Em agosto de 2025, um vídeo publicado pelo influenciador Felipe Bressanin, conhecido como Felca, viralizou ao expor a crescente adultização de crianças e adolescentes em plataformas digitais: algoritmos que amplificam conteúdos sexualizados envolvendo menores, sistemas de recomendação que conectam adultos a perfis infantis e mecanismos de monetização que incentivam esse tipo de produção. A repercussão foi imediata. Em menos de um mês, o Senado Federal aprovava o substitutivo que se tornaria a lei 15.211/25, o Estatuto Digital da Criança e do Adolescente (ECA Digital) a primeira lei brasileira a impor obrigações diretas sobre a arquitetura de produtos e serviços digitais voltados ao público infantojuvenil.
A lei entrou em vigor em 17 de março de 2026 e inaugura um novo paradigma regulatório no direito brasileiro: em vez de apenas proibir condutas, ela exige que as plataformas redesenhem seus ambientes. Verificação de idade, controles parentais, limitação de funcionalidades que incentivam o uso excessivo e remoção imediata de conteúdos lesivos são obrigações que recaem sobre o próprio desenho técnico dos serviços, não apenas sobre o comportamento dos usuários.
Ao fazer isso, o Estado quebra a ilusão de que as plataformas digitais são ambientes livres, pois expõe os mecanismos regulatórios que as empresas adotam para buscar eficiência econômica. Essa mudança está sendo acompanhada por várias críticas que aceitavam a ilusão de neutralidade das plataformas no sentido de “fim da liberdade de expressão” ou “fim da liberdade” na internet.
A pergunta que esse movimento regulatório coloca, no entanto, não é simples como os polos políticos atuais estão discutindo: a lei 15.211/2025 representa um avanço real na proteção de crianças e adolescentes no ambiente digital, ou reproduz a lógica das próprias plataformas que busca regular, substituindo uma arquitetura privada orientada ao lucro por uma arquitetura estatal que pode gerar resistência sem garantir efetividade?
Para respondê-la, este artigo parte do referencial teórico de Lawrence Lessig sobre as modalidades de regulação do ciberespaço, em especial seu argumento de que a arquitetura é o instrumento regulatório mais efetivo porque age independentemente da vontade do usuário. A partir dessa premissa, analisa em que pontos o ECA Digital acerta ao regular pelo código e em que pontos ainda aposta em instrumentos que a experiência regulatória do ambiente digital já demonstrou serem insuficientes.
1. Como se regula o ciberespaço e quem o regula de verdade
Em Code 2.01, Lawrence Lessig demonstrou que o comportamento humano no ciberespaço é regulado por quatro modalidades que operam simultaneamente: a lei, as normas sociais, o mercado e a arquitetura. A arquitetura, ou seja, o código que estrutura os ambientes digitais, ocupa posição singular entre essas modalidades. Enquanto a lei depende da ameaça de sanção e as normas sociais dependem da pressão do grupo, a arquitetura age de forma silenciosa e direta: ela não proíbe, ela impossibilita. Uma porta trancada não ordena que você não entre; ela simplesmente impede. O código digital funciona da mesma forma.
Essa distinção importa porque define o grau de efetividade de cada instrumento regulatório. Regulação que opera apenas na camada da norma jurídica pode ser contornada; regulação que altera a arquitetura do ambiente não deixa essa escolha disponível.
Mas Lessig escreveu o Code a partir de uma internet que já não existe. Na virada do milênio, o ciberespaço ainda guardava traços do ambiente comunitário que o havia originado: redes descentralizadas, arquitetura relativamente neutra, espaços de troca construídos mais por interesse comum do que por lógica comercial. A arquitetura existia, regulava, mas não tinha dono com interesse econômico alinhado a um comportamento específico do usuário.
