Este é o terceiro texto sobre a temática da verificação da idade online desta série.
No primeiro texto, apresentámos a origem destas propostas regulatórias, como funcionam as soluções que estão a ser discutidas e os seus riscos para os direitos fundamentais de todos em sociedade.
No segundo texto, abordámos a Proposta de Lei n.º 398/XVII/1ª (doravante “Proposta”), apresentada pelo Grupo Parlamentar do PSD, que, depois de ter sido esmagadoramente aprovada no primeiro voto na especialidade, está agora em discussão na especialidade.
Desde a publicação dos últimos textos, ocorreram alguns desenvolvimentos:
– Na Austrália foi publicado o “Social Media Minimum Age: Compliance Update” do eSafety Commissioner sobre a aplicação do diploma Online Safety Amendment (Social Media Minimum Age) Act 2024, que demonstrou a falta de efetividade das medidas tomadas, também relatado por várias notícias e reportagens.
– A Comissão Europeia disponibilizou a primeira versão do sistema de verificação de idade europeia em open-source, de forma a permitir a sua testagem e promover a sua adoção mundialmente. Em poucas horas, vários grupos de ativistas, profissionais de cibersegurança e privacidade e hackers demonstraram a altíssima fragilidade da aplicação, com diversas vulnerabilidades que podiam ser ultrapassadas em “2 minutos”. Entre os problemas, o sistema armazena dados sensíveis de forma imprópria e vários dos controlos (incluindo o resultado da verificação biométrica) gravavam a informação em ficheiros editáveis, permitindo subverter e contornar facilmente a utilização da ferramenta.[1]
– A Comissão Europeia adotou a Recomendação (UE) 2026/1035 de 29 de abril de 2026 que estabelece um quadro comum para as tecnologias de verificação da idade à escala da UE. Embora não tenha caracter vinculativo, a Comissão estabeleceu como objetivo que todos os Estados Membros adotem medidas próprias (legislativas e aplicações técnicas) em linha com este quadro comum até ao final de 2026.
– No início desta semana, a Presidente da Comissão Ursula von der Leyen referiu no seu keynote speech no European Summit on Artificial Intelligence and Children, que a Comissão Europeia montou um “Special Panel of experts on Child Safety Online” que está a estudar este tema, incluindo a possibilidade de ser proposto um regulamento europeu para estabelecer de forma uniforme o limite de idade para o acesso a redes sociais e outros serviços digitais em toda a UE. Segundo a própria, dependendo das conclusões deste comité, é possível que a proposta desse regulamento ocorra ainda durante este verão.
– Em Portugal, têm decorrido as audições parlamentares sobre a Proposta na Comissão de Assuntos Constitucionais.
Neste terceiro texto, vamos abordar os temas que falta destacar desta Proposta, em especial, o fim da inviolabilidade da correspondência privada, com a inserção inócua do tema do ChatControl.
Fim da inviolabilidade da correspondência privada e o combate ao cyberbullying a priori
Como referimos no texto anterior, embora a Proposta inicialmente exclua do seu escopo de aplicação os serviços de comunicações eletrónicas interpessoais, há uma exceção.
O Art. 12.º-1 (“Proteção contra aliciamento e violência digital sobre crianças”) estabelece que os serviços abrangidos pela lei deverão “a) implementar mecanismos de deteção e limitação de contactos suspeitos; b) bloquear automaticamente mensagens contendo material violento ou sexual, incluindo conteúdos agressivos ou falsos que possam configurar cyberbullying; c) Disponibilizar canais de denúncia rápidos e seguros. (…)”.
O n.º 3 do mesmo artigo acrescenta que estas medidas deverão também ser cumpridas “com as devidas adaptações, pelos serviços de comunicações eletrónicas interpessoais” quando usados por menores de 16 anos, sendo também aplicável, inerentemente, a todos aqueles que não tenham Chave Móvel Digital e não consigam comprovar a sua idade, e a maiores de 16 anos, quando enviem mensagens a estas contas.
