# O Paradoxo Europeu da Privacidade

## Regular tudo, proteger pouco, vigiar cada vez mais

A União Europeia construiu a sua identidade digital sobre uma promessa: seríamos o continente que protege os cidadãos. O RGPD foi vendido ao mundo como o padrão-ouro da privacidade. Oito anos depois, a mesma União que nos obriga a clicar em milhares de banners de cookies prepara-se para legalizar, de novo e à pressa, o rastreio automático das mensagens privadas de centenas de milhões de europeus.

Vale a pena parar e olhar para o quadro completo. O que está em causa não é apenas uma lei, uma exceção ou uma disputa técnica sobre encriptação. É um contrassenso profundo na forma como a Europa diz proteger a privacidade, enquanto constrói, peça a peça, a infraestrutura legal e técnica para a vigiar.

## Primeiro ato: o RGPD, muita burocracia, pouca proteção efetiva

O Regulamento Geral sobre a Proteção de Dados entrou em vigor em 2018 com objetivos nobres. Na prática, produziu dois efeitos que ninguém pode honestamente ignorar.

O primeiro foi o peso burocrático desproporcional sobre quem cria e inova na Europa. Qualquer PME que queira lançar um serviço digital enfrenta custos de conformidade, pareceres jurídicos, registos de tratamento, avaliações de impacto e a incerteza permanente de interpretações divergentes entre autoridades nacionais.

As grandes plataformas americanas absorveram estes custos com exércitos de advogados. As startups europeias não. O relatório Draghi sobre a competitividade europeia, publicado em 2024, identificou a fragmentação e a sobrecarga regulatória como travões estruturais à inovação no continente. Estudos académicos publicados depois de 2018 mediram quedas no investimento em startups europeias de tecnologia e a saída de aplicações do mercado europeu após a entrada em vigor do regulamento.

O segundo efeito é o mais irónico: os gigantes que vivem da exploração comercial dos dados continuaram a viver exatamente disso. A Meta e a Google receberam multas históricas, é certo, mas o modelo de negócio permaneceu intacto.

O consentimento transformou-se num ritual vazio de cliques em banners que ninguém lê. O modelo de "pay or consent" da Meta mostrou como o sistema se contorna: ou pagas, ou consentes na exploração dos teus dados. A assimetria é gritante. O cidadão comum não ficou dono dos seus dados. Ficou apenas com mais fricção. Quem tinha escala para transformar a conformidade em vantagem competitiva saiu reforçado.

## Segundo ato: a mesma União que protege os teus cookies quer ler as tuas mensagens

Enquanto o RGPD sufoca parte da inovação em nome da privacidade, Bruxelas conduz há anos um esforço persistente para legalizar a monitorização em massa das comunicações privadas. Chama-se Chat Control e tem duas frentes.

O Chat Control 1.0, formalmente o Regulamento (UE) 2021/1232, criou uma exceção temporária à Diretiva ePrivacy. Essa exceção permitia a fornecedores como a Google, a Meta e a Microsoft analisar voluntariamente mensagens, emails e fotografias de todos os utilizadores, sem qualquer suspeita prévia, à procura de material de abuso sexual de menores. A exceção foi prolongada em 2022 e em 2024.

A 26 de março de 2026, o Parlamento Europeu recusou nova extensão. A norma expirou a 3 de abril. Parecia o fim. Não foi.

O Conselho da União Europeia reapresentou o mesmo conteúdo sob a forma de um regulamento novo. A 7 de julho de 2026, o Parlamento aprovou, por margem estreita, um procedimento de urgência raramente usado: 331 votos a favor, 304 contra e 11 abstenções. A votação decisiva ficou marcada para 9 de julho, a última sessão antes das férias de verão.

O detalhe processual é revelador. Por estar em segunda leitura, rejeitar ou alterar o texto exige maioria absoluta de 361 deputados, enquanto aprovar basta uma maioria simples dos presentes. Numa sessão em que muitos eurodeputados já partiram, o desenho não é neutro. É engenharia processual para tentar fazer passar o que o Parlamento já tinha rejeitado democraticamente três meses antes. A eurodeputada Markéta Gregorová classificou o procedimento como violação das próprias regras do Parlamento e abuso de posição do maior grupo político.

