O “Chat Control” é um projeto de regulamento da UE (proposto pela Comissão em 11 de maio de 2022) que estabeleceria um quadro jurídico para detetar, denunciar e remover material de abuso sexual de crianças (CSAM) online. Na sua forma mais controversa, obrigaria aplicações de mensagens e serviços online a analisar automaticamente aquilo que os utilizadores enviam — textos, imagens, vídeos — incluindo conversas destinadas a permanecer privadas e com encriptação ponta a ponta. Tecnicamente, desloca a vigilância para a origem: no próprio dispositivo, antes de a encriptação proteger as mensagens (“varrimento no lado do cliente”, ou CSS). As autoridades de proteção de dados e o Serviço Jurídico do Conselho consideram esta abordagem problemática, por equivaler a buscas generalizadas sem suspeita individual prévia.

Na prática, a aplicação de mensagens integra um módulo que calcula uma “impressão digital” (hash perceptivo) para cada imagem ou analisa cada mensagem antes do envio, comparando o resultado com bases de referência (catálogos de hashes de CSAM, listas de padrões, modelos de aprendizagem automática). Se o algoritmo “entender” que há correspondência com conteúdo proibido, cria um relatório e aciona uma cadeia de alertas para um centro designado ou para as autoridades. O problema é de princípio e de prática: em princípio, é-se vigiado constantemente sem ligação a uma investigação; na prática, estes sistemas não são perfeitos nem neutros. A investigação mostra vulnerabilidades estruturais: atacantes podem produzir falsos positivos em massa, envenenar conjuntos de hashes ou esconder um “objetivo secundário” (por exemplo, reconhecimento facial direcionado) num esquema de hashing supostamente limitado ao CSAM. Os erros acontecem e têm consequências humanas (encerramento de contas, investigações indevidas). Já em 2022 se viu isto: a Google denunciou pais que tiraram fotos médicas dos filhos a pedido do médico; as contas foram encerradas e a suspeita permaneceu apesar de os casos terem sido arquivados.

O problema central é o sigilo das comunicações e a proteção de dados. A Carta dos Direitos Fundamentais da UE (arts. 7.º e 8.º) e a CEDH (art. 8.º) protegem a privacidade e a integridade das comunicações. O TJUE tem repetidamente anulado mecanismos de vigilância generalizada e indiscriminada — mesmo com objetivos legítimos — por não serem direcionados nem proporcionais (Digital Rights Ireland, Tele2 Sverige). Em suma: não se pode rastrear toda uma população “por via das dúvidas”. O EDPB e o EDPS alertaram expressamente que a proposta, tal como redigida, varreria praticamente todas as comunicações, arrefecendo a liberdade de expressão (jornalistas, ONG, profissões protegidas).

Vários sinais fortes sugerem que não, se impuser deteção indiscriminada. O Serviço Jurídico do Conselho sublinhou o impacto nos direitos fundamentais de analisar conteúdo interpessoal sem direcionamento. O Parlamento (via comissão LIBE) votou, em novembro de 2023, contra o rastreio em massa e pela proteção explícita da encriptação ponta a ponta. Isto não significa que a deteção seja impossível, mas tem de ser estritamente direcionada, proporcional e sujeita a forte controlo judicial. Qualquer solução que contorne a encriptação através de varrimento sistemático no dispositivo colide com estes princípios.

Um regulamento é um ato legislativo da UE (art. 288 TFUE) de alcance geral, vinculativo em todos os seus elementos e diretamente aplicável em todos os Estados-Membros. Ao contrário de uma diretiva, não precisa de transposição nacional: aplica-se tal como está, ao mesmo tempo e da mesma forma em todo o lado. A UE usa-o quando pretende uma regra uniforme para todo o mercado e para todos os cidadãos.

A Comissão apresenta a proposta. Depois, é co-decidida pelo Parlamento Europeu (eurodeputados eleitos) e pelo Conselho da UE (ministros dos Estados-Membros) no âmbito do procedimento legislativo ordinário. Na prática, isto significa leituras sucessivas, emendas e, muitas vezes, “trílogos” entre Comissão–Conselho–Parlamento. Se Parlamento e Conselho não adotarem o mesmo texto, não passa. O resultado final é, portanto, um compromisso político entre governos e representantes eleitos.

