Lei Felca: interesses comerciais ameaçam segurança de dados de crianças e adolescentes

O ECA (Estatuto da Criança e do Adolescente) Digital, conhecido como “Lei Felca”, entrou em vigor na última terça-feira (17) com o objetivo de estabelecer diretrizes que obrigam as plataformas digitais a verificar a idade de seus usuários e impedir o acesso de crianças e adolescentes a conteúdos impróprios. Mas o processamento de dados necessário para essa aferição tem sido alvo de questionamentos.

Entre os métodos a serem utilizados pelas principais redes sociais em operação no país estão a estimativa de idade por reconhecimento facial, a confirmação por biometria e a análise de comportamento digital. Em teoria, os aplicativos não devem armazenar dados de identificação, mas, sim, as respostas que indiquem a faixa etária.

Isso porque a lei reprime não só a exposição de usuários a situações vexatórias, mas também o armazenamento de seus dados para fins de perfilamento e vigilância. No entanto, alguns dos mecanismos utilizados para fazer esse controle são os mesmos aos quais empresas recorrem para traçar comportamento, identificar preferências e personalizar recomendações, sistema também usado por governos para localizar criminosos.

Ao R7 Entrevista, Pablo Nunes, pesquisador em segurança pública e diretor do CESeC (Centro de Estudos de Segurança e Cidadania), diz que o desenho das soluções tecnológicas atualmente utilizadas “não necessariamente” garante que somente a informação sobre a idade será coletada.

Sua visão é corroborada por incidentes anteriores envolvendo provedoras de aferição. No início deste mês, a Espanha multou em cerca de R$ 5,7 milhões a Yoti — que deve fornecer serviços ao TikTok e às plataformas da Meta — por violações à lei de proteção de dados da União Europeia. Já a Persona, que tem como cliente o X (antigo Twitter), teve a parceria com a rede social Discord encerrada por suspeitas de coleta excessiva de dados.

Diante da aparente contradição de uma lei que, para proteger um grupo em vulnerabilidade, pode abrir espaço para violações de outras naturezas, o especialista defende o uso de tecnologias mais seguras, que comprovadamente não retêm informações de identificação e são condizentes ao texto sancionado pelo presidente Luiz Inácio Lula da Silva.

Nele, ficou determinado que a fiscalização do cumprimento das determinações do ECA Digital ficará a cargo da recém configurada ANPD (Agência Nacional de Proteção de Dados).

Em entrevista coletiva concedida na última sexta-feira (20), a diretora da entidade, Miriam Wimmer, disse que a escolha do mecanismo vai depender do risco oferecido por cada aplicação, o que não implica, “necessariamente”, na comprovação da identidade daquele indivíduo. Ela destacou que o que se busca é “a proteção de crianças e adolescentes sem que haja nenhum tipo de comprometimento à privacidade e à proteção de dados pessoais”.

Confira a entrevista na íntegra:

R7 - Quais ferramentas de tecnologia são utilizadas para verificar a idade de um usuário de plataformas digitais?

Pablo Nunes - Esse é um dos grandes debates que ainda permanece sem solução suficiente, dada a entrada em vigor do ECA Digital. Existem várias formas que já estão sendo testadas para fazer a verificação da idade para acesso das redes sociais, e pelo menos as que massivamente foram colocadas em vigor, têm problemas.

Em primeiro lugar, a gente pode focar em dois dos grandes grupos de tecnologias que estão sendo utilizadas para a verificação etária de maneira mais massiva. O primeiro deles é uma verificação que demanda a coleta das identificações civis, seja carteira de motorista, de identidade ou qualquer outra identificação produzida pelo governo, formando um grande banco de dados com essas documentações.

Quando o Discord implementou esse tipo de verificação na Inglaterra, o que aconteceu menos de um ano após a aprovação é que o banco de dados desses documentos oficiais vazou e foi utilizado para toda a sorte de golpes e uso indevido desse dado pessoal.

