1. O que é o Chat Control?
“Chat Control” não é o nome oficial de uma lei. É uma expressão utilizada por jornalistas, organizações de direitos digitais, pesquisadores e críticos para descrever medidas europeias de detecção de material de abuso sexual infantil em plataformas digitais e serviços de comunicação.
O principal dossiê permanente é a proposta de Regulamento que estabelece regras para prevenir e combater o abuso sexual infantil, apresentada pela Comissão Europeia em 11 de maio de 2022, sob a referência COM(2022) 209 e o procedimento 2022/0155(COD). Em inglês, o projeto é conhecido como Child Sexual Abuse Regulation, daí a sigla CSAR.3
O termo Chat Control é útil porque chama atenção para a possibilidade de controle de comunicações privadas. Ao mesmo tempo, pode ser impreciso quando reúne instrumentos distintos sob um único rótulo. Para compreender o debate, é indispensável separar duas camadas regulatórias:
- Chat Control 1.0: Regulamento (UE) 2021/1232, uma derrogação temporária à Diretiva ePrivacy.
- Chat Control 2.0: proposta permanente de regulação apresentada em 2022.
A diferença não é semântica. O primeiro instrumento funciona como uma permissão jurídica excepcional para certas práticas voluntárias. O segundo foi concebido para organizar obrigações permanentes, autoridades nacionais, ordens regulatórias e um novo Centro da União Europeia.
2. Qual problema a União Europeia pretende resolver?
A União Europeia pretende combater a produção, a circulação e a revitimização associadas ao material de abuso sexual infantil, conhecido pela sigla inglesa CSAM — child sexual abuse material. A expressão é mais adequada do que “pornografia infantil”, porque evidencia que o conteúdo registra ou representa violência, exploração e violação de direitos, e não uma categoria legítima de produção pornográfica.3
O problema possui dimensão transnacional. Conteúdos podem ser produzidos em um país, armazenados em outro, compartilhados por um serviço sediado em terceiro território e visualizados globalmente em segundos. A vítima pode continuar sendo exposta por anos depois da violência original, cada novo compartilhamento renovando o dano.
A proposta europeia também abrange o grooming, isto é, o aliciamento de crianças para fins sexuais. Diferentemente da comparação de uma imagem já conhecida, a identificação de grooming exige interpretar contexto, progressão temporal, idade, intenção, relação entre os interlocutores, coerção, linguagem e códigos culturais. É uma tarefa muito mais complexa e sujeita a erro.
Outra preocupação crescente é a sextorsão, na qual imagens íntimas reais ou manipuladas são utilizadas para exigir dinheiro, novas imagens, encontros ou submissão. A inteligência artificial generativa acrescentou deepfakes e conteúdos sintéticos capazes de causar danos graves mesmo quando não derivam diretamente de uma fotografia original da vítima.3
A Comissão Europeia sustenta que a atuação voluntária das plataformas é desigual, concentrada em poucas empresas e insuficiente para garantir proteção homogênea em todos os serviços. O projeto busca harmonizar regras e reduzir a dependência europeia de sistemas estrangeiros de comunicação de ocorrências.38
3. Conceitos essenciais para entender a lei
3.1 CSAM conhecido e CSAM novo
O CSAM conhecido é material já identificado e validado por autoridades ou organizações competentes. Sistemas podem reconhecer cópias por meio de impressões digitais digitais, inclusive quando a imagem é redimensionada ou parcialmente alterada.
O CSAM novo é conteúdo ainda não catalogado. Sua detecção depende de classificadores de inteligência artificial que estimam se uma imagem ou vídeo pertence a determinada categoria. O grau de incerteza é maior, assim como o risco de classificar incorretamente fotografias médicas, familiares, artísticas ou educacionais.
Essa distinção é decisiva. Comparar uma imagem com uma base previamente validada não é o mesmo que pedir a um algoritmo que decida, autonomamente, se um conteúdo desconhecido representa abuso.
3.2 Grooming
Grooming é o processo de aproximação e manipulação de uma criança para finalidade sexual. Pode envolver construção de confiança, isolamento, chantagem emocional, envio progressivo de conteúdo, promessa de benefícios ou ameaça.
A identificação algorítmica é difícil porque palavras isoladas raramente demonstram o crime. A mesma frase pode ter sentidos completamente diferentes conforme quem fala, a idade dos envolvidos e o histórico da conversa. Sistemas automáticos podem auxiliar na triagem, mas não substituem investigação contextual e controle humano.
3.3 NI-ICS
Os serviços de comunicações interpessoais independentes de numeração, conhecidos como NI-ICS, abrangem mensageiros, webmail e outros serviços que permitem comunicação sem depender do sistema tradicional de numeração telefônica. A inclusão desses serviços no quadro europeu de comunicações eletrônicas foi um dos fatores que criaram a necessidade alegada de uma derrogação temporária.910
3.4 Criptografia de ponta a ponta
Na criptografia de ponta a ponta, ou E2EE — end-to-end encryption, a mensagem é cifrada no aparelho do remetente e somente é decifrada no aparelho do destinatário. O provedor do serviço, em condições normais, não possui as chaves necessárias para ler o conteúdo durante o trânsito.
Essa tecnologia protege conversas privadas, transações empresariais, prontuários, fontes jornalísticas, estratégias jurídicas, vítimas de violência, dissidentes e operações governamentais. Não é um acessório de privacidade: é infraestrutura de segurança.
3.5 Client-side scanning
O client-side scanning é a análise de conteúdo no dispositivo do usuário, antes da cifragem ou depois da decifragem. O algoritmo criptográfico pode permanecer tecnicamente intacto, mas a confidencialidade material é contornada porque o conteúdo é inspecionado em um dos extremos da comunicação.
A metáfora mais simples é a de uma carta: o envelope não foi aberto durante o transporte, mas o texto foi lido antes de ser colocado dentro dele.
