Verificação da idade

A Verificação da Idade Online (Parte 1/3): Como tentar proteger as crianças online poderá prejudicar a privacidade de todos

Legislação

O universo digital transformou radicalmente a forma como as crianças e os adolescentes comunicam, aprendem e se entretêm. As redes sociais, as plataformas de partilha de vídeos e, mais recentemente, as aplicações que permitem a utilização de sistemas de inteligência artificial generativa tornaram-se elementos omnipresentes no quotidiano dos mais jovens.

Contudo, esta imersão digital acarreta riscos amplamente documentados: design aditivo das plataformas, amplificação algorítmica de conteúdos prejudiciais, exposição a material inadequado, cyberbullying, aliciamento sexual (grooming), práticas comerciais nocivas e um impacto crescente na saúde mental dos adolescentes. A investigação científica tem vindo a associar o uso intensivo e prolongado das redes sociais ao aumento das taxas de ansiedade, depressão, autolesão e perturbações alimentares entre os jovens.

A sucessão de vários episódios problemáticos muito mediáticos, documentários e séries contribui bastante para consciencializar e dar destaque ao tema da proteção dos menores online, culminando na notícia viral no final de 2025 de que a Austrália tinha proibido as redes sociais para crianças menores de 16 anos.

Na realidade a Austrália é apenas mais um caso desta tendência mundial, que também chegou a Portugal com o Projeto de Lei nº 398/XVII/1ª, do GP-PSD.

Este texto é o primeiro de três no blog do NOVA Consumer Lab a abordar esta matéria, de forma a contribuir para uma melhor consciencialização e o debate na sociedade civil sobre o impacto das soluções regulatórias e técnicas que estão a ser discutidas.

Este primeiro texto irá assim apresentar esta tendência de propor a imposição de sistemas de verificação da idade online: o que implicam, como funcionam e que riscos acarretam para os direitos fundamentais de todos.

A tendência internacional para implementar a verificação da idade online

O Online Safety Amendment (Social Media Minimum Age) Act 2024 (Austrália) que abriu telejornais em dezembro de 2025, está longe de ser um caso único.

Neste momento, existem 42 Estados onde algum tipo de atividade legislativa ou regulatória visando a proteção de crianças nas redes sociais se encontra em discussão. Entre estes, 4 já têm diplomas em vigor (China, Austrália, Brasil e Vietname), 5 já têm legislação aprovada que ainda não entrou em vigor (entre os quais França, os Emirados Árabes Unidos, a Indonésia e a Malásia) e 15 têm propostas em procedimentos a decorrer (Portugal encontra-se neste grupo).

Na União Europeia, a proteção dos menores online emerge em diversos diplomas e iniciativas, sendo abordada em várias dimensões e agendas, com destaque para: “A Digital Decade for children and youth: the new European strategy for a better internet for kids (BIK+)”.

Focando apenas nos diplomas mais relevantes, destaca-se o Regulamento dos Serviços Digitais (Digital Services Act, DSA).[1]

O art. 28.º do DSA estabelece para as plataformas em linha a obrigação de proteger menores na conceção do seu serviço. Em julho de 2025, a Comissão Europeia publicou orientações sobre a proteção de menores ao abrigo deste artigo do DSA, estabelecendo uma lista não exaustiva de medidas para proteger as crianças de riscos online, contra o aliciamento, conteúdos prejudiciais, comportamentos problemáticos e aditivos, cyberbullying e práticas comerciais nocivas. Estas medidas estão direcionadas apenas às plataformas em linha e, entre estas, para aquelas que estão direcionadas para menores ou que são predominantemente usadas por estes, nas quais se podem verificar riscos e conteúdos prejudiciais.

Adicionalmente, reconhecendo então a necessidade dos prestadores de serviços de verificarem a idade de todos os utilizadores como consequência lógica destas conclusões, a Comissão começou a trabalhar na sua proposta de uma solução “zero Knowledge proof”.

Por último, no final de novembro, o Parlamento Europeu adotou um relatório não legislativo apelando a uma “ação ambiciosa da UE para proteger os menores online”, com várias propostas, incluindo o estabelecimento de uma idade mínima de 16 anos a nível da UE e a proibição das práticas aditivas mais prejudiciais.

Tipos de Regulação e Soluções Técnicas

O tipo de abordagem regulatória e de soluções técnicas preferidas para esta matéria varia substancialmente entre jurisdições, sendo essencialmente determinados com base na ponderação do equilíbrio entre os interesses a proteger (crianças vs direito à privacidade, liberdade de expressão e acesso de informação, etc.) e quem deve ser responsabilizado (os prestadores de serviços – todos ou apenas os grandes players (VLOPs, gatekeepers) – ou os titulares da responsabilidade parental).

