No primeiro texto apresentámos o contexto atual de maior da consciencialização pública para a proteção das crianças face aos riscos das redes sociais (com séries de TV como Adolescence), o vício digital e outros perigos online (como os casinos ilegais promovidos por certos influencers direcionados a jovens), as propostas ou soluções regulatórias que estão a ser discutidas, isto é, a imposição de sistemas de verificação de idade online para impedir o acesso a estes serviços por menores, e os riscos que estas soluções podem ter em relação aos direitos fundamentais de todos.
Neste segundo texto, vamos abordar a Proposta de Lei n.º 398/XVII/1ª (doravante “Proposta”), apresentada pelo Grupo Parlamentar do PSD, que trouxe este debate regulatório a Portugal.
Esta Proposta, cheia de boas intenções (mas, como será analisado, cheia de graves problemas), foi aprovada esmagadoramente na generalidade (apenas contando com votos contra da IL e do Chega), estando agora na fase de especialidade, na qual os grupos parlamentares, na 1ª Comissão (dos Assuntos Constitucionais, Direitos, Liberdades e Garantias) irão, depois de receberem todos os pareceres obrigatórios e realizarem várias audições, discutir/alterar/votar os seus artigos individualmente. Esta é, pois, uma fase crítica para determinar que tipo de texto poderá subir para a votação final em plenário e ser aprovada como Lei.
Assim, este texto pretende brevemente analisar criticamente o texto da proposta, chamando a atenção para as disposições mais problemáticas, e contribuir para o debate público mais consciente sobre este tema, crucial para cidadãos, consumidores, titulares de dados, pais, crianças e para os direitos fundamentais de todos.
Análise Geral do diploma
Considerando a maior consciência social para os riscos e perigos que as crianças correm online, nomeadamente a adição às redes sociais, a Proposta propõe:
1) Criar uma idade mínima (“maioridade digital”) para as pessoas poderem aceder “autonomamente” aos serviços digitais abrangidos pela Proposta, que será de 16 anos (art. 5.º-1).
2) Permitir o acesso condicionado a menores entre 13 e 16 anos, sujeitos ao “consentimento parental” (arts. 5.º-2 e 6.º), com várias funcionalidades impostas e outras restringidas (arts. 6.º-3, 10.º, 11.º e 12.º).
3) Proibir o acesso total a estes serviços por crianças com menos de 13 anos, independentemente de autorização parental (art. 5.º-3).
4) Impor a utilização de um sistema de verificação de idade a todos esses serviços, para detetar se os utilizadores são maiores de 16 anos, crianças com idades compreendidas entre os 13 e 16 anos ou crianças menores de 13 anos. Esta verificação poderá ser feita através de um sistema (ainda não disponível) que usa a Chave Móvel Digital (CMD) ou outro sistema idóneo que cumpra os requisitos técnicos (art. 5.º-4).
5) Todos os serviços abrangidos pelo diploma e os serviços de comunicação eletrónica interpessoais (prestadores de correio eletrónico, serviços de chat) devem implementar um sistema que permite: a) detetar e limitar os contactos suspeitos; b) bloquear automaticamente mensagens que contenham conteúdos violentos, sexuais, agressivos e falsos que possam ser considerados cyberbullying; c) canais de denúncias rápidos.
6) Estabelecer a responsabilidade objetiva pelos danos materiais e imateriais dos prestadores destes serviços resultantes do incumprimento, por ação ou omissão, das obrigações estabelecidas.
7) Estabelecer um regime contraordenacional para a violação das obrigações, com coimas bastante elevadas. Os valores vão de €50.000 a €2.000.000 ou até 2% do volume anual mundial, conforme o mais elevado, para grandes empresas; €20.000 a €1.000.000 ou até 2% do volume anual mundial para pequenas ou médias empresas; €10.000 a €250.000 para pessoas singulares.
