- A proteção de dados evolui com novas leis, decisões da AEPD e projetos como o Laboratório de Privacidade.
- Biometria, IA e verificação de idade online trazem riscos elevados para segurança, privacidade e igualdade.
- Carros conectados, geolocalização e redes sociais ampliam a vigilância e exigem mais educação digital.
- Ferramentas como gestores de senhas, carteira digital europeia e canais de ajuda reforçam a defesa do cidadão.
A segurança e a privacidade na internet deixaram de ser um assunto só de «techies» e passaram a fazer parte do dia a dia de qualquer pessoa que use um telemóvel, redes sociais, serviços públicos digitais ou o carro conectado. Entre leis cada vez mais exigentes, novas tecnologias como a inteligência artificial e a computação quântica, e empresas que querem recolher todos os dados possíveis, há recursos para impedir que o AVG rastreie seus dados de navegação, e o utilizador comum fica muitas vezes no meio deste fogo cruzado.
Ao mesmo tempo, governos, reguladores e especialistas em todo o mundo lançam alertas, criam normas e publicam recomendações para tentar equilibrar inovação, segurança e direitos fundamentais. Da verificação de idade nas redes sociais à biometria de projetos como Worldcoin, da geolocalização dos nossos dispositivos à forma como Google, Meta ou TikTok tratam os dados, há um movimento global para reforçar as proteções sem destruir o que torna a web útil e aberta, incluindo ferramentas de browser para bloquear rastreamento online.
Regulação, direitos digitais e papel das autoridades
Na última década, a União Europeia assumiu o protagonismo global na defesa da privacidade com o RGPD e um conjunto de leis digitais que tentam travar abusos das grandes plataformas. A filósofa Shoshana Zuboff, autora de «A era do capitalismo de vigilância», tem elogiado as iniciativas europeias e apela para que o bloco não ceda à pressão de gigantes tecnológicos nem a agendas políticas que relativizam a proteção de dados em nome da «inovação».
Em paralelo, muitos países latino-americanos – como Brasil, Colômbia e Chile – avançam em regulações próprias e em decisões corajosas contra empresas que recolhem dados biométricos em massa. Um exemplo simbólico é o caso da empresa ligada a Sam Altman (Worldcoin), que recolhia dados de íris em vários países; autoridades de proteção de dados suspenderam operações, exigiram apagamento de códigos biométricos e questionaram a base legal utilizada.
Em Espanha, a Agência Espanhola de Proteção de Dados (AEPD) tornou-se um ator central, não só aplicando sanções, mas também emitindo orientações, notas informativas e medidas cautelares rápidas contra práticas especialmente arriscadas. A AEPD bloqueou, por exemplo, funcionalidades eleitorais da Meta (Facebook e Instagram) por considerar que o tratamento planeado violava princípios de licitude, minimização e limitação do prazo de conservação, e que aumentaria perigosamente o perfilamento político dos utilizadores.
Outras medidas emblemáticas incluem a ordem cautelar para que o projeto Worldcoin cessasse imediatamente a recolha de dados biométricos em Espanha e bloqueasse os já obtidos, dado o alto risco para menores e a falta de garantias quanto ao consentimento e à possibilidade de retiro. A autoridade alemã BayLDA, em cooperação com a AEPD, acabou por exigir a eliminação de todos os códigos de íris guardados desde o início do projeto, além de impor que qualquer tratamento futuro de dados biométricos se baseie em consentimento explícito e permita o direito ao apagamento.
A própria legislação espanhola de proteção de dados (LOPDGDD) foi ajustada recentemente para alinhar melhor com o RGPD, redefinindo o «advertimento» como medida corretiva não sancionatória, alargando prazos de investigação e criando procedimentos mais ágeis como a mediação em conflitos de publicidade indesejada. O objetivo é responder ao aumento constante de reclamações, maior complexidade dos casos e necessidade de investigação também por meios digitais e remotos.
