Publicados ontem no Diário Oficial da União, os Decretos nº 12.975 e nº 12.976 representam a mais relevante atualização da regulação brasileira sobre plataformas digitais desde o Marco Civil da Internet, com impactos diretos sobre remoção de conteúdos ilícitos, proteção de vítimas e investigação criminal. As novas regras entram em vigor em 20 de julho de 2026.
Durante anos, a resposta aos ilícitos digitais conviveu com um paradoxo desconfortável: justamente no ambiente em que o dano se propaga em minutos, a reação jurídica frequentemente opera em dias, semanas ou, em alguns casos, meses. Um golpe digital continua fazendo vítimas, imagens íntimas seguem circulando após a primeira denúncia e campanhas coordenadas de assédio se multiplicam antes mesmo que a estrutura estatal consiga reagir. Nessas situações, o problema deixa de ser apenas normativo. Passa a ser de efetividade.
Quem atua com investigação criminal em ambiente digital conhece bem esse cenário: o fato criminoso é identificado, a vítima continua exposta, o dano segue em curso e, ainda assim, a resposta institucional frequentemente esbarra em fluxos opacos, dificuldades de cooperação, retenção insuficiente de dados ou simples demora procedimental.
É justamente porque o problema é de efetividade, e não apenas de formulação abstrata de direitos, que o debate público sobre regulação de plataformas digitais frequentemente parte de premissas incompletas. Com frequência, a discussão acaba reduzida a controvérsias sobre moderação de conteúdo ou liberdade de expressão, como se esse fosse o centro da questão. Esse enquadramento, porém, é insuficiente. Os desafios concretos vão muito além desse debate e envolvem exploração sexual de crianças e adolescentes, extorsão sexual, golpes digitais impulsionados por publicidade paga, terrorismo, tráfico de pessoas, campanhas coordenadas de assédio, conteúdos sintéticos produzidos por inteligência artificial e, talvez acima de tudo, a dificuldade de impedir que o dano continue se multiplicando enquanto a resposta institucional ainda tenta se estruturar.
É nesse contexto que os novos decretos devem ser compreendidos.
O Marco Civil da Internet (Lei nº 12.965/2014) foi um marco normativo fundamental e continua sendo o principal marco jurídico da disciplina da internet no Brasil. Consolidou garantias importantes, estabeleceu direitos relevantes e evitou soluções simplistas de responsabilização automática de intermediários. O ponto é que a arquitetura da internet mudou profundamente desde então. A internet de 2026 já não opera segundo a lógica tecnológica, econômica e operacional de 2014.
As grandes plataformas digitais deixaram há muito de ser apenas espaços passivos de hospedagem de conteúdo produzido por terceiros. Hoje recomendam conteúdos, modulam alcance, impulsionam publicações, segmentam publicidade, monetizam distribuição e influenciam diretamente a forma como conteúdos circulam. Isso alterou profundamente a natureza dos riscos e, inevitavelmente, a natureza da resposta regulatória.
Uma das mudanças mais relevantes do Decreto nº 12.975 está justamente na tentativa de enfrentar a histórica assimetria operacional entre plataformas digitais e a capacidade institucional do Estado brasileiro.
O novo art. 16-A do Decreto nº 8.771/2016 estabelece como dever dos provedores de aplicações de internet a constituição e manutenção de sede e representante legal no Brasil, com poderes para responder administrativa e judicialmente, prestar informações às autoridades competentes, cumprir determinações e responder por penalidades. À primeira vista, isso pode parecer mera formalidade regulatória. Na prática, não é.
Basta pensar numa investigação sobre extorsão sexual praticada por perfil falso, fraude digital em larga escala ou ameaças graves enviadas por meio de determinada plataforma. A autoridade identifica o serviço utilizado, formula requisição de informações básicas e recebe respostas automatizadas, exigências genéricas, silêncio institucional ou fluxos internos opacos. Esse cenário não é hipotético; integra a rotina de quem atua na área. O novo regime procura justamente reduzir esse tipo de impasse ao exigir interlocução institucional minimamente efetiva no país (art. 16-A).