4. Como surgiu o Chat Control? A história normativa
4.1 A Diretiva ePrivacy e a confidencialidade das comunicações
A Diretiva 2002/58/CE, conhecida como Diretiva ePrivacy, protege a confidencialidade das comunicações eletrônicas e dos dados de tráfego. Como regra, proíbe escuta, armazenamento, interceptação e vigilância por terceiros sem consentimento ou autorização jurídica específica.9
Durante muitos anos, serviços digitais de mensagens e e-mail não eram tratados exatamente da mesma forma que operadoras tradicionais. O Código Europeu das Comunicações Eletrônicas, aprovado em 2018 e aplicado pelos Estados-membros a partir de 2020, ampliou o conceito de serviços de comunicação eletrônica e incorporou os NI-ICS ao quadro regulatório.10
Essa mudança criou um dilema. Algumas empresas, sobretudo norte-americanas, já analisavam voluntariamente conteúdos não criptografados para identificar material de abuso sexual infantil e comunicar ocorrências. Com a aplicação mais ampla da ePrivacy, tais práticas passaram a exigir uma base jurídica europeia específica.
4.2 O Regulamento de 2021: a exceção temporária
Em 14 de julho de 2021, o Parlamento Europeu e o Conselho adotaram o Regulamento (UE) 2021/1232. O diploma criou uma derrogação temporária a determinadas regras da ePrivacy, permitindo que provedores de NI-ICS utilizassem voluntariamente tecnologias para detectar, comunicar e remover material de abuso sexual infantil online.2
O instrumento foi apresentado como solução de transição. A ideia era preservar determinadas práticas enquanto a União Europeia elaborava uma regulação permanente. O regime temporário continha condições de necessidade, proporcionalidade, limitação de finalidade, segurança e supervisão.
O ponto mais importante é a voluntariedade. O regulamento não determinou que todos os mensageiros e serviços de e-mail escaneassem usuários. Ele abriu uma exceção para provedores que já realizavam ou desejassem realizar esse tratamento.
4.3 A proposta permanente de 2022
Em 11 de maio de 2022, a Comissão Europeia apresentou o CSAR. A proposta representou mudança de escala: deixou de tratar apenas de uma exceção temporária e passou a desenhar uma arquitetura permanente de prevenção e execução.3
O texto original estabelecia avaliações de risco, medidas de mitigação, ordens de detecção, comunicação de ocorrências, remoção, bloqueio, obrigações para lojas de aplicativos e a criação de um Centro da União Europeia para prevenir e combater o abuso sexual infantil.
A Comissão defendia que a atuação voluntária era fragmentada e insuficiente. Críticos responderam que o modelo poderia obrigar empresas a monitorar comunicações em massa, inclusive para detectar material desconhecido e grooming.
4.4 O alerta do EDPB e do EDPS em 2022
Em julho de 2022, o Comitê Europeu para a Proteção de Dados e a Autoridade Europeia para a Proteção de Dados publicaram o Parecer Conjunto 04/2022. As autoridades advertiram que a proposta poderia se tornar fundamento para rastreamento geral e indiscriminado do conteúdo de praticamente todas as formas de comunicação eletrônica.5
O parecer não afirmou que qualquer medida contra CSAM seria ilegal. A crítica concentrou-se na amplitude, na imprecisão de critérios, nos riscos para a criptografia, nos falsos positivos e na ausência de garantias suficientes contra monitoramento generalizado.
4.5 O debate técnico e jurídico de 2023
Em 2023, a resistência institucional aumentou. Uma avaliação complementar do Serviço de Pesquisa do Parlamento Europeu examinou problemas de impacto e proporcionalidade. O Serviço Jurídico do Conselho também apontou riscos de incompatibilidade com os direitos fundamentais, especialmente se as ordens alcançassem usuários sem relação objetiva com crimes.1112
No mesmo período, pesquisadores de segurança alertaram que client-side scanning cria uma capacidade de inspeção nos dispositivos e pode ser redirecionado para outras finalidades. O problema não está apenas na base de dados atual, mas no fato de a infraestrutura permitir futuras ampliações.13
4.6 A posição do Parlamento Europeu em novembro de 2023
Em novembro de 2023, a Comissão de Liberdades Civis, Justiça e Assuntos Internos do Parlamento Europeu aprovou um mandato mais restritivo. A posição parlamentar defendia medidas direcionadas, baseadas em suspeita razoável, limitava ordens de detecção e excluía comunicações protegidas por criptografia de ponta a ponta.4
O Parlamento não abandonou o objetivo de proteção infantil. Buscou deslocar o modelo de uma vigilância baseada no risco abstrato do serviço para intervenções mais próximas da investigação individualizada.
4.7 A prorrogação temporária em 2024
Como o regulamento permanente não foi concluído, a derrogação do Chat Control 1.0 foi prorrogada em 2024 até 3 de abril de 2026.14
No Conselho, diferentes presidências tentaram construir compromissos para o CSAR permanente. Uma proposta belga de 2024, associada à chamada moderação no upload, não obteve apoio político suficiente. Países como Alemanha, Áustria, Países Baixos e outros manifestaram reservas relacionadas à criptografia, à legalidade e à segurança.15
4.8 A virada do Conselho em 2025
Em novembro de 2025, o Conselho alcançou uma posição comum após reformular elementos centrais do projeto. O texto do Conselho reduziu a ênfase nas ordens obrigatórias de detecção e aproximou parte da arquitetura de medidas voluntárias de mitigação e gestão de risco.16
A mudança foi interpretada de duas formas. Para os defensores, representou um compromisso pragmático capaz de destravar a negociação. Para críticos, preservou a infraestrutura regulatória e deixou espaço para que práticas de scanning continuassem por outras vias.17
Com a posição do Conselho, começaram as negociações interinstitucionais com o Parlamento Europeu.