AEPD e Laboratório: conhecimento, inovação e apoio prático
Para além de multar, as autoridades estão a investir pesado em produção de conhecimento e ferramentas práticas; é o caso do Laboratório da AEPD, previsto no plano estratégico 2025‑2030, que quer ser um hub de reflexão, análise e cooperação em proteção de dados. Esta estrutura aposta em investigação aplicada, divulgação de boas práticas, apoio a projetos inovadores e diálogo com universidades, centros de investigação, fundações e profissionais.
Uma das iniciativas mais visíveis é a «Revista de Privacidad, Innovación y Tecnología», publicação científica que pretende aproximar o mundo académico, o setor tecnológico e o direito, discutindo desde tecnologias emergentes até modelos de governança de dados. A ideia é criar um espaço estável onde se possa debater com profundidade temas como IA, biometria, identidade digital e novas formas de vigilância.
O Laboratório inclui ainda o «Blog Lab», um espaço web de artigos assinados por especialistas externos, com políticas editoriais centradas no rigor, independência e ausência de conteúdo publicitário. A secção de «Novedades» acompanha projetos inovadores, relatórios técnicos, investigações aplicadas, eventos e iniciativas relevantes para profissionais e para o público em geral.
Para ajudar responsáveis e encarregados de tratamento a cumprir a lei, a AEPD lançou ferramentas online como «Gestiona RGPD» e «Evalúa-Riesgo RGPD», que orientam na gestão de tratamentos, avaliação de riscos, definição de medidas de segurança e realização de avaliações de impacto. A nova versão de Gestiona incorpora centenas de medidas categorizadas por risco, incluindo governança, segurança e gestão de violações de dados.
A Agência também criou um sistema interativo de ajuda com 11 secções temáticas e disponibilidade 24/7, que combina perguntas frequentes em linguagem acessível com a possibilidade de falar diretamente com um agente em horário laboral. Tudo isto sem necessidade de certificado digital, aumentando a acessibilidade, inclusive para pessoas com deficiência auditiva.
Menores, redes sociais e verificação de idade online
Um dos debates mais sensíveis hoje é o acesso de crianças e adolescentes a redes sociais, jogos online e conteúdos adultos, e o que fazer para reduzir riscos como ciberbullying, sexting, grooming ou exposição precoce a conteúdos violentos e sexuais. Vários governos estudam ou já aprovaram leis que proíbem redes sociais a menores de certa idade e obrigam as plataformas a verificar a idade dos utilizadores; alguns pais optam por bloquear o acesso a mensageiros e redes sociais como medida complementar.
França aprovou regras que limitam o acesso a redes a partir dos 15 anos, enquanto Espanha anunciou a intenção de proibir o uso de redes sociais por menores de 16 anos, acompanhando a tendência de países como Austrália, que já vetou plataformas como Facebook e Instagram para menores de 16. Outros Estados europeus, como Reino Unido e Alemanha, discutem medidas semelhantes, e alguns governos mexicanos e portugueses também começam a avaliar restrições.
Contudo, mais de 370 cientistas e especialistas em segurança e privacidade de 30 países publicaram uma carta aberta a pedir uma moratória na implementação de sistemas de verificação de idade em larga escala. Entre os signatários estão nomes como Ron Rivest (um dos pais da criptografia moderna) e investigadores de universidades espanholas e de centros como o Instituto Max Planck para Segurança e Privacidade.
O documento «Joint Statement of Security and Privacy Scientists and Researchers on Age Assurance» questiona dois pontos centrais: se os mecanismos de verificação de idade são realmente eficazes e quais danos podem causar à privacidade, à segurança e à autonomia de todas as pessoas, não apenas dos menores. Os especialistas lembram que, para controlar a idade, é preciso recolher algum tipo de dado de todos os utilizadores, o que cria um potencial de abuso, vigilância e discriminação em escala global.
São analisados vários métodos propostos: envio de foto do documento de identidade, reconhecimento facial, uso de cartão de crédito, inferência algorítmica baseada em comportamento, consentimento parental supervisionado e credenciais de identidade digital (as chamadas «wallets» europeias). Em todos os casos, apontam falhas técnicas, riscos de falsificação, enviesamentos e riscos sociais relevantes, desde exclusão digital até monitorização massiva.