Essa exigência não tem apenas valor administrativo. Seu impacto potencial aparece justamente em um dos pontos mais sensíveis da investigação digital contemporânea: a cooperação com provedores estrangeiros.
Hoje, um dos grandes gargalos da investigação criminal em ambiente digital nem sempre está na identificação inicial da ocorrência criminosa, mas na obtenção tempestiva de cooperação técnica quando o serviço utilizado opera a partir do exterior ou adota modelos extremamente restritivos de retenção de dados.
Em investigações envolvendo ameaças graves, extorsão, fraudes sofisticadas ou ataques coordenados, o caminho frequentemente passa por pedidos formais de assistência jurídica internacional, instrumentos multilaterais ou mecanismos como a Convenção de Budapeste sobre Cibercrime. Todos esses instrumentos são relevantes, mas raramente operam no mesmo ritmo exigido pelo dano digital contemporâneo. A depender do caso, a resposta dependerá da priorização institucional da autoridade estrangeira, da compatibilidade jurídica entre ordenamentos, da suficiência dos elementos apresentados ou mesmo da viabilidade técnica do dado solicitado. Em situações de dano continuado, esse intervalo frequentemente compromete a própria utilidade da resposta.
É cedo para afirmar, com segurança absoluta, até onde a obrigação do art. 16-A alcançará determinados serviços estrangeiros estruturados sob forte lógica de privacidade, criptografia ou operação transnacional. Ainda assim, a direção regulatória é clara: provedores com atuação estruturada no mercado brasileiro passam a enfrentar exigências mais robustas de representação e interlocução institucional.
Essa discussão, aliás, está longe de ser exclusivamente brasileira. O Brasil não está inventando essa agenda. A União Europeia já trilhou caminho semelhante. O Digital Services Act impõe deveres regulatórios e exigências de representação institucional a determinados serviços digitais que operam no mercado europeu, ainda que sediados fora da União. O GDPR já havia seguido lógica semelhante. A premissa é simples: exploração econômica consistente de determinado mercado pode justificar deveres mínimos de cooperação regulatória.
Mas a atualização regulatória brasileira não se limita à interlocução institucional com plataformas. Ela também enfrenta a lógica de propagação do dano digital.
Outro eixo importante do Decreto nº 12.975 está no chamado dever de cuidado sistêmico (arts. 16-B e 16-C). O decreto prevê responsabilização em caso de falha sistêmica na indisponibilização imediata de conteúdos relacionados a terrorismo, induzimento à automutilação e ao suicídio, exploração sexual infantil, tráfico de pessoas, crimes discriminatórios, crimes contra mulheres e crimes contra o Estado democrático de Direito.
Esse ponto exige leitura técnica cuidadosa, porque caricaturas ideológicas ajudam pouco. O decreto não transforma plataformas em órgãos de investigação criminal, tampouco institui vigilância indiscriminada sobre toda atividade digital. O que ele reconhece é algo bastante concreto: determinados ilícitos digitais não se comportam como eventos isolados.
Uma postagem discriminatória publicada por perfil de grande alcance após fato de grande repercussão pode, em poucas horas, gerar centenas de manifestações semelhantes, repostagens sucessivas, perfis artificiais amplificando o conteúdo e novas camadas de propagação. Numa dinâmica assim, o dano deixa de estar restrito à postagem originária e passa a decorrer também da própria arquitetura de circulação da plataforma. É exatamente essa lógica que explica a exigência de monitoramento, identificação, avaliação e mitigação de riscos sistêmicos (art. 16-C).
Se o dever de cuidado sistêmico enfrenta a dinâmica estrutural de propagação, o novo regime de notificação busca responder à urgência de danos concretos já em curso.
A mesma racionalidade aparece no novo regime de indisponibilização de conteúdos criminosos mediante notificação (art. 16-G). Não se trata de remoção automática baseada em qualquer reclamação privada. O decreto exige identificação específica do conteúdo, fundamentação mínima, análise diligente, possibilidade de contestação e admite manutenção quando houver dúvida razoável.