A forma que as grandes empresas de tecnologia estão usando atualmente é a verificação etária a partir de uma estimativa feita com algoritmos que analisam o rosto da pessoa. Você abre um desses serviços, tipo Roblox, Twitter, Instagram, e é pedido para que você faça um processo muito parecido com o que você faz, por exemplo, para a verificação ouro do gov.br ou para abrir contas bancárias digitais e outros serviços que exigem autenticação a partir da coleta de biometria.

O grande problema é que esse algoritmo é muito falho. Existem graves casos de erros de verificação desse tipo de imagem. Um problema que continua sendo seríssimo é que essas imagens que são coletadas para o processo de verificação vão parar num servidor, e dependendo do tipo de segurança que é colocado nesse servidor, essas imagens podem vazar.

É quase como uma regra geral, a questão não é se um banco de dados vai vazar, é quando vai vazar, porque a gente tem tipos de golpes cada vez mais sofisticados que fazem com que qualquer banco de dados com informações interessantes esteja passível de roubo.

Esses são os dois grandes desenhos de verificação etária que atualmente estão sendo colocadas em vigor. Os dois têm grandes problemas e os dois não são soluções suficientes e interessantes para proteção dos direitos, não só dos usuários adultos, mas, principalmente, dos usuários crianças, que acabam também se expondo a essa coleta massiva de informações pessoais.

R7 - Qual a diferença de riscos entre uma verificação de idade simples e uma que utiliza dados biométricos?

Pablo Nunes - Todos eles têm problemas seríssimos. Quando você faz a coleta de uma imagem de uma criança, por exemplo, para criação e para acesso a uma rede social, essa imagem desse rosto pode ficar acessível e inseguro dentro de um banco de dados e, posteriormente, pode ser processado com algoritmos de biometria facial. O problema da biometria está menos na coleta e mais no que se pode fazer com essas imagens no momento em que elas estão coletadas.

Tem alguns sites que estão dizendo que só fazem aferição da imagem, então não tem coleta de biometria, tem um cálculo por meio de algoritmo de estimação da idade daquela pessoa. Ora, esses algoritmos são muito simples e muito fáceis de serem ativados e desativados num sistema que já tem um banco de dados massivo de imagens de rostos.

Então, para realizar essa biometria e linkar essas imagens de rostos de adolescentes e jovens à identificação, por exemplo, de um RG ou mesmo de uma conta, e isso virar um grande banco de dados massivo com informações também ligando a e-mail, a celular, a outras informações pessoais desse jovem, é uma coisa muito simples e muito fácil.

Por mais que sejam tecnologias diferentes, tanto a aferição da idade quanto a biometria facial demandam a coleta dessas imagens de faces. E ter essa biometria processada ou não vai depender exatamente da utilização desse algoritmo, que pode ser utilizado a qualquer momento.

Pode ser que aconteça o que a gente chama de uso secundário desses dados. Às vezes esses dados estão sendo utilizados para a aferição de imagem, mas depois eles podem ser processados para outro tipo de finalidade, como acontece em outros tantos casos que já foram documentados.

R7 - O processamento de dados em uma aferição de idade nas redes sociais é diferente, por exemplo, do reconhecimento facial utilizado em portarias de condomínios?

Pablo Nunes - É a mesma regra, a mesma resposta. O que acontece, por exemplo, numa portaria eletrônica digital automatizada é um tipo de tratamento de dados que vai depender da coleta e do cadastramento dos condôminos num banco de dados de rostos ligados à identificação desse condômino.

Você vai tirar uma foto, vai enviar para a administradora do condomínio, que vai ligar aquela foto ao seu apartamento e gerar uma chave de acesso para que você faça a entrada nesse condomínio. Toda vez que você entrar na portaria, ele vai escanear seu rosto e vai comparar a imagem da pessoa que está na portaria com esse banco de dados dos condôminos registrado previamente.

Para esse banco de dados das imagens dos condôminos vazar, é uma questão de possibilidades de abertura dentro desse sistema para exploração de pessoas mal intencionadas.