Biometria, IA e riscos para segurança e privacidade
A biometria – como reconhecimento facial, leitura de íris ou voz – aparece cada vez mais como solução mágica para identificação e autenticação, mas o consenso de reguladores e especialistas é que se trata de um tipo de dado extremamente sensível e de alto risco. A AEPD sublinhou recentemente que a voz de uma pessoa é, em regra, dado pessoal, pois permite identificar direta ou indiretamente o indivíduo, sobretudo quando existem amostras de referência.
Serviços de transcrição por IA podem envolver dois tratamentos distintos: a transcrição em si (por exemplo, atas de reuniões) e o possível re-treinamento dos modelos com essas amostras de voz, muitas vezes conduzido pelo fornecedor do serviço. O responsável pelo tratamento deve verificar se há informação clara sobre usos adicionais, re-treinamento, localização dos dados, prazos de conservação, confidencialidade e minimização de metadados, cumprindo o artigo 28.º do RGPD.
Casos como o Worldcoin ilustram bem os perigos da biometria mal regulada: recolha em massa de dados de íris, falta de garantias para menores, armazenamento inseguro e dificuldades para exercer o direito ao apagamento. As medidas cautelares e as decisões das autoridades europeias obrigaram ao bloqueio de dados e à eliminação completa dos códigos biométricos gerados desde o início do projeto.
No campo da IA generativa, a autoridade britânica ICO identificou vários mal-entendidos recorrentes: tratar dados pessoais de forma «incidental» continua a ser tratamento de dados; o facto de uma prática ser comum não quer dizer que respeite expectativas razoáveis; e não existe qualquer «isenção especial para IA» na legislação de proteção de dados. Organizações que desenvolvem ou utilizam modelos generativos precisam de avaliar previamente se há dados pessoais no treino ou na utilização e garantir transparência, base legal adequada e respeito pelos direitos dos titulares.
A própria AEPD publicou textos explicando que métodos probabilísticos típicos de machine learning podem chocar com o princípio de exatidão do RGPD se não forem acompanhados de mecanismos robustos para detetar e corrigir erros em casos concretos. O tratamento de dados deve ser idóneo para a finalidade e tão pouco intrusivo quanto possível, e os resultados inferidos precisam de ser suficientemente precisos para não gerar decisões injustas ou discriminatórias.
Carros conectados, geolocalização e economia de dados
Os veículos modernos são verdadeiros computadores sobre rodas: registam como e quando conduzimos, para onde vamos, com quem viajamos, as rotas preferidas e até as apps que instalamos no sistema multimédia. Ferramentas para controlo de ligações, como ferramentas como Little Snitch, ajudam a limitar a saída de dados e a reduzir riscos de exposição; essa informação pode ser usada para melhorar a condução, ajustar o prémio do seguro, oferecer serviços personalizados ou, em cenários mais problemáticos, vendida a terceiros para publicidade segmentada ou outros fins menos transparentes.
Relatórios como os da Fundação Hermes alertam que muitos carros conectados dão acesso a dezenas de aplicações, enquanto o consumidor mantém pouco ou nenhum controlo sobre os dados gerados. Há ainda dispositivos obrigatórios de segurança (como alguns sistemas europeus previstos para 2026) que levantaram dúvidas sobre geolocalização; as autoridades esclareceram que, em certos casos, esses equipamentos só emitem posição quando ativados, mas o debate mostra a sensibilidade do tema.
Nos dispositivos móveis, a geolocalização é ao mesmo tempo utilíssima e perigosa; permite mapas, meteorologia em tempo real, serviços de transporte e entrega, mas também pode ser usada para criar perfis detalhados de hábitos, rotinas e relações pessoais. Combinados com outros dados, estes registos podem facilitar atividades fraudulentas, perseguição, roubo ou engenharia social altamente personalizada.