8) Adicionalmente, altera ainda a lei de implementação do RGPD em Portugal, estabelecendo que apenas crianças com idade igual ou superior a 16 anos podem prestar o consentimento válido à oferta de serviços da sociedade de informação.
O diploma não é extenso, com 22 artigos e 10 definições.
Quanto às definições, estas serão escrutinadas mais a fundo na secção seguinte, porém é necessário destacar que, ao invés de utilizar a terminologia técnica mais correta, em linha com os restantes diplomas nacionais e europeus aplicáveis aos “ambientes digitais” (Diretiva e Decreto-Lei do Comércio Eletrónico, Regulamento dos Serviços Digitais (DSA), Diretiva e Lei dos Serviços de Comunicação Social Audiovisual), assegurando assim a coesão do ordenamento jurídico e mitigando os custos de “má-regulação”, a Proposta preferiu adotar frequentemente os seus próprios conceitos (incluindo traduções apressadas do diploma australiano…), pouco precisos, como, por exemplo, no art. 4.º-c), d) e e).
Para a entrada em vigor destas medidas e quadro regulatório, a Proposta inclui apenas um período transitório de 90 dias, sendo suposto que a ANACOM publique o “Referencial Técnico Nacional de Verificação de Idade” com as especificações técnicas da solução até ao prazo máximo de 60 dias após a aprovação do diploma.
Escopo de aplicação que vai muito, muito além das redes sociais
Na comunicação social, esta Proposta tem sido frequentemente apresentada como visando essencialmente as redes sociais. Porém, o seu escopo extravasa muito essa dimensão, em virtude das definições adotadas.
O art. 2.º estabelece o escopo da Proposta, com as alíneas do n.º 1 a estabelecer quais os serviços abrangidos, e as alíneas do n.º 3 estabelecem o limite negativo de aplicação, que apenas excluem: i) serviços de comunicações eletrónicas interpessoais (correio eletrónico, serviços de mensagens e conversas de grupo em linha (chats), com um número finito de pessoas (considerando 17 e art. 2 .º-5 da Diretiva (UE) 2018/197 Código Europeu das Comunicações Eletrónicas) e ii) “Aplicações e jogos em linha com carácter informativo ou pedagógico especificamente desenhados para crianças” e “plataformas e aplicações em linha exclusivamente destinadas a difundir conteúdos de manifesto interesse público, em especial nas áreas da educação e saúde”.
Segundo o art. 2.º-1, a Proposta abrange:
1) Plataformas de redes sociais – na acessão da definição do art. 4.º-d). Incluirá Facebook, Instagram, TikTok, X (antigo Twitter), LinkedIn, Bluesky, Reddit, Discord, Teamspeak, Tumblr, Threads, Snapchat.
2) “Apostas e jogos em linha” – a formulação não é precisa. Numa primeira análise, parece que o objetivo desta alínea é referir-se aos “jogos de fortuna e azar em linha”, vulgo, “jogo online”, que já se encontra regulado pelo Regime Jurídico dos Jogos e Apostas Online (DL n.º 66/2015, de 29 de abril), que tem um regime próprio para o registo dos jogadores, que contempla “o nome completo, a data de nascimento, a nacionalidade, a profissão, a morada de residência, o número de identificação civil ou do passaporte, o número de identificação fiscal, o endereço de correio eletrónico” (art. 37.º), o que torna a sua inclusão nesta Proposta redundante e contraproducente. No entanto, se considerarmos o restante texto da Proposta, em especial quanto à definição de “plataforma de jogos em linha” (art. 4.º-e)) e as exclusões do art. 2.º-3, parece que o objetivo é abranger os videojogos, incluindo aqueles que não são acessíveis/não têm funcionalidades online.
