A 9 de julho de 2026, no último dia de sessão plenária antes da pausa de verão, o Parlamento Europeu permitiu a reativação da derrogação temporária ao Regulamento ePrivacy, conhecida como “Chat Control 1.0”. A moção que visava rejeitar a proposta do Conselho obteve 314 votos a favor da rejeição, 276 contra e 17 abstenções: ou seja, uma maioria dos eurodeputados que votaram opôs-se efetivamente ao regime. Apesar disso, a rejeição falhou, dado que não alcançou os 361 votos exigidos para uma maioria absoluta do total de deputados. Como resultado, a análise voluntária de comunicações privadas volta a ser permitida até 2028 

O regime tinha expirado a 3 de abril de 2026, depois de o Parlamento o ter rejeitado em março por 311 votos contra 228, com 92 abstenções. Pareceria ser o fim do processo. Só que não: a 2 de julho, o Conselho da UE adotou o texto original da Comissão como a sua posição de segunda leitura, alterando por completo a aritmética legislativa aplicável. Numa segunda leitura, o Parlamento só pode rejeitar ou alterar uma posição do Conselho por maioria absoluta (não por maioria simples de votantes), pelo que ausências e abstenções passam, na prática, a contar a favor do texto apresentado pelo Conselho.

Foi nesse contexto que, a 7 de julho, o Partido Popular Europeu (PPE) recorreu ao artigo 170.º do Regimento para ativar um processo de urgência, dispensando assim a fase habitual de análise em comissão e reencaminhando a proposta diretamente para votação em plenário: numa altura em que muitos deputados já se preparavam para regressar aos respetivos países para o período de férias.

O que torna este episódio particularmente problemático não é apenas o resultado, mas o mecanismo usado: uma decisão que o Parlamento já tinha tomado duas vezes por maioria foi revertida por via processual, através da elevação artificial do limiar de rejeição. Quando a maioria dos presentes vota contra uma proposta e esta ainda assim é aprovada por não atingir um limiar formal, isso não corresponde ao que a generalidade dos cidadãos reconheceria como um processo democrático transparente: é, antes, uma inversão de resultado por via de calendário e ausências.


Porque é que a CpC se opõe a este regime?

1. Ausência de garantias judiciais efetivas: A decisão de analisar comunicações privadas continua a caber às próprias plataformas, e não a uma autorização judicial prévia e individualizada, o que colide com o artigo 8.º da Carta dos Direitos Fundamentais da UE.

2. Precedente estrutural para a encriptação: Embora o texto aprovado inclua uma exceção para comunicações cifradas de ponta a ponta, a manutenção indefinida deste regime voluntário consolida a infraestrutura técnica e política sobre a qual assenta a proposta permanente (“Chat Control 2.0″/CSAR).

3. Falsos positivos e desproporcionalidade: Segundo o próprio relatório de avaliação da Comissão Europeia, os classificadores de IA para material desconhecido registam uma taxa de falsos positivos que pode atingir os 20%. Um regime que analisa as comunicações de centenas de milhões de utilizadores para identificar um número comparativamente reduzido de casos reais não cumpre o teste de proporcionalidade do artigo 52.º, n.º 1, da Carta.

4. Reutilização de infraestrutura como vetor de vulnerabilidade: À semelhança do que a CpC tem documentado no contexto português (nomeadamente na reutilização de mecanismos de autenticação para finalidades distintas das originais), mecanismos construídos para digitalizar comunicações privadas alargam a superfície de ataque disponível a acessos não autorizados, independentemente da legitimidade do propósito inicial.

5. Eficácia por demonstrar mas risco comprovado: Os autores de abuso sexual de crianças recorrem maioritariamente a canais que escapam a este tipo de deteção; um regime de vigilância generalizada desloca o encargo para os restantes utilizadores sem uma correspondente demonstração de eficácia acrescida na proteção de vítimas e terá o efeito oposto ao pretendido: os abusadores sexuais irão tornar as suas comunicações ainda mais difíceis de identificar.

E agora?

Isto não terminou. O Parlamento Europeu aprovou, juntamente com o texto principal, uma alteração que isenta expressamente os serviços cifrados de ponta a ponta do âmbito da derrogação: WhatsApp, Signal e serviços equivalentes continuam fora do seu alcance. Contudo, por ter introduzido alterações à posição de segunda leitura do Conselho, o texto tem agora de regressar ao Conselho, que dispõe de cerca de três meses (até meados de outubro de 2026) para aceitar ou rejeitar essa alteração. A negociação da regulação permanente (“CSAR”/”Chat Control 2.0”) continua, entretanto, em curso.

A posição da CpC:

Antes da votação, a CpC: Cidadãos pela Cibersegurança tinha já enviado aos 21 eurodeputados portugueses um apelo formal ao voto contra a prorrogação, com base nos pontos acima: falta de garantias judiciais, risco estrutural para a encriptação, desproporcionalidade face às taxas de erro documentadas, e o paralelismo com os vetores de vulnerabilidade que a organização tem identificado noutros contextos nacionais. Nenhum eurodeputado respondeu.

Mantemos essa posição e continuaremos a acompanhar tanto o regresso do texto ao Conselho como a negociação da regulação permanente, informando os cidadãos sempre que houver desenvolvimentos relevantes.

A proteção de crianças e a confidencialidade das comunicações não são objetivos incompatíveis: mas continuam a não ser servidos por decisões apressadas por via processual, na véspera de uma pausa parlamentar e sem o devido conhecimento técnico por parte de muitos eurodeputados sobre o real impacto das suas decisões.

Deixe um comentário

Contacte a CpC para pedidos de ajuda, orientações, conselhos e propor iniciativas:

← Back

Your message has been sent

“A cibersegurança é a arte de proteger a informação digital sem restringir a inovação.”
— Satya Nadella