Ora, enquanto a alínea a) pode ser concretizável na prática com base nas denúncias, a alínea b) requer imperativamente outro tipo de medidas técnicas. Como é possível detetar e bloquear automaticamente mensagens privadas trocadas entre utilizadores que tenham conteúdos das categorias indicadas (material violento, sexual, conteúdos agressivos, falsos, cyberbullying)?
A única forma de esta deteção ocorrer é se existir um sistema que 1) leia todas as mensagens privadas e 2) consiga corretamente detetar se os conteúdos das mesmas correspondem às categorias referidas.
Quanto a 1), em especial com a sua aplicação a serviços de comunicações eletrónicas interpessoais, este requisito implica o fim da inviolabilidade da correspondência privada, um dos direitos fundamentais plasmados na nossa Constituição (art. 34.º). A Proposta pretende assim que, fora do âmbito do processo penal, numa lógica preventiva, massificada, o sigilo da correspondência seja violado, que esta seja toda lida, analisada, filtrada e, se necessário, apreendida por privados, fora do alcance de qualquer juiz de instrução.
Um argumento que tem sido referido para afastar estas preocupações é que, dado que não é o Estado a realizar este controlo, não se coloca um problema de inconstitucionalidade. Trata-se de uma falácia que pretende contornar o óbvio: de facto, não será uma “PIDE” a analisar a correspondência privada, mas o Estado Português “subcontrata” e responsabiliza os privados para realizar este controlo por este.
No contexto dos serviços de comunicações eletrónicas interpessoais, esta obrigação irá necessariamente implicar medidas técnicas (“com as devidas adaptações”) que vão atentar contra medidas de segurança e a encriptação P2P.
A existência desta norma na Proposta aparenta ser uma forma (altamente simplificada) de inserir neste diploma o tema do ChatControl, extremamente controverso, e que tem recebido forte oposição no Conselho e no Parlamento.[2]
Quanto a 2), o diploma impõe a todos os prestadores, com responsabilidade civil objetiva por danos materiais e imateriais que possam ocorrer em caso de falha, que detetem e bloqueiem automaticamente todas as mensagens com conteúdos violentos, sexuais, agressivos ou falsos que possam configurar cyberbullying.
As categorias indicadas são quase progressivamente mais indefinidas (o que são conteúdos falsos ou que configuram cyberbullying para um filtro automático?), requerendo uma análise casuística que depende muito do contexto (online e offline).
Existe uma assunção muito incorreta de que é fácil ou trivial olhar para mensagens e comentários e detetar automaticamente comportamentos abusivos. No contexto de pré-adolescentes dos 13 aos 16 anos, a violência psicológica, de género e sexual é frequentemente muito mais subtil do que os “adultos” imaginam, recorrendo a expressões, trocadilhos, neologismos, memes, slang, que estão em constante evolução etimológica (de desconstrução, reconstrução, inversão irónica, apropriação, etc.) não só na internet (nos seus milhares de nichos e tribos), mas também nos círculos sociais (hiper) específicos dos menores (expressões específicas de escolas, turmas, grupos de amigos, equipas de desporto).
A probabilidade de falsos positivos e falsos negativos irá derrotar totalmente o objetivo desta medida. Se nem o Estado Chinês consegue censurar com sucesso adolescentes no WeChat com a maior máquina repressiva do mundo, será proporcional que Proposta imponha responsabilidade objetiva aos prestadores por danos causados (art. 16.º-1) pelo seu sistema de deteção não conseguir acompanhar novas expressões homofóbicas inventadas por um grupo de rapazes do 9.º B da Escola Secundária Marquesa de Alorna, em Almeirim?
Não é possível prevenir o cyberbullying a priori com este tipo de mecanismo, por muito boas que sejam as intenções desta proposta.
Se, na moderação de conteúdos publicados e partilhados nos VLOP e VLOSE, já existem diversos problemas com falsos positivos, falsos negativos e chilling effects na liberdade de expressão, esta medida da Proposta é ainda mais desproporcional e problemática para os direitos fundamentais.
