Enquanto governos do mundo todo se esforçam para tornar a internet mais segura para crianças, uma ideia vem ganhando força: em vez de forçar sites a manter crianças fora, por que não deixar que o próprio dispositivo faça isso?
Nos Estados Unidos, a Califórnia aprovou uma lei que exige que sistemas operacionais coletem informações sobre idade e forneçam aos aplicativos um sinal indicando se um usuário é menor de idade ou adulto. Legisladores do Colorado(nova janela) e de Illinois(nova janela) estão considerando legislação semelhante.
No Reino Unido, a Apple já começou a exigir que alguns usuários de iPhone verifiquem a idade no nível do sistema operacional para acessar determinados recursos.
Essa é uma grande mudança na forma como a identidade funciona on-line. Quando verificações de identidade passam dos sites para os sistemas operacionais, elas se tornam parte da infraestrutura da internet. Decisões tomadas nessa camada podem afetar como bilhões de pessoas acessam informações, se comunicam e participam on-line.
“Elas criam barreiras desnecessárias e inconstitucionais(nova janela) para que adultos e jovens acessem informações e se expressem on-line”, alerta a Electronic Frontier Foundation, especialmente quando familiares de idades diferentes compartilham dispositivos dentro de uma casa.
Das verificações em sites aos sinais no nível do dispositivo
Historicamente, as restrições de idade na internet têm sido tratadas por aplicativos e sites individuais. Se um aplicativo ou site hospedar conteúdo destinado a adultos, poderá pedir que os usuários confirmem a idade antes de permitir que o usuário baixe o aplicativo ou acesse o site. A nova abordagem transfere essa responsabilidade para o sistema operacional que faz seu dispositivo funcionar, como Windows, Mac ou Linux.
Nos termos da Digital Age Assurance Act da Califórnia(nova janela), os sistemas operacionais devem coletar a idade de um usuário durante a configuração da conta e categorizar os usuários em grupos etários: menos de 13, de 13 a 15, de 16 a 17, ou 18 ou mais. Em vez de pedir a cada site que verifique a idade de um usuário, o sistema operacional do seu computador determina a categoria etária do usuário uma vez e depois compartilha essa informação com aplicativos quando solicitado — indefinidamente.
Levar a verificação de idade para sistemas operacionais não apenas simplifica a conformidade. Isso muda quem controla a identidade on-line.
Hoje, a maioria dos dispositivos móveis roda em sistemas operacionais controlados pela Apple e pelo Google. Se a verificação de idade se tornar uma exigência no nível do SO, essas empresas passarão, na prática, a controlar os sinais de idade usados em milhões de aplicativos.
Desenvolvedores não decidiriam mais como verificar usuários. Em vez disso, seriam obrigados a depender da classificação do sistema operacional. Na prática, isso significa confiar na infraestrutura da Apple ou do Google — e na interpretação que essas empresas fazem dos requisitos regulatórios — para determinar quem pode acessar o quê.
Isso tem implicações que vão além da privacidade. Reforça o poder dos ecossistemas existentes de lojas de aplicativos, nos quais ambas as empresas já controlam a distribuição e a aplicação de políticas. Adicionar verificação de identidade a essa estrutura aprofunda ainda mais sua posição, prendendo desenvolvedores aos seus ecossistemas e limitando a capacidade de concorrentes de criar plataformas alternativas ou sistemas de identidade.
Isso também levanta questões sobre como essa infraestrutura pode ser usada além de seu propósito original. Uma vez que sistemas operacionais possam verificar e transmitir atributos como idade, o mesmo mecanismo poderá ser ampliado em outros países para impor controles mais amplos.
Governos como os da China e da Rússia já demonstraram disposição para exigir que empresas restrinjam o acesso a aplicativos e conteúdo. Sistemas criados para verificação de idade podem se tornar uma base para formas mais amplas de controle.
Defensores argumentam que isso poderia simplificar a conformidade e reduzir a necessidade de plataformas coletarem dados de idade por conta própria. Críticos dizem que isso corre o risco de transformar o próprio dispositivo em um posto permanente de controle de identidade. Pela nova lei, todo sistema operacional será obrigado a verificar a idade do usuário durante a configuração(nova janela), e poderá enviar esses dados via API a desenvolvedores de aplicativos sem o consentimento explícito do usuário.
Os riscos à privacidade das verificações centralizadas de idade
Os sistemas de verificação de idade variam muito na forma como funcionam.
O envio de documentos de identidade pode expor usuários ao risco de violações de dados, como visto em plataformas como o Discord, onde invasores obtiveram acesso a milhares de documentos de identidade emitidos pelo governo por meio de sistemas de verificação de idade.
Sistemas biométricos levantam preocupações sobre precisão e viés. Escaneamentos faciais, por exemplo, não conseguem determinar a idade exata de alguém e podem levar a resultados imprecisos.
Centralizar sinais de idade no nível do sistema operacional introduz um risco diferente. Se atributos de identidade se tornarem incorporados ao software que faz um dispositivo funcionar, essas informações poderão moldar a forma como usuários interagem com todo o ecossistema digital.
Por exemplo, em lares onde várias pessoas usam o mesmo dispositivo, aplicativos podem restringir por engano o acesso a conteúdo com base no sinal de idade que recebem do sistema operacional, mesmo quando o usuário é maior de idade. Da mesma forma, se um adulto registrar o sistema operacional, crianças que usam o dispositivo podem facilmente contornar o sinal de idade enviado pelo SO. Em alguns casos, desenvolvedores podem enfrentar responsabilidade legal se não aplicarem corretamente as restrições de idade.
Projetando sistemas que respeitam a privacidade
Proteger crianças on-line é um objetivo importante. Pais, educadores e formuladores de políticas têm preocupações legítimas com conteúdo nocivo, pressões das redes sociais e práticas de design abusivas. Mas projetar proteções para a internet não diz respeito apenas a objetivos de política pública. Também diz respeito à arquitetura técnica.
Um sistema destinado a proteger menores não deve exigir que todos entreguem informações pessoais sensíveis para usar serviços cotidianos on-line.
Em vez disso, leis abrangentes de privacidade podem ajudar a proteger crianças(nova janela) enquanto preservam a privacidade, a segurança e o acesso à informação para todos.
À medida que as políticas de verificação de idade continuam a evoluir, os sistemas que as aplicam ajudarão a determinar como será a internet para a próxima geração. O mais importante é quem controla os sistemas que tomam essas decisões.