5. Linha do tempo do Chat Control
| Data | Evento | Importância |
|---|---|---|
| 2002 | Adoção da Diretiva ePrivacy | Consolida a confidencialidade das comunicações eletrônicas.9 |
| 2018–2020 | Código Europeu das Comunicações Eletrônicas amplia o alcance regulatório sobre NI-ICS | Serviços de mensagens e webmail entram mais claramente no quadro de comunicações eletrônicas.10 |
| 14 jul. 2021 | Adoção do Regulamento (UE) 2021/1232 | Cria a derrogação temporária e voluntária, o Chat Control 1.0.2 |
| 11 maio 2022 | Comissão apresenta o COM(2022) 209 | Nasce a proposta permanente, conhecida como Chat Control 2.0 ou CSAR.3 |
| 28 jul. 2022 | Parecer conjunto EDPB–EDPS | Alerta para risco de rastreamento geral e indiscriminado.5 |
| abr.–jun. 2023 | Avaliações jurídicas e técnicas no Parlamento e no Conselho | Crescem dúvidas sobre proporcionalidade, E2EE e legalidade.1112 |
| 14 nov. 2023 | Parlamento aprova mandato de negociação | Defende ordens direcionadas e exclusão da E2EE.4 |
| 2024 | Derrogação temporária é estendida até 3 abr. 2026 | O regime transitório continua enquanto o CSAR permanece bloqueado.14 |
| 2024 | Compromisso belga fracassa no Conselho | Persistem divisões entre os Estados-membros.15 |
| 26 nov. 2025 | Conselho adota posição comum | Abre-se o caminho para negociações interinstitucionais.1617 |
| 26 mar. 2026 | Parlamento encerra a primeira leitura da nova extensão sem acordo | O regime temporário expira em 3 abr. 2026.6 |
| 2 jul. 2026 | Conselho envia sua posição ao Parlamento em segunda leitura | O Parlamento passa a ter prazo para rejeitar ou alterar o texto.6 |
| 7–9 jul. 2026 | Procedimento de urgência e votação | Rejeição tem maioria simples, mas não alcança maioria absoluta; emenda protege E2EE.6718 |
6. Chat Control 1.0 e Chat Control 2.0: qual é a diferença?
| Critério | Chat Control 1.0 | Chat Control 2.0 / CSAR |
|---|---|---|
| Base jurídica | Regulamento (UE) 2021/1232 | Proposta COM(2022) 209 |
| Natureza | Derrogação temporária à ePrivacy | Regulação permanente |
| Lógica | Permitir práticas voluntárias sob condições | Avaliação de risco, mitigação, fiscalização e, no texto original, ordens de detecção |
| Serviços alcançados | Principalmente NI-ICS | Mensageria, hosting, lojas de aplicativos e outros serviços definidos |
| Detecção | Voluntária | O desenho variou durante as negociações; a proposta original previa ordens obrigatórias |
| E2EE | Objeto de disputa; Parlamento aprovou exclusão em julho de 2026 | Parlamento de 2023 defendeu exclusão; posições do Conselho mudaram ao longo do tempo |
| Instituições | Provedores e autoridades existentes | Centro da UE, autoridades coordenadoras e mecanismos permanentes de execução |
| Principal risco | Normalização de uma exceção temporária | Criação de infraestrutura duradoura de inspeção e prevenção |
A comparação mostra por que é errado afirmar simplesmente que “a União Europeia aprovou o Chat Control”. Em diferentes momentos, o nome descreve projetos e procedimentos distintos. O status jurídico precisa ser identificado pela data, pelo texto e pela instituição responsável.
7. Como funcionam as tecnologias de detecção?
7.1 Hashing criptográfico e hashing perceptual
Um hash tradicional é uma representação matemática de um arquivo. Uma alteração mínima costuma produzir resultado totalmente diferente. Para localizar imagens semelhantes, são utilizados hashes perceptuais, que buscam reconhecer características visuais mesmo após compressão, recorte ou redimensionamento.
O PhotoDNA, desenvolvido pela Microsoft, é um dos sistemas mais conhecidos para localizar cópias de imagens previamente identificadas.19
A detecção de material conhecido é o cenário tecnicamente menos controvertido porque existe uma referência validada. Mesmo assim, continuam relevantes a qualidade da base, a possibilidade de erro, a governança dos indicadores e o procedimento para excluir conteúdos inseridos incorretamente.
7.2 Classificação por inteligência artificial
Para conteúdo novo, o sistema precisa classificar imagens ou vídeos com base em padrões estatísticos. Isso produz incerteza. Modelos podem errar diante de imagens médicas, fotografias de família, obras artísticas, materiais educativos ou contextos culturais diferentes.
O AI Act europeu estabelece regras para sistemas de inteligência artificial, mas não resolve automaticamente os conflitos do CSAR. Um sistema pode cumprir requisitos técnicos de gestão de risco e ainda ser aplicado de maneira desproporcional a comunicações privadas.20
7.3 Detecção de grooming
A detecção de grooming é ainda mais delicada. Não existe uma impressão digital simples que prove o aliciamento. O algoritmo procura combinações de linguagem, comportamento e progressão da conversa.
A taxa de erro pode ser elevada porque o mesmo vocabulário aparece em conversas legítimas entre familiares, profissionais de saúde, educadores e adolescentes. A classificação automatizada deve ser entendida como indício para triagem, nunca como prova suficiente de crime.
7.4 O problema da taxa-base
Mesmo um sistema anunciado como 99,9% preciso pode gerar enorme quantidade de falsos alertas quando aplicado a bilhões de mensagens. Se o evento procurado é raro, uma pequena taxa de erro pode superar o número de casos verdadeiros.
Esse fenômeno, conhecido como problema da taxa-base, impede que a eficácia seja demonstrada apenas por porcentagens gerais. É necessário publicar:
- sensibilidade e especificidade;
- valor preditivo positivo;
- quantidade de alertas confirmados;
- número de relatórios duplicados;
- impacto sobre investigações;
- vítimas identificadas;
- falsos positivos por categoria tecnológica.
Sem essas métricas, o debate se apoia em promessas de fornecedores, e não em evidência independente.