Mas a mudança prática é evidente. Se uma plataforma é formalmente notificada sobre circulação de material de exploração sexual infantil, conteúdo que incentive automutilação ou outra hipótese grave prevista na norma, a lógica deixa de ser simplesmente aguardar indefinidamente o tempo ordinário da judicialização enquanto o dano permanece ativo.
A disciplina de anúncios pagos e publicidade fraudulenta (arts. 16-K a 16-N) também merece destaque. Boa parte das fraudes digitais contemporâneas circula justamente por mecanismos patrocinados. Falsas promoções de passagens aéreas, clonagem de identidade visual de empresas conhecidas, páginas fraudulentas de investimento ou esquemas de phishing frequentemente chegam à vítima não por circulação espontânea, mas por distribuição paga. O decreto reconhece uma realidade que a experiência prática já demonstrava há anos: a monetização da circulação também precisa integrar a discussão regulatória.
Mas os decretos não tratam apenas da circulação de conteúdos ilícitos. Também enfrentam gargalos clássicos da própria investigação técnica.
Talvez uma das alterações menos visíveis ao público geral, mas potencialmente mais importantes para a investigação criminal, esteja na mudança do art. 15-A, relativa à guarda da porta lógica de origem associada ao endereço IP.
Embora pareça um detalhe excessivamente técnico, seu impacto prático é enorme.
Hoje, a obtenção isolada de um endereço IP frequentemente não basta para individualizar tecnicamente um usuário, especialmente em ambientes de compartilhamento de endereçamento IPv4, como ocorre em arquiteturas CGNAT, nas quais múltiplos dispositivos ou usuários distintos podem compartilhar simultaneamente o mesmo identificador externo. Em uma investigação sobre ameaças, perfis falsos reiteradamente utilizados para prática criminosa ou ataques coordenados, a autoridade pode obter um IP aparentemente útil e descobrir, em seguida, que aquele dado, sozinho, não permite atribuição confiável.
Ao longo dos anos, a prática revelou outro problema: prestadores que simplesmente não mantinham determinados registros técnicos ou adotavam políticas de retenção tão minimalistas que inviabilizavam, na prática, a continuidade da apuração. O resultado era conhecido por qualquer operador da área: obtinha-se um dado aparentemente promissor, mas tecnicamente insuficiente, exigindo novas requisições, judicializações sucessivas e perda de tempo investigativo relevante, inclusive para definição da própria competência territorial. A explicitação normativa da obrigação de guarda desses registros (art. 15-A) enfrenta diretamente esse gargalo.
Se o Decreto nº 12.975 concentra-se sobretudo em deveres estruturais de plataformas e cooperação investigativa, o Decreto nº 12.976 volta-se de forma mais específica à proteção de vítimas, especialmente mulheres expostas a formas contemporâneas de violência digital.
A previsão de remoção, em até duas horas, de conteúdo íntimo divulgado sem consentimento (art. 7º) responde a uma realidade prática elementar. Quando imagens íntimas de adolescente, profissional liberal, servidora pública ou qualquer outra vítima são divulgadas em ambiente digital aberto, cada hora de permanência amplia exponencialmente o dano, multiplica replicações e reduz drasticamente a utilidade de qualquer resposta tardia. Nesses casos, a diferença entre horas e dias não é mero detalhe procedimental.
A mitigação de alcance e visibilidade em ataques coordenados contra mulheres (art. 8º) também dialoga diretamente com situações conhecidas na prática institucional. Uma delegada, jornalista, pesquisadora, promotora ou agente política se manifesta sobre tema sensível e, poucas horas depois, passa a sofrer centenas ou milhares de ataques coordenados, ameaças e campanhas de exposição massificada. Exigir que a própria vítima identifique individualmente cada publicação ofensiva antes de qualquer resposta efetiva frequentemente equivale, na prática, à inutilidade da tutela.
Os arts. 9º e 10 enfrentam ainda um problema tipicamente contemporâneo: deepfakes íntimos gerados por inteligência artificial.
