programas para usuarios sobre estos conceptos, como Facebook, Google y Twitter.

El marco normativo del Código de Prácticas sobre Desinformación de la UE sigue ejemplos similares relacionados que describen y desarrollan un componente de la posición de la Unión Europea, específicamente el Código de Conducta de la UE, para combatir el discurso ilegal de odio en línea de 2016. Este Código de Conducta de la UE de 2016 se vincula con la anterior "Decisión marco 2008/913/JAI, del 28 de noviembre de 2008 que lucha contra determinadas formas y expresiones de racismo y xenofobia mediante el derecho penal y las leyes nacionales que lo transponen, lo que implica toda conducta que incite públicamente a la violencia o al odio contra un grupo de personas o un miembro de tal grupo definido en referencia a su raza, color, religión, ascendencia u origen nacional o étnico". Alternativamente, organizaciones como el Centro para la Democracia y la Tecnología han criticado el enfoque de la UE y el potencial de uso indebido y abuso, particularmente en lo que respecta al código sobre incitación al odio o a la violencia.

En general, los informes de la Comisión Europea y Carnegie señalaron que aún queda mucho por hacer y que el Código sobre Desinformación se beneficiaría con una terminología y una estructura mejor compartidas. Con ese fin, la UE adoptó recientemente su Plan de acción para la democracia. La lucha contra la desinformación es uno de sus pilares centrales, con el esfuerzo por mejorar las herramientas existentes de la UE e imponer costos a los infractores, especialmente en la interferencia electoral, pasar del Código de buenas prácticas a un marco normativo de obligaciones y responsabilidad de las plataformas en línea de conformidad con la Ley de servicios digitales, y establecer un marco para monitorear la implementación del código de prácticas. 

Como puede verse, si bien las empresas han firmado los Códigos sobre Desinformación y Discurso de Odio de la UE, y los gobiernos miembros se han comprometido a seguir sus principios, la supervisión y el cumplimiento son mecanismos separados y más difíciles de aplicar.  No obstante, con el impulso de otros países, en otras regiones, estos códigos o tipos de acuerdos similares podrían proporcionar un marco para la colaboración en torno a diversos temas relacionados con la desinformación, el discurso de odio, el extremismo violento en línea y una serie de otras formas dañinas de contenido.

Durante muchos años, tecnólogos, académicos y otros representantes de la sociedad civil han trabajado juntos para impulsar al sector privado a abordar los problemas de derechos digitales. Un ejemplo es Ranking Digital Rights, una iniciativa patrocinada por la New America Foundation que se enfoca en crear un marco concreto para involucrar a las empresas en temas normativos relacionados con el espacio de información. A partir de 2015, Ranking Digital Rights ha publicado un "Índice de responsabilidad corporativa" que clasifica a las empresas de tecnología, telecomunicaciones e internet según sus compromisos con los derechos humanos. Este marco tiene sus raíces en principios internacionales de derechos humanos, como la Declaración Universal de los Derechos Humanos (DUDH) y los Principios rectores de las Naciones Unidas sobre las empresas y los derechos humanos. 

Los indicadores cubren principios relacionados con la gobernanza, la libertad de expresión y la privacidad y otorgan a las empresas una puntuación basada en su cumplimiento de varios aspectos del Índice. Entre las empresas clasificadas por el Índice se encuentran los principales actores en redes sociales, búsqueda y otros temas relacionados con el espacio de información, incluidos Facebook, Google, Microsoft y Twitter. Su capacidad de respuesta a estos principios proporciona indicaciones de cómo las iniciativas inspiradas o análogas a Ranking Digital Rights pueden abordar los problemas de las redes sociales, el discurso del odio y la desinformación, al tiempo que se vinculan a iniciativas más antiguas en torno a la responsabilidad corporativa que las precedieron, como la Global Network Initiative. 