8. O Chat Control quebra a criptografia?
A resposta tecnicamente correta é: não necessariamente quebra o algoritmo criptográfico, mas pode contornar a confidencialidade que a criptografia promete.
Se um serviço usa E2EE real, o servidor não consegue ler o conteúdo. Para detectar imagens e mensagens, seria necessário analisar o material antes da cifragem, depois da decifragem ou modificar a arquitetura do serviço.
O client-side scanning preserva a mensagem cifrada durante o trânsito, mas introduz um mecanismo de inspeção no dispositivo. Por isso, muitos especialistas consideram a distinção entre “quebrar” e “contornar” insuficiente do ponto de vista dos direitos fundamentais.
A Corte Europeia de Direitos Humanos, no caso Podchasov v. Russia, reconheceu que obrigações de acesso generalizado a comunicações criptografadas podem enfraquecer a segurança de todos os usuários e criar riscos sistêmicos.21
A comunidade científica alerta para o function creep, ou expansão de finalidade. Uma estrutura criada para CSAM pode ser posteriormente adaptada para terrorismo, direitos autorais, extremismo, documentos secretos ou conteúdos políticos. Isso não significa que a União Europeia pretenda imediatamente esses usos. Significa que a capacidade técnica existirá.
9. O Chat Control é compatível com os direitos fundamentais europeus?
9.1 A Carta dos Direitos Fundamentais da União Europeia
A Carta protege:
- a vida privada e familiar, no art. 7º;
- os dados pessoais, no art. 8º;
- a liberdade de expressão, no art. 11;
- a liberdade de empresa, no art. 16;
- os direitos da criança, no art. 24;
- a tutela jurisdicional efetiva, no art. 47.1
O art. 52 permite limitações a direitos fundamentais desde que sejam previstas em lei, respeitem seu conteúdo essencial, sejam necessárias, proporcionais e sirvam a objetivo legítimo.
A proteção de crianças é indiscutivelmente legítima. A controvérsia está em saber se a inspeção de usuários não suspeitos é necessária e se existem meios menos intrusivos capazes de produzir resultados equivalentes.
9.2 Digital Rights Ireland
No caso Digital Rights Ireland, o Tribunal de Justiça da União Europeia invalidou a Diretiva de Retenção de Dados por interferir de maneira ampla nos direitos à privacidade e à proteção de dados sem salvaguardas suficientes.22
O julgamento não tratou de CSAM nem de scanning de conteúdo. Sua relevância está nos critérios: amplitude, ausência de vínculo com suspeita, duração, acesso, segurança e controle independente.
9.3 Tele2 Sverige e Watson
Em Tele2 Sverige e Watson, o TJUE afirmou que a legislação não pode impor retenção geral e indiscriminada de dados de tráfego e localização para combate genérico à criminalidade.23
A decisão reforça que a gravidade do objetivo não dispensa direcionamento e proporcionalidade.
9.4 Privacy International e La Quadrature du Net
Nos casos Privacy International e La Quadrature du Net, o Tribunal examinou regimes de segurança nacional e retenção de dados. Reconheceu que ameaças graves podem justificar medidas excepcionais, mas manteve limites contra vigilância geral permanente.2425
O Chat Control envolve tecnologias e atores diferentes, mas a pergunta constitucional é semelhante: quando uma medida deixa de ser direcionada e passa a tratar toda a população como fonte preventiva de inteligência?
9.5 SpaceNet
Em SpaceNet e Telekom Deutschland, o TJUE voltou a rejeitar retenção generalizada para objetivos amplos de segurança pública, confirmando a centralidade do direcionamento e das salvaguardas.26
9.6 Scarlet Extended e Netlog
Nos casos Scarlet Extended e SABAM v. Netlog, o Tribunal rejeitou ordens que obrigavam intermediários a instalar sistemas gerais de filtragem para monitorar todos os usuários em matéria de direitos autorais.2728
Embora o objetivo do CSAR seja muito mais grave do que a tutela autoral, esses precedentes demonstram a aversão do direito europeu a obrigações gerais de monitoramento privado.
10. Proteção infantil e privacidade são direitos rivais?
Não. O conflito existe, mas a oposição absoluta é falsa.
Os Estados possuem deveres positivos de proteger crianças contra abuso, exploração e violência. Esses deveres justificam investigação, remoção de conteúdo, cooperação policial, responsabilização de plataformas e prevenção.
Ao mesmo tempo, crianças possuem privacidade e podem depender de comunicação confidencial para denunciar violência, buscar apoio psicológico ou conversar com profissionais. Sistemas de scanning também podem atingir adolescentes que compartilham imagens próprias, vítimas que armazenam provas ou familiares que enviam fotografias legítimas.
A política pública deve proteger crianças tanto da exploração quanto de intervenções estatais e corporativas desnecessárias. A criança não pode ser convertida em argumento abstrato para suspender os direitos que também lhe pertencem.
11. O impacto sobre o sigilo profissional
Um dos pontos menos debatidos é o efeito sobre comunicações protegidas por sigilo.
Advogados recebem confissões, provas, estratégias e dados pessoais. Médicos recebem imagens e prontuários. Jornalistas conversam com fontes. Psicólogos recebem relatos íntimos. Empresas discutem segredos comerciais.
A análise automatizada já representa interferência, ainda que nenhum funcionário humano leia a mensagem. Para decidir que o conteúdo não corresponde a um indicador, o sistema precisa processá-lo.
No caso da advocacia, a questão alcança o direito de defesa e o acesso à justiça. Um cliente precisa poder revelar fatos desfavoráveis ao próprio advogado sem receio de que um classificador externo produza um alerta equivocado.
Um regime constitucionalmente adequado deve prever proteção reforçada para comunicações privilegiadas, controle judicial, minimização, destruição rápida de dados e mecanismos de contestação.
