GrapheneOS: Lei Felca prejudica as crianças que diz proteger
Comparte tu amor
Google Pixel com GrapheneOS | Foto: Samuel Angor
En se recusar a implementar verificação de idade em seu sistema operacional, o GrapheneOS publicou nesta semana um segundo comunicado, desta vez com foco explícito no Brasil. A lei brasileira de verificação de idade — o ECA Digital, mais conhecido como Ley Felca — entrou em vigor este mês. A posição do projeto é a mesma de antes: não será implementada.
Escuche el artículo:
0:00
0:00
O comunicado detalha o que a implementação exigiria na prática: integrar um processo obrigatório para cada usuário em que um serviço terceirizado verifica documentos de identificação do governo e confirma correspondência usando a câmera do dispositivo. Além disso, manter dados para auditoria e fornecer um token que conecte as verificações de idade realizadas por aplicativos e sites aos dados coletados.
Brazil's authoritarian age verification law became active this month. It won't be implemented by GrapheneOS. Complying would require integrating a mandatory process for each user where a third party service checks government identification and confirms a match using the camera.
O GrapheneOS foi além da recusa e apresentou um argumento que raramente aparece no debate público sobre a lei: a implementação vai prejudicar as crianças que diz proteger.
“A lei é um desastre de privacidade e expõe menores a serem explorados ao vazar sua faixa etária para aplicativos e sites“, escreveu o projeto. O problema é que quando a verificação de idade cria um token que acompanha o usuário em diferentes plataformas, ela também cria um perfil rastreável.
Empresas e desenvolvedores de aplicativos recebem informação sobre a faixa etária do usuário, e podem usar essa informação para direcionar conteúdo, publicidade ou modificar o comportamento do produto de formas que exploram vulnerabilidades específicas de menores, não para protegê-los.
Além de saber apenas a faixa etária, a implementação disso invariavelmente vazaria exatamente a data de nascimento para aplicativos e sites sem o consentimento do usuário, quando a pessoa mudasse a sua faixa etária.
Sem citar como as pessoas contornariam o impedimento, o GrapheneOS adicionou que a lei brasileira “não vai impedir que menores encontrem pornografia, se quiserem encontrá-la”. VPNs e Tor já são usados para evadir bloqueios arbitrários de sites.
A situação do GrapheneOS no Brasil
O comunicado também revelou detalhes sobre a presença do GrapheneOS no país. O projeto não tem membros de equipe nem operações no Brasil, mas mantém duas pequenas infraestruturas: um VPS em São Paulo para o servidor DNS anycast ns1 e outro para serviços de rede e site.
O servidor de atualizações para América do Sul fica em Miami, que é mais barato, mas São Paulo é usado como ponto de rede pelo mesmo motivo geográfico.
O projeto disse que essas instâncias provavelmente não são um problema do ponto de vista regulatório, mas que podem ser removidas se necessário — com Santiago como alternativa possível, embora menos eficiente.
Em relação a dispositivos, o GrapheneOS não tem vendas diretas na América do Sul. O Brasil em particular tem impostos de importação que chegam a 100%, o que limitou a base de usuários no país. Isso deve começar a mudar com a parceria com a Motorola, que o projeto mencionou como o caminho para ampliar a presença na região sem os custos de importação.
Resposta a um crítico brasileiro
Um usuário brasileiro pressionou o GrapheneOS diretamente, com tom contundente: “Besteira. Admita que você simplesmente não se importa com os usuários brasileiros. Não é absolutamente necessário integrar um serviço terceirizado para isso. Você vai parar com a preguiça e correr para implementar assim que uma lei similar for aprovada pelo Parlamento Europeu.”
It's extraordinarily unlikely that a similar law would be passed by the EU. GrapheneOS wouldn't implement it regardless. The only country passing an age verification law which is important to us is Canada. Our solution to intolerable laws being passed would be moving the project.
A resposta do GrapheneOS foi dividida em três pontos.
Primeiro, sobre a Europa: “é extraordinariamente improvável que uma lei similar seja aprovada pela União Europeia. E mesmo que fosse, o GrapheneOS não implementaria”.
Segundo, sobre prioridades: “o único país que aprova uma lei de verificação de idade que de fato importa para o projeto é o Canadá — e a solução para leis intoleráveis sendo aprovadas seria mover o projeto, não implementar a lei”.
Terceiro, sobre viabilidade técnica: mesmo que o GrapheneOS estivesse disposto a implementar um serviço invasivo de privacidade e forçá-lo sobre todos os usuários no Brasil, não teria como fazê-lo por conta própria. Criar e operar um serviço de verificação de identidade para documentos brasileiros — com suporte ao cliente e infraestrutura — está fora do alcance de um projeto de código aberto com equipe pequena.
A única opção realista seria pagar uma grande empresa de tecnologia brasileira pelo serviço. “Apple e Google já têm sistemas de verificação de identidade amplamente terceirizados para outras empresas. Se eles não conseguem fazer completamente por conta própria, como poderíamos?“
Como a Soberano já documentou, o GrapheneOS é o sistema operacional para Android com maior foco em segurança e privacidade do mundo. É o sistema escolhido por ativistas, jornalistas e qualquer pessoa que precise de privacidade real no celular. Introduzir verificação de identidade obrigatória no nível do sistema operacional destruiria exatamente o que o projeto é.
O padrão que se repete com leis de verificação de idade é sempre o mesmo: o objetivo declarado é proteger crianças, o enquadramento é difícil de contestar publicamente, e a infraestrutura construída para verificar a idade de um usuário é a mesma que pode rastrear comportamento, bloquear conteúdo político ou identificar dissidentes. O GrapheneOS opta por não construir essa infraestrutura — e está disposto a sair do mercado brasileiro se isso for necessário.
Assista: quem está realmente por trás da Lei Felca?