Rebecca MacKinnon, ex periodista y académica en derechos digitales, miembro de la junta del Comité para la Protección de los Periodistas y miembro fundador de la Global Network Initiative, creó el proyecto Ranking Digital Rights (RDR) en 2013 basado en parte en su libro Consent of the Network. Nathalie Marechal, analista sénior de políticas del proyecto, detalla cómo el libro fue "una de las primeras investigaciones que se centraron en el papel que desempeñan el sector privado y las empresas de tecnología específicamente en las violaciones de derechos humanos cuando actúan como agentes de los gobiernos como resultado de demandas gubernamentales de datos o demandas de censura, y como resultado de empresas que persiguen sus propios intereses comerciales. El libro finalizó con un llamado a la acción para presionar a las empresas a favor de la transparencia y una mayor responsabilidad por su papel en permitir o perpetrar violaciones de derechos humanos".

Los principios de RDR se centran en tres pilares centrales: Gobernanza, libertad de expresión y privacidad. A partir de estos principios centrales, el proyecto desarrolló indicadores que sirven para medir y evaluar el cumplimiento de una empresa de estos principios básicos. Estos principios fueron desarrollados para aplicarse no solo a lo que ellos llaman empresas de "ecosistemas móviles y de internet", sino también a empresas de telecomunicaciones, como Verizon o T-Mobile. Divide sus encuestas en estas dos categorías y asigna a las empresas puntajes de 100 en función de su cumplimiento y adhesión a los indicadores de los principios. Estos puntajes se tabulan y combinan en un puntaje final que se analiza en Índices, respaldados por datos y publicados semestralmente desde 2015 hasta 2019, con una nueva edición prevista para 2021. 

Los índices son algo dinámicos en la medida que evolucionan con base en nuevas tecnologías o desarrollos en el campo, así como también nuevos estudios, lo que ha cambiado las categorías que definen la metodología, los indicadores y las empresas revisadas. Por ejemplo, el ecosistema móvil y de internet se conoció simplemente como de internet en 2015 y se renombró como de internet y móvil en 2017. El proyecto RDR publica la metodología abiertamente y permite que otros la adapten bajo la licencia Creative Commons para producir sus propias calificaciones, por ejemplo, para empresas locales o nacionales. Como resultado, el sistema RDR se ha replicado en contextos como India, el Medio Oriente y África. 

Esto forma parte de un proceso que la organización ha desarrollado para mantener los principios relevantes y al mismo tiempo lo suficientemente estable como para proporcionar datos sobre cómo las empresas están mejorando o empeorando en términos del índice. Esto ha ayudado a desarrollar y expandir el índice para centrarse en 24 empresas, incluidas empresas de telecomunicaciones, como AT&T y Telefónica, así como también plataformas de redes sociales y empresas de tecnología, como Facebook, Google, Microsoft y Twitter. Este resumen ofrece una visión general del sistema RDR y las áreas y los indicadores que cubre. Se trata de cuestiones relacionadas con el espacio de la información de diversas formas e incluye a las principales empresas de tecnología con alcance sobre redes sociales globales a gran escala, como Facebook, Google, Microsoft y Twitter. Dentro de este sistema, también consideran tenencias que estas empresas controlan, como WhatsApp (Facebook) o Skype (Microsoft). Estas empresas generalmente obtienen puntajes similares en los indicadores, con puntajes generales de 62 (Microsoft), 61 (Google), 57 (Facebook) y 55 (Twitter). Por el contrario, las empresas de telecomunicaciones chinas y rusas obtienen puntajes mucho más bajos, como el gigante tecnológico chino Tencent (sede de WeChat, QQ y QZone) con 26, el motor de búsqueda y servicios tecnológicos Goliat Baidu con 23, o la empresa rusa Yandex con 32. Esto ciertamente sirve para contrastar los enfoques de las empresas en esferas de influencia tanto autoritarias como democráticas, y el contraste por motivos de derechos humanos que puede ser útil enfatizar, especialmente en lo que respecta a la integridad de la información y los problemas de desinformación cada vez más prevalentes. 

Bajo la gobernanza, los principios buscan formas en que una empresa de tecnología se gobierne a sí misma y a sus productos. Esto se conecta con la forma en que administran sus plataformas, el tipo de supervisión que tienen y, en particular, cómo evalúan el impacto que estas plataformas están teniendo. Como señalan en su Informe del Índice de 2019: "El indicador G4 evalúa si las empresas realizan evaluaciones de riesgo para analizar y abordar el posible impacto perjudicial de sus operaciones comerciales en los derechos humanos de los usuarios. Esperamos que las empresas lleven a cabo la debida diligencia creíble e integral para evaluar y gestionar los riesgos relacionados con la forma en que sus productos o servicios pueden afectar la libertad de expresión y la privacidad de los usuarios". Esto se está convirtiendo cada vez más en un componente clave de las políticas de las empresas sobre cuestiones de desinformación y sobre cómo pueden gobernarse a sí mismas de manera eficaz con respecto a las preocupaciones de derechos humanos en torno a la libertad de expresión y las cuestiones de privacidad en particular. 