Assim, vemos abordagens distintas quanto ao âmbito dos serviços abrangidos, nos limiares de idade e nos mecanismos de verificação exigidos, sendo possível identificar, em traços gerais, três grandes modelos principais:

– O primeiro modelo centra-se na proibição direta do acesso, como a lei australiana, que baniu os menores de 16 anos das redes sociais e de plataformas de partilha de vídeos. Este modelo impõe às plataformas a obrigação de impedir o acesso, sob pena de sanções significativas.

– O segundo modelo baseia-se no consentimento parental, exigindo que os pais ou tutores autorizem expressamente o acesso dos menores a determinados serviços. Diversas propostas, incluindo a que está em consideração em Portugal (menores de 16 anos, com consentimento parental a partir dos 13), seguem esta lógica.

– O terceiro modelo, mais granular, opta por não restringir o acesso a serviços inteiros, mas sim por impor a prestadores, incluindo plataformas em linha, a obrigação de avaliar quais os conteúdos, funcionalidades ou elementos de design que comportam riscos específicos para os menores, implementando restrições proporcionadas e adaptadas. Esta abordagem é, segundo vários especialistas, a mais compatível com os princípios da necessidade, flexibilidade e proporcionalidade.

Quanto às soluções técnicas de verificação de idade, é possível também identificar três grandes categorias:

– A primeira categoria consiste na verificação por documento de identidade oficial realizada pelo prestador do serviço, que pode ser combinada com o reconhecimento facial em tempo real para efeitos de autenticação. Este modelo exige que o prestador trate dados específicos sobre a identidade do utilizador, incluindo também dados de categorias especiais (como dados biométricos), sensíveis, criando riscos substanciais para o titular de dados.

– A segunda recorre à estimativa de idade por biometria, tipicamente através de análise facial por inteligência artificial. Como exemplo, o serviço oferecido pela empresa Yoti estima se o utilizador aparenta ter mais de 18 anos com base numa digitalização da câmara, sem necessidade de correspondência com uma base de dados de imagens existente. A recolha e tratamento de dados de categorias especiais é imperativa, sendo que existe sempre a possibilidade de o sistema cometer erros, falsos negativos e falsos positivos, bloqueando adultos e permitindo o acesso a menores.

– A terceira, a verificação por atributo, em que o sistema procura confirmar apenas se o utilizador cumpre um limiar de idade, sem transmitir dados de identidade. Esta categoria procura separar as várias fases do tratamento, minimizando os dados tratados e transmitidos entre entidades. O sistema AgeKey da OpenAge Initiative é um exemplo desta última abordagem: o utilizador verifica a sua idade uma única vez, através do método da sua escolha, e um sinal criptográfico é armazenado no seu próprio dispositivo. Quando encontra conteúdo com restrição de idade, autoriza a partilha desse sinal, e a plataforma recebe apenas a confirmação de que o utilizador cumpre o requisito etário, sem receber nome, data de nascimento, morada ou qualquer informação identificativa.

Existe ainda um elemento crucial a considerar: qual o nível da infraestrutura digital em que deve ocorrer a verificação. Isto é, a verificação de idade deve ocorrer:

1) Ao nível de cada aplicação, website, plataforma em linha individual;

2) Ao nível das lojas de aplicações (app stores);

3) Ao nível do sistema operativo ou do dispositivo.

A vantagem de “subir” para os níveis 2 e 3 é limitar esta obrigação de controlo a menos prestadores, que depois transmitem apenas a informação necessária às aplicações ou plataformas em linha.

Em alguns estados dos Estados Unidos da América, a legislação local propõe que a verificação da idade ocorra no momento de configuração do dispositivo e nas lojas de aplicações, transferindo a responsabilidade de bloqueio dos conteúdos para os pais e para a Apple e o Google.

A solução que a Comissão Europeia está a desenvolver encaixa-se no modelo de “verificação por atributo”, ao nível do dipositivo, baseando-se na infraestrutura (em desenvolvimento) das Carteiras de Identidade Digital Europeia (EU Digital Identity Wallets). O “blueprint” da Comissão procura ser um referencial técnico, focado em minimizar o fluxo de dados ao máximo nos vários eixos: o verificador deve apenas fornecer os “tokens” criptográficos que indicam que uma certa pessoa é maior/menor, sem saber em que serviços é que estes serão utilizados, e o prestador do serviço online só deve receber o “token” sem ter acesso aos restantes dados pessoais.

