O Projeto de Lei nº 398/XVII/1 – “Estabelece medidas de proteção de crianças em ambientes digitais”, proposto pelo PSD, foi aprovado pela Assembleia da República no dia 12 de Fevereiro de 2026, estando actualmente a ser discutido na especialidade na Comissão Parlamentar para Assuntos Constitucionais, Direitos, Liberdades e Garantias, e simultaneamente em consulta pública.

A ISOC.PT pediu uma audição a esta comissão, tendo na altura referenciado as posições da ISOC sobre a verificação de idade online, e uma carta assinada por mais de 400 cientistas a alertar para riscos da verificação de idade online e da limitação do acesso de crianças e jovens a serviços digitais. Fomos convidados a participar num conjunto de audições no dia 5 de Maio de 2026, tendo sido representados pelo associado Nuno Guimarães.

Partilhamos aqui o texto que guiou a intervenção da ISOC.PT nesta audição. Apelamos ainda a todos os interessados que se revejam nestas posições para que participem a título individual na consulta pública, que provavelmente encerrará no próximo dia 15, data da audição dos regulados Google, Apple, Microsoft, Meta, APVP e AEPDV.

Texto Orientador da Intervenção da ISOC.PT na Audiência de 5 de Maio de 2026

Introdução

Este contributo expressa a posição do Capítulo Português da Internet Society (ISOC PT) sobre o Projecto de Lei em epígrafe, que pretende estabelecer medidas de proteção de crianças em ambientes digitais. A posição integra a posição da Internet Society global, posições expressas na comunidade científica próxima da atividade da ISOC PT, conhecimento sobre abordagens ao problema na União Europeia/Comissão Europeia, e posições sobre a adequação, necessidade e proporcionalidade dos mecanismos propostos. Subjacente a esta análise está o reconhecimento da importância do problema e a partilha das preocupações que fundamentam o Projecto de Lei. Está também subjacente a noção de que o espaço digital que se procura tornar seguro é um sistema móvel e dominado por atores que, tendo em conta os juízos e decisões de tribunais e entidades reguladoras à escala global, não se caracterizam sempre por bom comportamento e primado da ética.
Assumimos ainda que se deve atualmente separar a necessidade de proteção de crianças em ambientes digitais em duas áreas, a saber (i) uma relativa a conteúdos nocivos a qual deve centrar-se na imposição da moderação de conteúdos e em respostas contra-ordenacionais ou mesmo criminais, e (ii) a relativa aos problemas de saúde mental e as suas causas atribuíveis ao uso de redes sociais (ver aqui e aqui). As seções 2, 3 e 4 são essencialmente informativas e reflectem as posições e experiências próximas acima mencionadas. A secção 5 concentra-se no Projeto de Lei e aponta aspetos que consideramos relevantes no que se refere a (i) Especificação funcional e requisitos técnicos da verificação de idade (ii) enquadramento legistativo e administrativo (alguns exemplos) – relacionados com a o espaço digital (iii) aspetos jurídicos
complementares.

Posição da ISOC.org on Age Verification – Guiding Principles and Recommendations

[extrato final]
Protect People’s Privacy and Security

  • Age assurance providers must comply with data minimization and data security law and best practices.
  • Independent oversight is essential to guard against data misuse and guarantee accountability.
  • Data should only be shared when online services have a valid reason to check user age.
  • Only the age or age range of a user should be shared with online services.
  • No personally identifiable data should be stored to comply with age restriction policies.
  • Age check providers should not be able to track your online activity


Ensure Accessibility for All Users

  • Age check methods must be evaluated for accessibility.
  • People must have a variety of options to complete mandatory age checks.
  • Age, disability, race, and other characteristics must not affect a person’s ability to complete an age check or its accuracy.
  • Limit the frequency of age checks to improve usability, especially when Internet connections are slow or unreliable.


Protect Open and Global Online Participation

  • Age check requirements should be guided by global standards for user -friendly design, reliable verification, and strong default security protections including encryption.
  • Age check technologies must be interoperable across jurisdictions to uphold the principle of an open and global Internet accessible to everyone, everywhere.
  • Acceptable age checks must be globally accessible in terms of hardware, Internet connection, and access to an ID or financial account for travellers and across regions.

Scientists Group Statement on Age Verification

[extrato final]

Deployment is not justified unless it is proven that the benefits greatly outweigh the harms. Beyond technical issues, there is no scientific evidence to support the assumption that banning minors from accessing services would have a positive effect on their mental health and development. Given the potential risks and available alternatives, deploying a technology with such wide impact without understanding its implications for the online security and privacy of individuals, communities, and societies cannot be called a proportional solution.
If children and adults are to be protected from harm, it is of utmost importance that an in-depth study of the harms and broader consequences of age-based checks is conducted before mandating this technology at Internet-scale. Deployments in the UK or Australia, and the introduction of age checks by main providers calls for systematically studying the benefits and harms of this technological intervention.
In the meantime, we encourage the exploration of alternative measures, especially those that tackle the root of the harm. Many of the harms that age-based checks are supposed to address are caused by algorithmic practices of social networks; hence, regulating those practices to prevent users from being exposed to harmful content would be more directly effective than circumventable access control checks, and would also promote safer services for children and adults. Other avenues to explore include dedicating resources to improve the support for parents to locally prevent access to non-age-appropriate content or apps, without age-based control needing to be implemented by service providers. Neste contexto deve ainda ser avaliado o resultado extenso apresentado pelo Governo Australiano1.