El Índice también señala que ninguna empresa, incluidas plataformas como Facebook, Google y Twitter, está realizando evaluaciones sobre el impacto de la inteligencia artificial o las formas de "identificar y gestionar los posibles efectos adversos de la aplicación de las normas sobre la libertad de expresión y los derechos de privacidad de los usuarios", ni evaluaciones de riesgo de las implicaciones para los derechos humanos del diseño e implementación de sus términos de servicio o sistemas de publicidad dirigida. Estas políticas públicas internas de las empresas están teniendo un gran impacto en el entorno de la información y RDR proporciona un medio para evaluarlas.

Los indicadores de libertad de expresión se relacionan más específicamente con la gobernanza de los contenidos en las plataformas en línea que se están evaluando. Los términos de servicio ayudan a definir la forma en que las empresas determinan los derechos de los usuarios en los procesos de acceso, quejas, suspensión y eliminación.

RDR evalúa cómo han puesto a disposición de los usuarios la información sobre estos términos y sus cambios y, en segundo lugar, proporciona información disponible públicamente sobre el proceso mediante el cual se realizan las eliminaciones o restricciones de contenido, así como también datos generales sobre los tipos de eliminaciones que existen. Esto también se relaciona con las formas en que los gobiernos realizan solicitudes de eliminación y señala que Facebook, Google y Twitter han estado poniendo a disposición más datos sobre las eliminaciones a través de informes de transparencia, a excepción de los datos relacionados con las solicitudes del gobierno, que se han vuelto más limitados. Facebook y Twitter han estado publicando menos datos relacionados con las solicitudes de datos del gobierno, particularmente en el caso de solicitudes en plataformas cerradas, como Facebook Messenger, WhatsApp y la plataforma de video Periscope de Twitter.

También analiza las políticas de la empresa en torno a la identidad, si las empresas requieren que los usuarios proporcionen una identificación emitida por el gobierno o alguna otra forma de identificación que pueda estar vinculada a su identidad en el mundo real. Esto podría permitir una mejor identificación de las fuentes de desinformación y discurso de odio, u otros usuarios nefastos, pero también crea posibles vías para dirigirse a usuarios vulnerables por parte de gobiernos, trolls y otros. Señalan que Google, Instagram, WhatsApp y Twitter permiten usuarios anónimos en sus plataformas, pero que Facebook requiere identificación, algo que puede crear problemas conflictivos, especialmente para los usuarios vulnerables.

Por último, en términos de problemas de privacidad, RDR cubre las diferentes políticas relacionadas con los datos del usuario y la información sobre cómo se manejan, cómo se garantiza su seguridad, cómo se abordan las vulnerabilidades y cómo se abordan la supervisión y notificación sobre filtraciones. Si bien estos problemas pueden parecer tangenciales a las campañas de desinformación, en realidad pueden tener un impacto importante, ya que los datos que se toman de estas empresas a menudo pueden usarse en campañas de desinformación. Los usuarios que acceden al contenido a través de sistemas de seguridad débiles pueden ser espiados por gobiernos y otros actores nefastos, y los objetivos de campañas de desinformación o ciberataques pueden desconocer que incluso ellos son susceptibles de ataque sin los sistemas adecuados para monitorear que su acceso sea seguro o para ser notificados en casos de filtración. También examinan si las empresas informan a los usuarios sobre posibles "riesgos cibernéticos", que ellos definen como "[s]ituaciones en las que la seguridad, la privacidad u otros derechos relacionados de un usuario pueden verse amenazados por un actor malintencionado (incluidos, entre otros, delincuentes, informantes o naciones estado) que puede obtener acceso no autorizado a los datos del usuario mediante piratería, phishing (suplantación de identidad) u otras técnicas engañosas". Esto podría incluir riesgos de campañas de acoso o desinformación en línea específicas, en particular para usuarios vulnerables o marginados.