12. As posições das instituições europeias
12.1 Comissão Europeia
A Comissão defende que o sistema atual é fragmentado, dependente de práticas voluntárias e incapaz de garantir proteção uniforme. Sustenta que a proposta cria obrigações proporcionais, melhora a identificação de vítimas e estabelece um Centro da UE para apoiar empresas e autoridades.8
A força do argumento está no reconhecimento de que plataformas não podem permanecer neutras diante de crimes praticados em sua infraestrutura.
A fragilidade está na confiança excessiva de que tecnologias de detecção podem ser implementadas em grande escala sem produzir monitoramento geral.
12.2 Parlamento Europeu
A posição adotada em 2023 foi mais protetiva da privacidade. O Parlamento defendeu ordens direcionadas, suspeita razoável, limites à detecção de conteúdo e proteção da E2EE.4
Em 2026, o Parlamento voltou a se dividir. Uma maioria simples dos votantes apoiou a rejeição da extensão, mas a regra de segunda leitura exigia maioria absoluta dos membros.67
12.3 Conselho da União Europeia
O Conselho refletiu a divisão entre os Estados-membros. Algumas delegações defenderam maior capacidade de detecção; outras alertaram para riscos constitucionais e técnicos.
A posição de 2025 reduziu componentes coercitivos da proposta original, mas não eliminou todas as controvérsias.1617
12.4 EDPB e EDPS
As autoridades de proteção de dados têm sido os críticos institucionais mais consistentes. Seus pareceres destacam o risco de rastreamento geral, a incerteza das tecnologias, o impacto sobre E2EE e a necessidade de medidas estritamente direcionadas.529
12.5 Organizações de proteção infantil
Organizações de proteção infantil argumentam que a criptografia e a redução da visibilidade das plataformas podem impedir a identificação de vítimas. Defendem mecanismos capazes de preservar denúncias e impedir a circulação continuada de material.
Esse argumento merece tratamento sério. O erro seria concluir que qualquer crítica à tecnologia significa indiferença às vítimas. O desacordo está no desenho da resposta e na evidência de eficácia.
12.6 Empresas de tecnologia e especialistas em segurança
Serviços como Signal, Proton, Matrix e outros defensores da criptografia sustentam que não existe acesso excepcional seguro apenas para autoridades legítimas. Uma capacidade de inspeção instalada nos dispositivos aumenta a superfície de ataque e pode ser abusada por governos e criminosos.
Pesquisadores descrevem o client-side scanning como mecanismo de vigilância capaz de alterar a relação entre usuário e dispositivo.13
13. Bastidores políticos: lobbying, tecnologia e acesso à Comissão
O processo legislativo foi marcado por intensa atuação de organizações de proteção infantil, empresas de tecnologia, autoridades policiais, pesquisadores e entidades de direitos digitais.
Investigações jornalísticas apontaram o acesso privilegiado da organização norte-americana Thorn e de seus representantes à Comissão Europeia durante a elaboração da proposta. A Thorn atua na proteção infantil e desenvolve tecnologias de detecção. Críticos questionaram a proximidade entre advocacy, produção tecnológica e potencial expansão do mercado de conformidade.30
A existência de lobbying não prova corrupção. Organizações sociais e empresas participam legitimamente do processo regulatório. O problema aparece quando reuniões, documentos, critérios técnicos e conflitos de interesse não são suficientemente transparentes.
Uma lei que pode criar demanda obrigatória por sistemas de detecção também cria um mercado. Fornecedores de scanning, verificação de idade, identidade digital e moderação automatizada podem obter vantagens econômicas. Isso torna indispensável separar evidência científica de interesse comercial.
14. A campanha publicitária da Comissão e o problema do microdirecionamento
Em 2023, a Comissão Europeia promoveu anúncios online em apoio à proposta. Reportagens e uma reclamação perante o EDPS questionaram o uso de critérios de segmentação capazes de inferir ou explorar opiniões políticas e religiosas.31
O EDPS concluiu, em decisão de 2024, que houve violação de regras de proteção de dados aplicáveis às instituições europeias no contexto da campanha.32
O episódio possui forte carga simbólica. A instituição que defendia maior análise de comunicações foi criticada por utilizar práticas de publicidade incompatíveis com os padrões de proteção de dados que deveria respeitar.
Isso não invalida automaticamente o CSAR. Demonstra, porém, como medidas justificadas por finalidades nobres também exigem controle sobre os meios de persuasão política.
15. O que aconteceu na votação de julho de 2026?
15.1 O fim da primeira leitura e a expiração
Em março de 2026, Parlamento e Conselho não alcançaram acordo sobre uma nova extensão do Regulamento 2021/1232. A derrogação expirou em 3 de abril de 2026.6
Em 2 de julho, o Conselho adotou uma posição e devolveu o texto ao Parlamento em segunda leitura. Nessa fase, rejeitar ou alterar a posição do Conselho exigia a maioria absoluta dos membros do Parlamento, não apenas a maioria dos presentes.6
15.2 A votação
A proposta de rejeição recebeu 314 votos favoráveis, 276 contrários e 17 abstenções. Portanto, a rejeição venceu entre os votantes, mas não alcançou o número necessário para produzir efeito jurídico.718
É impreciso afirmar que os ausentes “votaram a favor”. Eles não votaram. Contudo, a ausência teve efeito funcional favorável à posição do Conselho, porque a rejeição dependia de maioria absoluta.
15.3 As emendas sobre criptografia
O Parlamento aprovou emendas destinadas a excluir comunicações protegidas por criptografia de ponta a ponta do regime temporário.618
Como o texto foi modificado, não se tornou automaticamente lei definitiva. Em 10 de julho de 2026, o Conselho ainda precisava aceitar as emendas ou iniciar procedimento de conciliação.
15.4 Houve um “golpe regimental”?
Críticos acusaram a maioria política de usar o procedimento de urgência e o calendário antes do recesso para reduzir o escrutínio. A crítica política é relevante, especialmente porque a data de expiração era conhecida havia anos.
