A regulamentação de plataformas digitais no Brasil ganhou novos contornos com a publicação dos Decretos nº 12.975 e nº 12.976, ambos de 20 de maio de 2026. Os dois atos alteram e complementam o Decreto nº 8.771/2016, que regulamenta o Marco Civil da Internet (Lei nº 12.965/2014), criando deveres concretos para provedores de aplicações de internet em matéria de moderação de conteúdo, transparência, proteção de mulheres e uso de inteligência artificial.
As normas entram em vigor no dia 20 de julho deste ano e reforçam o papel da Agência Nacional de Proteção de Dados (ANPD) como autoridade competente para regulação, fiscalização e apuração de infrações. Neste artigo, detalhamos as principais obrigações introduzidas e os impactos práticos para empresas de tecnologia.
Deveres gerais dos provedores de aplicações
O Decreto nº 12.975/2026 insere o Capítulo III-A no Decreto nº 8.771/2016, estabelecendo deveres gerais para provedores de aplicações de internet que realizem operações com dados em território brasileiro. Entre as obrigações, destacam-se a constituição de sede e representante legal no Brasil (pessoa jurídica com poderes para responder administrativa e judicialmente), a disponibilização de canal de denúncia permanente e de fácil acesso, a adoção de medidas contra redes artificiais de distribuição de conteúdos ilícitos e a garantia de segurança e transparência dos serviços.
Além disso, o representante legal deve estar apto a prestar informações sobre funcionamento, regras de moderação, relatórios de transparência e regras de perfilamento e publicidade.
Dever de cuidado e falha sistêmica
O conceito de "falha sistêmica" ocupa posição central na regulação de plataformas digitais. O provedor que realiza intermediação de conteúdo gerado por terceiros será responsabilizado quando não comprovar a adoção de medidas adequadas de prevenção ou remoção de conteúdos criminosos que assegurem os níveis mais elevados de segurança e inibam a circulação massiva desses materiais.
Os conteúdos abrangidos pelo dever de cuidado incluem crimes de terrorismo, induzimento ao suicídio, incitação à discriminação, crimes contra a mulher, crimes sexuais contra vulneráveis, tráfico de pessoas e crimes contra o Estado Democrático de Direito. De toda forma, o Decreto esclarece que a existência de conteúdo ilícito isolado não caracteriza, por si só, falha sistêmica, que somente se configura diante de padrões reiterados ou disseminação massiva não coibida.
Os provedores também devem monitorar, identificar, avaliar e gerir os riscos sistêmicos criados ou potencializados pelas suas atividades.
Sistema de notificação e indisponibilização de conteúdo
O Decreto nº 12.975/2026 estrutura ainda um sistema de notificação com requisitos formais ao exigir a identificação da conduta criminosa ou ilícita, identificação específica do conteúdo (URL ou outro localizador inequívoco) e identificação do notificante. Após o recebimento, o provedor deve confirmar a notificação e avaliar o teor, comunicando ao notificante e ao usuário a decisão de remoção ou manutenção, com fundamentação e indicação dos meios de contestação.
Por outro lado, quando o conteúdo ilícito for veiculado em anúncios ou impulsionamentos pagos, a responsabilidade do provedor é presumida, independentemente de notificação. Os provedores devem manter informações sobre cada anúncio pelo prazo de um ano após o encerramento da veiculação.
Exceções e critérios diferenciados
Vale ressaltar que a regulamentação de plataformas digitais não se aplica uniformemente a todos os serviços. Em específico, estão excluídos dos deveres de cuidado os serviços de e-mail, a mensageria instantânea (quanto às comunicações interpessoais protegidas pelo sigilo) e os serviços de comunicação audiovisual em grupo restrito, como videoconferências.
Ademais, a ANPD poderá definir critérios diferenciados de aplicação considerando o porte econômico do provedor, o nível de interferência na circulação de conteúdo, o estado da técnica e o risco envolvido, com atenção especial a pequenos provedores.
Proteção de mulheres em ambiente digital
O Decreto nº 12.976/2026, por sua vez, estabelece diretrizes específicas para o enfrentamento da violência contra mulheres na internet. O conceito de violência digital abrange condutas como perseguição, assédio, divulgação não consentida de conteúdo íntimo, violência psicológica praticada por IA e violência política contra a mulher.
Nesse contexto, o decreto introduz prazos rigorosos para a indisponibilização. Para conteúdo íntimo não autorizado, por exemplo, a indisponibilização deve ocorrer em até duas horas, com marcação digital para bloqueio automático de reenvio. Para conteúdo manifestamente ilegal contra mulheres, o prazo é de seis horas; já para os demais casos, 24 horas.
Outro ponto relevante é a vedação expressa à geração e modificação de conteúdo íntimo de terceiro mediante uso de inteligência artificial ou recurso tecnológico que altere imagem ou som da vítima. Os provedores baseados em funcionalidades de IA devem implementar salvaguardas técnicas para identificar e bloquear solicitações de geração de conteúdos vedados, de forma escalonada e proporcional ao volume de acessos e ao nível de risco.
Próximos passos para empresas
Diante desse novo cenário, caberá às empresas que operam plataformas digitais revisar e adequar suas políticas de moderação de conteúdo e termos de uso, que passam a exigir previsões sobre o sistema de notificações, o devido processo e relatórios anuais de transparência. A constituição ou atualização da representação legal no Brasil também merece atenção, já que a pessoa jurídica indicada deve ter poderes amplos para responder perante autoridades administrativas e judiciais.
No campo da proteção de mulheres, os canais de denúncia precisam ser adaptados com integração ao Ligue 180, e os fluxos internos devem refletir os novos prazos de remoção, que variam de duas horas para conteúdo íntimo a 24 horas nos demais casos de violência digital. Já os provedores que utilizam funcionalidades de IA devem desenvolver salvaguardas técnicas para impedir a geração de conteúdo íntimo não autorizado, ao passo que todas as empresas devem estruturar governança para gestão de riscos sistêmicos e retenção de dados sobre anúncios.
Com a entrada em vigor prevista para 20 de julho de 2026, o intervalo de adaptação é curto, o que reforça a importância de iniciar o planejamento desde já.
*Por: Carla Couto, Luiza Sato e Miguel Carneiro, respectivamente sócias e advogado da área de Cybersecurity & Data Privacy de TozziniFreire.