Como componente de su revisión continua de las prácticas y políticas tecnológicas, RDR está evolucionando para examinar cuestiones relacionadas con el uso ético de datos y algoritmos privados para proporcionar contenido. El Índice 2020 incluirá consideraciones de estos temas basadas en su revisión. Ya se ha revisado durante un período de varios años para cubrir los sistemas de información en evolución, como los teléfonos móviles, las redes sociales y otras tecnologías. 

Como señala Marechal: "Mantuvimos la metodología estable entre 2017 y 2018 y para 2019 hubo un par de ajustes e incorporamos empresas cada año, pero en general la mantuvimos comparable durante esos tres ciclos de investigación y hubo un progreso medible para la mayoría de las empresas en todos los años a mediados de 2018. Comenzamos un proyecto para revisar y expandir la metodología de RDR y ese fue un proyecto que dirigí, para dar cuenta de los daños a los derechos humanos asociados con dos temas interrelacionados, modelos de negocio basados en publicidad dirigida y el uso de algoritmos. El uso de lo que nuestro patrocinador llamó inteligencia artificial (IA) y nosotros llamamos sistemas algorítmicos en productos orientados al consumidor, centrándose específicamente en su uso para la moderación y gobernanza del contenido". También han traducido la metodología a otros idiomas, incluidos árabe, francés y español. Esto proporciona un fundamento adicional para internacionalizar y localizar el marco para varios contextos a nivel mundial. 

Durante mucho tiempo, las organizaciones terroristas y los actores individuales han llevado a cabo ataques contra civiles e infraestructura crítica para infundir miedo, caos y reducir la cohesión geopolítica e interna de las sociedades. Desde la introducción de internet y, más especialmente, las redes sociales, las organizaciones terroristas han utilizado la web para radicalizar a personas, ganar seguidores, el know-how técnico sobre la construcción de bombas y artefactos explosivos improvisados, y difundir desinformación y propaganda a la población. Lo que es particularmente digno de mención en los últimos años es el poder y el uso de las plataformas de redes sociales por parte de organizaciones terroristas. El tiroteo de Christchurch, Nueva Zelanda, en 2019, en el que el video del tirador se publicó inicialmente en Twitch pero se volvió a compartir en YouTube, Facebook y Twitter, representa un excelente ejemplo del uso de la tecnología e internet por parte de los terroristas para difundir sus relatos y desinformación.  

En respuesta al aumento de la actividad terrorista en el entorno de la información, el Global Internet Forum for Counter-Terrorism (GIFCT) fue establecido formalmente en 2017 por 4 empresas principales: Twitter, Microsoft, Facebook y YouTube, así como también varios firmantes más pequeños que aumentaron su alcance en todas las plataformas. El GIFCT ha sido diseñado para fomentar la colaboración y el intercambio de información entre socios de la industria con el fin de frustrar la capacidad de los actores terroristas de utilizar el entorno de información para manipular, radicalizar y atacar a las poblaciones objetivo. Las cuatro empresas que integraron el foro se turnaron para presidir los trabajos del GIFCT. Siguiendo el llamado de Christchurch para fortalecer la respuesta coordinada al terrorismo en el ciberespacio a través de un proceso con múltiples partes interesadas, el GIFCT se ha convertido en su propia organización sin fines de lucro y actualmente está dirigida por su primer director ejecutivo inaugural, Nicholas Rassmussen, ex director del National Countertorrism Center (Centro Nacional contra el Terrorismo). Los objetivos del GIFCT son:

• Mejorar la capacidad de una amplia gama de empresas de tecnología, en forma independiente y colectivamente, para prevenir y responder al abuso de sus plataformas digitales por parte de terroristas y extremistas violentos.
• Permitir la participación de múltiples partes interesadas en torno al uso indebido de internet por terroristas y extremistas violentos y alentar a las partes interesadas a cumplir compromisos clave consistentes con la misión del GIFCT.
• Alentar a quienes se dedican al diálogo civil en línea y potenciar los esfuerzos para dirigir alternativas positivas a los mensajes de terroristas y extremistas violentos.
• Avanzar en un amplio conocimiento de las operaciones terroristas y extremistas violentas y su evolución, incluida la intersección de las actividades en línea y por otros medios.