UE, verificação digital de idade e proteção de crianças

Sobre o Projecto de Lei em causa

  • Comentário da Comissão Europeia sobre um teste piloto de uma implementação de referência realizado em 3-5 países, durante um ano2,
  • A implementação da UE (App UE) foi hackeada sem privilégio de administrador em menos de 24 horas, com um ataque que qualquer um pode fazer com facilidade3. O desenho evidenciou falhas e a implementação também.  A App UE não requer controlo de acesso no dispositivo, o que leva a que uma pessoa possa usar a verificação de idade de outra que se tenha “verificado” como maior antes.
  • Desenho actual da app faz verificação no dispositivo do utilizador, o que facilita muito a manipulação do sistema. Não há solução para muitos casos de pessoas que não tenham documentos Europeus ou válidos por alguma razão. É fácil dar a volta com uma VPN4.
  • Posição recente (29.Abril) da Comissão Europeia sobre o comportamento da Meta (Facebook & Instagram) face ao problema da proteção das crianças “Commission preliminarily finds Meta in breach of Digital Services Act”5

Cenário
A Lei agora Projecto entra em vigor e todas as contas actualmente existentes nas plataformas e serviços elencados deveriam ser verificadas quanto à idade pelos utilizadores que acedam às plataformas (em Portugal ?!), proibindo o acesso de menores de 13 anos a redes sociais, jogos, etc. e proibindo o acesso a menores de 16 anos excepto com autorização dos pais.

  • Causa problemas de privacidade, sendo extremamente difícil implementar um sistema que garanta a autenticação e a privacidade. Um certificado com idade apenas não bastará – a localização geográfica, nacionalidade e ou residência, a identidade dos pais, ou outras, depressa se tornarão necessárias.
  • Qualquer necessidade de autenticação biométrica vai levar a um maior uso de sistemas biométricos, aumentando possibilidades de vazamento (leak) de dados e roubo de identidade.
  • Há muitas pessoas que, em diversas situações, podem não ter documento válido para se autenticar numa dada geografia, e.g. porque são turistas, ou refugiados, nómadas digitais.
  • Limita o acesso a plataformas que são usadas maioritariamente para outros fins, mesmo pelos jovens. Para muitos, é a maneira de comunicarem com os seus amigos, uma vez que as ruas podem não dar segurança física ou opções de mobilidade para se encontrarem fisicamente. É também uma maneira de se expressarem e de encontrarem pessoas com afinidades, o que é especialmente importante para grupos menos mainstream. Em contrapartida, os comportamentos
    aditivos não são exclusivo de um conjunto determinado de plataformas e serviços.
  • As definições de serviços no Projecto de Lei são estáticas e as funcionalidades dos serviços são dinâmicas. Os sistemas de mensagens como Whatsapp ou Telegram podem evoluir para, ou são já, redes sociais e distribuidoras de conteúdos em massa. Uma classificação destes tipo como a do Projecto de Lei (art.º 2º) deveria, quando muito, ser dinâmica e atualizável por orientação/decisão da entidade reguladora.
  • A Projecto de Lei coloca o ónus no utilizador, quando este deveria estar nas plataformas, que deveriam alterar os algoritmos para não causarem adição, e para ter conteúdos que não violem as regras de convivência em sociedade, para toda a gente e não só para crianças.
  • Projeto menciona a chave móvel digital (CMD) como mecanismo base, existindo ~4.4M utilizadores ativos de CMD6 , face a 7,5M de utiizadores de redes sociais (contas)7 Muitos utilizadores que passam grandes períodos de tempo em Portugal não têm. Os cerca de 30 milhões de turistas (não residentes) anuais não CMD.
  • Baseia-se no pressuposto de que toda a gente tem um smartphone, o que não é garantido (idosos, pessoas em desvantagem económica, …). Pode impedir usos menos comuns de redes sociais. Caso de uso, que poderia até ser recomendado: Uma criança não tem telemóvel mas pode aceder a redes sociais num PC em casa em períodos regulados pelos pais. Como se vai autenticar? Qualquer pessoa que aceda a redes sociais num computador não precisa de ter número de telemóvel. Com este DL, passa a ter de ter um número de telemóvel.
  • A responsabilidade das empresas de redes sociais não deveria ser diluída por uma  proibição que as liberta de qq controlo sobre conteúdos nocivos e interfaces viciantes.
  • A informação certificada sobre a idade dos utilizadores é um ativo digital para gestão de conteúdos dirigidos, quer comerciais, quer culturais, quer políticos.

