A Internet vai deixar de ser anónima? O que diz um especialista sobre a nova lei portuguesa

A nova lei digital portuguesa para menores de 16 anos tem levantado um debate intenso nas redes sociais e na opinião pública. Entre receios de vigilância estatal, o possível fim do anonimato online e dúvidas sobre a proteção de dados, a desinformação começou rapidamente a circular.

Para esclarecer o que é tecnicamente possível, o que é juridicamente exigido e onde estão, de facto, os riscos, falámos com Carlos Quintinha, engenheiro de software, especialista em DevOps e CEO da OneShift. Quintinha aceitou responder de forma direta às principais preocupações levantadas sobre verificação de idade, Chave Móvel Digital, RGPD, encriptação ponta-a-ponta e eventuais precedentes institucionais.

A entrevista que se segue não é um posicionamento político. É uma análise técnica. E, num tema onde o ruído tem sido maior do que a informação, isso faz toda a diferença.

Verificação de idade e Chave Móvel Digital

Imagem via Autenticao.Gov.pt

A lei prevê verificação obrigatória de idade (Art. 7.º) e compatibilidade com Chave Móvel Digital (Art. 5.º e 8.º).

Geekinout: a utilização da Chave Móvel Digital para prova de idade pode, na prática, ser implementada sem criar uma base de dados centralizada de acessos?

Carlos Quintinha: Sempre que existe uma autenticação através do sistema de CMD, como em muitos sistemas de autenticação (como o exemplo, o da Google), existe um parâmetro chamado de scope que indica que informações deverão ser entregues, este scope a associado a uma API KEY especifica para cada empresa/serviço que o está a requisitar. Este combo irá limitar o acesso a informação extra, normalmente desnecessária para o serviço, e dessa maneira preservar os dados privados do seu utilizador. Caso fosse parte integrante da implementação de um sistema deste género, apenas necessitaria de dois dados, sendo o NIF e Data de Nascimento, permitindo perceber se o utilizador possui várias contas no mesmo serviço, e se necessário revalidar, ao validar uma, estaremos a validar todas as contas. A data de nascimento, para cálculo da idade.

Geekinout: O conceito de “prova de limiar etário com preservação de privacidade” (zero knowledge proof) é tecnicamente viável à escala das grandes plataformas?

Carlos Quintinha: Sem dúvida que é extremamente importante que a API da CMD tenha este sistema implementado. Como indicado na minha resposta à pergunta anterior, o sistema mais comum é obter a data de nascimento para depois fazer um cálculo. Mas se a API da CMD entregar como parte da resposta um atributo como “is_underage” ou atributos similares, fará com que a plataforma não necessite de ter acesso direto aos dados das pessoas, podendo assim continuar a cumprir o necessário perante a lei para atuar em Portugal.

Geekinout: Quem certifica que o sistema cumpre efetivamente o princípio da minimização de dados previsto no Art. 8.º?

Carlos Quintinha: Esta é sempre uma das questões chave em Portugal, quem efetua a certificação para que seja assegurada a fiabilidade dos resultados e utilizações, sendo que de momento não existe nenhuma entidade pública que possa efetuar essa mesma certificação. Como profissional, a minha recomendação é que esta certificação fosse resultado de uma verificação em 3 vias, uma certificação pública nacional, uma certificação privada nacional e uma certificação internacional Europeia, aplicando assim que as regras nacionais estão cumpridas assim como as europeias.

Geekinout: Existe risco de correlação de identidade entre diferentes plataformas através do sistema de verificação?

Carlos Quintinha: Este risco existe sempre, com ou sem este sistema de “Confirmação de identidade”, este sistema não trará algo de novo para o mercado em termos de identificação, pois os sistemas já implementados já fazem todo este trabalho, com um nível de exatidão enorme.

Geekinout: É possível garantir que as plataformas apenas recebem o atributo “maior de 16” sem qualquer outro dado identificativo?