O Chat Control 2.0, o Regulamento sobre Abuso Sexual de Crianças, proposto em 2022, é a versão estrutural e permanente. Prevê a possibilidade de obrigar plataformas a detetar conteúdos. Em serviços cifrados de ponta a ponta, como o Signal ou o WhatsApp, isso só é tecnicamente possível analisando o conteúdo no dispositivo do utilizador antes de ser cifrado. É o chamado client-side scanning.

Depois de forte contestação pública, Alemanha, Países Baixos, Polónia e Áustria recusaram o rastreio obrigatório sem suspeita. A presidência dinamarquesa recuou para um modelo de avaliação e mitigação de riscos. Mas os críticos, incluindo o antigo eurodeputado Patrick Breyer, alertam que a obrigação de tomar "todas as medidas apropriadas de mitigação de risco" pode reintroduzir o rastreio pela porta dos fundos, agora combinado com verificação de idade obrigatória que ameaça o anonimato online.

A Signal já declarou que abandonará o mercado europeu antes de comprometer a sua encriptação.

## Os factos que desmontam o argumento

Ninguém de boa-fé contesta a gravidade do abuso sexual de menores nem a necessidade de o combater. A questão é outra: saber se o rastreio indiscriminado de toda a população funciona. Os dados disponíveis dizem que não.

Segundo a polícia criminal federal alemã, a BKA, dos cerca de 300 mil chats reportados anualmente na União Europeia ao abrigo do rastreio voluntário, 48% eram falsos positivos, criminalmente irrelevantes. Quase metade. Cada falso positivo é um cidadão inocente cuja conversa privada, fotografia de família ou mensagem íntima pode ser exposta a revisores humanos e autoridades.

Na Alemanha, 40% das investigações resultantes visavam menores que partilharam imagens entre si, muitas vezes sexting consensual entre adolescentes, e não redes de predadores. Cerca de 99% de todos os reportes enviados às polícias europeias provinham de uma única empresa americana, a Meta. Na prática, isto transforma as big tech numa polícia auxiliar privada, sem escrutínio europeu suficiente.

Um estudo do próprio Parlamento Europeu concluiu que não existe atualmente tecnologia capaz de detetar este material sem taxas de erro inaceitavelmente elevadas. O Tribunal Europeu dos Direitos Humanos decidiu em 2024 que exigir encriptação degradada não pode ser considerado necessário numa sociedade democrática.

A Center for Democracy and Technology lembrou o essencial: a expiração do Chat Control não deixou as autoridades cegas. A vigilância direcionada com suspeita concreta e mandado judicial continua plenamente disponível, tal como as ordens de remoção de conteúdo, os mecanismos de denúncia e o quadro europeu de prova eletrónica. Os instrumentos para perseguir criminosos existem. O que se quer criar é outra coisa: uma base legal para tratar todos os cidadãos como suspeitos.

Há ainda a dimensão do lobbying, exposta por investigações de media europeus. A preparação da proposta contou com o envolvimento próximo de lobistas de tecnologia e segurança estrangeiros, incluindo a Thorn, organização americana que vende precisamente software de rastreio e gasta centenas de milhares de euros em lóbi em Bruxelas. A comissária Ylva Johansson foi criticada pelo uso de micro-targeting para promover a proposta, em violação das próprias regras europeias de proteção de dados.

A ironia dispensaria comentário, se não fosse tão grave.

## O contrassenso como sintoma

Junte-se as peças.

Uma União que impõe às empresas europeias um dos regimes de proteção de dados mais pesados do mundo, ao ponto de comprometer a sua capacidade de competir, cria simultaneamente exceções para que as mesmas big tech americanas, que domina mal e cujos modelos de negócio o RGPD não travou, analisem as comunicações privadas de todos os cidadãos.

Uma União que consagra o sigilo das comunicações na Diretiva ePrivacy e na Carta dos Direitos Fundamentais renova temporariamente, ano após ano, a suspensão desse sigilo.

Uma União cujo Parlamento rejeita uma norma em março vê a sua própria maquinaria ressuscitá-la em julho, por procedimento de urgência, na véspera das férias.

Isto não parece apenas incompetência. Parece um padrão.

Cada medida chega embrulhada num pretexto nobre: proteção infantil, segurança nacional, combate ao terrorismo, saúde pública. Cada uma normaliza um pouco mais a ideia de que a monitorização preventiva e generalizada é um instrumento legítimo do Estado e das plataformas.

A exceção temporária torna-se permanente. O voluntário torna-se obrigatório. O rastreio de conteúdos conhecidos estende-se à deteção por inteligência artificial de conteúdos novos e padrões de conversa. A infraestrutura de vigilância, uma vez construída, raramente é desmontada. É reaproveitada.

