O decreto 12.975/26, de 21 de maio de 2026, altera o decreto 8.771/16 (regulamento do Marco Civil da Internet - lei 12.965/14) e inaugura, na prática, um novo framework regulatório para provedores de aplicações de internet no Brasil. A norma incorpora ao plano regulamentar a tese fixada pelo STF em junho de 2025 no julgamento dos Temas 987 e 533 (RE 1.037.396 e RE 1.057.258), que declarou a inconstitucionalidade parcial e progressiva do art. 19 do Marco Civil, e ainda cria uma estrutura administrativa de fiscalização, procedimentos obrigatórios e deveres que não constavam expressamente da decisão judicial, atribuindo novas competências à ANPD - Agência Nacional de Proteção de Dados.
Esse novo regramento entra em vigor em 20 de julho de 2026, com uma carência (vacatio) de apenas 60 dias para um volume significativo de adequações exigidas para quem opera uma plataforma digital.
O fim do art. 19 do MCI como regra geral
Desde 2014, o art. 19 do MCI garantia que um provedor de aplicações na internet só respondia civilmente por conteúdo de terceiros se descumprisse ordem judicial específica de remoção. O novo decreto consolida a inversão dessa lógica, assim a reserva de jurisdição deixa de ser a regra e passa a ser exceção, restrita a duas hipóteses (novo art. 16-J do decreto 8.771/16), que são os crimes e ilícitos contra a honra; e os serviços expressamente excluídos do novo regime que são provedores de e-mail, mensageria instantânea nas comunicações interpessoais protegidas pelo sigilo e videoconferência em grupo restrito (art. 16-O). A exclusão, porém, é parcial, pois alcança somente os deveres de moderação dos arts. 16-B a 16-J, assim mesmo os serviços excluídos permanecem sujeitos aos deveres estruturais do art. 16-A, à autorregulação do art. 20-A e às regras de anúncios e impulsionamentos dos arts. 16-K a 16-N.
O entendimento do novo sistema implantado não é simples, separamos em camadas e desenvolvemos diagramas específicos para facilitar a assimilação de cada conjunto novo de regras. Antes de entrarmos nos diagramas é importante lembrar que os provedores de aplicação de internet são basicamente quaisquer aplicações de software que rodem na internet, ou seja, todos os serviços online, incluindo além das redes sociais, serviços de email, mensageria instantânea, comunicações interpessoais, streaming, serviços de SaaS - Software as a Service em geral estariam dentro desta categoria. Esse é o ponto de partida para fragmentarmos as camadas e entender cada nova obrigação e a quem se aplica, pois as aplicações de internet foram destrinchadas em algumas categorias e as obrigações impostas não são uniformes. Ou seja, para entender como cada serviço precisa se adaptar ao decreto é preciso entender quais as categorias de obrigações se aplicam a cada serviço. Na figura 1, sintetizamos a primeira distinção que é entender quais provedores de aplicações de internet estão submetidos ao novo regime de moderação, e quais permanecem na lógica original do art. 19 do MCI, em que o provedor de aplicação de internet somente responde civilmente por conteúdo de terceiros se descumprir ordem judicial específica de remoção. Vou chamar esse primeiro procedimento de Teste do Regime de Moderação.
Figura 1 - Âmbito de aplicação do regime de moderação (art. 16-O do decreto 8.771/16)
Para os serviços não excluídos do regime de moderação, vigorará o regime de notificação e retirada (notice and takedown), pelo art. 16-G, ou seja, o provedor deve indisponibilizar, em resposta a notificação extrajudicial, conteúdo de terceiros que configure crime, excetuados os crimes contra a honra. O provedor pode manter o conteúdo no ar se, após análise diligente e fundamentada, concluir existir dúvida razoável sobre seu caráter criminoso, ponderada com a gravidade do crime, e deve considerar o contexto, liberdade religiosa e finalidade informativa, educativa, de crítica, sátira ou paródia. A decisão, em qualquer sentido, precisa ser comunicada e fundamentada.