Nas últimas duas décadas, esse modelo foi substituído, poiso ciberespaço tornou-se um ambiente dominado por plataformas cujo modelo de negócio central é a economia da atenção: quanto mais tempo o usuário permanece conectado, mais dados são coletados e mais publicidade é servida. Para maximizar esse tempo, as plataformas passaram a projetar suas arquiteturas de forma deliberada, por meio de algoritmos de recomendação, sistemas de notificação, mecanismos de rolagem infinita e recompensas variáveis. O código continuou regulando o comportamento, mas agora a serviço de um interesse econômico específico.
O resultado é uma inversão que Lessig antecipou em parte, mas que ganhou dimensão que ele não pôde prever: o ciberespaço não é um espaço livre regulado pelo Estado. É um espaço já profundamente regulado por empresas privadas, cujas escolhas arquitetônicas moldam o comportamento de bilhões de usuários sem que esses usuários percebam que estão sendo regulados. A liberdade que se experimenta ali é, em larga medida, uma liberdade administrada: os limites são invisíveis porque foram desenhados para parecer naturais.
É nesse ciberespaço, não o da neutralidade originária, mas o da arquitetura privada orientada ao lucro, que a Lei 15.211/2025 intervém.
2. O que é e o que faz o ECA Digital e o contexto regulatório global
A Lei n. 15.211/2025 rompe com a lógica que havia predominado no direito brasileiro desde o Marco Civil da Internet: a da responsabilidade reativa. Enquanto o Marco Civil estruturou um regime em que as plataformas respondiam por danos após notificação e, em regra, apenas após ordem judicial, o Estatuto Digital da Criança e do Adolescente impõe deveres positivos sobre como os produtos e serviços digitais devem ser construídos e operados desde a sua concepção.
O Brasil não legisla no vazio. Já que a lei insere o país num movimento regulatório global que ganhou força nos últimos anos. No Reino Unido, o Online Safety Act de 2023 estabeleceu um dever de cuidado (duty of care) para plataformas digitais, exigindo que serviços com acesso provável por menores implementem verificação de idade efetiva e redesenhem seus sistemas para prevenir exposição a conteúdo nocivo. Essas obrigações passaram a ser fiscalizadas pela Ofcom a partir de julho de 2025, com multas de até 10% da receita global. Na Austrália, o Online Safety Amendment (Social Media Minimum Age) Act de 2024 foi além: tornou o país o primeiro no mundo a proibir o acesso de menores de 16 anos a redes sociais, transferindo às plataformas, e não aos pais ou usuários, o ônus de implementar sistemas de verificação de idade proporcionais e que preservem a privacidade.
Nos Estados Unidos, o debate avança com mais dificuldade: o Kids Online Safety Act (KOSA), aprovado pelo Senado em 2024 com expressiva maioria bipartidária, estabelecia um dever de cuidado e obrigava as plataformas a desativar funcionalidades de design consideradas aditivas para menores, mas não chegou a ser aprovado pela Câmara antes do encerramento da sessão legislativa, bloqueado, em parte, por tensões entre proteção infantil e liberdade de expressão que o próprio texto não conseguiu resolver. Entretanto, ainda que no nível regulatório o avanço seja lento, a administração de vários estados estão atentas aos problemas, pois vários processos foram ajuizados contra algumas plataformas decorrentes da falta de mecanismos de controles.2
O traço comum a essas iniciativas é relevante: todas partem da premissa de que a proteção de crianças e adolescentes no ambiente digital não pode depender apenas da conduta dos usuários ou da boa vontade das plataformas, pois exige intervenção sobre a arquitetura dos serviços. É precisamente essa premissa que o ECA Digital incorpora ao direito brasileiro.
Seu âmbito de aplicação é amplo pois a lei alcança todo produto ou serviço de tecnologia da informação direcionado a crianças e adolescentes ou de acesso provável por eles, independentemente de onde a plataforma esteja sediada. O critério de "acesso provável" é especialmente relevante: não basta que o serviço não seja formalmente voltado ao público infantojuvenil. Se houver probabilidade suficiente de uso, facilidade de acesso ou risco significativo ao desenvolvimento de menores, a lei se aplica.
