Resumo: Os esforços da Europa para proteger as crianças online colidem com a sua arquitectura de privacidade. Derrogação do CSA voluntário de ePrivacy em 3 de abril, depois que o Parlamento decidiu 311-228 rejeitar sua extensão, o aplicativo de verificação da nova era da UE anunciado em 15 de abril foi hackeado em menos de dois minutos e o Regulamento CSA (“Controle de bate-papo”) permanece em teste com o prazo de julho. O TEDH decidiu que a criptografia viola os direitos fundamentais, enquanto o GDPR, o DSA e o CSA propuseram legislação, cada um exigindo saber se uma criança é um usuário, o que por si só exige a coleta de dados que a lei de privacidade diz que não podem ser coletados sobre crianças.
Em 3 de abril, o Parlamento Europeu votou 311 a 228 para expirar a revogação da privacidade eletrônica. Essa derrogação permitiu que plataformas como Meta, Google e Microsoft verificassem automaticamente mensagens privadas em busca de material de abuso sexual infantil sem violar a lei de privacidade da UE. Com essa queda, a base do direito desapareceu dessas pesquisas. Doze dias depois, a Comissão Europeia anunciou uma nova aplicação de verificação de idade que preserva a privacidade, concebida para proteger as crianças online. Os pesquisadores cortaram-no em duas partes minúsculas. Entre a lei concluída e a aplicação quebrada está todo o problema: a Europa quer proteger as crianças da exploração electrónica, mas todas as ferramentas que constrói para o fazer vão de encontro à arquitectura de privacidade que vem construindo há décadas. O resultado é um sistema de controlo em guerra consigo mesmo, onde os mecanismos para encontrar os abusadores exigem a recolha exacta dos dados que a legislação da UE diz que não podem ser recolhidos sobre as crianças.
Lacuna narrativa
A revogação da privacidade eletrônica foi introduzida em 2021 como um paliativo. A Comissão Europeia propôs um Regulamento sobre Abuso Infantil, formalmente conhecido como Regulamento CSA e informalmente conhecido como Controle de Chat, para exigir que as plataformas detectem e relatem CSA em mensagens privadas criptografadas de ponta a ponta. A regulamentação voluntária deveria substituí-lo dentro de três anos. Ele não fez isso. Os trílogos têm sido negociados entre o Parlamento, o Conselho e a Comissão desde 2022, estando a próxima reunião marcada para 4 de maio e tendo como objetivo um acordo político alcançado até julho. Entretanto, a derrogação expirou. O Centro Nacional para Crianças Desaparecidas e Extintas nos Estados Unidos, que processou muitos dos relatórios globais do CSM, alertou para uma queda mensurável nos relatórios das plataformas europeias. O objetivo foi confirmado pelo voluntário olhando para a UE. A posição do Parlamento é que a derrogação é incompatível com o direito fundamental à privacidade das comunicações. Organizações de protecção da criança foram criadas porque o parlamento acaba de criar plataformas legais para ignorar o abuso de material existente nos seus sistemas.
O regulamento CSA proposto pela Comissão exigiria que as plataformas detectassem novas ordens em todo o centro da UE a partir de mensagens em escala para CSAM conhecidas, novas CSAM e ações comportamentais. O Parlamento eliminou os elementos mais importantes: rejeitou mensagens criptografadas transparentes de ponta a ponta, limitou a detecção à tecnologia necessária para identificar coisas e excluiu comunicações em tempo real. O conselho, liderado por um presidente rotativo, tem pressionado por uma abordagem mais rigorosa à aplicação da lei, analisando de forma mais ampla os recursos que possui para resolver questões desconhecidas e desconhecidas. A distância entre dois locais não deve ser tratada separadamente. A principal divergência é sobre se as comunicações privadas podem ser sistematicamente monitorizadas para proteger as crianças, e o Tribunal Europeu dos Direitos Humanos já indicou a sua posição.