Ferramentas hoje amplamente acessíveis permitem, com custo baixíssimo, criar imagens ou vídeos falsos com aparência altamente convincente a partir de fotografias públicas extraídas de redes sociais. Uma profissional, estudante, agente pública ou qualquer outra vítima pode descobrir circulando conteúdo íntimo aparentemente autêntico, mas integralmente fabricado por inteligência artificial. Ainda que posteriormente se demonstre a falsidade do material, o dano reputacional, profissional e psicológico frequentemente já terá ocorrido. O decreto acerta ao reconhecer que essa ameaça deixou de ser futurista e já integra o repertório concreto de violência digital.
Isso não significa, evidentemente, que a agenda regulatória esteja encerrada. Os decretos não resolvem todos os desafios do ambiente digital contemporâneo. Persistem obstáculos relevantes de cooperação internacional, enforcement transnacional, plataformas estruturadas fora dos fluxos tradicionais de cooperação institucional,arquiteturas descentralizadas, serviços deliberadamente desenhados para baixa cooperabilidade e novos desafios tecnológicos associados à inteligência artificial generativa.
Também haverá, naturalmente, debate jurídico sobre o alcance concreto de determinados dispositivos, especialmente em matéria de territorialidade regulatória, deveres de cooperação de provedores estrangeiros e compatibilização entre proteção de direitos fundamentais e obrigações operacionais impostas às plataformas.
Isso dito, uma crítica genérica de inconstitucionalidade ou de suposta exorbitância regulatória não parece, ao menos em exame inicial, particularmente convincente. O que os decretos fazem, em larga medida, é explicitar deveres operacionais, parâmetros de cooperação e mecanismos de mitigação de dano dentro de um espaço regulatório compatível com a própria lógica do Marco Civil da Internet e com tendências internacionais já consolidadas. Regulamentar a forma pela qual plataformas que operam no mercado brasileiro devem estruturar interlocução institucional, retenção de registros técnicos ou respostas a hipóteses graves de dano continuado não equivale, por si só, à criação arbitrária de restrições incompatíveis com a ordem constitucional.
Isso não impede crítica qualificada onde ela seja necessária. Ainda há espaço relevante para aprimoramento regulatório. A cooperação com provedores estrangeiros continuará sendo desafio central. A efetividade prática diante de serviços estruturados fora da jurisdição nacional permanece limitada. A padronização técnica de retenção e fornecimento de registros ainda merece maior clareza. E a consolidação de fluxos mais céleres, previsíveis e institucionalmente uniformes continuará sendo decisiva para que a promessa regulatória se traduza em efetividade concreta.
Ainda assim, seria difícil negar que se trata da mais importante atualização regulatória brasileira desde o Marco Civil da Internet.
A internet contemporânea não opera como mural estático, mas como ecossistema de replicação acelerada. Insistir em respostas desenhadas para outra era tecnológica significa aceitar, como normal, que o dano digital corra mais rápido do que o próprio Estado.
Referências
BRASIL. Lei nº 12.965, de 23 de abril de 2014. Estabelece princípios, garantias, direitos e deveres para o uso da internet no Brasil (Marco Civil da Internet). Diário Oficial da União, Brasília, DF, 24 abr. 2014.
BRASIL. Decreto nº 8.771, de 11 de maio de 2016. Regulamenta a Lei nº 12.965, de 23 de abril de 2014. Diário Oficial da União, Brasília, DF, 12 maio 2016.
BRASIL. Decreto nº 12.975, de 20 de maio de 2026. Altera o Decreto nº 8.771, de 11 de maio de 2016, para disciplinar deveres regulatórios de provedores de aplicações de internet e mecanismos de cooperação institucional. Diário Oficial da União, Brasília, DF, 21 maio 2026.
BRASIL. Decreto nº 12.976, de 20 de maio de 2026. Estabelece diretrizes para a proteção de mulheres na internet e para o enfrentamento da violência contra mulheres em ambiente digital. Diário Oficial da União, Brasília, DF, 21 maio 2026.
CONSELHO DA EUROPA. Convention on Cybercrime (Budapest Convention), 2001.
UNIÃO EUROPEIA. Regulation (EU) 2022/2065 of the European Parliament and of the Council (Digital Services Act), 19 Oct. 2022.
UNIÃO EUROPEIA. Regulation (EU) 2016/679 of the European Parliament and of the Council (General Data Protection Regulation – GDPR), 27 Apr. 2016.
