Normas editadas pelo governo não criam obrigações novas, mas traduzem em procedimentos regime já conformado pelo Supremo e pela LGPD. 

O Marco Civil da Internet (Lei 12.965) entrou em vigor em 2014, em um contexto radicalmente distinto daquele atual. Naquele momento, a principal preocupação do legislador era evitar que o temor de responsabilização civil induzisse as empresas a censurar conteúdos de forma preventiva.

Por isso, o artigo 19 adotou o chamado modelo de judicial notice and takedown – isso significa que as plataformas somente seriam responsabilizadas após o descumprimento de ordem judicial específica de remoção de conteúdo. Ou seja, compreendia-se que as plataformas só poderiam ser responsabilizadas por conteúdos produzidos por terceiros se notificadas judicialmente a retirá-los e não o fizessem.

Com o passar dos anos, o crescimento exponencial do uso da internet na sociedade e a evolução da inteligência artificial, compreendeu-se que o modelo pensado anos atrás não era mais suficiente para garantir a proteção efetiva de direitos.

Frequentemente, as plataformas digitais não cumprem apenas o papel de disponibilizar conteúdos de terceiros e adotam um modelo de negócio que as torna vetor ativo na distribuição de conteúdo, gerando um risco sistêmico que impacta diretamente no exercício de direitos fundamentais.

Diante desse cenário de inadequação da lei existente (o Marco Civil da Internet) e da dificuldade do Congresso em regular a temática, o Supremo Tribunal Federal concluiu um julgamento que redefiniu os parâmetros de responsabilidade das plataformas digitais no país.

Em 26 de junho de 2025, o plenário do STF realizou julgamento conjunto dos Recursos Extraordinários 1.037.396 (Tema 987) e 1.057.258 (Tema 533) e declarou a inconstitucionalidade parcial e progressiva do art. 19 do MCI, com acórdão publicado em 6 de novembro de 2025.

No julgamento, a Corte reconheceu que a exigência de ordem judicial prévia como condição universal para a responsabilização das plataformas gerou um estado de omissão parcial inconstitucional, pois a norma não conferia proteção suficiente a bens jurídicos de alta relevância constitucional, especialmente direitos fundamentais e a própria democracia.

A nova tese fixada pelo STF estabeleceu naquele momento quatro regimes distintos de responsabilização conforme a natureza do conteúdo: manteve-se a exigência de ordem judicial apenas para crimes contra a honra; previu-se o modelo notice and takedown extrajudicial para crimes e atos ilícitos em geral; impôs-se o dever proativo de remoção imediata para crimes graves (como terrorismo, discriminação e violência de gênero); e estabeleceu-se responsabilidade presumida para anúncios pagos e redes artificiais de distribuição.

Além disso, a Suprema Corte foi explícita ao reconhecer que, até que o Congresso Nacional legisle sobre a matéria, o Executivo deve atuar para concretizar os parâmetros fixados na decisão, sinalizando, assim, a necessidade e a legitimidade de futura regulamentação infralegal.

Apesar de a decisão do STF ter sido publicada em novembro de 2025, ainda persistia baixa adequação e atuação proativa das plataformas digitais. É nesse cenário que surgem os Decretos 12.975 e 12.976, ambos editados em 21 de maio deste ano.

O Decreto 12.975 responde a esse vazio ao detalhar as obrigações operacionais das plataformas, com destaque para o dever de gestão de riscos sistêmicos, a transparência nas decisões de moderação e o combate proativo a golpes, fraudes e crimes graves.

O Decreto 12.976, por sua vez, foca na proteção específica de mulheres e meninas, obrigando empresas de IA a implementar salvaguardas contra a geração de conteúdos íntimos sintéticos e estabelecendo prazo máximo de duas horas para remoção de imagens íntimas não consentidas.

Avaliação das “novas”obrigações: plus ça change, plus c’est la même chose?

É importante destacar que essas medidas dialogam diretamente com obrigações que já existiam no sistema jurídico brasileiro. Por exemplo, a obrigação de análise e mitigação de riscos já se encontra de alguma forma no artigo 9-D, V, da Resolução 23.732/2024 do Tribunal Superior Eleitoral^[1].

A obrigação imposta no decreto é mais abrangente que nessa resolução (a qual foca, por óbvio, somente nos impactos na integridade do processo eleitoral), mas ao mesmo tempo mais restrita daquela semelhante prevista na Lei do Serviço Digital na União Europeia, que não limita a análise e a mitigação de risco aos crimes enumerados na decisão do STF.

Tal abordagem decorre da generalização de um dever de cuidado dos provedores de aplicações de internet, já reconhecido pela jurisprudência do STF e do TSE, consagrado no artigo 9-D, § 4º da resolução e fundamentado no princípio de boa-fé objetiva no direito civil.