Após a proposta de 2022, o dossier encontrou vários bloqueios políticos em 2024. Desde julho de 2025, sob a presidência dinamarquesa do Conselho, voltou a ganhar ritmo: a imprensa especializada relata o objetivo político de fechar um acordo no outono, com uma data mencionada para votação em torno de 14 de outubro de 2025 e posições a endurecer em setembro. Nada está decidido: a posição do Parlamento protege a E2EE e, no Conselho, o equilíbrio oscila com coligações nacionais; algumas capitais já formaram “minorias de bloqueio” no passado. O calendário acelera e os compromissos técnicos (adesão voluntária ao rastreio? limitar a imagens conhecidas? excluir grooming?) continuam litigiosos.

O equilíbrio de forças no Conselho mudou desde julho de 2025. Sob presidência dinamarquesa, um novo texto — largamente inspirado nos compromissos belga e húngaro de 2024 — volta a pôr em cima da mesa o rastreio obrigatório (incluindo antes da encriptação) e uma categorização de risco por serviço. Um relato interno da reunião do grupo “aplicação da lei”, de 11 de julho de 2025, divulgado pela netzpolitik.org, resume: uma maioria de países “pode viver” com a proposta dinamarquesa, mantém-se uma minoria de bloqueio e alguns indecisos decisivos (Alemanha, França, Bélgica, Finlândia, Luxemburgo, Estónia, Chéquia, etc.) têm muito peso.

Visualmente, o mapa de julho de 2025 publicado pelo eurodeputado Patrick Breyer mostra de relance que governos estão “favoráveis”, “opostos/neurtais” ou “indecisos”. É uma fotografia ativista, mas útil para localizar o seu país.

Países explicitamente “favoráveis” em 11/07 (ou positivos face ao texto dinamarquês) … Itália, Espanha, Hungria, Letónia, Lituânia, Chipre, Croácia, Suécia (governo favorável, carece de luz verde parlamentar), Dinamarca (autora do texto). A França declarou estar pronta para “apoiar em princípio” o texto, nomeadamente a renovação do regime transitório, o que a coloca atualmente entre os mais favoráveis. Portugal é “muito positivo”, mas mantém reservas sobre a parte da encriptação.
Países “opostos” (ou formalmente críticos em pontos-chave) … Polónia (rejeita o rastreio obrigatório e a inclusão da E2EE, assinala riscos para a cibersegurança e a invalidade do “consentimento” forçado), Áustria (vinculada por uma posição parlamentar firme contra CSS e o enfraquecimento da encriptação), Países Baixos (fortes preocupações sobre “ordens de deteção” e CSS). Eslovénia e Luxemburgo exprimem sérias dúvidas sobre proporcionalidade e varrimento no dispositivo.
“Indecisos / em análise” (ou internamente divididos) … Alemanha (nova coligação ainda a arbitrar, historicamente oposta ao rastreio de E2EE), Bélgica (“política interna difícil” sobre encriptação após o compromisso de 2024), Estónia (divisão interna segurança vs. proteção de dados quanto ao CSS), Finlândia (texto “bastante problemático”, em análise), Chéquia (época eleitoral, posição pendente), Irlanda (acolhe salvaguardas de cibersegurança, mas mantém cautela), Eslováquia (positiva na ambição, mas aberta a contra-argumentos), Roménia (não citada nesse relato específico). Estas nuances contam: o Serviço Jurídico do Conselho continua a considerar o CSS contrário aos direitos fundamentais, o que pesa nos indecisos.

Em última análise: a adoção depende de um punhado de capitais (Paris, Berlim, Bruxelas, Helsínquia, Luxemburgo, Praga, Dublin). E mesmo entre os “favoráveis”, vários parlamentos nacionais poderão impor salvaguardas. Para uma visão geral, ver o mapa de julho de 2025 (indicativo).