As obrigações centrais operam em três camadas. A primeira é a do design seguro: os fornecedores devem adotar, desde a concepção dos produtos, medidas técnicas para prevenir e mitigar riscos de exposição a conteúdos lesivos, como exploração e abuso sexual, violência, indução a automutilação e suicídio. A segunda é a da verificação e controle: as plataformas são obrigadas a implementar mecanismos de aferição de idade e ferramentas de supervisão parental acessíveis, que permitam aos responsáveis bloquear comunicações com adultos não autorizados e limitar funcionalidades que incentivem o uso excessivo. A terceira é a da transparência e fiscalização: plataformas com mais de um milhão de crianças e adolescentes cadastrados devem publicar relatórios de transparência, e a fiscalização foi atribuída à ANPD, com poder de aplicar advertências e multas, reservando-se à via judicial as medidas mais graves, como a suspensão das atividades.
3. Onde o ECA Digital acerta: regulação pelo código contra o código
Lessig distingue dois modos pelos quais a lei pode usar a arquitetura como instrumento regulatório. No primeiro, a lei age diretamente sobre o comportamento do usuário: proíbe, ameaça, sanciona. No segundo, mais efetivo, a lei age sobre quem constrói o ambiente, obrigando os arquitetos do espaço a redesenhá-lo de forma que certos comportamentos sejam impossíveis ou muito difíceis, independentemente da vontade do usuário. É o que ele exemplifica com o Americans with Disabilities Act: ao exigir que construtores incluam rampas e elevadores, a lei não pede que as pessoas sejam mais inclusivas; ela altera a arquitetura dos edifícios para que a exclusão deixe de ser tecnicamente possível3.
O ECA Digital opera, em seus pontos mais efetivos, precisamente nessa segunda lógica, pois faz isso num contexto específico: o das plataformas que já regulam o comportamento de crianças e adolescentes pelo código, por meio de algoritmos de recomendação que amplificam conteúdo aditivo, design de rolagem infinita que prolonga o tempo de sessão e sistemas de notificação calibrados para criar dependência. A lei não proíbe essas práticas em abstrato: ela obriga que a arquitetura seja reescrita.
Três pontos da lei ilustram essa lógica com clareza. O primeiro é a obrigação de design seguro por padrão (safety by design): os fornecedores devem adotar, desde a concepção dos produtos, medidas técnicas proporcionais para prevenir e mitigar riscos. A proteção opera na camada do código, não na camada da escolha individual. O segundo é a limitação obrigatória de funcionalidades que incentivam o uso excessivo, como rolagem infinita, reprodução automática e sistemas de recompensa variável. Aqui a lei ataca diretamente as ferramentas que as próprias plataformas usam para maximizar engajamento, exigindo que sejam desativadas ou limitadas para o público infantojuvenil, e não apenas recomendando que os usuários as ignorem. O terceiro é a verificação de idade como barreira técnica: ao impor que as plataformas implementem mecanismos efetivos de aferição de idade, a lei cria um constrangimento arquitetônico que dificulta o acesso de menores a ambientes de risco, não uma proibição que depende de cumprimento voluntário.
O que há de comum nesses três pontos é que todos intervêm na mesma camada em que as plataformas já operam para moldar o comportamento dos usuários. É, na terminologia de Lessig, regulação pelo código contra o código: o Estado entra na disputa pelo desenho do ambiente digital, território que até então era exclusividade das empresas. A diferença está no interesse que orienta o desenho: não o tempo de engajamento e a monetização da atenção, mas a proteção de pessoas em desenvolvimento.
4. Onde o ECA Digital fragiliza: limites técnicos e o efeito backlash
A Lei acerta na premissa, mas nem todas as suas apostas regulatórias operam na camada do código. Parte relevante da lei ainda depende de instrumentos que Lessig já identificou como menos efetivos, e o contexto específico do ciberespaço regulado por plataformas cria um problema adicional que a lei não antecipa: o efeito backlash da regulação estatal visível sobre um ambiente que o usuário percebia, equivocadamente, como livre.