A gente está falando de imagens de faces que podem ser usadas para aferição de idade, para aferição de gênero da pessoa, para algoritmos de análise de sentimentos, que também é um tipo de algoritmo muito utilizado para fins publicitários e propagandísticos, e também, por fim, para um algoritmo de reconhecimento facial identificar, por exemplo, essa pessoa em redes sociais e em outros lugares.

Tem um problema sério no Brasil atualmente, que é a massificação e a banalização do uso de biometria facial em todos os lugares. A gente sempre fala que essas tecnologias de biometria e de vigilância tem dois problemas. Um problema quando ela funciona, porque tem esse processo todo de vigilância massiva, de coleta ampla de dados, mas também o problema quando ele não funciona. Tem casos que já foram documentados de pessoas que ficaram presas fora dos seus condomínios por conta de erros de reconhecimento facial.

Algoritmos de reconhecimento facial são péssimos em aferir essas identidades, principalmente quando a gente está falando de pessoas negras. Há um viés* muito bem documentado que, apesar dos desenvolvimentos tecnológicos que a gente assistiu nesses últimos dois anos em termos de IA (inteligência artificial), esses erros continuam existindo.

E isso pode significar que uma pessoa não vai conseguir fazer acesso ao seu condomínio, mas também pode significar que uma pessoa pode ser abordada de maneira injusta por um policial porque foi reconhecido como criminoso.

Tem um problema sério no espalhamento e no uso desses sistemas, e o fato de que muitas dessas redes sociais estão também se utilizando de algoritmos de análise de imagem para aferição de idade para permitir ou não que uma pessoa acesse esses sistemas, só aumenta e coloca mais uma camada de coleta dessas informações que podem ser utilizadas de maneiras escusas para além desse uso legítimo, que também pode ser questionado do ponto de vista da coleta massiva dessas informações.

*Um relatório publicado em 2019 pelo National Institute of Standards and Technology, uma agência do Departamento de Comércio dos Estados Unidos, mostrou que sistemas de reconhecimento facial têm taxas de erro até 100 vezes maiores para negros, indígenas e asiáticos em comparação a brancos.

No Brasil, um levantamento do CESeC (Centro de Estudos de Segurança e Cidadania) revelou que 90% das pessoas presas por reconhecimento facial neste mesmo ano eram negras, majoritariamente acusadas de crimes sem violência. Um relatório elaborado pela organização em 2025 aponta ausência de transparência, escassez de evidências de eficácia e inexistência de controles públicos adequados em relação a essas tecnologias.

R7 - Você acredita que existe interesse de vigilância por parte das empresas que vão operar com as plataformas aqui no Brasil?

R7 - O problema todo é que esses sistemas e essas empresas acabam criando formas muito frequentes de troca e de compartilhamento dessas informações. Muitas vezes você faz um cadastro em um museu, por exemplo, para fazer uma compra de um ingresso e depois você começa a receber notificações de outros museus e outras empresas daquele local.

Isso é o que a gente chama de uso de data brokers, que são essas empresas que são especializadas em venda de informações pessoais. Eles constroem esses grandes bancos de dados e vão vendendo, seja para hotel, banco, uma enormidade de empresas e de sites que vão fazer a utilização dessas informações que depois vão ser a fonte não só de, por exemplo, companhias aéreas, mas governos e outras agências de inteligência e de contraterrorismo, em situações de guerra, em situações limite ou num caso doméstico também, que é o caso do ICE* nos Estados Unidos.

Há, sim, um uso que acaba sendo abusivo dessas informações a partir da utilização dessas grandes redes de coleta de informações e de construção desses grandes bancos de dados.

*Fortalecida pelo governo Donald Trump, a polícia imigratória dos EUA (ICE, na sigla em inglês) expandiu o uso de tecnologias de reconhecimento facial. Segundo o The New York Times, agentes têm utilizado um aplicativo conhecido como “Mobile Fortify” para identificar desde imigrantes ilegais até manifestantes críticos à política anti-imigração em vigor no país.

R7 - É possível dizer, com segurança, que as informações não serão utilizadas para traçar perfis de comportamento infantil, conforme estabelece o ECA Digital?

