À medida que os governos de todo o mundo se esforçam por tornar a internet mais segura para as crianças, uma ideia tem vindo a ganhar força: em vez de obrigar os sítios web a impedir o acesso de crianças, porque não fazer com que isso seja feito pelo próprio dispositivo?
Nos Estados Unidos, a Califórnia aprovou uma lei que obriga os sistemas operativos a recolher informações sobre a idade e a fornecer às aplicações um sinal que indica se um utilizador é menor ou adulto. Legisladores no Colorado(nova janela) e no Illinois(nova janela) estão a considerar legislação semelhante.
No Reino Unido, a Apple já começou a exigir que alguns utilizadores de iPhone verifiquem a sua idade ao nível do sistema operativo para aceder a determinadas funcionalidades.
Esta é uma grande mudança na forma como a identidade funciona online. Quando as verificações de identidade passam dos sítios web para os sistemas operativos, tornam-se parte da infraestrutura da internet. As decisões tomadas nesta camada podem afetar a forma como milhares de milhões de pessoas acedem à informação, comunicam e participam online.
«Criam barreiras desnecessárias e inconstitucionais(nova janela) para que adultos e jovens possam aceder à informação e expressar-se online», alerta a Electronic Frontier Foundation, especialmente quando membros da família de idades diferentes partilham dispositivos no mesmo agregado familiar.
Das verificações em sítios web aos sinais ao nível do dispositivo
As restrições de idade na internet têm sido historicamente geridas por aplicações e sítios web individuais. Se uma aplicação ou sítio web alojar conteúdo destinado a adultos, pode pedir aos utilizadores que confirmem a sua idade antes de lhes permitir transferir a aplicação ou aceder ao sítio web. A nova abordagem transfere essa responsabilidade para o sistema operativo que executa o seu dispositivo, como Windows, Mac ou Linux.
Ao abrigo da Digital Age Assurance Act da Califórnia(nova janela), os sistemas operativos têm de recolher a idade de um utilizador durante a configuração da conta e categorizar os utilizadores em grupos etários: menos de 13, 13 a 15, 16 a 17 ou 18 ou mais. Em vez de pedir a cada sítio web que verifique a idade de um utilizador, o sistema operativo do seu computador determina uma única vez a categoria etária do utilizador e depois partilha essa informação com as aplicações sempre que solicitado — indefinidamente.
Transferir a verificação da idade para os sistemas operativos não simplifica apenas a conformidade. Muda quem controla a identidade online.
Hoje, a maioria dos dispositivos móveis funciona com sistemas operativos controlados pela Apple e pela Google. Se a verificação da idade se tornar um requisito ao nível do SO, estas empresas passam efetivamente a controlar os sinais de idade usados em milhões de aplicações.
Os programadores deixariam de decidir como verificar os utilizadores. Em vez disso, seriam obrigados a confiar na classificação do sistema operativo. Na prática, isso significa confiar na infraestrutura da Apple ou da Google — e na sua interpretação dos requisitos regulamentares — para determinar quem pode aceder a quê.
Isto tem implicações que vão além da privacidade. Reforça o poder dos ecossistemas existentes de lojas de aplicações, onde ambas as empresas já controlam a distribuição e a aplicação de políticas. Acrescentar a verificação de identidade a essa estrutura consolida ainda mais a sua posição, prendendo os programadores aos seus ecossistemas e limitando a capacidade dos concorrentes de criar plataformas ou sistemas de identidade alternativos.
Isto também levanta questões sobre a forma como esta infraestrutura poderá ser usada para além do seu objetivo original. Quando os sistemas operativos puderem verificar e transmitir atributos como a idade, o mesmo mecanismo poderá ser alargado noutros países para impor controlos mais abrangentes.
Governos como os da China e da Rússia já mostraram vontade de exigir que as empresas restrinjam o acesso a aplicações e conteúdos. Os sistemas criados para a verificação da idade podem tornar-se a base de formas de controlo mais abrangentes.
Os defensores argumentam que isto pode simplificar a conformidade e reduzir a necessidade de as plataformas recolherem elas próprias dados sobre a idade. Os críticos dizem que isso arrisca transformar o próprio dispositivo num posto de controlo permanente da identidade. Ao abrigo da nova lei, todos os sistemas operativos serão obrigados a verificar a idade do utilizador durante a configuração(nova janela), podendo enviar esses dados por API aos programadores de aplicações sem o consentimento explícito do utilizador.
Os riscos para a privacidade das verificações centralizadas da idade
Os sistemas de verificação da idade variam bastante na forma como funcionam.
Carregar documentos de identidade pode expor os utilizadores ao risco de incidentes de segurança de dados, como se viu com plataformas como o Discord, onde os atacantes obtiveram acesso a milhares de documentos de identificação oficiais através de sistemas de verificação da idade.
Os sistemas biométricos levantam preocupações quanto à precisão e ao enviesamento. As digitalizações faciais, por exemplo, não conseguem determinar a idade exata de uma pessoa e podem conduzir a resultados imprecisos.
Centralizar os sinais de idade ao nível do sistema operativo introduz um risco diferente. Se atributos de identidade ficarem incorporados no software que executa um dispositivo, essa informação poderá moldar a forma como os utilizadores interagem com todo o ecossistema digital.
Por exemplo, em casas partilhadas por várias famílias, onde muitas pessoas usam o mesmo dispositivo, as aplicações podem restringir por engano o acesso a conteúdos com base no sinal de idade que recebem do sistema operativo, mesmo quando o utilizador é maior de idade. Da mesma forma, se um adulto registar o sistema operativo, as crianças que usam o dispositivo podem contornar facilmente o sinal de idade enviado pelo SO. Em alguns casos, os programadores podem enfrentar responsabilidade legal se não aplicarem corretamente as restrições etárias.
Conceber sistemas que respeitem a privacidade
Proteger as crianças online é um objetivo importante. Pais, educadores e decisores políticos têm preocupações legítimas com conteúdos nocivos, pressões das redes sociais e práticas de design exploradoras. Mas conceber salvaguardas para a internet não se resume a objetivos de política pública. Diz também respeito à arquitetura técnica.
Um sistema destinado a proteger menores não deve exigir que todos entreguem informações pessoais sensíveis para usar serviços online do dia a dia.
Em vez disso, leis abrangentes de privacidade podem ajudar a proteger as crianças(nova janela), preservando ao mesmo tempo a privacidade, a segurança e o acesso à informação para todos.
À medida que as políticas de verificação da idade continuam a evoluir, os sistemas que as aplicam ajudarão a determinar o aspeto da internet para a próxima geração. O que mais importa é quem controla os sistemas que tomam essas decisões.