A recomendação básica dos especialistas é limitar permissões de localização às aplicações estritamente necessárias, rever regularmente as autorizações concedidas e evitar partilhar posição em tempo real nas redes sociais, sobretudo durante viagens e férias. Também se aconselha a desativar Wi‑Fi e Bluetooth quando não estiverem em uso, reduzindo o rasto digital emitido pelo telemóvel.
Além disso, ferramentas aparentemente inofensivas – como apps que transformam fotos pessoais em imagens estilo «Ghibli» ou filtros artísticos – podem pedir acesso total à galeria de imagens, o que significa expor fotos próprias e de terceiros, muitas vezes para fins de treino de algoritmos ou uso comercial não transparente. Ler políticas de privacidade, recusar acessos desnecessários e evitar serviços pouco conhecidos são passos essenciais para reduzir o risco.
Redes sociais, infância e reputação digital
As redes sociais tornaram-se o palco onde se partilham férias, jantares de Natal da empresa, fotos de família e praticamente qualquer momento da vida; porém, cada publicação contribui para construir uma reputação digital que pode pesar tanto ou mais que a reputação offline. Histórias de pessoas que perderam o emprego ou sofreram assédio devido a conteúdos antigos são um lembrete constante de que o que vai para a internet pode espalhar-se muito além do círculo de «amigos».
A AEPD insiste na importância de pensar duas vezes antes de publicar, configurar as opções de privacidade, limitar quem pode ver, comentar ou etiquetar, e nunca publicar dados como número de telefone, morada ou planos de férias. Divulgar que a casa está vazia é um convite para ladrões, e códigos de bilhetes ou cartões de embarque podem expor dados pessoais e de viagem.
Quando se trata de menores, o cuidado deve ser redobrado: qualquer foto ou vídeo de crianças deve ser partilhado apenas com o consentimento dos pais ou tutores, e, de preferência, em ambientes fechados e controlados. A exposição excessiva de crianças nas redes (o chamado «sharenting») já levou alguns governos a preparar regras específicas para limitar a exibição pública de menores e o eventual lucro dos pais com este tipo de conteúdo; também é recomendável saber como configurar um iPad para crianças e ajustar controles parentais.
Campanhas sob lemas como «Pensa antes de publicar» dirigem-se aos pais, lembrando que aquilo que hoje parece apenas «fofo» pode ser motivo de bullying, discriminação ou problemas laborais no futuro dos filhos. Em Espanha, o Governo prepara normas para responsabilizar plataformas e clarificar deveres dos adultos quando exploram a imagem dos menores online.
Universidades e centros educativos também entram em cena promovendo educação digital desde cedo, explicando aos jovens o que são ciberacoso, sexting, grooming ou engenharia social, e reforçando a mensagem de que não se deve partilhar localização, rotina ou aceitar contactos de desconhecidos. A Universidade de Saragoça, por exemplo, aderiu ao Pacto Digital para a Proteção das Pessoas e comprometeu‑se a integrar a privacidade como valor estrutural na sua atividade.
Cibercrime, phishing e fraudes online
Com a digitalização de pagamentos, reservas de viagens, compras online e serviços públicos, os ataques de phishing e outras fraudes dispararam, especialmente em épocas de férias, quando os utilizadores estão mais relaxados e usam mais o smartphone. Os criminosos enviam mensagens alarmistas ou demasiado vantajosas, tentando que a vítima clique num link ou abra um anexo para roubar credenciais bancárias ou dados pessoais; para mitigar riscos existem tutoriais sobre como bloquear sites sem precisar baixar programas.
As recomendações são conhecidas, mas continuam a ser desrespeitadas: desconfiar de mensagens urgentes, não clicar em links suspeitos, não fornecer dados pessoais ou bancários por email ou chat, e lembrar que bancos e serviços essenciais nunca pedem palavras‑passe por estes canais. Erros de gramática, traduções estranhas e mensagens genéricas como «Caro cliente» são pistas adicionais de fraude.