Pablo Nunes - A garantia de que unicamente a informação da idade vai ser coletada é algo que não necessariamente está garantido pelo desenho das soluções tecnológicas que a gente está vendo serem utilizadas nesse momento.

Explicando em outras palavras, é muito difícil de garantir que a imagem que está sendo capturada para verificação de imagem, por exemplo, no Roblox, realmente vai ser descartada após o processo.

O que não só eu pessoalmente, mas também a organização da qual sou parte, que faz parte de uma grande coalizão chamada Coalizão Direitos na Rede, defende, é uma tecnologia de prova de conhecimento zero.

É como se fosse ela fosse um segurança de uma boate que vai olhar a identificação da pessoa, vai ver que ela tem 18 anos e vai devolver a carteira. Existe, tecnicamente falando, tecnologias que garantam que essas informações não fiquem presas a uma empresa que vai fazer esse processamento, mas, infelizmente, essa é uma tecnologia que não está sendo utilizada nesse momento.

Garantir que uma tecnologia que realmente não colete dados seja a mais amplamente utilizada está sendo difícil exatamente porque existem interesses comerciais na exploração dessas informações.

R7 - Para além do que você já mencionou, a quais outros riscos os usuários ficariam expostos com um vazamento de dados?

Pablo Nunes - A gente já tem casos volumosos, por exemplo, de utilização dessas biometrias para fazer empréstimos de pessoas que não necessariamente fizeram aqueles empréstimos. Tem casos de realização de empréstimos consignados de idosos aposentados, que utilizaram exatamente essas grandes bases de dados de informação para fazer essa contratação.

Há também a possibilidade de você utilizar essas imagens para fazer acompanhamento, por exemplo, de pessoas específicas. A gente está falando tanto ultimamente de violência contra a mulher. Nada impede que a imagem dessa mulher seja utilizada para fazer reconhecimento facial e identificar quais são as redes sociais e isso virar um tipo de assédio digital a partir dessas informações.

As possibilidades são múltiplas, e cada vez se abrem mais a partir do momento em que outras necessidades e outros serviços são criados e gerados que dependem do processamento da foto do rosto da pessoa para acesso.

Essas informações não desaparecem na internet. Um vazamento hoje pode significar um prejuízo e uma exploração que vai durar para a vida inteira da pessoa, porque a gente está falando de um tipo de informação pessoal que a gente não consegue se desfazer. É uma identificação que é feita por um componente biológico seu que vai te identificar para o resto da sua vida. Essa é a gravidade do uso de reconhecimento facial como uma forma de autenticação e verificação de identidade.

R7 - Você vê a possibilidade de a internet, com a implementação de legislações como o ECA Digital, se tornar um lugar mais seguro? Ou estamos realmente caminhando para um estado de hipervigilância?

Pablo Nunes - A gente está passando por um tipo de degeneração da internet como um todo em que tem sido difícil encontrar lampejos de que isso mude em algum momento no futuro próximo.

Infelizmente, o que a gente vê cada vez mais é um processo não só de radicalização na internet, da utilização dessas informações e dessa rede social para cometimento de uma série de crimes, mas também o quanto que essas redes têm significado um grande campo de desinformação, de espalhamento de discursos de ódio, fazendo com que a gente tenha, pelo menos na minha opinião, pouca visibilidade de um futuro diferente do que a gente está vendo agora, pelo menos por enquanto.

É óbvio que eu não quero necessariamente dizer que não existe mais futuro para a internet. Encontrar formas possíveis de habitar a internet de maneira a promover mais justiça, mais igualdade e um uso cada vez mais voltado para a construção coletiva de algo que seja benéfico para a sociedade me parece possível. Me parece difícil, me parece que demanda muito esforço, mas ao mesmo tempo me parece que é fundamental e importante.

Por isso que, por mais que seja difícil, por mais que seja um tipo de trabalho que vai demandar tempo, e que talvez seja inglório em certo sentido, é um trabalho que me parece que faz sentido e que vale a pena. Eu acho que é questão realmente do que a gente vai fazer e de que internet nós realmente queremos construir.

*estagiária do R7, sob supervisão de Júlia Ramos, editora