Um projeto de lei bipartidário apresentado na Câmara dos Representantes dos EUA em 13 de abril de 2026 obrigaria a Apple, o Google e todos os outros provedores de sistemas operacionais a coletar a data de nascimento de cada usuário - adulto ou criança - como condição para configurar um dispositivo. H.R. 8250, o Parents Decide Act, transfere a responsabilidade de verificação de idade dos aplicativos individuais para o nível do SO, criando o que pesquisadores de privacidade descrevem como um registro de identidade permanente em nível de dispositivo que seguiria os usuários em cada aplicativo que instalarem.
O que o projeto de lei realmente exige
Apresentado pelo Rep. Josh Gottheimer (D-NJ) e copatrocinado pela Rep. Elise Stefanik (R-NY), o Parents Decide Act exige que qualquer provedor de um sistema operacional de uso geral - cobrindo smartphones, tablets, computadores, smart TVs, consoles de jogos, leitores de e-books e dispositivos embarcados - obrigue todos os usuários a inserir sua data de nascimento antes de concluir a configuração do dispositivo. Se um usuário tiver menos de 18 anos, um pai ou responsável legal deve fornecer verificação adicional. A Comissão Federal de Comércio seria obrigada a emitir regulamentos de implementação dentro de 180 dias após a promulgação e relatar ao Congresso sobre conformidade dentro de 18 meses.
O Rep. Gottheimer enquadrou o projeto como uma restauração do controle parental: "Os pais devem decidir quais aplicativos seus filhos podem baixar, qual conteúdo podem ver e como interagem online - não algoritmos ou empresas de tecnologia." O projeto também cria um porto seguro para provedores de SO que cumpram de boa-fé e entra em vigor um ano após a assinatura.
O problema de privacidade: todos os apps obtêm sua data de nascimento
O elemento mais contestado da legislação não é o mecanismo de controle parental, mas a interface programática obrigatória que o projeto criaria. De acordo com H.R. 8250, os sistemas operacionais seriam obrigados a expor os dados de idade coletados por meio de uma API acessível a qualquer aplicativo instalado no dispositivo. Pesquisadores de privacidade observam que isso significa que cada site, cada jogo, cada utilitário e cada rede publicitária poderia consultar o SO sobre a data de nascimento do usuário simplesmente fazendo a chamada de API.
A US Internet Privacy Society descreveu isso como forçar efetivamente cada dispositivo a transmitir a data de nascimento do proprietário para qualquer aplicativo que solicite - sem opção de exclusão para adultos. A preocupação não é hipotética: pesquisas mostraram que apenas três informações - data de nascimento, CEP e gênero - são suficientes para identificar exclusivamente 87 por cento dos americanos. Uma vez exposta por meio de uma API obrigatória em nível de SO, essa data de nascimento se torna um identificador permanente de rastreamento entre sites, permitindo que corretores de dados a correlacionem com nomes, endereços, perfis comportamentais e históricos de compras em todo o ecossistema publicitário.
Escopo: cada usuario, cada dispositivo, sem excecoes
Ao contrário de propostas anteriores de verificação de idade que visavam plataformas ou categorias de conteúdo específicas, H.R. 8250 se aplica universalmente. O requisito de data de nascimento cobre todos os usuários, não apenas os menores de 18 anos. Um adulto que compra um novo laptop, smartphone ou smart TV seria obrigado a informar sua data de nascimento antes de concluir a configuração. O escopo do projeto sobre "dispositivos de computação de uso geral" é amplo o suficiente para abranger não apenas computadores e telefones tradicionais, mas também consoles de jogos, televisores conectados e uma ampla gama de eletrônicos de consumo embarcados.
O projeto está atualmente na primeira fase do processo legislativo, encaminhado ao Comitê de Energia e Comércio da Câmara sem audiência agendada. Precisaria passar pelo comitê, pela Câmara, pelo Senado e ser assinado pelo Presidente antes de se tornar lei - um caminho com incerteza significativa. Mas a direção que sinaliza é clara: um crescente apetite no Congresso por verificação de identidade na camada de infraestrutura da tecnologia de consumo.
O que isso significa para usuarios de VPN
Uma VPN roteia o tráfego de rede por um túnel criptografado e mascara identificadores baseados em IP - mas opera na camada de rede. H.R. 8250 opera na camada do dispositivo, abaixo de toda a pilha de rede. Se promulgado, o requisito de verificação de idade seria aplicado na configuração do dispositivo, antes que qualquer tráfego de rede seja gerado. Seu provedor de VPN, seu resolvedor DNS e sua extensão de navegador para bloquear impressões digitais não teriam nenhuma visibilidade sobre o envio de idade em nível de SO - e nenhuma capacidade de evitá-lo.
O que diferencia isso da maioria dos frameworks de vigilância que as VPNs foram projetadas para abordar é o endpoint: a coleta de dados acontece no próprio dispositivo, no momento da configuração. A vinculação resultante entre data de nascimento e dispositivo persistiria independentemente de qual VPN, navegador ou rede o usuário empregue posteriormente.
Cobertura relacionada no vpnlab.io
Artigos anteriores sobre legislação de verificação de idade e suas consequências para a privacidade:
- App de verificacao de idade da UE hackeada em 2 minutos - Durov alerta para risco de vigilancia - o que acontece quando a própria infraestrutura obrigatória de verificação de idade se torna a superfície de ataque.
- Internet por passaporte na Australia: como Google e Bing verificam a idade dos usuarios - como verificações de idade adjacentes ao SO já funcionam na Austrália.
- Apos os controles de idade no Reino Unido para sites adultos, o uso de VPN dispara - a resposta documentada em privacidade quando a verificação de idade chega aos usuários finais.
