A União Europeia está preparando uma legislação que forçará as empresas de tecnologia a criar portas dos fundos (backdoors) em aplicativos de mensagens com criptografia de ponta a ponta e estender os requisitos obrigatórios de retenção de dados para serviços focados em privacidade em todos os 27 estados membros. A iniciativa, apelidada de ProtectEU, tem sido descrita por especialistas em direitos digitais como "Chat Control 2.0" e pode tornar os serviços sem registros (no-log) efetivamente ilegais na Europa já em 2026.
O que é o ProtectEU?
O ProtectEU é a nova Estratégia de Segurança Interna da UE, adotada formalmente pela Comissão Europeia em 1 de abril de 2025 (COM(2025) 148 final). Superficialmente, a iniciativa se posiciona como uma resposta às crescentes ameaças de terrorismo, crime organizado e guerra híbrida. No entanto, em suas páginas esconde-se um plano que, segundo os defensores da privacidade, compromete fundamentalmente a arquitetura de segurança que protege centenas de milhões de europeus online.
A estratégia orienta a Comissão a desenvolver um Roteiro Tecnológico sobre Criptografia, um plano técnico para dar às agências de aplicação da lei acesso a comunicações criptografadas sem exigir que os provedores de serviços entreguem o texto simples. O roteiro é esperado para o final de 2025, com a proposta de lei prevista para junho de 2026.
O roteiro está sendo desenvolvido em estreita colaboração com o Grupo de Alto Nível (HLG) sobre Acesso a Dados para Aplicação Eficiente da Lei, um órgão intergovernamental que há muito defende o conceito de "acesso legal por design". Isto significa construir mecanismos de acesso diretamente na arquitetura das plataformas, em vez de adicioná-los retroativamente. Os críticos argumentam que isso é funcionalmente idêntico a um backdoor, independentemente da terminologia utilizada.
A rede European Digital Rights (EDRi) classificou o plano como "mais um passo em direção a um futuro digital distópico", alertando que qualquer vulnerabilidade técnica criada para acesso policial será inevitavelmente explorada por cibercriminosos e serviços de inteligência hostis. A ENISA, agência de cibersegurança da própria UE, tem alertado repetidamente que enfraquecer a criptografia aumenta os riscos em vez de reduzi-los.
Retenção obrigatória de dados: a ameaça silenciosa
Junto com o roteiro de criptografia, o ProtectEU propõe expandir o arcabouço de retenção de dados da UE para abranger explicitamente provedores de serviços de comunicações criptografadas, incluindo aqueles que atualmente operam com base em uma política estrita de não registro. Sob as propostas atuais, os serviços que operam na Europa poderiam ser obrigados a registrar metadados de conexão: carimbos de data/hora, conexões de servidores e, potencialmente, identidades de assinantes, retendo esses dados para acesso sob demanda das forças de segurança.
Para os usuários europeus que dependem de ferramentas privadas precisamente porque elas não coletam nenhuma informação, isso representaria um desafio de conformidade impossível. Ou os provedores começam a registrar dados, destruindo sua promessa central de privacidade, ou saem completamente do mercado da UE. Vários grandes provedores já sinalizaram que escolheriam a retirada em vez do cumprimento caso tais exigências se tornem lei.
Por que os especialistas o chamam de "Chat Control 2.0"
O apelido refere-se à tentativa anterior da UE de ordenar a varredura do lado do cliente de mensagens criptografadas, a chamada regulamentação Chat Control, que foi rejeitada pelos estados membros em 2024 após forte oposição de organizações de liberdades civis, pesquisadores de segurança e empresas de tecnologia. Os críticos argumentam que o ProtectEU é apenas o Chat Control repaginado com uma linguagem mais branda e um cronograma atrasado.
O problema criptográfico fundamental permanece o mesmo: não há como construir uma porta dos fundos que apenas os mocinhos possam usar. Uma falha matemática inserida para permitir o acesso policial estará igualmente acessível para a inteligência russa, hackers estatais chineses e gangues de ransomware. Isso não é uma preocupação teórica. A invasão do Salt Typhoon na infraestrutura norte-americana de interceptação legal de telecomunicações em 2024 demonstrou precisamente como os mecanismos de acesso se transformam em portas de entrada para atores estatais hostis.
O cenário legislativo global
O ProtectEU não surge de forma isolada. Do outro lado do Atlântico, os legisladores norte-americanos debatem medidas semelhantes de expansão da vigilância ligadas à renovação da Seção 702 do FISA. No Reino Unido, o Investigatory Powers Act já foi usado para pressionar a Apple a enfraquecer a criptografia do iCloud para usuários britânicos. Os governos democráticos parecem coordenar um esforço global para reverter os ganhos de privacidade da última década.
A convergência dessas iniciativas indica que a geração atual de tecnologias de privacidade (criptografia forte por padrão em aplicativos de mensagens, navegadores e serviços sem registros) enfrenta sua maior ameaça regulatória desde que a adoção em massa começou, há dez anos.
Cronograma e próximos passos
- Abril de 2025: Adoção da estratégia ProtectEU (COM(2025) 148 final)
- Final de 2025: Entrega do Roteiro Tecnológico sobre Criptografia pela Comissão
- Junho de 2026: Proposta de lei esperada cobrindo acesso a criptografia e retenção de dados
- 2027+: Potencial transposição para as leis nacionais dos estados membros da UE
Organizações de direitos digitais, incluindo EDRi, Access Now e Privacy International, já coordenam a oposição antes da proposta legislativa de junho de 2026. Espera-se que uma coalizão de empresas de tecnologia envie comentários formais durante o período de consulta da Comissão, que começou em maio de 2026.
O que isso significa para a privacidade na Europa
Para os cidadãos europeus, os riscos são altíssos. A criptografia de ponta a ponta em aplicativos como Signal e WhatsApp garante atualmente que nem mesmo as empresas que operam os serviços possam ler as mensagens dos usuários. As portas dos fundos mudariam isso: o acesso não seria exclusivo das forças de segurança, mas estendido a qualquer pessoa que descubra ou explore a vulnerabilidade. A mesma lógica se aplica às ferramentas de navegação privada e aos serviços no-log, que seriam obrigados a armazenar registros de conexão que hoje nunca criam.
Os requisitos de registro obrigatório eliminariam uma das últimas ferramentas disponíveis para o uso anônimo da internet na UE, um recurso crucial não apenas para consumidores conscientes de sua privacidade, mas também para jornalistas que protegem suas fontes, ativistas em ambientes repressivos e denunciantes que reportam corrupção corporativa ou estatal.
Para os usuários que priorizam a segurança, é o momento de garantir que as ferramentas que utilizam estejam baseadas em jurisdições fora do alcance regulatório da UE. Uma VPN no-log que funcione sob uma estrita política de privacidade e com sede fora da UE oferece a proteção mais sólida contra a retenção obrigatória de dados que o ProtectEU planeja.