Juridicamente, porém, a expressão “golpe” exige prova de violação concreta do regimento. A regra da maioria absoluta em segunda leitura não foi criada para esse caso. Ela integra o procedimento legislativo europeu.
Minha avaliação é que o episódio pode ter sido formalmente defensável e democraticamente ruim. Legalidade procedimental mínima e legitimidade deliberativa não são a mesma coisa.
16. Qual é o status do Chat Control em julho de 2026?
Em 10 de julho de 2026, havia dois processos paralelos:
- Extensão temporária do Chat Control 1.0: o Parlamento não rejeitou a posição do Conselho e aprovou emendas, incluindo a exclusão da E2EE. O Conselho precisava decidir se aceitava as alterações.
- Chat Control 2.0/CSAR permanente: as negociações interinstitucionais continuavam após a posição comum do Conselho de 2025.
Portanto, não é correto dizer simplesmente que “o Chat Control foi aprovado” ou que “foi rejeitado”. A resposta depende do instrumento, da etapa e da redação analisada.
17. Impactos para usuários, empresas e a economia digital
17.1 Usuários comuns
Usuários podem ter mensagens, imagens e arquivos processados por sistemas automáticos, mesmo sem suspeita individual. Falsos positivos podem levar à suspensão de contas, preservação de dados e encaminhamento às autoridades.
O impacto não se distribui igualmente. Minorias, adolescentes, famílias, profissionais de saúde e pessoas que compartilham conteúdo sensível podem ser mais expostos a classificações equivocadas.
17.2 Serviços de mensageria
Plataformas podem precisar redesenhar produtos, criar canais de resposta a ordens, implementar avaliação de risco e demonstrar conformidade.
Empresas pequenas enfrentarão custos proporcionais maiores. Grandes plataformas possuem equipes jurídicas, dados e infraestrutura para absorver obrigações complexas. Uma regulação criada para controlar gigantes pode aumentar sua vantagem competitiva.
17.3 Criptografia e segurança cibernética
Qualquer obrigação funcional de acesso ao conteúdo pode comprometer a promessa de E2EE. Mesmo sem quebrar a matemática da cifra, o scanning no dispositivo cria novos componentes, permissões e pontos de ataque.
A segurança europeia depende de comunicações fortes. Enfraquecer endpoints para combater um crime pode expor cidadãos, governos e empresas a espionagem e ransomware.
17.4 Verificação de idade
A proteção de menores pode levar serviços a verificar a idade de todos os usuários. Isso pode envolver documentos, biometria, estimativas faciais ou identidades digitais.
Soluções adequadas devem confirmar apenas o atributo necessário — por exemplo, “maior de 18 anos” — sem revelar identidade completa. A minimização é indispensável para impedir que proteção infantil se transforme em identificação universal na internet.
17.5 Anonimato
O anonimato pode ser utilizado por criminosos, mas também protege vítimas, denunciantes, dissidentes, pessoas LGBTQIA+ em ambientes hostis e cidadãos submetidos a perseguição.
Eliminar o anonimato para melhorar a rastreabilidade pode produzir consequências políticas muito superiores ao objetivo inicial.
18. O paradoxo: a lei pode atingir as próprias crianças?
Sistemas automáticos podem interpretar como crime imagens produzidas e compartilhadas por adolescentes, fotografias familiares, consultas médicas ou provas armazenadas por vítimas.
Em situações de sexting consensual entre adolescentes, a legislação penal e as políticas de plataforma já enfrentam dificuldades para distinguir exploração, coerção, diferença etária e autonomia progressiva.
Uma política construída para proteger crianças pode submetê-las a investigação, exposição de intimidade e revitimização se os sistemas forem incapazes de compreender contexto.
Por isso, indicadores de sucesso não devem medir apenas o número de relatórios. Devem considerar vítimas identificadas, redes desarticuladas, redução do tempo de circulação, qualidade dos alertas e danos causados por intervenções equivocadas.
19. Minha opinião técnica: onde está o verdadeiro limite?
A União Europeia deve impor obrigações fortes às plataformas. Serviços digitais não podem alegar neutralidade enquanto sua infraestrutura é utilizada para armazenar, distribuir e monetizar crimes contra crianças.
São legítimas obrigações de avaliação de risco, segurança por projeto, resposta a denúncias, remoção rápida de conteúdo confirmado, preservação de provas, transparência e cooperação internacional.
Também são legítimas ordens de investigação dirigidas a pessoas, contas, grupos ou fluxos determinados, desde que fundamentadas em elementos objetivos, limitadas no tempo e submetidas a controle judicial ou independente.
O limite é ultrapassado quando a investigação deixa de partir de suspeita e passa a examinar todos para descobrir quem deve ser suspeito.
Essa é a mudança silenciosa que o Chat Control pode provocar:
- da suspeita individualizada para o risco abstrato;
- do mandado para a infraestrutura;
- da investigação posterior para a inspeção anterior;
- do agente público para o intermediário privado;
- da vigilância excepcional para a capacidade permanente.
A proteção infantil não deve depender de uma presunção tecnológica de suspeita universal.
20. Qual seria uma alternativa constitucionalmente sustentável?
Um modelo europeu compatível com o Estado de Direito deveria combinar tecnologia, investigação humana e garantias institucionais.
20.1 Ordens direcionadas
Ordens de detecção devem recair sobre contas, usuários, grupos ou situações vinculadas a indícios objetivos. O fato de um serviço poder ser utilizado para crime não transforma todos os usuários em alvos legítimos.
20.2 Controle independente prévio
Medidas invasivas devem depender de autorização judicial ou de autoridade verdadeiramente independente, com possibilidade de revisão e recurso.
20.3 Proteção inequívoca da E2EE
A legislação deve proibir obrigações que exijam acesso generalizado ao conteúdo de comunicações criptografadas, inclusive por scanning no endpoint.
20.4 Auditoria científica
Tecnologias devem ser testadas por instituições independentes. Taxas de erro, bases de dados, critérios de inclusão e desempenho real precisam ser transparentes.