Por sua vez, a imposição da retirada de conteúdo íntimo não consensual após notificação extrajudicial nada mais é do que a aplicação da regra prevista no artigo 21 do Marco Civil da Internet, com maior detalhamento sobre prazos e procedimentos. O prazo de 2 horas pode parecer rígido, se compararmos o decreto com a referência de 48 horas na legislação introduzida nos Estados Unidos em 2025 e no Reino Unido em 2026 para coibir a circulação de imagens íntimas não consensuais.

O modelo adotado pelo Brasil, contudo, é o que mais diretamente traduz a urgência do problema: hoje em dia, o processo de captura, disseminação e até mesmo fabricação de imagens pode ocorrer em questão de segundos, alcançando um público amplo e gerando danos (pela exposição e constrangimento) irreversíveis, razão pela qual é lógico exigir uma atuação mais célere.

A necessidade de ação urgente fica evidente diante dos dados que retratam a transformação do ambiente digital brasileiro: 8,8 milhões de mulheres sofreram violência digital no último ano; 173 crianças e adolescentes foram vítimas de imagens sexuais sintéticas produzidas por inteligência artificial em instituições de ensino de dez estados.

A crítica de que tal obrigação possa na prática gerar censura ou uma excessiva precaução dos provedores, que não deixa de ser uma preocupação importante na criação de responsabilidades de intermediários, carece de fundamentação neste contexto: o conteúdo íntimo é facilmente identificável como tal, existindo ferramentas tecnológicas robustas para detectar e prevenir a propagação, e sendo acionável somente em caso de notificações enviadas pela própria vítima ou o seu representante legal, o que por si só revela a falta de consensualidade e elimina a possibilidade de abuso por terceiros^[2].

Quanto às salvaguardas contra a geração de conteúdos íntimos sintéticos, vale lembrar que as autoridades brasileiras atuaram conjuntamente no início de 2026 exigindo a adoção de salvaguardas do X (antigo Twitter) para corrigir as falhas de detecção e prevenção de tal conteúdo no Grok.

No caso, coube tanto à ANPD quanto à Senacon expedir medida preventiva determinando que o Grupo X implementasse, de forma imediata, controles técnicos e organizacionais aptos a impedir que o Grok gerasse conteúdos sexualizados de pessoas identificadas ou identificáveis sem autorização, enquanto o MPF exigiu o envio de relatórios mensais sobre as medidas concretamente adotadas.

Essa postura se alinha com o posicionamento adotado em fevereiro de 2026 por 61 autoridades de proteção de dados de quatro continentes, que em conjunto, subscreveram uma carta denunciando grande preocupação de danos para pessoas vulneráveis e exortando as organizações que desenvolvem e usam inteligência artificial generativa a adotar salvaguardas adequadas.

Tal postura é coerente também com as crescentes atribuições em relação a conteúdo de natureza sensível para proteção de pessoas vulneráveis, como é o caso no contexto do ECA Digital, acompanhadas por uma expansão do número de servidores e uma verdadeira reestruturação da autoridade.

Nessa perspectiva, atribuir e reforçar a autoridade coordenadora da ANPD, a qual já tem lidado e capitaneado os debates nas regulações do ambiente digital, parece responder às exigências atuais e ao acelerado ritmo do ecossistema digital, além de evitar conflitos de competência e lacunas de fiscalização que beneficiariam, em última análise, os agentes econômicos sujeitos à regulação^[3].

Do ponto de vista constitucional, os decretos são não apenas legítimos, mas necessários. Editados com fundamento no art. 84, inciso VI, alínea “a”, da Constituição Federal, exercem o poder regulamentar do Executivo na sua função mais essencial: conferir operatividade a decisões vinculantes do STF e garantir a fiel execução das leis vigentes.

Ambas as medidas, portanto, não criam obrigações novas, mas concretizam e traduzem em procedimentos o regime jurídico já conformado pela Suprema Corte, pela Lei Maria da Penha, pela LGPD e pelas leis de proteção a crianças e adolescentes.

Nesse sentido, o Decreto 12.975, prevê, por exemplo, determinações de ação proativa das plataformas para crimes graves^[4] e o dever de mitigação de riscos^[5], que em ausência de definição poderiam gerar tanto uma atuação insuficiente pelas plataformas quanto remoções excessivas de conteúdo.

Para permitir um adequado monitoramento, o decreto demanda a constituição e mantenimento de sede e representante legal no país, e a disponibilização para a autoridade competente de informações essenciais para permitir uma efetiva prestação de contas sobre a implementação da lei: o funcionamento do provedor; os relatórios de transparência, identificação e gestão dos riscos sistêmicos; as regras e procedimentos utilizados para moderação de conteúdo e para gestão das reclamações pelos sistemas internos; e as regras para perfilamento de usuários, veiculação de publicidade e impulsionamento remunerado de conteúdos (art. 16-A). Reafirma ainda a necessidade de contraditório já prevista na Constituição^[6].

