ICO reddit multa GDPR coloca verificações de idade e proteção de dados de crianças sob nova escrutínio

As autoridades reguladoras reacenderam o debate sobre privacidade, segurança online de crianças e a multa do GDPR ao Reddit após o órgão regulador do Reino Unido sancionar a plataforma por dados de menores de 13 anos.

ICO sanciona Reddit por dados de crianças e verificações de idade

O Gabinete do Comissário de Informação do Reino Unido (ICO) aplicou uma multa de £14,47 milhões ($19,6 milhões) ao Reddit por alegados incumprimentos do GDPR envolvendo crianças, numa decisão anunciada em 24 de fevereiro de 2026. No entanto, defensores da privacidade alertam que a abordagem de fiscalização pode comprometer o anonimato e a segurança dos utilizadores em plataformas online.

O regulador afirmou que a multa ao Reddit baseou-se em duas falhas principais. Primeiro, o Reddit não possuía medidas “robustas” de verificação de idade, deixando de ter uma base legal para processar os dados pessoais de utilizadores com menos de 13 anos. Segundo, não realizou uma avaliação formal de impacto na proteção de dados (DPIA) para identificar e mitigar riscos para crianças no serviço antes de janeiro de 2025.

Segundo o ICO, o valor da sanção refletiu vários fatores. Entre eles, o grande número de crianças a usar o site, o potencial de dano que poderiam sofrer, o tempo durante o qual as falhas persistiram e o volume de negócios global do Reddit. Além disso, os investigadores destacaram a natureza do conteúdo ao qual as crianças poderiam ter sido expostas.

Regulador: Reddit falhou com utilizadores mais jovens

O Comissário de Informação, John Edwards, afirmou que crianças com menos de 13 anos tiveram suas informações pessoais coletadas e utilizadas de formas que não podiam compreender ou controlar totalmente. Isso as deixou potencialmente expostas a conteúdos inadequados para a sua faixa etária, argumentou em uma declaração veemente.

“Crianças com menos de 13 anos tiveram suas informações pessoais coletadas e usadas de maneiras que não podiam entender, consentir ou controlar. Isso as deixou potencialmente expostas a conteúdos que não deveriam ter visto. Isto é inaceitável e resultou na multa de hoje”, disse Edwards. Ele reforçou que as empresas devem desenhar serviços pensando nas crianças desde o início.

Edwards acrescentou que serviços online que atraem crianças têm uma responsabilidade clara de protegê-las. Para isso, devem saber, com razoável confiança, a idade dos utilizadores e implementar verificações de idade adequadas e eficazes. No entanto, ele não prescreveu uma tecnologia específica, focando-se nos resultados e na redução de riscos.

Resposta do Reddit e objeções baseadas na privacidade

O Reddit reagiu, argumentando que as suas escolhas de design de longa data priorizavam o anonimato e a segurança dos utilizadores. Em comunicado, a empresa afirmou que “não exigimos que os utilizadores partilhem informações sobre as suas identidades, independentemente da idade, porque estamos profundamente comprometidos com a sua privacidade e segurança”. Contudo, não contestou que crianças tinham acessado a plataforma.

A plataforma introduziu barreiras de idade para aceder a “conteúdo maduro” em julho de 2025 e começou a solicitar aos novos utilizadores que indicassem a sua idade ao criar uma conta. O ICO reconheceu essas mudanças, mas afirmou que a auto-declaração por si só era demasiado fácil de contornar e não satisfazia os padrões do GDPR para processamento de maior risco envolvendo menores.

Especialistas em privacidade apoiaram a posição do Reddit, argumentando que verificações mais rigorosas poderiam aumentar as preocupações com a verificação de idade. Alertaram que espelhar os requisitos intrusivos de identidade impostos em alguns sites de conteúdo adulto poderia aumentar a superfície de ataque para cibercriminosos e enfraquecer as proteções de privacidade em geral.

Especialistas alertam para preocupações de privacidade na verificação de idade

Paul Bischoff, defensor da privacidade do consumidor na Comparitech, afirmou que espera que o Reddit resista à pressão para implementar verificações de identidade pesadas. Argumentou que regimes obrigatórios de verificação transferem o ônus da prova para utilizadores que não são suspeitos de má conduta, levantando questões amplas de liberdades civis.

“O problema com a verificação obrigatória de identidade é que coloca um ônus indevido de prova na maioria das pessoas que não são suspeitas de qualquer irregularidade”, alertou Bischoff. Além disso, afirmou que há pouca evidência robusta de que esses esquemas oferecem os benefícios de segurança alegados, especialmente em larga escala.

Ele acrescentou que verificações coercitivas podem ter um efeito de dissuasão na liberdade de expressão e associação. Na sua opinião, os pais devem assumir mais responsabilidade na supervisão da atividade online das crianças, em vez de transferir essa tarefa para empresas privadas, governos ou o público em geral.

Pieter Arntz, investigador sénior na Malwarebytes, também alertou que tecnologias de avaliação de idade apresentam riscos significativos. Em particular, destacou sistemas que dependem de análise biométrica, dados financeiros ou repositórios de identidade centralizados, dizendo que cada opção abre novas vias para abuso, vigilância ou violações de dados.