Uma supervisão inconsistente
A Proposta indica que a supervisão deste diploma deverá caber à ANACOM e à CNPD, mediante as suas respetivas competências, sendo que deverão articular-se ainda com a ARTE (Agência para a Reforma Tecnológica do Estado, antiga AMA) para assegurarem a integração segura, eficiente e adequada do sistema da CMD ou de outro sistema idóneo, com as regras da verificação de idade.
Estas nomeações aparentam ser intuitivas e razoáveis numa primeira análise, exceto num pormenor: segundo o legislador, a ANACOM não é a autoridade competente para assegurar a proteção dos menores nas plataformas em linha, incluindo nas ditas “redes sociais”.
O art. 28.º do DSA estabelece a obrigação dos prestadores de plataformas em linha de adotarem medidas que protejam menores.
Ora, a lei nacional de implementação do DSA (Lei 12-A/2026 de 15 de abril) determina que o Coordenador dos Serviços Digitais, a ANACOM, tem competência para a supervisão e execução do DSA e da lei de implementação em todas as matérias, exceto a publicidade nas plataformas em linha e… a proteção de menores nas ditas plataformas. Nesta matéria, foi a ERC a designada como entidade competente para a supervisão do art. 28º-1, enquanto a supervisão do n.º 2, que respeita à proibição de exibição de anúncios com base em perfis de menores, ficou a cargo da CNPD.
A Proposta ou a lei de implementação do DSA devem ser alteradas para concentrar na mesma entidade ambas as competências.
Proibição de práticas aditivas dirigidas a menores entre os 13 e os 16 anos
A Proposta obriga os prestadores de serviços, que pretendam continuar a permitir o acesso a crianças entre 13 e 16 anos, a implementarem uma modalidade com uma série de funcionalidades obrigatórias destinadas a permitir uma monitorização reforçada pelos titulares das responsabilidades parentais (arts. 6.º-3 e 10.º) e que não pode ter uma série de funcionalidades, propícias ao desenvolvimento de “adição digital” (art. 11.º).
Vários destes requisitos, em específico as funcionalidades obrigatórias refletem em parte práticas do mercado, quanto aos “perfis-criança” ou “parental control” de vários dispositivos e serviços.
Quanto às funcionalidades proibidas, a Proposta enumera as seguintes: a reprodução automática (autoplay), o infinite scroll, a gamificação destinada a prolongar o uso, proliferação de notificações não essenciais (com destaque para o período noturno), loot boxes ou mecanismos equivalentes.
Várias destas podem já estar enquadradas no Regime das Práticas Comerciais Desleais (existe vasta literatura sobre este tema, incluindo neste blog, encontrando-se algumas ações de enforcement a decorrer), ou no Digital Services Act (DSA), seja quanto à proibição dos dark patterns do art. 25.º (cuja formulação podia ser melhorada, mas esse é um tema para outro texto) e nas obrigações de mitigação de riscos sistémicos a direitos fundamentais aplicáveis aos VLOP e VLOSE (sendo que já existem ações de enforcement a decorrer, como Comissão vs Tiktok sobre o design aditivo). É relevante destacar que estes regimes têm um escopo de aplicação subjetivo muito mais favorável que a Proposta, estendendo a sua aplicação além dos menores, protegendo todos os consumidores, independentemente da idade (no caso do Regime das Práticas Comerciais Desleais) e todos os utilizadores de plataformas online, no caso do DSA.
Entre as funcionalidades proibidas, destaca-se que a Proposta inclui a utilização de ferramentas de IA que permitam geração de imagens e vídeos – visando assim impedir que crianças criem deepfakes (e em especial deepnudes) de colegas. Este tema em específico tem recebido muito destaque devido a diversos casos altamente problemáticos, incluindo a geração deste tipo de conteúdo pelo Grok.ai da rede social X, sobre o qual já decorrem várias ações. A proibição de deepfakes de cariz sexual já tem enquadramento legislativo, em vários diplomas, sendo que o AI Act também vai passar a incluir esta funcionalidade nas práticas absolutamente proibidas, pelo (quase concluído) AI Omnibus.