Apple. Em 2022 abandonou o plano de deteção de CSAM no iCloud Photos (análise no dispositivo), decisão saudada por defensores da encriptação. Desde então tem enfatizado o reforço da E2EE (Advanced Data Protection). Isto continua incompatível com CSS generalizado; a empresa privilegia segurança sistémica em vez de varrimento por IA nos dispositivos.

Meta / WhatsApp. Posição pública consistente: sem backdoors e sem varrimento imposto que enfraqueça a E2EE. Will Cathcart reiterou que a app não “quebrará” a encriptação — mensagens semelhantes nos debates no RU/UE. A imprensa técnica observa que o CSS mina a alegada confidencialidade do WhatsApp.

Google. Defende a E2EE (nomeadamente no Messages/RCS) e, mais genericamente, hashing no servidor quando lícito e proporcional, sem prejudicar a E2EE universal. Análises europeias recordam os limites de tecnologias como o PhotoDNA (útil para conteúdo conhecido, não para “desconhecido” nem grooming), sustentando argumentos contra CSS generalizado.

Microsoft. Promotora de longa data do PhotoDNA (deteção via hashes de conteúdo já conhecido, não CSS). Na UE defende regras proporcionais e ferramentas de proveniência/rastreabilidade, não varrimento em tempo real de todos os chats cifrados. O âmbito do PhotoDNA não equivale a CSS para “desconhecidos”.

Signal. Linha dura: prefere sair de um mercado a enfraquecer a E2EE. Meredith Whittaker tem dito que o Signal não integrará CSS obrigatório nem qualquer “exceção” à E2EE.

Threema. Oposição firme ao “Chat Control”, alertando para insegurança sistémica introduzida por qualquer CSS.

Element / Matrix. Adverte contra o regresso ao rastreio em massa e o dano ao ecossistema open-source (servidores auto-alojados, federação), onde impor scanners cliente/servidor seria irrealista e perigoso.

Proton (Mail/Drive/Pass/VPN). Saúda a posição do Parlamento de 2023, que exclui a E2EE da deteção, e considera o CSS técnica e juridicamente insustentável.

Telegram. Sem posição clara a nível da UE sobre CSS; a sua encriptação não está ativa por defeito para todos os chats, tornando-o um caso híbrido no debate.

Tendência geral: serviços verdadeiramente E2EE rejeitam CSS obrigatório. Entre a “Big Tech”, a linha pública é proteger a E2EE e evitar um mecanismo generalizado de varrimento no dispositivo.

Se fosse introduzido um CSS generalizado, cada dispositivo tornar-se-ia um posto de inspeção permanente. As suas mensagens e fotos seriam peneiradas antes da encriptação, e erros poderiam gerar denúncias — encerramento de contas, bloqueio de serviços essenciais (email, cloud), até investigações policiais. Casos documentados mostram como tais erros podem arruinar uma vida digital em horas. Para lá disso, enfraquecer o ecossistema E2EE abre superfícies de ataque: mais código, mais pontos de acesso, mais risco. Para profissões protegidas (advogados, médicos, jornalistas), atinge diretamente o sigilo profissional; para vítimas de violência ou ativistas, elimina espaços seguros. À escala setorial, a confiança nos serviços digitais europeus sofreria se a UE se tornasse a primeira região democrática a impor tal rastreio em massa.

Não, unilateralmente não. Se for adotado, um regulamento prevalece sobre qualquer regra nacional conflitante (primado do direito da UE) e aplica-se diretamente. Um Estado não pode criar uma exceção nacional sem enfrentar um processo de infração pela Comissão e, em última instância, uma decisão do TJUE. Antes da adoção, porém, a França pode influenciar no Conselho, construir coligações para alterar ou bloquear; após a adoção, pode impugnar no TJUE (ação de anulação) ou, se o texto permitir, implementar salvaguardas máximas dentro da flexibilidade prevista (forte controlo judicial, auditorias públicas, exclusão de CSS, etc.). Mas uma proibição nacional frontal de uma obrigação prevista num regulamento colidiria com o direito da UE.

