Califórnia aprova lei que exigirá verificação de idade em todos os sistemas operacionais

A eterna queda de braço entre governos e a privacidade digital acaba de ganhar um novo capítulo com impacto direto no hardware que você usa em casa. O estado da Califórnia (EUA) aprovou uma nova lei que obrigará as empresas desenvolvedoras de sistemas operacionais a integrar mecanismos de verificação de idade diretamente na configuração inicial das contas de utilizador.

O texto da legislação (Assembly Bill No. 1043), assinado pelo governador Gavin Newsom, entrará em vigor no dia 1.º de janeiro de 2027. A premissa oficial é proteger os menores no ambiente digital, fornecendo a “faixa etária” do usuário para as lojas de aplicativos autorizadas. No entanto, enquanto gigantes corporativas podem adaptar-se facilmente, a lei abriu um debate fervoroso sobre a sua aplicação no universo de código aberto.

Para o Windows, nada muda. Para o Linux, um caos

A nova regra não exige biometria ou reconhecimento facial obrigatório na inicialização do PC, mas demanda que a data de nascimento seja informada e registrada.

Para a Microsoft ou a Apple, o impacto prático é praticamente nulo: para criar uma conta Microsoft no Windows 11 ou um Apple ID no macOS, a data de nascimento já é um requisito padrão há anos. O verdadeiro gargalo legislativo está no ecossistema Linux. A filosofia fundamental do Linux e das suas diversas distribuições baseia-se na liberdade, descentralização e, na grande maioria dos casos, no uso anônimo.

“Impossível de aplicar”

A reação da comunidade técnica não tardou. Em discussões no fórum da distribuição Linux Mint no Reddit, usuários apontaram rapidamente as falhas estruturais do projeto de lei perante o open-source.

A lógica é simples: se uma distribuição decidir implementar uma barreira de verificação de idade para cumprir a lei da Califórnia, o código aberto permite que qualquer programador crie uma ramificação (fork) daquele sistema removendo essa mesma barreira em questão de horas. A resposta mais provável das fundações e criadores de distros será simplesmente colocar um aviso legal nos seus sites dizendo: “Este software não se destina ao uso no Estado da Califórnia”, isentando-se juridicamente.

A tendência global da vigilância

O movimento californiano não é um caso isolado. Regiões como o Reino Unido (com o seu polêmico Online Safety Act) e discussões em torno da verificação em plataformas de comunicação, como o Discord, mostram uma tendência global dos legisladores de transferirem a responsabilidade da moderação de conteúdo para a camada de infraestrutura e software.

Caso medidas semelhantes cruzem o oceano e tentem ser aplicadas na Europa, por exemplo, o choque ocorrerá com legislações pesadas de proteção de dados, como o GDPR, que proíbem rigorosamente a recolha de dados sensíveis e desnecessários. Até 2027, o debate sobre até onde a segurança justifica a vigilância nativa no nível do sistema operacional continuará a ferver.

NextFerretOS não vai adicionar,e se insistirem tiro ingles do instalador kkkkkkkkkkkkkkkkk

Eu ainda respondia com um “lmao”

O Brasil tem uma lei praticamente igual: Lei 15.211/2025 (ECA Digital).

Essas leis são ineficazes. Mas não vêm dessa balela de “Estado Malvadão querendo vigiar os cidadãos”, mas em resposta aos disseminados crimes contra crianças e adolescentes cometidos Internet afora.

Não tem bobo nesse jogo. Aqueles grupos políticos abjetos que se valem de bandalheira digital sempre serão contra QUALQUER medida de regulação, ainda que, diferentemente dessa, a medida seja realmente boa.

Tá dito! A batalha segue em.outras arenas!

A aplicação dessa lei ao Linux (por ex: Ubuntu, Fedora, Mint) é um dos pontos mais complexos e interessantes do texto, pois o modelo do Linux é fundamentalmente diferente do modelo “fechado” da Apple ou do Google.

No Linux, o kernel é desenvolvido pela Linux Foundation, mas o sistema que o usuário utiliza é uma “distribuição” (Ubuntu/Canonical, Fedora/Red Hat).

Para fins desta lei, empresas como a Canonical ou a Red Hat poderiam ser classificadas como “provedor”. Para distribuições comunitárias (como o Arch Linux ou Debian), que não possuem uma entidade comercial centralizada e forte, a aplicação da lei e a cobrança de multas pelo Procurador-Geral seriam um desafio jurídico enorme.

A lei exige uma interface acessível no momento da configuração da conta (account setup). Instaladores do Ubuntu ou Fedora teriam que ser modificados para incluir obrigatoriamente um campo de data de nascimento para o usuário principal. Isso vai contra a filosofia de muitas distros Linux que pregam o anonimato e a coleta mínima de dados.

O Linux não tem uma loja única. Ele usa repositórios, GNOME Software, Discover, Flathub ou Snap Store. Se o Flathub for considerado uma “Covered application store”, ou seja, loja de aplicativos regulada por esta lei, ele precisará implementar a tecnologia para receber o sinal de idade do sistema operacional e repassá-lo aos desenvolvedores de apps (como o Spotify ou Discord que estão lá dentro).

O sistema operacional Linux precisaria criar uma API padronizada (provavelmente via D-Bus) para que os aplicativos possam “perguntar” a idade do usuário de forma segura.

A lei pune a “violação intencional” ou “negligente”. No Linux, o usuário tem controle total (root). Um usuário tecnicamente instruído poderia facilmente modificar o código da API no seu próprio computador para que ela sempre envie o sinal “At least 18 years of age”, independentemente da realidade.