Para compras online, as autoridades de cibersegurança e proteção de dados aconselham usar apenas dispositivos atualizados e protegidos, evitar redes Wi‑Fi públicas para transações sensíveis, confirmar a identidade e a localização da loja virtual, e, se possível, utilizar uma cartão exclusivamente destinado a pagamentos online. Guias práticas explicam como verificar certificados digitais, políticas de devolução e sinais de sites fraudulentos.
Os ataques não se limitam ao correio eletrónico: aplicações de mensagens, redes sociais e até chamadas telefónicas automatizadas são usadas para enganar utilizadores, e em alguns casos combinadas com dados de geolocalização ou perfis construídos a partir de redes sociais para tornar a fraude mais convincente. A educação permanente dos utilizadores é vista como a melhor defesa.
Em paralelo, a Agência de Proteção de Dados espanhola promoveu um sistema de mediação via código de conduta de AUTOCONTROL para agilizar a resolução de reclamações sobre publicidade indesejada, oferecendo ao cidadão um mecanismo voluntário e gratuito. Isto procura reduzir a litigiosidade e incentivar boas práticas por parte das empresas aderentes.
Ferramentas de proteção: senhas, identidade digital e canais de ajuda
Um dos pilares básicos de segurança digital continua a ser a gestão de senhas, embora muitos utilizadores insistam em usar combinações óbvias como «123456» ou «111111», extremamente fáceis de adivinhar ou de quebrar por força bruta. As autoridades recomendam palavras‑passe longas (idealmente mais de 10 caracteres), que combinem maiúsculas, minúsculas, números e símbolos, evitando padrões previsíveis, informação pessoal ou expressões comuns.
Não reutilizar senhas entre serviços é outro conselho essencial; se uma base de dados for comprometida, o atacante poderá testar a mesma combinação noutras plataformas. Como é difícil lembrar dezenas de credenciais robustas, a solução prática é recorrer a um gestor de senhas fiável, protegido por uma «senha mestra» forte e, de preferência, complementado por autenticação multifator.
No plano da identidade digital, a iniciativa europeia eIDAS2 e a carteira europeia de identidade digital prometem oferecer aos cidadãos um meio seguro e interoperável de se identificar e assinar digitalmente em toda a UE. Esta carteira, em forma de app móvel, pretende dar mais controlo ao utilizador sobre quais atributos partilha em cada serviço (por exemplo, provar que é maior de 18 sem revelar a data exata de nascimento), alinhando‑se com o princípio do RGPD segundo o qual cada pessoa deve dominar os seus próprios dados.
Apesar do potencial, especialistas alertam que a infraestrutura ainda não está completamente implementada, e questões como revogação de credenciais, interoperabilidade fora da UE e riscos de centralização de dados continuam em aberto. É um campo em rápida evolução que exigirá supervisão contínua para não converter um instrumento de empoderamento num vetor de vigilância.
Para situações de emergência, a AEPD mantém um Canal Prioritário para solicitar a retirada urgente de conteúdos de natureza sexual ou violenta difundidos sem consentimento, sobretudo quando colocam em grave risco a integridade física ou mental das vítimas. Desde o lançamento, já foram ordenadas dezenas de remoções imediatas, complementando a atuação das forças de segurança e do Ministério Público.
A própria Agência também reforçou o apoio direto a cidadãos e responsáveis com canais de contacto, modelos normalizados de reclamação, orientações sobre exercício de direitos (acesso, retificação, apagamento, limitação, oposição e portabilidade) e guias específicas para administrações públicas, empresas e universidades. A meta é tornar o cumprimento da lei mais acessível e prático, em vez de uma selva burocrática.
No meio de tantas mudanças – desde os riscos da computação quântica para o HTTPS até às leis que regulam chamadas comerciais, cookies e espaços europeus de dados – a mensagem comum de especialistas, reguladores e organizações é que a tecnologia deve ser posta ao serviço das pessoas, com transparência, responsabilidade e controlo público, evitando que a promessa de inovação se transforme numa tirania silenciosa sobre a nossa vida privada.