E a responsabilidade dos responsáveis parentais?
A Proposta é silenciosa quanto à realidade que pretende ignorar: são os responsáveis parentais que entregam telemóveis, tablets, computadores e consolas às crianças de todas as idades, e os deixam sem supervisão, independentemente de estes terem funcionalidades de controlo parental.
A Proposta não atribuí qualquer valor jurídico à possibilidade de os responsáveis parentais permitirem aos filhos contornar as regras que estabelece.[3] Toda a sociedade é onerada por controlos de idade com chilling effects substanciais na liberdade de expressão e direito de acesso à informação devido a esta preocupação com a proteção das crianças – mas os principais responsáveis, aqueles que detêm a responsabilidade parental, não são, e o trocadilho é necessário, considerados responsáveis.
Quanto às crianças com idade entre os 13 e os 16 anos, embora não abordado aqui em detalhe, a Proposta ignora completamente a realidade de que nem todas as famílias são iguais: em muitas famílias, a guarda é partilhada (ou pode ainda estar a decorrer litígio sobre esse tema) ou as crianças podem estar institucionalizadas (será o Estado a decidir se as crianças entre 13 e 16 anos podem usufruir de qualquer um dos serviços abarcados pela Proposta). Adicionalmente, ao preferir a solução da CMD, esta solução exige que estas crianças tenham telemóveis para a sua autenticação.
Conclusões
As boas intenções deste Proposta são inegáveis. No entanto, no estado atual em que foi apresentada, esta Proposta apresenta diversas deficiências legísticas e técnicas, propostas de medidas que são desproporcionais, com entraves técnicos para os objetivos pretendidos, que colocam em risco os direitos fundamentais de todos.
É preciso que ocorra um debate alargado, consciente, sério e honesto na sociedade civil sobre os conteúdos desta Proposta e as escolhas que estão a ser feitas. Ainda é possível corrigir o texto da Proposta na fase da especialidade que se encontra a decorrer na Assembleia da República, mas requer tempo e calma, sendo necessário ouvir as preocupações de todos os interessados e os alertas dos técnicos.
É possível proteger as crianças com um modelo de responsabilidade partilhada de forma equilibrada entre prestadores de serviços e tilares das responsabilidades parentais que não coloque em causa a segurança e os direitos fundamentais de todos.
[1] Infelizmente este tem sido um mau ano para o lançamento de sistemas e aplicações pela Comissão Europeia. No início de abril deste ano, a União Europeia implementou o seu novo Sistema de Entrada e Saída (EES), um sistema de controlo de fronteiras digital e biométrico que substitui os carimbos manuais nos passaportes. A digitalização completa deste procedimento, que antes até já estava altamente digitalizado, tem causado caos generalizado nos aeroportos europeus. A Grécia já suspendeu completamente a sua utilização.
[2] De forma muito resumida, o ChatControl é o termo utilizado para designar a proposta do Regulamento que estabelece regras para prevenir e combater o abuso sexual de crianças, que visa tornar obrigatória a análise automática de todas as mensagens por sistemas de comunicação eletrónica interpessoal para a deteção de conteúdos de abuso sexual de crianças. Esta proposta de regulamento de 2022 (e várias versões subsequentes) têm sido sistematicamente bloqueadas no Conselho Europeu e no Parlamento Europeu.
Uma versão anterior do ChatControl (conhecido como ChatControl 1.0) era um regulamento temporário de 2021 que estabelecia uma exceção à Diretiva da privacidade eletrónica (Diretiva ePrivacy) para permitir, de forma voluntária, que alguns prestadores pudessem realizar esta monitorização automatizada de CSAM. Este diploma já não se encontra em aplicação, depois do Parlamento Europeu se ter recusado a prorrogar este regime.
[3] Uma das principais recomendações da CNPD no seu parecer é precisamente responsabilizar os “pais cúmplices”.