Parede de criptografia
Espaço TNW City Coworking – onde o melhor trabalho é feito
Um espaço de trabalho para crescimento, colaboração e oportunidades infinitas de networking no coração da tecnologia.
Em fevereiro, o TEDH decidiu no caso Podchasov v. Rússia, exigir que as plataformas violem a encriptação de ponta a ponta ou que o back-end viola o artigo 8.º da Convenção Europeia dos Direitos Humanos, o direito ao respeito pela vida privada e pela correspondência. O piloto na lei russa tinha como objectivo forçar os serviços noticiosos a fornecerem chaves de desencriptação ao FSB, mas a sua lógica é directamente aplicável às ordens de detecção propostas pelo Regulamento CSA. Se a plataforma não puder digitalizar mensagens encriptadas sem minar a encriptação e minar a encriptação violando os direitos fundamentais, o controlo não pode ditar o que os seus autores pretendiam ditar. O presidente da Insignia, Meredith Whittaker, disse que abandonaria a regulamentação da UE em vez de cumprir qualquer lei que buscasse consertar seu protocolo de criptografia. A Apple desativou seu recurso de proteção avançada de dados para usuários no Reino Unido depois que o governo britânico emitiu um aviso de poder técnico sob a Lei de Poderes de Pesquisa exigindo acesso backdoor aos dados do iCloud. A criptografia não é mais uma discussão teórica. As empresas já estão a tomar decisões em jurisdições onde os governos exigem acesso a comunicações privadas.
O Comité Europeu para a Proteção de Dados e a Autoridade Europeia para a Proteção de Dados emitiram pareceres alertando que o Regulamento CSA proposto pela Comissão é desproporcional e incompatível com os direitos fundamentais da UE. A AEPD sinaliza especificamente a varredura do lado do cliente, técnica que é proposta como alternativa para quebrar a criptografia, o conteúdo dos dispositivos antes de ser criptografado, ainda cria vigilância em massa, pois cada mensagem vai para identificar o errado. A distinção entre a visualização antes da encriptação e depois da encriptação é tecnicamente significativa, mas juridicamente imaterial se o resultado for que cada mensagem privada seja analisada por um sistema automatizado. A posição parlamentar do tratado reflecte esta análise. não se reconciliar.
Na era do paradoxo da verificação
Enquanto estagnavam na organização CSA, membros individuais do estado impuseram restrições de idade. A França proíbe crianças menores de 15 anos de acessar as redes sociais sem o consentimento dos pais. Ele colocou 16 no limiar da Espanha. Grécia promoverá redes sociais para menores de 15 anos a partir de 2027. Limiar da Áustria 14 Noruega planeja proibir mídias sociais para menores de 16 anos e é urgentemente necessário um sistema nacional de idade para desenvolvê-lo. A Europa está a ultrapassar os limites da era das redes sociais emitiu centenas de leis nacionais sem um mecanismo comum de aplicação, o que deveria resolver o próprio problema da era da verificação europeia.
A comissão do aplicativo, anunciada no dia 15 de abril, para verificar a idade do usuário sem que sua identidade seja revelada na plataforma, um sistema zero científico que confirma que alguém é responsável por determinado limite de idade sem dar nascimento, nome ou quaisquer outros dados pessoais. É proposta uma solução técnica para o paradoxo da verificação da idade sem recolha de informação sobre a idade. Os investigadores de segurança demonstraram, dois minutos após o pagamento, que o processo de verificação da aplicação poderia ser contornado, minando a credibilidade de uma das ferramentas que a Comissão ofereceu como prova de que a proteção da privacidade da segurança infantil é tecnicamente possível. O O novo aplicativo de verificação de idade que preserva a privacidade da UE Pretende-se demonstrar que o compromisso entre a protecção da criança e a minimização dos dados pode ser resolvido por ele. O seu fracasso imediato demonstrou ser o oposto.