As fragilidades técnicas
O primeiro ponto frágil é a dependência de regulamentação futura. A lei cria obrigações principiológicas, como design seguro, proteção prioritária e melhor interesse da criança, mas delega à ANPD a tarefa de traduzir esses princípios em requisitos técnicos concretos. Enquanto essa regulamentação não vier, as obrigações operam na camada da norma jurídica abstrata, não na camada da arquitetura, mesmo problema que verificamos com a efetividade da LGPD: a falta de ações da ANPD levou à um cenário onde as empresas ignoram em parte as obrigações legais.
Lessig é preciso nesse ponto: a regulação pela lei funciona ameaçando consequências, ao passo que a regulação pelo código age como uma física: "the rule applied to an individual through a kind of physics. A locked door is not a command 'do not enter' backed up with the threat of punishment by the state. A locked door is a physical constraint on the liberty of someone to enter some space."4. Lei que não alcança o código depende de cumprimento voluntário e de fiscalização posterior ao dano, exatamente o modelo que a o ECA Digital pretendia superar em relação ao Marco Civil.
O segundo ponto é a verificação de idade delegada ao mercado. A lei impõe a obrigação, mas não determina o mecanismo, e ao deixar a escolha técnica para as plataformas, cria um incentivo estrutural problemático. As plataformas têm interesse econômico em manter o maior número possível de usuários ativos; sistemas de verificação efetivos reduzem esse número. Lessig demonstra que o mercado só regula o comportamento quando o incentivo econômico está alinhado ao objetivo regulatório, o que, neste caso, não ocorre. A experiência australiana começa a confirmar essa previsão: relatórios de janeiro de 2026 indicam que adolescentes menores de 16 anos continuam acessando plataformas restritas por múltiplos meios, e que os sistemas de verificação implantados pelas próprias plataformas apresentam falhas sistemáticas de precisão5.
O terceiro ponto é a supervisão parental como solução estrutural. A lei deposita nos pais e responsáveis um papel central na proteção dos menores, prevendo ferramentas de controle parental acessíveis e atribuindo a eles o exercício do "cuidado ativo e contínuo". Essa aposta opera na camada das normas sociais, não da arquitetura. A experiência de duas décadas de internet regulada por plataformas mostra que a assimetria técnica entre pais e desenvolvedores é estrutural, não circunstancial. Ferramentas de controle parental existem há anos; sua adoção e efetividade seguem sendo marginais.
O efeito backlash: A ilusão da internet não regulada dos ciberlibertários
A regulação pelo código estatal produz uma reação que a regulação privada pelo código nunca produziu, e isso não é acidental.
Quando as plataformas limitavam o comportamento por meio da arquitetura, o usuário não percebia a regulação como tal. Muitos ainda vivem na ilusão ciberlibertária da internet não regulada que John Perry Barlow descreveu na sua Declaração da Independência do Ciberespaço6.
Entretanto, o ciberespaço sem interferência dos Governos de Barlow foi substituída pelos “ciberfeudos” das plataformas digitais de grandes empresas: rolagem infinita, os algoritmos de recomendação, os sistemas de notificação compulsivos, tudo isso moldava o comportamento de bilhões de pessoas sem que essas pessoas se vissem como reguladas. A liberdade que experimentavam era uma liberdade administrada pelo código privado, mas como o código era invisível, a experiência subjetiva era de autonomia.
Quando o Estado passa a intervir na mesma camada, limitando funcionalidades, exigindo verificação de idade e bloqueando acesso, a restrição se torna visível. E visível, é lida como controle, como censura, como intervenção ilegítima sobre um espaço que o usuário sente como seu. O paradoxo é que a liberdade que se perde com a regulação estatal nunca existiu de fato: ela era já uma liberdade delimitada pelos interesses das plataformas. Mas a percepção de perda ocorre apenas quando o Estado age, porque apenas a regulação estatal é legível como regulação.