O problema é que estas soluções zero‑knowledge proofs (ZKPs) não são perfeitas. Não impedem correlação por metadados e reutilização de identificadores, têm revogação e ciclo de vida complexos que podem introduzir rastreio, não protegem contra comprometimento de endpoints nem contra phishing/replay/coação, exigem emissão inicial com tratamento de dados pessoais, sofrem com desafios de “holder/device binding”, interoperabilidade, padrões e aceitação regulatória, podem ter custos/desempenho limitantes e baixa agilidade criptográfica, e continuam dependentes de boas práticas do verificador (retenção, finalidade, segurança) para evitar a reidentificação.

Principais riscos para os direitos fundamentais

O debate público sobre os sistemas de verificação de idade online não pode ocorrer sem considerar os riscos substanciais que estes modelos regulatórios podem implicar para os direitos fundamentais, essencial para a avaliação da proporcionalidade das medidas.

Quanto à proteção de dados pessoais e à privacidade, a imposição de mecanismos de verificação de idade implicará a recolha de dados pessoais, incluindo dados pessoais de categorias muito sensíveis: dados relativos à vida sexual ou orientação sexual, as opiniões políticas, as convicções religiosas ou filosóficas, dados biométricos, dados relativos à saúde, etc.

A recolha destes dados, seja pelos prestadores das aplicações/websites/plataformas, das lojas de aplicações, pelos dispositivos, ou por terceiros verificadores (sejam estas entidades privadas ou estatais) irá implicar a criação de datasets extremamente valiosos.

Estes dados serão assim alvos de elevado valor para todo o tipo de atores maliciosos. Quando os dados forem comprometidos (e a questão é sempre “quando”, não “se”), seja por ataque informático, erro humano ou falha de infraestrutura, as consequências serão severas. Por exemplo, a perda de controlo sobre dados biométricos, cópias de documentos de identificação roubadas aumentam significativamente o risco de roubo de identidade; a possibilidade de associação direta da identidade com a atividade online poderá traduzir-se em esquemas de chantagem a todos os níveis.

Além da possibilidade de data breaches, persiste o risco de reutilização destes dados para outras finalidades, seja pelos prestadores dos serviços ou por terceiros verificadores.

Estas soluções ainda estão numa fase embrionária de implementação e imposição e, infelizmente, já ocorreram múltiplos exemplos dos problemas acima descritos.

A existência destes riscos tem como consequência que estes sistemas de controlo provocam graves chilling effects na liberdade de expressão e direito à informação, que não podem ser ignorados.

Uma proibição geral do acesso de menores a serviços em linha interfere também ainda com os próprios direitos fundamentais das crianças (a liberdade de informação e o direito ao livre desenvolvimento da personalidade) e com o direito dos pais a decidir sobre a educação dos seus filhos.

Do ponto de vista da eficácia, as proibições gerais baseadas na idade também têm dois problemas adicionais:

i) Podem ser facilmente contornadas tecnicamente. Além de existirem inúmeros episódios noticiados de sistemas de verificação de idade a serem engados quando usam reconhecimento facial, existe uma bala de prata: os VPN (rede privada virtual).

Os VPN permitem ao utilizador criar um “túnel” encriptado entre o dispositivo e a internet, ocultando o endereço IP e tráfego de terceiros. Além disto, os VPN podem ser usados para contornar restrições geográficas ao encaminhar a ligação através de um servidor noutro país, fazendo com que os sites e serviços pensem que o utilizador está localizado nesse país em vez do local real. Quando os requisitos de verificação de idade do Online Safety Act do Reino Unido entraram em vigor, a utilização de VPNs disparou exponencialmente, com vários prestadores de VPN a reportarem aumentos de 1.400%. e +10 milhões de downloads.

ii) Podem ter ainda o efeito inverso ao pretendido. Proibições gerais podem levar utilizadores, incluindo jovens e crianças, a contornarem estas restrições, indo para cantos ainda menos regulados e mais problemáticos da internet, para plataformas sem controlo e moderação de conteúdos e mais difíceis de supervisionar pelas autoridades competentes.

Considerações Finais

A verificação de idade no acesso a serviços digitais encontra-se num ponto de inflexão.

Embora seja aparente um consenso político para a necessidade de atuar na proteção dos menores online, em especial quanto aos riscos que as redes sociais podem representar para o seu desenvolvimento, persistem grandes dúvidas sobre quais os melhores modelos regulatórios que conseguem atender a uma ponderação completa dos direitos fundamentais em conflito.

O debate sobre estas matérias não pode ser feito apressadamente e sem considerar os graves riscos para os direitos fundamentais que certas soluções implicam.

Os próximos dois textos vão abordar a Proposta de Lei n.º 398/XVII/1ª, do Grupo Parlamentar do PSD, e a forma como este debate está a ser conduzido em Portugal.

[1] A Diretiva dos Serviços de Comunicação Social Audiovisual (AMSD) também deve ser referida, mas o seu destaque terá de ficar para outro texto, noutra ocasião.