20.5 Sigilo profissional
Comunicações entre advogados e clientes, médicos e pacientes, jornalistas e fontes e outros vínculos protegidos exigem salvaguardas específicas.
20.6 Proibição de expansão de finalidade
Bases e sistemas criados para CSAM não podem ser reutilizados para outros conteúdos sem novo processo legislativo, demonstração de necessidade e controle constitucional.
20.7 Investigação e prevenção
A União Europeia deve ampliar unidades especializadas, cooperação transnacional, análise financeira, infiltração autorizada, identificação de vítimas, apoio psicológico, educação digital e capacidade forense.
A quantidade de alertas não pode substituir a qualidade da investigação.
21. O que muda para WhatsApp, Signal, Telegram e e-mail?
WhatsApp e Signal
Serviços com E2EE por padrão são o centro da controvérsia. A posição do Parlamento buscou excluí-los do scanning voluntário temporário. O impacto definitivo depende do texto aceito pelo Conselho e da futura redação do CSAR.
Telegram
O Telegram oferece diferentes modalidades. Nem todas as conversas utilizam E2EE. A análise jurídica depende do tipo de chat e da arquitetura concreta.
Gmail, Outlook e outros serviços de e-mail
E-mails tradicionais geralmente não são protegidos por E2EE entre usuários finais. Provedores podem ter acesso técnico ao conteúdo e, portanto, podem estar mais diretamente sujeitos a mecanismos voluntários de detecção.
Instagram, Discord e plataformas de jogos
Mensagens não protegidas por E2EE podem permanecer no alcance de medidas de scanning e gestão de risco. Serviços utilizados por menores enfrentarão pressão regulatória especialmente elevada.
23. Conclusão
O Chat Control é um dos testes mais importantes do constitucionalismo digital europeu. Ele nasce de um objetivo legítimo e urgente: proteger crianças contra crimes que atravessam fronteiras e permanecem na internet por tempo indefinido.
O perigo não está na existência de regulação. Está na possibilidade de transformar um dever de investigação direcionada em uma infraestrutura privada e preventiva de inspeção de comunicações.
A Europa construiu sua identidade jurídica sobre a dignidade, a privacidade, a proteção de dados e a limitação do poder. Abandonar essas garantias em nome da proteção pode produzir um sistema mais vigilante, mas não necessariamente mais eficaz.
A resposta adequada não é a omissão. É a precisão: investigar melhor, agir mais rápido, remover conteúdo confirmado, identificar vítimas, cooperar entre países e limitar qualquer intervenção ao que seja demonstravelmente necessário.
O Estado de Direito não é a recusa de combater o mal. É a recusa de se tornar irreconhecível durante o combate.
Referências e fontes primárias
- [1] UNIÃO EUROPEIA. Carta dos Direitos Fundamentais da União Europeia. Jornal Oficial da União Europeia, C 202, 7 jun. 2016. Disponível em: https://eur-lex.europa.eu/legal-content/PT/TXT/?uri=CELEX:12016P/TXT. ↩
- [2] PARLAMENTO EUROPEU; CONSELHO DA UNIÃO EUROPEIA. Regulamento (UE) 2021/1232, de 14 de julho de 2021, relativo a uma derrogação temporária de determinadas disposições da Diretiva 2002/58/CE. Disponível em: https://eur-lex.europa.eu/eli/reg/2021/1232/oj/por. ↩
- [3] COMISSÃO EUROPEIA. Proposal for a Regulation laying down rules to prevent and combat child sexual abuse. COM(2022) 209 final, 11 maio 2022. Disponível em: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:52022PC0209. ↩
- [4] PARLAMENTO EUROPEU. Child sexual abuse online: effective measures, no mass surveillance. 14 nov. 2023. Disponível em: https://www.europarl.europa.eu/news/en/press-room/20231110IPR10118/child-sexual-abuse-online-effective-measures-no-mass-surveillance. ↩
- [5] EUROPEAN DATA PROTECTION BOARD; EUROPEAN DATA PROTECTION SUPERVISOR. Joint Opinion 04/2022 on the Proposal for a Regulation laying down rules to prevent and combat child sexual abuse. 28 jul. 2022. Disponível em: https://www.edpb.europa.eu/our-work-tools/our-documents/edpbedps-joint-opinion/edpb-edps-joint-opinion-042022-proposal_en. ↩
- [6] PARLAMENTO EUROPEU. Combating child sexual abuse online: vote to reinstate ePrivacy derogation. 6 jul. 2026. Disponível em: https://www.europarl.europa.eu/news/en/agenda/plenary-news/2026-07-06/13/combating-child-sexual-abuse-online-vote-to-reinstate-eprivacy-derogation. ↩
- [7] PARLAMENTO EUROPEU. Final voting list: C10-0178/2026. Estrasburgo, 9 jul. 2026. Disponível em: https://www.europarl.europa.eu/sedcms/votingList/C10-0178_Regulation-EU.pdf. ↩
- [8] COMISSÃO EUROPEIA. Fighting child sexual abuse: Commission proposes new rules to protect children. 11 maio 2022. Disponível em: https://ec.europa.eu/commission/presscorner/detail/en/IP_22_2976. ↩
- [9] UNIÃO EUROPEIA. Diretiva 2002/58/CE, relativa ao tratamento de dados pessoais e à proteção da privacidade no setor das comunicações eletrônicas. Disponível em: https://eur-lex.europa.eu/legal-content/PT/TXT/?uri=CELEX:32002L0058. ↩