Carlos Quintinha: Sim, assumindo que o sistema já se encontra implementado pelo estado português, o scope atribuído à API KEY do serviço, só lhes dará acesso a essa mesma informação, sendo que cabe ao utilizador verificar que dados vão ser cedidos à plataforma no momento da autenticação. O processo será igual ao de autenticação no sistema da Segurança Social ou Autoridade Tributário, onde é possível ver antes da autenticação a que dados a plataforma terá acesso.

Geekinout: Que riscos de segurança existem se milhões de menores passarem a usar autenticação estatal para redes sociais?

Carlos Quintinha: Acho que risco não é bem o termo que procuramos aqui, mas sim uma limitação da liberdade, pois um sistema deste género dá muito menos informação ao sistema do que a aquela que o utilizador já oferece, onde se um utilizador fizer upload de uma foto já se está a identificar com um alto nível de exatidão, se fornecer o email onde muitas vezes existe o ano de nascimento do mesmo, isto para não afirmar que existem casos onde é possível verificar toda a data de nascimento.

Proteção de dados e RGPD

Imagem gerada via IA

A lei altera o consentimento digital para 16 anos (Art. 3.º) e exige mecanismos técnicos específicos.

Geekinout: Esta lei é plenamente compatível com o RGPD ou poderá haver conflito interpretativo?

Carlos Quintinha: É totalmente compatível, visto que a lei europeia define que o consentimento é feito a partir dos 16 anos, podendo ser alterado por lei nacional, nunca podendo ser inferior que os 13. Desta maneira, a lei portuguesa estará a sincronizar com aquilo que é regra pela UE.

Geekinout: Como se evita que a verificação de idade se transforme num mecanismo indireto de rastreio?

Carlos Quintinha: Não se evita, os sistemas de cálculo de idade já se encontram implementados, e este apenas será mais um parâmetro. Deixo uma questão em aberto, se atualmente as redes sociais, mesmo sem indicarmos a nossa data de nascimento, conseguem calcular uma idade com 99% de exatidão, quão impactante será realmente a adição deste novo parâmetro? Acredito sim, que este será um parâmetro importante para entidades externas às plataformas possam desenhar uma linha limitante, e poderem definir o que pode ou não acontecer antes e depois desse mesmo limite.

Geekinout: A obrigação de interoperabilidade com sistemas europeus (Art. 8.º e 20.º) aumenta o risco de exposição de dados?

Carlos Quintinha: Não. Visto que o previsto será apenas a distribuição de uma flag/atributo que indica se o utilizador está ou não na idade legal de consentimento, a informação adicional não é mais do que aquela já existente e armazenada pelas plataformas.

Geekinout: Quem será responsável em caso de fuga de dados ligados ao sistema de verificação?

Carlos Quintinha: Segundo as regras do RGPD, as plataformas são sempre responsáveis em caso de fuga, sendo que se prove que a fuga deve-se aos mesmos.

Geekinout: A anonimização prevista é tecnicamente auditável por entidades independentes?

Carlos Quintinha: Sim, o que pode ser um transtorno para o utilizador e para a sua experiência com as plataformas, passando a explicar. Se neste momento nós procedemos a uma autenticação simples, normalmente é composto por Utilizador e Palavra-Passe, podendo ir até ao uso de uma 2FA. Para que exista uma anonimização do processo, após a autenticação, o utilizador deverá autenticar-se novamente usando o sistema CMD, para que apenas a sessão tenha o comprovativo de que aquele utilizador possui a idade legal para acesso a determinadas informações.

Análise de mensagens e comunicações privadas

Imagem gerada via IA

O Artigo 12.º obriga a bloquear automaticamente mensagens com material violento ou sexual, aplicando-se a serviços de comunicações interpessoais quando usados por menores de 16 anos.

Geekinout: Para bloquear automaticamente mensagens com conteúdo violento ou sexual, é necessário analisar o conteúdo das mensagens?