Arntz citou estimativas de idade facial usando biometria, verificações de open banking consultando informações financeiras, carteiras de identidade digitais e correspondência de documentos com foto como exemplos de ferramentas que podem concentrar dados altamente sensíveis. Mesmo mecanismos mais simples, como verificações de cartão de crédito, inferências por email ou verificação por rede móvel, podem levantar preocupações sobre exclusão, perfilamento e fiabilidade.

Modelos de duplo cegamento como possível compromisso

Para conciliar preocupações de privacidade na verificação de idade com objetivos de segurança infantil, Arntz apontou para a “verificação de duplo cegamento” como uma abordagem mais preservadora da privacidade. Nesse modelo, uma terceira parte confiável confirma se um utilizador atinge uma determinada idade, como 18+, e depois emite um token anónimo para o site que depende dessa verificação.

Nessa abordagem, o site recebe apenas uma indicação simples de que o utilizador é, por exemplo, “18+”, sem conhecer a sua identidade completa ou qual o serviço de verificação utilizado. Isso pode reduzir a exposição de dados, limitar o rastreamento entre serviços e evitar a criação de grandes “bases de dados” de informações pessoais sensíveis, que atraem atacantes.

Segundo Arntz, essas arquiteturas podem oferecer proteções de privacidade mais fortes do que muitos esquemas atuais, ao mesmo tempo que cumprem as exigências regulatórias. No entanto, requerem um design técnico cuidadoso, governação clara e supervisão robusta para garantir que realmente limitem a recolha de dados, evitando reintroduzir riscos através de integrações de backend.

Obrigações de conformidade e lições do GDPR do Reddit para a indústria

A multa do GDPR ao Reddit também reforça obrigações mais amplas relativas à proteção de dados de crianças para qualquer serviço online utilizado por menores, independentemente de serem o público-alvo. Falhas na estratégia e na governação relacionadas com DPIAs e verificações de idade provavelmente atrairão maior atenção regulatória à medida que a fiscalização se intensifica.

Chris Linnell, diretor associado de privacidade de dados na Bridewell, afirmou que ao processar dados de crianças, realizar uma DPIA não é opcional. É uma exigência legal destinada a garantir que as organizações avaliem, documentem e mitiguem riscos antes que ocorram danos, especialmente quando há perfilamento ou direcionamento de conteúdo.

Linnell argumentou que a ausência de uma DPIA robusta sugere que os riscos para as crianças não foram devidamente identificados ou abordados desde o início. Além disso, afirmou que confiar apenas em termos e condições que indicam que menores de 13 anos não devem usar o serviço não constitui uma proteção eficaz se não houver controles técnicos que a sustentem.

“Se não houver controles técnicos ou operacionais eficazes para fazer cumprir essa regra, a organização não pode alegar credivelmente que tomou medidas razoáveis para impedir o acesso”, disse. “A conformidade não pode ficar apenas na redação de contratos; deve refletir-se em salvaguardas práticas.” Seus comentários indicam que políticas baseadas apenas em papel não serão suficientes em futuras ações de fiscalização.

Fiscalizações recentes e orientações para plataformas online

A decisão do Reddit segue outro caso no Reino Unido envolvendo dados de crianças. Poucas semanas antes, a MediaLab, empresa-mãe da plataforma de partilha de imagens Imgur, recebeu uma multa superior a £247.000 por não usar de forma legal os dados de crianças. Juntos, os casos mostram que o ICO está a intensificar a fiscalização sobre como plataformas sociais e de conteúdo tratam os jovens utilizadores.

Linnell aconselhou os fornecedores de serviços online a agirem agora para evitar resultados semelhantes. Primeiro, devem identificar onde as crianças provavelmente acessam os seus serviços, mesmo que esses utilizadores não sejam o público-alvo. Segundo, devem realizar DPIAs para processamento de alto risco e garantir que essas avaliações sejam revistas e atualizadas regularmente.

Também recomendou às empresas que estabeleçam e documentem uma base legal clara para o processamento de dados de crianças e que implementem controles proporcionais e eficazes, em vez de depender apenas de declarações de política. No entanto, esses controles devem ser equilibrados com princípios de privacidade desde a conceção, para evitar a captura excessiva de dados, o que por si só poderia criar novos riscos.

Perspectivas para plataformas que equilibram segurança, privacidade e conformidade

A ação do ICO contra o Reddit sinaliza uma era mais rigorosa de fiscalização em torno de crianças e proteção de dados em 2026 e nos anos seguintes. Plataformas que dependem fortemente de conteúdo gerado pelos utilizadores enfrentarão uma pressão crescente para conciliar segurança, privacidade e obrigações legais, mantendo modelos de negócio viáveis e a confiança da comunidade.

Na prática, isso significa construir designs sensíveis à idade, realizar DPIAs significativas e explorar modelos de verificação que preservem a privacidade, em vez de recorrer a verificações de identidade generalizadas. À medida que reguladores e a indústria testam essas abordagens, o desfecho do debate sobre conformidade do GDPR do Reddit provavelmente moldará padrões globais para a proteção de menores online.

No geral, o caso do Reddit serve como um aviso de alto perfil de que a proteção de dados focada em crianças está a passar de orientações para fiscalização, pressionando as plataformas a reforçar salvaguardas enquanto defendem a privacidade dos utilizadores.