Enquadramento legislativo e administrativo (alguns exemplos)

O Projecto de Lei põe em causa, de princípio e de facto, o acesso universal e não discriminatório à Internet em geral, criando uma exceção desproporcional aos princípios expressos na Carta dos Direitos Humanosna Era digital) (Lei 27/2021 de 17 de Maio).
O Projecto de Lei concorre com o DSA (Regulamento de Serviços Digitais) que ainda não foi explorado (artigo 28º dedicado ao tema mas não invocado até agora,como o relatório da Anacom8 (2024) ilustra). Notemos que a proibição da disponibilização de serviços digitais se aplica a empresas com sede na Irlanda, sujeitas à lei europeia (e irlandesa quando muito) e a um DSA com aplicabilidade direta pelos tribunais portugueses de onde será de prever uma litigância muito intensa no TJUE.

O Projecto de Lei não prevê a adopção, por parte das entidades públicas ou concessionárias de serviços públicos (Governo, Autarquias, Escolas Básicas e Secundárias, estabelecimentos de Saúde, etc..), de práticas de desconexão e limitação do uso das plataformas e serviços que agora se intentam proibir, esquecendo o valor do exemplo e do compromisso público com as gerações mais novas. Exemplo da diferença de perspectiva entre o Projecto de Lei e entidades públicas é a posição promotora da literacia digital da CGD onde se lê “Conta para menor de 18 anos: como abrir e quais as vantagens”9

Aspectos jurídicos complementares

A noção de “maioridade digital” – art.º 4º b) do Projecto de Lei é um conceito que criará mais indeterminação do que efeitos positivos. O conceito tal como proposto é essencialmente uma “idade mínima para acesso a certos serviços” (como a carta de motorizada) e em nada aproveita um conceito que não corresponde à maoridade no mundo físico (tanto mais que as restrições legais à capacidade de exercício também existem no mundo digital). Parece incongruente ter atingido a “maoridade digital” e não ser maior, no mundo digital. Note-se que não é referido ao longo do texto proposto.
A ampliação do âmbito das responsabilidades parentais ao mundo digital é legítima mas, nos termos indefinidos do Projecto de Lei e num contexto de verificação sistemática de idade e de necessidade de autorização é, no mínimo complexa. No atual quadro, uma ampliação da responsabilidades parentais com esta configuração teria alguma probabilidade de gerar um afluxo significativo aos tribunais, expectativa a confirmar pelo MP ou CSM.
O Projecto de Lei parece limitar os mecanismos da sua aplicação (enforcement) ao Governo e ás entidades reguladoras mencionadas (CNPD e ANACOM) – art.º 13º, 14º e 15º. O registo de efetividade destas entidades, seja porque razões for, é fraco. Um Projecto de Lei neste âmbito da proteção de crianças, com um quadro regulatório e sancionatório (e.g. contra-ordenacional) como o que temos, deveria abrir a possibilidade de aplicação privada (private enforcement) ao abrigo do Decreto -Lei n.º 114-A/2023 de 5 de dezembro que transpõe a Diretiva (UE) 2020/1828 relativa a ações coletivas para proteção dos interesses dos consumidores.

Conclusão

  • A solução tecnológica para verificação de idade online é complexa e dificilmente resolve um problema
    social e regulatório,
  • Projecto de Lei preconiza uma solução que não é eficaz para a a proteção das crianças em ambiente
    digital, não é necessária porque se devem preconizar outras socialmente menos gravosas e é
    desproporcional se impor a toda a sociedade,
  • Projecto de Lei coloca o ónus nos utilizadores de um espaço digital que se quer são, iliba os maus
    atores da responsabilidade perante os indivíduos e a sociedade e gera riscos e dependências
    acrescidas para todos,
  • Projecto de Lei ignora ou concorre com o quadro regulatório e sancionatório da União Europeia e
    arrisca a suia propria ineficácia face aos Regulamentos (digitais) em vigor,
  • Projecto de Lei esquece a responsabilidade social do Estado e das entidades públicas na formação de
    boas práticas e proteção das crianças,
  • Projecto de Lei não promove a auto-proteção da sociedade civil através do reforço da capacidade de
    ação coletiva, no quadro regulatório europeu que se deve reforçar e não fragmentar.

  1. https://ageassurance.com.au/report/ ↩︎
  2. https://digital-strategy.ec.europa.eu/en/faqs/eu-age-verification-solution ↩︎
  3. https://www.politico.eu/article/eu-brussels-launched-age-checking-app-hackers-say-took-them-2-minutes-break-it/ ↩︎
  4. https://www.techpolicy.press/the-eus-age-verification-fix-creates-more-problems-than-it-solves/ ↩︎
  5. https://ec.europa.eu/commission/presscorner/home/en ↩︎
  6. https://www.autenticacao.gov.pt/estatisticas-de-chave-movel-digital ↩︎
  7. https://www.apdc.pt/noticias/atualidade-nacional/mais-de-75-milhoes-de-portugueses-usam-redes-sociais-
    semanalmente (2026-03-18)     ↩︎
  8. https://anacom.pt/render.jsp?contentId=1813624 ↩︎
  9. https://www.cgd.pt/Site/Saldo-Positivo/o-banco-e-eu/Pages/abrir-conta-bancaria-menor.aspx ↩︎