Na segunda-feira, o regulador da internet do Reino Unido, Ofcom, publicou o primeiro conjunto de diretrizes finais para os provedores de serviços online sujeitos à Lei de Segurança Online. Isso inicia a contagem do prazo de conformidade da extensa lei de danos online, que o regulador espera que comece em três meses.
Ofcom tem enfrentado pressão para avançar mais rapidamente na implementação do regime de segurança online após os distúrbios do verão que foram amplamente percebidos como alimentados pela atividade nas redes sociais. Embora esteja apenas seguindo o processo estabelecido pelos legisladores, que exigiu consultar e ter a aprovação do parlamento para as medidas finais de conformidade.
“Essa decisão sobre os Códigos de Danos Ilegais e orientações marca um marco importante, com os provedores online agora sendo legalmente obrigados a proteger seus usuários de danos ilegais”, escreveu Ofcom em um comunicado à imprensa.
“Os provedores agora têm o dever de avaliar o risco de danos ilegais em seus serviços, com um prazo até 16 de março de 2025. Sujeito à conclusão do processo parlamentar dos Códigos, a partir de 17 de março de 2025, os provedores precisarão tomar as medidas de segurança estabelecidas nos Códigos ou usar outras medidas eficazes para proteger os usuários de conteúdos e atividades ilegais.”
“Estamos prontos para tomar medidas de cumprimento se os provedores não agirem rapidamente para abordar os riscos em seus serviços”, acrescentou.
De acordo com Ofcom, mais de 100.000 empresas de tecnologia podem estar abrangidas pelos deveres da lei de proteger os usuários de uma variedade de tipos de conteúdo ilegal — em relação a mais de 130 “ofensas prioritárias” que a Lei define, cobrindo áreas como terrorismo, discurso de ódio, abuso e exploração sexual infantil, e fraudes e delitos financeiros.
A não conformidade pode resultar em multas de até 10% do faturamento anual global (ou até £18 milhões, o que for maior).
As empresas abrangidas vão desde gigantes da tecnologia até provedores de serviços “muito pequenos”, com vários setores impactados, incluindo redes sociais, namoro, jogos, busca e pornografia.
“As obrigações na Lei se aplicam a provedores de serviços com links para o Reino Unido, independentemente de onde estejam baseados no mundo. O número de serviços online sujeitos à regulamentação pode totalizar mais de 100.000 e variar de algumas das maiores empresas de tecnologia do mundo a serviços muito pequenos”, escreveu Ofcom.
Os códigos e orientações seguem uma consulta, com Ofcom analisando pesquisas e levando em consideração as respostas das partes interessadas para ajudar a moldar essas regras, desde que a legislação passou pelo parlamento no outono passado e se tornou lei em outubro de 2023.
O regulador delineou medidas para serviços de usuário para usuário e de busca para reduzir os riscos associados ao conteúdo ilegal. A orientação sobre avaliações de riscos, manutenção de registros e revisões é resumida em um documento oficial.
Ofcom também publicou um resumo cobrindo cada capítulo na declaração de política de hoje.
A abordagem da lei do Reino Unido é oposta ao modelo de “tamanho único” — com, geralmente, mais obrigações impostas a serviços e plataformas maiores onde múltiplos riscos podem surgir em comparação com serviços menores com menos riscos.
No entanto, serviços menores de baixo risco não recebem uma isenção das obrigações, também. E — de fato — muitos requisitos se aplicam a todos os serviços, como ter um sistema de moderação de conteúdo que permita a remoção rápida de conteúdo ilegal; ter um mecanismo para os usuários enviarem reclamações de conteúdo; ter termos de serviço claros e acessíveis; remover contas de organizações proibidas; e muitos outros. Embora muitas dessas medidas gerais sejam características que os serviços tradicionais, pelo menos, já devem oferecer.
Mas é justo dizer que toda empresa de tecnologia que oferece serviços de usuário para usuário ou de busca no Reino Unido precisará, no mínimo, realizar uma avaliação de como a lei se aplica ao seu negócio, senão fazer revisões operacionais para abordar áreas específicas de risco regulatório.
Para plataformas maiores com modelos de negócios centrados no engajamento — onde sua capacidade de monetizar conteúdo gerado por usuários está ligada a manter um controle rigoroso sobre a atenção das pessoas — podem ser necessárias mudanças operacionais mais significativas para evitar violar os deveres da lei de proteger os usuários de uma infinidade de danos.
Uma alavanca-chave para impulsionar mudanças é a lei que introduz responsabilidade criminal para executivos seniores em certas circunstâncias, significando que CEOs de tecnologia podem ser responsabilizados pessoalmente por alguns tipos de não conformidade.
Falando ao programa Today da BBC Radio 4 na manhã de segunda-feira, a CEO da Ofcom, Melanie Dawes, sugeriu que 2025 verá finalmente mudanças significativas na forma como grandes plataformas de tecnologia operam.
“O que estamos anunciando hoje é um grande momento, na verdade, para a segurança online, porque em três meses os empresas de tecnologia precisarão começar a tomar medidas adequadas”, disse ela. “O que eles precisarão mudar? Eles precisam mudar a forma como os algoritmos funcionam. Eles têm que testá-los para que conteúdos ilegais como terrorismo e ódio, abuso de imagem íntima, entre outros, não apareçam em nossos feeds.”
“E então, se algumas coisas escaparem da rede, eles terão que removê-las. E para crianças, queremos que suas contas estejam definidas como privadas, para que não possam ser contatadas por estranhos”, acrescentou.
Dito isso, a declaração de política da Ofcom é apenas o começo da ação dos requisitos legais, com o regulador ainda trabalhando em mais medidas e deveres em relação a outros aspectos da lei — incluindo o que Dawes descreveu como “proteções mais amplas para crianças” que ela disse que serão introduzidas no novo ano.
Portanto, mudanças mais substanciais relacionadas à segurança infantil nas plataformas que os pais têm clamado forçar podem não se concretizar até mais tarde no ano.
“Em janeiro, vamos apresentar nossos requisitos sobre verificações de idade para que saibamos onde estão as crianças”, disse Dawes. “E então, em abril, vamos finalizar as regras sobre nossas proteções mais amplas para crianças — e isso envolverá pornografia, material sobre suicídio e automutilação, conteúdo violento e assim por diante, simplesmente não sendo alimentado para crianças da maneira que se tornou tão normal, mas que é realmente prejudicial hoje.”
O documento resumo da Ofcom também observa que mais medidas podem ser necessárias para acompanhar o desenvolvimento tecnológico, como o surgimento da IA generativa, indicando que continuará a revisar os riscos e pode evoluir ainda mais os requisitos sobre os provedores de serviços.