Sim. No direito europeu, o sigilo das comunicações e a confidencialidade das trocas cliente-advogado estão no núcleo do direito à privacidade (Carta, CEDH art. 8.º). O TEDH confere proteção “reforçada” ao privilégio profissional: sem confidencialidade, o direito de defesa e o jornalismo de investigação ficam esvaziados. Do mesmo modo, a ePrivacy exige confidencialidade das comunicações eletrónicas. O CSS introduz um mecanismo que inspeciona mensagens antes da encriptação, enfraquecendo mecanicamente essa confidencialidade — inclusive para profissões protegidas. O EDPB/EDPS alertaram que impor tecnologia de deteção a mensageiros pode conduzir a um varrimento quase generalizado de comunicações, com taxas de erro preocupantes. Em suma, mesmo com “exceções” no papel, um scanner generalizado no dispositivo é difícil de conciliar com o sigilo profissional tal como protegido na Europa.

Porque um direito fundamental não depende do que tem a esconder, mas do poder que o Estado ou as empresas podem exercer sobre a sua vida. Vigilância preventiva de todos dilui a presunção de inocência, arrefece a expressão e multiplica erros. Tecnologias de deteção também “apanham” inocentes: falsos positivos geram denúncias, encerramentos de contas, investigações — com danos muito reais. Mesmo para a eficácia policial, inundar serviços com alertas duvidosos desvia recursos de casos genuínos. As autoridades europeias de proteção de dados notam que as taxas de erro na deteção de conteúdo “novo” continuam preocupantes. E a confidencialidade protege também terceiros: vítimas de abuso, ativistas, profissionais de saúde e de justiça, denunciantes, jornalistas. Enfraquece-se um, enfraquecem-se todos.

Todos partilhamos o objetivo de proteger as crianças. A questão é a eficácia real e o custo social. Análises técnicas indicam que o CSS alarga drasticamente a rede, gera muitos falsos positivos e pode ser contornado por infratores determinados (redes fechadas, ferramentas fora da UE, ML adversarial). Cada falso positivo consome tempo de investigação e atrasa casos reais. Existem abordagens mais direcionadas e eficazes: mais recursos humanos e judiciais, infiltração e vigilância focalizadas, cooperação internacional orientada, ação reforçada na origem, educação e prevenção, e priorização de relatórios realmente acionáveis. Em suma, privilegiar ferramentas eficazes e proporcionais em vez de rastreio indiscriminado de toda a população.

Em junho de 2025, a Comissão publicou um “roteiro” para assegurar “acesso lícito e eficaz a dados” às forças de segurança. Inclui um roteiro tecnológico sobre encriptação a partir de 2026 e financiamento de capacidades de desencriptação até 2030 (por exemplo, Europol). Este pano de fundo estratégico mantém a pressão política sobre a encriptação ponta a ponta e ajuda a explicar a vontade de aprovar um texto como o CSAR no curto prazo. É crucial lembrar que a encriptação forte também protege hospitais, empresas, administrações e cidadãos contra crime e espionagem. Enfraquecê-la em nome do “acesso lícito” cria brechas aproveitáveis por agentes maliciosos.

Nesta fase, o desenvolvimento e a operação dependeriam amplamente de atores privados: grandes empresas (Apple, Meta, Microsoft, Google) e empresas especializadas (por exemplo, PhotoDNA/MS). Três preocupações maiores decorrem. Primeiro, transparência: modelos, limiares e dados de treino são segredos comerciais, difíceis de auditar. Segundo, dependência: a UE externalizaria uma função soberana (deteção) a fornecedores maioritariamente extra-UE, com atualizações unilaterais e vieses importados. Terceiro, desvio de finalidade: uma vez instalada a infraestrutura, expandir o âmbito (terrorismo, “desinformação”, fraude…) é tentador sem salvaguardas estritas e exequíveis. O episódio da Apple em 2021 ilustra os riscos: anunciou uma verificação de CSAM no dispositivo, depois recuou após críticas de criptógrafos e reguladores, precisamente devido à possível deriva e à dificuldade de garantir um uso estritamente delimitado.

