A aferição de idade põe sua privacidade em risco?

São Paulo - Uma das primeiras coisas que se aprende sobre o mundo digital é que as informações valem ouro, e não se deve fornecer os dados pessoais para qualquer um. Com a entrada em vigor do ECA Digital, internautas começaram a se deparar com pedidos de verficação de idade por meio de fotos ou documentos. 

Leia também: Verificação de identidade online também pode ajudar 60+, diz Safernet

Se a "Lei Felca" põe um fim na autodeclaração de idade – como os botões de "Sou maior de 18 anos" –como a aferição pode ser aplicada de maneira segura?  

Como as plataformas estão aplicando a aferição de idade?

Um levantamento realizado pelo Núcleo de Informação e Coordenação do Ponto BR (Nic.br) observou os métodos de aferição de idade de 25 serviços digitais dos mais variados, desde redes sociais e lojas virtuais até sites de aposta e pornografia. 

Os métodos são dividos em duas categorias: 

• Estimativa de idade - Determina a provável idade de uma pessoa com base em características biométricas ou comportamentais, como rosto, voz ou padrões de interação digital.
• Verificação de idade - Confirma a idade por meio de documentos oficiais ou serviços confiáveis, como RG, passaporte, cartão de crédito ou autenticação em plataformas seguras (ex: Gov.br).

Quando os dados foram captados, no começo deste ano, 7 dos 25 serviços não usavam nenhum dos métodos, 3 usavam apenas verificação e 15 usavam ambos. Por fim, 11 dos 25 usam serviços de terçeiros para a aferição. 

Vale destacar que apenas 4 serviços pedem esta aferição no momento que a conta é criada, com a maioria deles preferindo restringir apenas conteúdos específicos. 

Quanto aos meios destas medições, pedir um documento com foto (combinado ou não com
selfie) é a verificação etária mais utilizada, por 13 das empresas; enquanto a selfie (em foto ou vídeo) é
a estimativa etária mais utilizada. 

A Agência Nacional de Proteção de Dados (ANPD) possui uma cartilha de orientações para as empresas sobre a aferição de idade, destacando a importância de métodos precisos, mas que coletem o mínimo possível de dados. Atualmente, os mecanismos escolhidos pelas empresas dependem do rosto ou identidade do usuário. 

Métodos de verificação de idade

Métodos de estimativa de idade

Os problemas da biometria facial

Sérgio Amadeu foi presidente do Instituto Nacional de Tecnologia da Informação, e é ativista dos softwares livres – defendendo que os códigos na internet sejam abertos para todos. Ele encherga a biometria em massa com certa preocupação. 

Segundo ele, estamos acostumados com vazamentos de senhas, mas não é possível "mudar seu rosto" caso este dado seja exposto. Apostando na criação colaborativa, o especialista defende que a comunidade de software livre tenha espaço para apresentar e desenvolver soluções alternativas. 

Amadeu relembra que a Lei Geral de Proteção de Dados (LGPD), também responsabilidade da ANDP, classifica as informações de menores como sensíveis, merecedoras de cuidado redobrado. 

Leia também: Deepfake e biometria fraudada podem causar prejuízo de R$ 4,5 bilhões

O Diretor de Segurança da Informação da CLA Brasil, Paulo Baldin, destaca que muitas empresas ainda não têm maturidade para cuidar desta segurança de dados, que não é mais opcional; mas necessária. 

"O maior risco não está nos dados que serão coletados, mas na falta de segurança das empresas que vão possuí-los"

Repercussões iniciais

Analisando possíveis consequências da Lei, Baldin explica que dependerão de duas coisas: regulamentação e resposta do mercado.

Em um documento publicado nesta sexta-feira (20), a ANPD determinou um prazo até janeiro de 2027 para começar a fiscalização das aferições de idade. Um dia antes deste anúncio, os sistemas operacionais MidnightBSD e Arch Linux 32 já haviam anunciado saída do Brasil. 

A justificativa foi pelo fato de serem projetos de software livre e código aberto, que não teriam condições de arcar com as exigências da Lei.

Representando o movimento de software livre, Sérgio Amadeu reitera que os próprios sistemas optaram por sair do País, mas que o decreto de fato cria uma barreira, ao exigir dos próprios sistemas que implementem a verificação de idade. 

"Um sistema operacional serve apenas para fornecer os requisitos básicos de operação dos sites e aplicativos . Pedir que eles sejam responsáveis pela verificações de idade só atende aos interesses das Big Techs. A comunidade de software livre, ao contrário das grandes empresas, não foi ouvida" .

Boas práticas de privacidade de dados

Durante uma coletiva de imprensa realizada nesta sexta-feira (20), a diretora da ANPD, Miriam Wimmera revelou uma de suas intenções para o ECA Digital: a lei deveria trazer uma transição cultural, com a privacidade sendo discutida dentro de casa. 

Leia também: Vazamento de dados: o que fazer quanto as informações acabam na Darkweb?

Baldin pensa da mesma maneira, mas lamenta que a educação digital costuma não acompanhar a lei. Ele também explica algumas boas práticas para cuidar da própria privacidade. 

• Pensar duas vezes se o serviços vale os dados que estão pedindo: a maioria dos sites precisam, no máximo, do seu e-mail para criar uma conta. Se dados como foto e CPF são exigidos, vale refletir se eles são realmente necessários. 
• Quando for necessário, escolher com cuidado onde depositar os dados: muitos casos ainda vão exigir informações mais pessoais, mas nem toda empresa tem o mesmo nível se segurança. Buscar histórico de vazamentos e respostas sobre como estarão protegidas essas informações é vital. 
• Ler as políticas de privacidade: uma prática pouco comum e cansativa, mas importante. O ECA Digital exige transparência das empresas no tratamento de dados, o que pode ser um diferencial. 

*Estagiário sob supervisão de Silvia Araujo