Carlos Quintinha: Sim, este ponto é algo essencial. Já existem muitos sistemas implementados nas várias plataformas online que o fazem, desde sistemas de análise leve até análise mais profunda. Se forem bem implementados, apenas quando um determinado conteúdo entra na categoria de dúvida, deve ser enviado para análise feito por humanos, que o mesmo possa ser usado para treinar os modelos de deteção de dessa maneira melhorar a eficácia do sistema. Claro que, hoje em dia, com a existência de uma quantidade imensurável de informação aberta na Internet, é cada vez mais raro a necessidade de intervenção humana nestes processos, e a existência de tecnologias como ChatGPT, GEMINI e Grok são o exemplo disso.

Geekinout: Isso implica quebra ou enfraquecimento de encriptação ponta-a-ponta?

Carlos Quintinha: Não propriamente, pois dependerá das plataformas e dos modelos de funcionamento. Dando um exemplo em concreto como o Telegram, a conexão é sempre encriptada, e depende de um dos utilizadores reportar a mensagem ao sistema, para que as equipas de análise tenham acesso ao conteúdo já desencriptado e dessa maneira melhorarem o sistema. Já em sistemas como por exemplo o Discord, as coisas já não são dessa maneira devido à natureza da plataforma, isto quando falamos de mensagens escritas, se falarmos de chamadas de áudio e vídeos, esses dados são redirecionados para os utilizadores sem necessidade de grande processamento por parte dos servidores, visto serem suportadas na maioria dos casos por sistemas P2P.

Geekinout: Como se distingue tecnicamente uma conta de menor de 16 numa app de mensagens encriptadas?

Carlos Quintinha: Atualmente as plataformas são desenvolvidas com base na confiança da boa fé do utilizador, onde os mesmos se identificam com dados que são considerados verdadeiros, como por exemplo a data de nascimento ou simplesmente a idade, o que tem até ao momento se verificado ineficaz, e daí este ser um tópico cada vez mais falado e desde 2024 começar a ser implementado em vários países. Quando este tipo de dados não é pedido ao utilizador, assume-se que o utilizador é de caráter sensível e que uma configuração no perfil do utilizador deve ser ativo para conteúdos NFSW, mas que, mais uma vez depende da boa fé do utilizador.

Geekinout: A análise pode ocorrer no dispositivo (client-side scanning) ou nos servidores?

Carlos Quintinha: Sendo que os dispositivos que usamos são cada vez mais potentes, e que, já existem as primeiras versões de Web AI (Inteligência Artificial que corre no motor do browser), estas validações poderão ser executadas do lado que envia, e do lado que recebe, e se os mesmos obtiverem o mesmo resultado, as mensagens são apresentadas no destinatário. Mas, é de ressalvar, que com versões modificadas desses mesmos softwares, poderá ser possível ignorar estas barreiras, daí vermos a Google a voltar atrás na sua palavra quanto ao side-loading no Android, “proibindo” de certa forma a prática de instalação de aplicações não verificadas.

Geekinout: Existe risco de que mecanismos implementados para menores acabem por abranger todos os utilizadores?

Carlos Quintinha: Sim, assim como nós temos a área de cibersegurança, também já temos a ciber vigilância, como por exemplo a que é feita pelo ISP das ligações de Internet contratadas. Mas, neste caso, estamos perto de um ponto de viragem, onde o próximo capítulo é que toda a comunicação está sob vigilância. É de ressalvar que qualquer abordagem possui pontos bons e pontos maus, nós, humanos é que temos tendência a ignorar os pontos maus do modelo que defendemos e a esquecer os pontos bons do modelo oponente.

Geekinout: Há garantias técnicas de que mensagens de adultos não serão analisadas?

Carlos Quintinha: As garantias, em caso de PI privada, será aquela que as empresas derem se assim o entenderem, de outra forma apenas através de Reverse Engineering será possível verificar situações. O que não quer dizer que num futuro próximo, as entidades certificadoras não possam fazer parte do processo de desenvolvimento ou melhoria das plataformas para que essas garantias sejam parte do processo de certificação. Um pouco como numa empresa, o Técnico Oficial de Contas na área de contabilidade, que certifica que a mesma se encontra segundo o termos identificados na lei.