Esse efeito é observável nas três experiências comparadas. Na Austrália, adolescentes entrevistados pela BBC após a entrada em vigor do Social Media Minimum Age Act relataram sentir-se isolados com a restrição7. No Reino Unido, organizações como Big Brother Watch, Open Rights Group e Index on Censorship descreveram a Online Safety Act como uma "censor's charter" que compromete seriamente o direito à liberdade de expressão e à privacidade8. Em dezembro de 2025, mais de 550 mil pessoas assinaram petição ao Parlamento pedindo a revogação ou reforma da lei, tornando-a uma das maiores manifestações públicas de rejeição a uma lei digital na história recente do país.
Essa resistência não é irracional: ela tem uma lógica. E a lei que não a antecipa corre o risco de gerar baixa adesão social, pressão política por revisão e deslocamento do problema para ambientes menos regulados, onde crianças e adolescentes ficam ainda mais expostos. A regulação pelo código estatal só funciona se o código for efetivamente implementado, e a implementação depende, em alguma medida, de legitimidade social que o efeito backlash corrói.
5. O código que falta escrever
O ECA Digital é, do ponto de vista regulatório, um avanço real, pois, pela primeira vez no direito brasileiro, o Estado entra na disputa pelo desenho do ambiente digital, território que até então era exclusividade das plataformas. Ao impor obrigações sobre a arquitetura dos serviços, a lei opera na camada em que a proteção é mais efetiva: não proíbe condutas e espera cumprimento, mas altera as condições estruturais em que essas condutas são possíveis.
Mas o avanço é incompleto. A lei cria as obrigações; o código que as tornará reais ainda precisa ser escrito pela ANPD, na forma de regulamentação técnica concreta, e pelas plataformas, na forma de sistemas de verificação e design que não sejam projetados para ser contornados. Sem essa segunda etapa, parte da lei continuará operando na camada da norma, onde Lessig já mostrou que a regulação tem menos dentes.
Há ainda o problema que nenhuma lei resolve sozinha: a legitimidade. A regulação pelo código estatal só funciona se for socialmente sustentável, e o efeito backlash que já se manifesta no Reino Unido, na Austrália e nos primeiros dias de vigência da lei no Brasil mostra que a percepção de controle estatal sobre o ambiente digital gera resistência desproporcional à tolerância com o controle privado que sempre existiu. Comunicar essa distinção, entre a liberdade administrada pelas plataformas e a proteção imposta pelo Estado, é um desafio político que a lei não enfrenta, mas que sua implementação precisará enfrentar.
O maior risco da Lei não é ser revogada, é ser implementada pela metade: obrigações no papel, código privado inalterado, crianças e adolescentes tão expostos quanto antes, mas agora sob uma regulação que dá ao Estado a aparência de ter agido.
__________
1 LESSIG, Lawrence. Code: Version 2.0. Nova York: Basic Books, 2006.
2 Existem notícias de ações judiciais contra a plataforma Roblox nos Estados de Louisiana, Kentucky, Texas, Florida, Iowa, Tennessee e Los Angeles County. Ver aqui. Acesso em: 19 mar. 2026.
3 LESSIG, Lawrence. Code: Version 2.0. Nova York: Basic Books, 2006, p. 128.
4 LESSIG, Lawrence. Code: Version 2.0. Nova York: Basic Books, 2006, p. 82.
5 CNBC. Australia's social media ban for teens, how it's going. 15 jan. 2026. Disponível aqui. Acesso em: 19 mar. 2026.
6 PERRY BARLOW, John. Declaration of the Independence of the Cyberspace. EFF, 1996. Disponível aqui. Acesso em 19 de março de 2026
7 COUNTERPUNCH. Condescending and Harmful: Australia's Social Media Ban. 26 fev. 2026. Disponível aqui (citando reportagem do Guardian Australia). Acesso em: 19 mar. 2026.
8 EFF; OPEN RIGHTS GROUP; BIG BROTHER WATCH; INDEX ON CENSORSHIP. Call on UK Government to Reform or Repeal Online Safety Act. 17 dez. 2025. Disponível aqui . Acesso em: 19 mar. 2026.