3) “Serviços de partilha de imagens e vídeos” – conceito impreciso, que não é esclarecido no corpo da Proposta. Parece ser uma alusão a “serviços de plataforma de partilha de vídeos” da Diretiva e Lei dos Serviços de Comunicação Social Audiovisual. Estes incluem: Youtube, Vimeo, Dailymotion, Twitch, Kick. Adicionalmente, com a referência a partilha de imagens: Canva, Pinterest, DeviantArt, ArtStation, Behance, Dribbble e Pixiv. Muitos destes serviços também se encaixam na definição de “plataforma de redes sociais”. Além destes, acrescentamos ainda as plataformas com conteúdos de carácter sexual, como o Pornhub, XNXX e Stripchat (designados como VLOPs à luz do DSA) e OnlyFans.
4) “Serviços de alojamento de conteúdos” – este conceito expande a aplicação da Proposta a todos os serviços de alojamento em linha, que, por sua vez, já incluem as plataformas em linha, que por sua vez incluem as ditas redes sociais, mas também todos os mercados em linha. Estas cinco palavras determinam que todos os seguintes serviços estão incluídos: a. serviços de alojamento na Cloud para consumidores como Google Drive, Dropbox, OneDrive (Microsoft), iCloud (Apple) e WeTransfer; b. serviços de alojamento web (web hosting): GoDaddy, Bluehost, OVH, Amazon Web Services (AWS), Microsoft Azure e Google Cloud Platform — que disponibilizam infraestrutura para alojar websites e aplicações de terceiros; c. plataformas de alojamento de código: GitHub, GitLab e Bitbucket; d. serviços de plataforma de partilha de vídeos (já referidos acima); e. serviços de enciclopédias online – Wikipedia; f. lojas de aplicações – AppStore, Google Play, Steam, GoG, Nintendo Store; f. serviços de alojamento de blogues e websites: WordPress.com, Blogger, Wix e Squarespace, Sapo Blogs, Substack (nas suas vertentes de alojamento de conteúdos de utilizadores); g. plataformas de comércio eletrónico (marketplaces): OLX, Amazon Marketplace, temu, shein, eBay, Etsy, Alibaba, Worten Marketplace, Vinted, Zalando.
5) Prestadores de serviços e conteúdos com restrições etárias – nomeadamente conteúdos violentos, aditivos ou sexuais.
A Proposta abarca assim categorias de serviços que são excessivamente amplas, independentemente do nível de risco que estes representem, aplicando um regime de restrição de acesso de forma desproporcional aos objetivos que pretende alcançar.
A Proposta proíbe inteiramente todas as crianças com menos de 13 anos de poderem utilizar a esmagadora maioria dos serviços em linha, independentemente das atividades. É proibido a estas crianças pesquisar na Wikipedia para um trabalho na escola ou verem episódios da Bluey no Youtube Kids na SmartTV partilhada na sala de estar.
Quanto ao escopo territorial, a Proposta refere que se aplica a todos os serviços acima referidos que sejam “acessíveis a crianças residentes em Portugal”, isto é, basta estarem online.
Esta interpretação é reforçada pela definição de “Plataforma acessível a crianças”, do art. 4.º c), conceito que surge uma única vez no diploma… no artigo das definições, que descreve “qualquer serviço em linha” (independentemente de ser uma plataforma em linha ou não) que, “pela sua natureza, funcionalidades ou públicos-alvo, seja possível de ser utilizado por crianças”. Como apenas é necessário que se verifique uma destas opções para se aplicar, basta que o serviço esteja disponível online para que seja possível ser acedida por crianças em Portugal.
Finalmente, temos de levantar mais um problema: embora os serviços de comunicações eletrónicas interpessoais estejam excluídos do escopo da lei, o art. 12.º ainda se aplica a estes quando são utilizados por menores de 16 anos. A única forma de um prestador de correio eletrónico (gmail, Outlook, Hotmail) conseguir cumprir as obrigações desta norma (analisada no próximo texto) é implementar um sistema de verificação de idade.