Conflito jurídico
A Lei dos Serviços Digitais, que entrou em plena aplicação em 2024, exige que as plataformas avaliem e mitiguem os riscos sistémicos para os menores nos termos do artigo 28.º, incluindo a exposição a conteúdos nocivos, a manipulação através da conceção de interfaces e o tratamento de dados pessoais de forma a explorar as vulnerabilidades das crianças. As plataformas DSA instruem-nos a implementar proteções adequadas, mas não definem como as plataformas determinam a idade do utilizador. O GDPR estabelece a idade de consentimento digital em 16 anos, com os estados membros autorizados a reduzi-la para 13 anos, e exige o consentimento dos pais para processar dados de crianças abaixo desse limite. O GDPR visa cada vez mais as violações de dados de crianças, com os reguladores em toda a Europa tratando a privacidade das crianças como uma prioridade de aplicação. No entanto, para implementar proteções, o site deve primeiro determinar quem é criança e quem é criança, coletando ou inferindo informações pessoais sobre qualquer usuário, entre os adultos que têm o direito de não serem restringidos por idade.
Esta é uma circulação no meio do quadro de segurança infantil da Europa. O GDPR diz que não é possível processar informações de crianças sem maiores proteções. A DSA diz que as crianças devem ser mantidas fora de perigo. A regra CSA diz que você deve detectar material abusivo em mensagens privadas. Cada obrigação exige saber se o determinado usuário é uma criança. Saber se determinado utilizador é uma criança requer o tratamento de dados pessoais. O tratamento dos seus dados pessoais para determinar a sua idade pode violar os princípios de minimização de dados, que o RGPD inclui. O aplicativo de verificação de idade deveria cortar esse nó. Estava quebrado na chegada. A isenção da privacidade eletrônica deveria ganhar tempo para a regulamentação do CSA. Ele expirou sem ser substituído. O acordo CSA deveria criar uma estrutura harmoniosa. Resta entre o parlamento estagnado que não aceitará a custódia em massa e o Conselho que não aceitará o regulamento sem poderes de inspeção.
Na meta de julho
Em julho, um trílogo de negociadores estabeleceu um acordo político formal sobre o Regulamento CSA. Propostas de compromisso que circulam em Bruxelas para fazer coincidir a prisão de plataformas não criptografadas e usuários de dados Csam, com uma cláusula de revisão que poderia aumentar o escopo se a tecnologia melhorar. Os sites criptografados são obrigados a relatar quando o Csam é detectado, analisando relatórios ou metadados do usuário, mas não visualizando o conteúdo. O Centro da UE para a Prevenção do Abuso Sexual Infantil organiza referências cruzadas e download de bases de dados. Se este compromisso pode ser mantido é incerto. As agências responsáveis pela aplicação da lei em toda a Europa têm feito lobby fortemente para uma supervisão mais ampla, argumentando que as mensagens encriptadas são o principal canal de distribuição para o abuso material e que tornam o regulamento em grande parte simbólico. Os defensores da privacidade argumentam que qualquer infra-estrutura de visualização obrigatória, uma vez construída, será inevitavelmente alargada a outras categorias de conteúdos ilegais, uma ladeira escorregadia que a CEDH foi concebida para governar em Podchasov.
A avaliação correcta é que a Europa não resolveu a tensão entre a segurança infantil e a privacidade, porque a tensão não pode ser resolvida apenas através da regulamentação. As ferramentas que protegem as crianças, a análise de mensagens sobre abuso material, a verificação da idade antes do acesso, as interações em grande escala em formas de culto, todas exigem capacidades limitadas que a legislação europeia proíbe. O membro afirma que agiu unilateralmente com proibições de idade, sem um mecanismo confiável para fazê-lo. A tecnologia de verificação de idade da comissão falhou no seu primeiro teste público. O Parlamento eliminou o único instrumento legítimo que permitia o escrutínio voluntário. O regulamento, que se supõe ser assumido, continua a ser, após quatro anos de negociação, um documento com o qual ninguém consegue chegar a acordo, porque duas coisas devem ser protegidas, a segurança das crianças e a privacidade de todos, coisas contrárias que exigem da mesma infra-estrutura.