Geekinout: Quem fiscaliza que os filtros aplicam-se apenas a contas de menores?

Carlos Quintinha: Neste momento, não existindo muita informação, cabe ao profissionalismo das empresas. É algo que legalmente deverão ter em consideração, e procurar profissionais para que possam criar uma Entidade Certificadora.

Risco de vigilância e precedente institucional

Geekinout: A implementação desta lei cria infraestruturas técnicas que poderão ser reutilizadas no futuro para outros fins?

Carlos Quintinha: Sim, sendo isto um serviço de autenticação veremos cada vez mais no nosso dia-a-dia, assim como já o estamos a ver a ser implementado nos vários sistemas publicos.

Geekinout: Existe risco de “mission creep” — começar com menores e alargar progressivamente?

Carlos Quintinha: Sim existe esse risco, daí ser importante que as pessoas se informem do que isto significa de maneira adequada e não aceitem simplesmente informação de uma só fonte, mas sim que essa informação seja obtida de múltiplas fontes e que cada um tenha a sua própria opinião formada sobre o assunto, de maneira que apenas os pontos de opinião comum possam ser implementados. Não digo que não se deva implementar de todo, pois é importante para proteger os menores de realidade que infelizmente existem na nossa realidade, mas que isso não sirva de justificação para vigiar individualmente todo e qualquer indivíduo, o qual tem direito a se expressar como bem entender no meio privado desde que isso não afete a liberdade de outro(s) indivíduo(s).

Geekinout: Portugal está a criar um modelo de identidade digital obrigatório para acesso à internet?

Carlos Quintinha: Tenho como base a informação que tenho, a resposta é NÃO, existem já meios obrigatórios de identificação e que na sua maioria estão bem ajustados e bem aplicados. Existem serviços que sim ainda necessitam de ter essa impressão digital, mas existe um caminho natural na sua implementação.

Geekinout: É realista esperar que plataformas globais implementem este sistema apenas para Portugal?

Carlos Quintinha: Esta é a mais irrealista, porque cada país terá o seu próprio meio de identificação, a sua implementação será feita com base na quantidade de pessoas que usam determinado serviço. A União Europeia está a apostar fortemente em terminar com a dependência tecnológica americana, o que fará com que apoios a alternativas europeias apareçam, e desta maneira poderá existir um sistema de identificação europeu, que simplificará essa implementação por parte dos serviços online. Isto porque é mais simples implementar 7 sistemas de autenticação do que 200.

Geekinout: O bloqueio ou desindexação (Art. 9.º) é tecnicamente eficaz?

Carlos Quintinha: Não, mas nunca o será.

Temos de considerar que todos os dias aparecem alternativas. Na última década temos verificado a popularidade das VPN que encriptam o tráfego do utilizador e o redirecionam através de países onde as leis são diferentes ou mais apertadas. Ao mesmo tempo, que mesmo que sistemas como motores de busca possam remover na totalidade resultados dos seus índices, bastará existir um conhecimento comum um endereço, como por exemplo sites de conteúdo para maiores de 18, onde não é preciso pesquisar, pois a maioria de nós com acesso constante à Internet sabe o(s) endereço(s) decór, ultrapassando assim mais um a barreira sem dificuldade.

Geekinout: Que desafios surgem na implementação em apps estrangeiras?

Carlos Quintinha: O maior, é sermos um país relativamente pequeno, e com uma pegada digital mais pequena ainda. Como disse anteriormente, vejo que poderá haver um sucesso na implementação se, a nível europeu, existir um sistema de autenticação do género.

Geekinout: Qual é o maior risco técnico desta lei?

Carlos Quintinha: A limitação da Liberdade. Devemos seguir-nos pelo conceito de que a minha Liberdade termina, onde começa a de outro. A proposta de lei tem um foco muito específico, a proteção de menores, aqueles que ainda se estão a formar intelectualmente, e não, para já, pois a nossa realidade não o exige, implementar para os demais.