A história europeia do século XX devia bastar como aviso sobre o que acontece quando o Estado dispõe de acesso sistemático às comunicações privadas dos cidadãos.

E o mais perverso é isto: nada disto trará a segurança prometida.

Os criminosos organizados migram facilmente para canais cifrados, redes fechadas ou plataformas fora da jurisdição europeia. Quem fica exposto é o cidadão comum, o jornalista, o advogado, o médico, o adolescente, a vítima de violência doméstica que precisa de um canal seguro.

Inundar as polícias com falsos positivos desvia recursos das investigações direcionadas que efetivamente desmantelam redes de abuso. Protege-se menos as crianças e vigia-se mais toda a gente.

## O que devia ser feito

A alternativa não é a inação. É a proporcionalidade que o próprio Parlamento Europeu defendeu em 2023: vigilância direcionada a suspeitos concretos mediante autorização judicial, remoção célere do material ilegal na origem, reforço dos meios das polícias para investigação infiltrada, segurança por desenho nas aplicações usadas por menores e educação digital.

Tudo isto é compatível com o Estado de direito. O rastreio em massa não é.

A votação de 9 de julho dirá se o Parlamento Europeu ainda consegue defender a posição que tomou em março, ou se a engenharia processual vence a democracia representativa. Mas o Chat Control 2.0 continuará em negociação depois disso. É aí que se decidirá se a encriptação ponta a ponta, a última garantia técnica de correspondência privada na era digital, sobrevive na Europa.

A privacidade não é o luxo de quem tem algo a esconder. É a condição de possibilidade da liberdade de pensamento, da imprensa livre, da advocacia, da medicina e da intimidade.

Uma sociedade que aceita a leitura preventiva de toda a correspondência em troca de uma promessa de segurança não terá nem uma coisa nem outra. Avançamos, de forma silenciosa e estratégica, para uma sociedade mais controlada e monitorizada. Não por decreto único e visível, mas por acumulação de exceções, urgências e pretextos. Está a acontecer agora, num plenário meio vazio, na véspera das férias de verão.

## Referências

1. Regulamento (UE) 2021/1232, derrogação temporária à Diretiva ePrivacy: https://eur-lex.europa.eu/legal-content/PT/TXT/?uri=CELEX%3A32021R1232
2. Proposta de Regulamento CSAR, 2022/0155 COD, Comissão Europeia, 11 de maio de 2022
3. Rejeição da extensão pelo Parlamento Europeu, 26 de março de 2026: https://www.computerweekly.com/news/366640781/EU-Parliament-rejects-Chat-Control-message-scanning
4. Procedimento de urgência de 7 de julho de 2026: https://tugatech.com.pt/t86909-parlamento-europeu-viabiliza-votacao-para-acelerar-regresso-do-chat-control e https://euperspectives.eu/2026/07/parliament-forced-back-to-the-chat-control-question/
5. Manobra do PPE e contexto político: https://www.euronews.com/my-europe/2026/07/07/eu-to-extend-temporary-message-scanning-regime-to-detect-child-sexual-abuse-online
6. Dados da BKA sobre falsos positivos, reportes da Meta e investigações a menores: https://www.patrick-breyer.de/en/historic-chat-control-vote-in-the-eu-parliament-meps-vote-to-end-untargeted-mass-scanning-of-private-chats/
7. Cronologia e comparação Chat Control 1.0 e 2.0: https://fightchatcontrol.eu/chat-control-overview
8. Posição da CDT Europe sobre a expiração e os instrumentos legais existentes: https://cdt.org/insights/cdt-europes-response-to-the-european-parliament-rejection-of-the-chat-control-1-0s-extension/
9. TEDH, Podchasov v. Rússia, 2024
10. D3 Defesa dos Direitos Digitais, análise em português: https://direitosdigitais.pt/noticias/173-chat-control-1-0-morreu-mas-chat-control-2-0-e-pior-e-continua-em-aberto
11. Chat Control, cronologia, lobbying da Thorn e críticas a Ylva Johansson: https://en.wikipedia.org/wiki/Chat_Control
12. Relatório Draghi sobre a competitividade europeia, Comissão Europeia, setembro de 2024
13. Declarações de Meredith Whittaker sobre a possível saída da Signal do mercado europeu: https://stateofsurveillance.org/