Un aspecto central del GIFCT es el intercambio de conocimientos y la cooperación, no solo con las principales plataformas tecnológicas sino también con las más pequeñas. En consecuencia, el GIFCT está trabajando con Tech Against Terrorism, una asociación público-privada lanzada por la Dirección Ejecutiva del Comité contra el Terrorismo de la ONU (UN CTED, por sus siglas en inglés). Los objetivos de este esfuerzo son proporcionar recursos y orientación para aumentar el intercambio de conocimientos dentro de la industria tecnológica; fomentar el aprendizaje y el apoyo de pares entre los miembros; fomentar la colaboración y el intercambio de información entre el sector tecnológico, el gobierno, la sociedad civil y el mundo académico; y promover una mayor comprensión sobre las formas en que los terroristas vulneran la seguridad de internet para lograr sus objetivos.

Acuerdo "Paris Call" para la confianza y la seguridad en el ciberespacio

Con el aumento de las campañas de desinformación y los ciberataques en el ciberespacio, y la comprensión compartida de la necesidad de una mayor colaboración y cooperación para fomentar la innovación tecnológica y al mismo tiempo prevenir ataques en el ciberespacio, un grupo de 78 países, 29 autoridades públicas, 349 organizaciones y 648 empresas se han unido para alinearse en torno a un conjunto de nueve principios para crear un ciberespacio abierto, seguro y pacífico. El acuerdo "Paris Call" ratifica a estos países en el compromiso con el derecho internacional humanitario y el derecho internacional consuetudinario que proporciona las mismas protecciones para los ciudadanos en línea que la forma en que estas leyes se aplican fuera de línea. Al crear esta convocatoria, los gobiernos, la sociedad civil y la industria, incluidas las empresas de redes sociales, se comprometen a brindar seguridad, estabilidad y protección en el ciberespacio, así como también una mayor confianza y transparencia para los ciudadanos. La convocatoria ha creado un proceso de foro de múltiples partes interesadas para que las organizaciones y los países se reúnan a fin de aumentar el intercambio de información y la colaboración. Los participantes del acuerdo Paris Call han firmado los siguientes nueve principios:

1. Prevenir y recuperarse de actividades cibernéticas maliciosas que amenacen o causen daños significativos, indiscriminados o sistémicos a las personas y la infraestructura crítica.
2. Impedir actividades que dañen de forma intencional y sustancial la disponibilidad general o la integridad del núcleo público de internet.
3. Fortalecer nuestra capacidad para prevenir la injerencia maligna de actores extranjeros con el objetivo de socavar los procesos electorales a través de actividades cibernéticas maliciosas.
4. Evitar el robo de propiedad intelectual mediante tecnologías de la información y comunicación, incluidos secretos comerciales u otra información comercial confidencial, con la intención de brindar ventajas competitivas a las empresas o al sector comercial.
5. Desarrollar formas de prevenir la proliferación de software y prácticas maliciosas destinadas a causar daño.
6. Fortalecer la seguridad de los procesos, productos y servicios digitales, a lo largo de su ciclo de vida y cadena de suministro.
7. Apoyar los esfuerzos para fortalecer la higiene cibernética avanzada para todos los actores.
8. Adoptar medidas para evitar que agentes no estatales, incluido el sector privado, recurran a la piratería para fines propios o los de otros agentes no estatales.
9. Promover la aceptación e implementación generalizadas de las normas internacionales de comportamiento responsable, así como las medidas de fomento de la confianza en el ciberespacio.

Estos principios han sido firmados por estados como Colombia, Corea del Sur y el Reino Unido, aunque no los Estados Unidos inicialmente; organizaciones de la sociedad civil como IRI, IFES y NDI; sectores privados como telecomunicaciones (BT), redes sociales (Facebook) y tecnologías de la información (Cisco, Microsoft); así como una serie de otras empresas. La Convocatoria proporciona un marco para los estándares normativos relacionados con la ciberseguridad y la desinformación en todos los sectores, particularmente bajo el tercer principio centrado en desarrollar la capacidad para resistir la influencia maliciosa en las elecciones.