A lei diz que o provedor não é responsável se o sinal for errôneo devido a conduta do usuário, mas exige que o provedor forneça a ferramenta. O desafio para as empresas de Linux será criar um sistema que seja “seguro o suficiente” para satisfazer a lei da Califórnia sem fechar o sistema (o que destruiria o propósito do Linux).

A lei foca em dispositivos de “uso geral” (general purpose computing). Isso inclui PCs com Linux e o Steam Deck (que roda SteamOS/Linux). A Valve, no caso do Steam Deck, seria a responsável direta por garantir que, ao ligar o console pela primeira vez, a idade seja coletada e um sinal seja disponibilizado para os jogos.

Se essa lei for aplicada rigorosamente, distribuições comerciais terão que criar essa infraestrutura de “sinal de idade” e APIs de comunicação. Pode haver uma divisão onde algumas distros simplesmente bloqueiam o uso na Califórnia para evitar multas, ou ignoram a lei baseando-se no fato de serem entidades sem fins lucrativos (embora a lei não abra exceção clara para isso).

Pode surgir um novo padrão “Open Desktop” para que o sinal de idade funcione da mesma forma em qualquer interface (GNOME, KDE, etc.).

quem viver, verá.

Mais um país/estado/província, e a lei não consegue pegar o pinguim…

Provavelmente vai estar vazio mas o Linux tem isso desde antes do Linux existir:

getent passwd ${USER} | cut -d: -f5 | cut -d, -f2

Embora tradicionalmente esse campo seja nomeado “Room Number” os primeiros mecanismo de controle parental usavam como data de nascimento

O problema não é burlar o sistema. O controle físico do hardware precisa estar com os pais. Se o pai deixa o computador desbloqueado para instalação do sistema operacional, não adiantou nada. Chegaria no ponto de ter que bloquear o sistema operacional iniciado e evitar máquinas virtuais. Na prática seria extremamente complicado, mas um bloqueio simples funciona com crianças bem pequenas, e vai se tornando cada mais difícil com o aumento da idade. Técnicas pro jovem burlar ficariam mais difíceis do que seus pais conseguiriam entender.

Vedada a autodeclaração, o problema é como assegurar que alguém maior de idade faça a configuração da conta do jovem. Em determinado ponto o adulto teria que se logar em algum sistema e esse sistema tem que garantir que o adulto é adulto. Pra funcionar, será verificado com identidade e verificação facial, caso essa verificação fique a cargo das empresas. Num outro tópico já falei que, assim como o Estado é responsável pela emissão da carteira de identidade, ele também deveria ser responsável pela verificação de idade digital. Essa API do sistema operacional está completamente fora de lugar: Por que eu teria que mandar foto da identidade e rosto para uma big tech?

Isso é tão surreal que parece que são as big techs que pressionam o governo para colocar essa restrição. Essas empresas seriam as grande beneficiadas pois todos que quiserem usar esse serviço de API delas precisariam estar cadastrados na empresa, com rosto e identidade. Isso é inadmissível no meu ponto de vista.

Os serviços de identidade digital já são prestados em algum grau no Brasil pelo “gov.br”, seria só questão de fazer essa API de verificação de adulto ser feita lá. (Com empresas operando mundialmente pro desenvolvedor cuidar da implementação de cada região, ou melhor, com um acordo mundial de padronização dessa API). Se bem implementado, isso garantiria uma anonimização do usuário, enquanto garante a idade dele. Por exempl: O gov br (ou o setor de identificação digital do Estado da Califórnia) geraria um “token de adulto” de uso único que seria validado pelo serviço. Seria algo como os níveis de confiabilidade de certificados digitais. Tem falhas? Sim, mas ao menos tem a chance de funcionar corretamente sem perda da privacidade.

Em último caso, as versões “sem verificação” de sites e serviços deveriam apresentar somente conteúdo seguro para crianças. O correto é inverter a lógica de verificação. Não da criança, mas do adulto.

Exercício mental:

1. Entra no site do youtube. Estão disponíveis conteúdos seguros para crianças.
2. Clica no botãozinho “verificar idade” (mesmo sem estar logado na conta google)
3. Janela pede o token de verificação de adulto
4. Abre o aplicativo de identificação da sua região, nosso caso o GOV.BR.
5. Nele, loga e clica em “Gerar token de identificação de adulto”.
6. É mostrado um código: “praxe mansa solteiro suposto arrumar negrito atriz”
7. O usuário entra com o código no site.
8. Parte de verificação do backend:
   8.1 Google verifica de qual região é o código
   8.2 Google manda requisição pro servidor da região se o código é válido (API de verificação de adulto)
   8.3 Servidor de verificação (no caso um serviço do GOV BR) confirma que o código é válido.
   8.4 Google autoriza versão completa do site (via cookie ou chave salva pelo navegador)
9. Usuário verificado, página recarrega com versão completa.

Se eu que sou meio tonto consigo pensar num jeito de verificação que não compromete a privacidade do usuário, imagina os especialistas que criam leis?

Essa é realmente uma excelente maneira de confirmar a idade. Eu também gosto da maneira em que o Newgrounds faz essa verificação no Reino Unido:

• Se a sua conta existe há mais de 10 anos, eles assumem que você tem 18 anos. Sem mais.
• Se voce comprou o pacote de Apoiador, eles também assumem que você tem 18 anos, já que para ter um Cartão de Crédito no Reino Unido, você precisa ter 18 anos.
• Se voce comprou o pacote de Apoiador há dois anos, eles também assumem que você tem 18 anos, já que para ter um PayPal ou Cartão de Débito no Reino Unido, você precisa ter no mínimo 16 anos de idade
• Se você não atende a esses requisitos, é cobrada uma pequena taxa no Cartão de Crédito para confirmar a idade.

Não sei se funcionaria para outras coisas, mas acho interessante como o Newgrounds resolveu isso.