A “solução” da Chave Móvel Digital (CMD), que compromete a acessibilidade, em especial dos mais vulneráveis
A principal solução indicada na Proposta para a obrigação geral de verificação de idade é a utilização, por parte dos prestadores de serviços, de um mecanismo compatível com o sistema CMD, ou outro sistema idóneo semelhante, que cumpra os requisitos (que por sua vez incluem novamente a obrigatoriedade de compatibilidade com o sistema CMD)[1] do Referencial Técnico a ser desenvolvido pela ANACOM, de acordo com os requisitos técnicos da lei.
A Proposta pretende alinhar-se com a proposta europeia e afastar preocupações do carácter intrusivo destas soluções. Para tal, o sistema deverá recolher o mínimo de dados possíveis, ser compatível com sistemas de prova de limiar etário com preservação de privacidade, incluindo prova de conhecimento-zero (zero knowledge proof) (como propostas pela Comissão Europeia). Adicionalmente, pretende-se a compatibilidade com outros sistemas similares à CMD de outros Estados-Membros.
O problema emerge numa questão muito óbvia: esta solução política torna a CMD, uma faculdade criada para facilitar a interação entre cidadãos e entidades públicas, numa quasi obrigatoriedade de todos os que se encontrem no território nacional.
Segundo os dados estatísticos públicos, o número total de CMD ativas ronda os 4,4 milhões, um número que, embora elevado, está longe do número de residentes em Portugal com idades superiores a 16 anos (que, segundo a Pordata.pt, deverá rondar os 8 milhões). Embora a CMD esteja disponível para residentes que não são portugueses (que podem utilizar o passaporte ou o título de residência), estes são menos de 3,7% do total, um número longínquo da sua proporção real (serão aproximadamente 1,5 milhões e perto dos 9,8% da população residente). Estes números não incluem os imigrantes e refugiados em Portugal, que têm processos pendentes de regularização.
Além destes números, é necessário relembrar que este controlo de verificação de idade também terá de ser aplicado a quem estiver de passagem por Portugal, sejam turistas ou viajantes a realizar o transbordo entre meios de transporte.
Destaca-se ainda que a app.gov não cumpre os requisitos de fiabilidade, apresentando deficiências e erros no seu funcionamento, por exemplo na autenticação obrigatória que requer reconhecimento facial.
Neste momento, não só não existe uma solução técnica no terreno que permita aos prestadores destes serviços cumprir os requisitos da Proposta, como o método preferencial indicado nesta seria uma barreira para uma parte muito substancial da população afetada por estas medidas.
A inexistência de soluções técnicas disponíveis, um período transitório de apenas 3 meses e a inexistência de normas que considerem a realidade económica das PMEs (cujo único benefício é no valor das coimas, que ainda assim vão dos €20.000 a €1.000.000 ou até 2% do volume de negócios anual, a nível mundial) tem a consequência de que apenas as Big Tech terão capacidade técnica de se antecipar e cumprir minimamente os requisitos da Proposta.
Finalmente, a Proposta não esclarece quanto à utilização efetiva da ferramenta:
É suposto a verificação da idade ser feita na criação de conta, no início de cada sessão, ou a intervalos regulares durante a utilização do serviço?
No caso de a verificação da idade ser feita no momento da criação de conta, é depois necessário um sistema de autenticação reforçado no início de cada sessão para verificar se é a mesma pessoa a utilizar a conta?
Como a proposta é neutral quanto aos dispositivos a que se aplica, existem inúmeras questões práticas que ficam sem resposta. Por exemplo, quanto a smartTVs que sejam utilizadas por várias pessoas do agregado familiar, qual a solução indicada? Curiosamente, uma criança poderá ver filmes “com bolinha vermelha” transmitidos em canais abertos numa televisão normal, sem necessidade de CMD.
O terceiro e último texto desta série irá abordar mais algumas questões relativas a esta Proposta.
[1] A Proposta repete, constantemente, e de forma circular na sua estrutura e remissões, a obrigação de compatibilidade com a CMD: Art- 5-º n.º 4, Art. 7.º n.º 2, Art. 8.º n.º 1 al. c), n.º 2 b).