A Comissão Europeia emitiu conclusões preliminares em 29 de abril de 2026 de que a Meta viola a Lei dos Serviços Digitais (DSA) por não impedir que crianças menores de 13 anos acessem o Instagram e o Facebook. A investigação da Comissão constatou que os sistemas de verificação de idade da Meta são trivialmente fáceis de contornar: qualquer criança pode criar ou manter uma conta simplesmente inserindo uma data de nascimento falsa, sem nenhum mecanismo eficaz de confirmação. As conclusões marcam a primeira grande ação de aplicação do DSA voltada à segurança infantil em uma grande plataforma social - e o mecanismo proposto para resolver o problema tem implicações significativas para a privacidade de todos os usuários.
O que a Comissao Europeia constatou
As conclusões preliminares da Comissão afirmam que a Meta não identificou, avaliou e atenuou diligentemente os riscos sistêmicos que o Instagram e o Facebook representam para menores. Aproximadamente 10 a 12 por cento das crianças menores de 13 anos utilizam atualmente essas plataformas, contradizendo as próprias avaliações internas da Meta. A Comissão também constatou que a Meta "ignorou evidências científicas prontamente disponíveis" indicando que crianças mais novas são particularmente vulneráveis a danos causados por feeds sociais curados algoritmicamente.
Além do problema de contorno da idade, a Comissão apontou que a ferramenta de denúncia de contas de menores da Meta é "difícil de usar", exigindo até sete cliques para acessar o formulário. Além disso, a Comissão constatou que a Meta não dá seguimento adequado às denúncias recebidas, o que significa que as contas de menores denunciadas frequentemente permanecem ativas na plataforma. A conclusão preliminar da Comissão é que a Meta não implementou salvaguardas proporcionais ou eficazes, apesar dos requisitos explícitos do DSA.
Como as criancas contornam a verificacao de idade
O principal achado técnico é simples: as plataformas da Meta solicitam uma data de nascimento na criação da conta, mas não verificam se essa data é precisa. Uma criança que insere uma data de nascimento indicando 16 ou 18 anos não encontra nenhum obstáculo adicional. Não há verificação de documentos, nenhum serviço de verificação de terceiros e nenhuma comparação com bancos de dados de identidade. A barreira de idade é, na prática, um campo de texto que pode ser contornado digitando qualquer número.
O Artigo 28 do DSA exige que plataformas online de muito grande porte implementem medidas de garantia de idade proporcionais ao risco identificado. A posição preliminar da Comissão é que uma data de nascimento autodeclarada sem verificação não atende a esse padrão para uma plataforma que identificou a segurança infantil como um risco sistêmico.
Consequencias: ate 6% da receita mundial
A Meta agora tem o direito de responder às conclusões preliminares antes que a Comissão emita uma decisão final. Se as conclusões forem confirmadas, a Comissão pode impor uma multa de até 6 por cento do faturamento anual mundial total da Meta. Com base na receita da Meta em 2025, isso representaria uma penalidade potencial de cerca de 12 bilhões de dólares. A Comissão também pode impor multas periódicas para forçar a conformidade e ordenar restrições de acesso temporárias em casos de infrações graves.
A Meta discordou publicamente das conclusões e declarou que compartilhará detalhes de medidas adicionais em andamento. A avaliação preliminar da Comissão é que essas medidas ficam aquém dos requisitos do DSA para toda a UE.
A consequencia para a privacidade: verificacao obrigatoria para todos
A trajetória política decorrente desta ação de aplicação é clara: se as datas de nascimento autodeclaradas são insuficientes sob o DSA, a Meta precisará implementar uma forma de garantia de idade que realmente funcione. A verificação de idade eficaz requer uma verificação de documentos, um sistema biométrico de estimativa de idade ou a integração com um serviço terceirizado de verificação de identidade. As três abordagens exigem a coleta de dados pessoais sensíveis de todos os usuários - não apenas dos menores de 13 anos, mas de cada usuário que precisa provar que atingiu o limite de idade.
Este é o mesmo problema estrutural identificado no regime de verificação de idade do Reino Unido, na legislação australiana e na Parents Decide Act (H.R. 8250) dos EUA: para proteger menores, os reguladores estão construindo infraestrutura de verificação que coleta dados de identidade de todos. As VPNs permanecem eficazes contra a vigilância em nível de rede, mas não abordam os requisitos de identidade em nível de conta.
Cobertura relacionada no vpnlab.io
Artigos anteriores sobre legislação de verificação de idade e suas implicações para a privacidade:
- Parents Decide Act: cada telefone deve coletar sua data de nascimento pelo H.R. 8250 - o projeto de lei americano que moveria a verificação de idade para o nível do SO.
- App de verificacao de idade da UE hackeada em 2 minutos - quando a infraestrutura se torna a superfície de ataque.
- Apos os controles de idade no Reino Unido, o uso de VPN dispara - a resposta documentada em privacidade.