- [10] UNIÃO EUROPEIA. Diretiva (UE) 2018/1972 que estabelece o Código Europeu das Comunicações Eletrônicas. Disponível em: https://eur-lex.europa.eu/eli/dir/2018/1972/oj/por. ↩
- [11] EUROPEAN PARLIAMENTARY RESEARCH SERVICE. Proposal for a regulation laying down rules to prevent and combat child sexual abuse: complementary impact assessment. abr. 2023. ↩
- [12] CONSELHO DA UNIÃO EUROPEIA. Opinion of the Legal Service: Proposal for a Regulation laying down rules to prevent and combat child sexual abuse. Documento 8787/23, 26 abr. 2023. ↩
- [13] LUDVIGSEN, Kaspar Rosager; NAGARAJA, Shishir; DALY, Angela. YASM (Yet Another Surveillance Mechanism). 2022. Disponível em: https://arxiv.org/abs/2205.14601. ↩
- [14] UNIÃO EUROPEIA. Versão consolidada do Regulamento (UE) 2021/1232, com validade até 3 de abril de 2026. Disponível em: https://eur-lex.europa.eu/eli/reg/2021/1232/2024-05-15/por. ↩
- [15] LE MONDE. « Chat control » : dans la lutte contre la pédopornographie, revers pour le projet de règlement européen de surveillance des messageries. 20 jun. 2024. Disponível em: https://www.lemonde.fr/pixels/article/2024/06/20/chat-control-dans-la-lutte-contre-la-pedopornographie-revers-pour-le-projet-de-reglement-europeen-de-surveillance-des-messageries_6241853_4408996.html. ↩
- [16] CONSELHO DA UNIÃO EUROPEIA. Proposal for a Regulation laying down rules to prevent and combat child sexual abuse: partial mandate for negotiations with the European Parliament. Documento ST 15318/2025, 13 nov. 2025. Disponível em: https://data.consilium.europa.eu/doc/document/ST-15318-2025-INIT/en/pdf. ↩
- [17] REUTERS. EU states back away from forcing Big Tech to detect and remove child pornography. 26 nov. 2025. Disponível em: https://www.reuters.com/sustainability/society-equity/eu-states-back-away-forcing-big-tech-detect-remove-child-pornography-2025-11-26/. ↩
- [18] REUTERS. EU lawmakers back reinstating interim rules to allow Big Tech to tackle child pornography. 9 jul. 2026. Disponível em: https://www.reuters.com/legal/litigation/eu-lawmakers-back-reinstating-interim-rules-allow-big-tech-tackle-child-2026-07-09/. ↩
- [19] MICROSOFT. PhotoDNA: technology to help fight child exploitation. Disponível em: https://www.microsoft.com/en-us/photodna. ↩
- [20] UNIÃO EUROPEIA. Regulamento (UE) 2024/1689 que cria regras harmonizadas em matéria de inteligência artificial. Disponível em: https://eur-lex.europa.eu/eli/reg/2024/1689/oj/por. ↩
- [21] CORTE EUROPEIA DE DIREITOS HUMANOS. Podchasov v. Russia, Application no. 33696/19, 13 fev. 2024. Disponível em: https://hudoc.echr.coe.int/eng?i=001-230854. ↩
- [22] TRIBUNAL DE JUSTIÇA DA UNIÃO EUROPEIA. Digital Rights Ireland Ltd e Seitlinger e outros, processos apensos C-293/12 e C-594/12, 8 abr. 2014. Disponível em: https://curia.europa.eu/juris/liste.jsf?num=C-293/12. ↩
- [23] TRIBUNAL DE JUSTIÇA DA UNIÃO EUROPEIA. Tele2 Sverige AB e Watson e outros, processos apensos C-203/15 e C-698/15, 21 dez. 2016. Disponível em: https://curia.europa.eu/juris/liste.jsf?num=C-203/15. ↩
- [24] TRIBUNAL DE JUSTIÇA DA UNIÃO EUROPEIA. Privacy International, processo C-623/17, 6 out. 2020. Disponível em: https://curia.europa.eu/juris/liste.jsf?num=C-623/17. ↩
- [25] TRIBUNAL DE JUSTIÇA DA UNIÃO EUROPEIA. La Quadrature du Net e outros, processos apensos C-511/18, C-512/18 e C-520/18, 6 out. 2020. Disponível em: https://curia.europa.eu/juris/liste.jsf?num=C-511/18. ↩
- [26] TRIBUNAL DE JUSTIÇA DA UNIÃO EUROPEIA. SpaceNet AG e Telekom Deutschland GmbH, processos apensos C-793/19 e C-794/19, 20 set. 2022. Disponível em: https://curia.europa.eu/juris/liste.jsf?num=C-793/19. ↩
- [27] TRIBUNAL DE JUSTIÇA DA UNIÃO EUROPEIA. Scarlet Extended SA v. SABAM, processo C-70/10, 24 nov. 2011. Disponível em: https://curia.europa.eu/juris/liste.jsf?num=C-70/10. ↩
- [28] TRIBUNAL DE JUSTIÇA DA UNIÃO EUROPEIA. SABAM v. Netlog NV, processo C-360/10, 16 fev. 2012. Disponível em: https://curia.europa.eu/juris/liste.jsf?num=C-360/10. ↩
- [29] EUROPEAN DATA PROTECTION SUPERVISOR. Opinion 7/2026 on the Proposal for a Regulation extending the application of Regulation (EU) 2021/1232. fev. 2026. Disponível em: https://www.edps.europa.eu/system/files/2026-02/26-02-16_opinion-extending-application-regulation-2021-1232_en.pdf. ↩
- [30] NETZPOLITIK. Dude, where’s my privacy? How a Hollywood star lobbies the EU for more surveillance. 2022. Disponível em: https://netzpolitik.org/2022/dude-wheres-my-privacy-how-a-hollywood-star-lobbies-the-eu-for-more-surveillance/. ↩
- [31] WIRED. A controversial plan to scan private messages for child abuse meets fresh scandal. 24 out. 2023. Disponível em: https://www.wired.com/story/csar-chat-scan-proposal-european-commission-ads/. ↩
- [32] EUROPEAN DATA PROTECTION SUPERVISOR. Decision concerning investigation in complaint case 2023-1205 against the European Commission. 2024. Disponível em: https://noyb.eu/sites/default/files/2024-12/EDPSDecision_printed_Redacted.pdf. ↩