No que tange ao Decreto 12.976, detalha-se a proatividade das plataformas na prevenção e combate a crimes de gênero cometidos online, já exigida conforme o Decreto 12.795, prevendo a responsabilidade por falha sistêmica na não remoção de conteúdos que configurem ameaça qualificada, perseguição, violência psicológica (Código Penal) e violência política contra a mulher.

Além disso, reduz o risco de ineficácia das ferramentas a ser disponibilizadas pelos provedores de aplicações para denúncias de conteúdo íntimo, exigindo que haja um canal específico, permanente, gratuito, destacado e de fácil acesso destinado ao recebimento de notificação e ao tratamento de tais denúncias, com confirmação de recebimento e possibilidade de acompanhamento.

A liberdade de expressão, que é valor expressamente resguardado pelos decretos, que protegem a crítica, a paródia, a sátira e a manifestação religiosa, não pode servir de escudo para a prática de crimes, para a violência contra mulheres e para o estelionato digital em larga escala.

Ao mesmo tempo, isso não significa que os provedores não devam considerar esses direitos na avaliação dos próprios pedidos de remoção recebidos: pelo contrário, eles deverão ponderar esses interesses em uma análise de proporcionalidade entre a dúvida sobre a legalidade do conteúdo e a gravidade do crime, a partir da qual poderão concluir pela não indisponibilização^[7]. Afinal, os decretos criam maior clareza e permitem gerar maior confiança para o desenvolvimento da vida online dos cidadãos brasileiros.

___________________________________________________________________________________

^[1] Art. 9º-D. É dever do provedor de aplicação de internet, que permita a veiculação de conteúdo político-eleitoral, a adoção e a publicização de medidas para impedir ou diminuir a circulação de fatos notoriamente inverídicos ou gravemente descontextualizados que possam atingir a integridade do processo eleitoral, incluindo: (…) V – a elaboração, em ano eleitoral, de avaliação de impacto de seus serviços sobre a integridade do processo eleitoral, a fim de implementar medidas eficazes e proporcionais para mitigar os riscos identificados, incluindo quanto à violência política de gênero, e a implementação das medidas previstas neste artigo.

^[2] A questão mais desafiadora, nesse contexto, é verificar que quem submete o pedido é, de fato, a vítima cujo conteúdo está circulando (ou o seu representante legal). Contudo, existem diversas tecnologias de autenticação no mercado que são reconhecidas como meio de prova válido pela jurisprudência, além de empresas especializadas tanto na autenticação quanto no monitoramento contínuo de usos indevidos da própria imagem.

^[3] Nesse sentido, importante lembrar que o aspecto fundamental da autoridade competente e as discussões sobre o melhor modelo dessa autoridade,  foi uma das principais questões que impediram a aprovação do PL 2630/2020 (conhecido como PL das Fake News), o qual procurava criar um marco legislativo mais completo para a responsabilização das plataformas digitais.

^[4] Art. 16-B.  Os provedores de aplicações de internet que realizem intermediação de conteúdo gerado por terceiro serão responsabilizados em caso de falha sistêmica na indisponibilização imediata de conteúdo que caracterize: […].

^[5] Art. 16-C.  Os provedores de aplicações de internet deverão, sem prejuízo do dever de cuidado, monitorar, identificar, avaliar e gerir, de forma diligente, os riscos sistêmicos criados ou potencializados pelas suas atividades ou pela circulação dos conteúdos referidos no art. 16-B.” (NR)

^[6]  “Art. 16-E.  Após o recebimento de notificação de crime ou ato ilícito, o provedor de aplicações de internet deverá:  I – confirmar ao notificante o recebimento da notificação; e  II – avaliar o teor da notificação e adotar as providências pertinentes, observado o seguinte:  a) em caso de remoção, o provedor de aplicações de internet comunicará a decisão ao notificante e ao usuário que publicou o conteúdo e informará o fundamento específico da remoção e os meios de contestá-la;  b) em caso de não remoção do conteúdo objeto de notificação, o provedor de aplicações de internet comunicará ao notificante e informará o fundamento específico da manutenção e os meios de contestá-la; e  c) em caso de reconsideração após contestação, o provedor de aplicações de internet deverá comunicar o usuário que publicou o conteúdo e o notificante, com a respectiva fundamentação.” (NR)

^[7] Ver artigo 16-G § 1º  do Decreto 12.975, e artigo 6 § 5º  do Decreto 12.976.

Os artigos publicados pelo JOTA não refletem necessariamente a opinião do site. Os textos buscam estimular o debate sobre temas importantes para o país, sempre prestigiando a pluralidade de ideias.

FONTE: JOTA – POR TAINÁ AGUIAR JUNQUILHO E NICOLO ZINGALES