Governos e autoridades de proteção de dados — nomeadamente na Alemanha, Países Baixos e outros — levantaram objeções fundamentais: incompatibilidade com direitos fundamentais, insegurança técnica, ineficácia operacional (demasiados alertas e falsos positivos). O ministro da Justiça alemão, por exemplo, disse que o “chat control” não tem lugar num Estado de direito, e a câmara neerlandesa travou versões anteriores. O cenário é fluido, porém: alguns países que travaram em 2024 agora apoiam compromissos que reintroduzem o CSS. Daí a importância de acompanhar a posição do seu governo em tempo real.

A posição de referência do Parlamento continua a ser a adotada em novembro de 2023 (LIBE + mandato negocial): nada de vigilância em massa, exclusão da E2EE da deteção, medidas direcionadas com base em suspeita razoável. Esta linha foi apoiada por uma ampla maioria de grupos (Greens/EFA, A Esquerda, S&D e grande parte do Renew). Contradiz o CSS generalizado.

Após as eleições de 2024, a legislatura 2024–2029 renovou as delegações francesas (RN/Patriotes for Europe, LR/PPE, Renaissance–MoDem–Horizons/Renew, PS–Place Publique/S&D, LFI/A Esquerda, Ecologistas/Greens). Até à data, a maioria das posições públicas segue as linhas dos grupos:
• Greens/EFA e A Esquerda (LFI): oposição total ao CSS e a qualquer enfraquecimento da E2EE; apoiaram a linha LIBE 2023.
• S&D (PS/Place Publique) e Renew (Renaissance/Modem/Horizons): em geral alinhados com a LIBE 2023 (proteger a E2EE, abordagem direcionada), embora alguns MEP possam estar “abertos” a medidas muito estreitas sobre conteúdo conhecido sob controlo judicial.
• PPE (Les Républicains): dividido entre defensores da “segurança” (a favor de obrigações de deteção) e preocupações de “Estado de direito/técnicas” (proporcionalidade e segurança da encriptação).
• Patriotes for Europe / família ID (RN, aliados): heterogénea conforme os dossiês segurança/privacidade; nenhuma linha francesa única a favor de CSS obrigatório no momento.
• ECR: geralmente favorável a ferramentas investigatórias mais fortes, mas não à custa de uma porta traseira generalizada na E2EE (nuances internas).

Comece por explicar o mecanismo sem jargão: “Querem instalar nos nossos telemóveis um software que lê as mensagens antes de serem encriptadas, para comparar o que enviamos com bases de imagens e modelos automatizados. Se a máquina falhar, pode denunciar-nos por engano.” Depois, o problema: “Não é um debate a favor ou contra proteger crianças; é sobre o método: rastrear toda a gente o tempo todo é desproporcional e ineficaz. Os infratores adaptam-se; entretanto, a segurança e a privacidade de todos ficam mais fracas.” Por fim, a solução: “Financiar pessoas e tribunais, direcionar investigações, cooperar além-fronteiras, retirar conteúdo na origem, educar e prevenir — sem quebrar a encriptação.” Para um pitch de 30 segundos:
“O ‘Chat Control’ é um scanner no nosso telemóvel que lê mensagens antes do envio. Pode falhar e sinalizar inocentes. Quebra o sigilo das trocas (médicos, advogados, jornalistas) e cria brechas para atacantes. Protejamos as crianças com meios eficazes e direcionados — não vigiando 450 milhões de europeus.”
Em conversas mais longas, use analogias concretas: “Aceitaria um agente a abrir todas as suas cartas ‘por via das dúvidas’?” Lembre que, na Europa, a confidencialidade das comunicações e o sigilo profissional são direitos protegidos — e que as autoridades de proteção de dados alertaram para erros e desvios. Proponha uma ação clara: assinar a petição, escrever aos seus eurodeputados, discutir no trabalho e na escola, e preferir mensageiros que se opõem publicamente ao CSS obrigatório.