Aqui tivemos uma virada de 180 graus, pois a lógica da análise judiciária e ordem judicial para retirada de conteúdo de terceiros passou para notificação e retirada imediata de conteúdo, cabendo ao provedor de aplicação de internet analisar se há a dúvida razoável para sustentar a manutenção dos conteúdos. Ora, se em 16 anos de vigência do MCI na sua forma original nem o Judiciário foi capaz de uniformizar e tornar objetivo esse critério da dúvida razoável, terceirizar tal competência às plataformas é no mínimo temerário, e na prática pode representar uma mão mais pesada na retirada de conteúdo, pois quem vai se arriscar pelo conteúdo de terceiro?
Essa etapa vou chamar de Teste da Indisponibilização de Conteúdo, na qual aqueles serviços que estiverem submetidos ao regime da moderação devem indisponibilizar, em resposta a notificação extrajudicial (notice and takedown), o conteúdo de terceiros que configure crime, excetuados os crimes contra a honra, seguindo o fluxo da notificação extrajudicial e indisponibilização de conteúdo apresentado na figura 2.
Figura 2 - Fluxo da notificação extrajudicial e indisponibilização de conteúdo (arts. 16-D a 16-J)
Ao final deste fluxo do Teste da Indisponibilização de Conteúdo, o provedor de aplicação de internet deverá encaminhar ao Poder Público o conteúdo criminoso identificado e os dados de autoria e materialidade às autoridades, na forma a ser disciplinada pelo Ministério da Justiça e Segurança Pública (art. 16-H). Assim, surge uma nova obrigação de reportar as autoridades a suspeita de crime que não tenha passado no filtro da dúvida razoável, em um sistema análogo ao reporte de transações financeiras suspeitas ao COAF - Conselho de Controle de Atividades Financeiras.
Além disso, foi criada uma espécie de repercussão geral de decisões de primeira instância, que foi chamada a regra de replicação, pela qual uma vez reconhecida a ilicitude de um conteúdo por decisão judicial, todas as plataformas devem remover publicações idênticas a partir de simples notificação, judicial ou extrajudicial, sem necessidade de novas decisões (art. 16-J).
Dever de cuidado e falha sistêmica: Responsabilidade sem notificação
Para um rol taxativo de crimes graves, nominados pelo terrorismo, induzimento a suicídio ou automutilação, discriminação racial, homofóbica e transfóbica, crimes contra a mulher, crimes sexuais contra vulneráveis, tráfico de pessoas e crimes contra o Estado Democrático de Direito, o art. 16-B institui o dever de cuidado, pelo qual a plataforma responde por falha sistêmica na não indisponibilização imediata desses conteúdos, independentemente de notificação. Ou seja, as plataformas precisam criar aqui mais um teste de filtro de conteúdo, que vou chamar de Teste de Falha Sistêmica.
No Teste de Falha Sistêmica, a plataforma de aplicação de internet será caracterizada como falha sistêmica se houver a ausência de medidas de prevenção e remoção que ofereçam, conforme o estado da técnica, os níveis mais elevados de segurança para o tipo de serviço e que inibam a circulação massiva desse conteúdo. A presença isolada de um conteúdo ilícito não configura, por si só, falha sistêmica, mas o ônus de comprovar a adequação das medidas é do provedor, que deverá disponibilizar às autoridades dados que permitam essa verificação. Soma-se o dever contínuo de monitorar, avaliar e gerir riscos sistêmicos (art. 16-C). O dever de cuidado e o Teste de Falha Sistêmica estão representados na figura 3.
Figura 3 - Dever de cuidado e teste de falha sistêmica (arts. 16-B e 16-C)
Na questão dos crimes graves não há que se falar em ordem judicial ou notificação de notice and takedown, a obrigação do provedor de aplicação de internet é sistêmica de barrar os conteúdos considerados graves segundo o art. 16-B, que de uma maneira geral são realmente incontestáveis, excetuados é claro os crimes contra o Estado Democrático de Direito, que tem ganhado dimensões personalíssimas nas críticas mais ácidas as autoridades do primeiro escalão nos últimos anos.
Publicidade e impulsionamento: responsabilidade presumida
Quando o conteúdo ilícito for veiculado em anúncio ou impulsionamento pago, ou distribuído por rede artificial (art. 16-L), a responsabilidade do provedor é presumida, independentemente de notificação, sendo afastável apenas mediante prova de atuação diligente e em tempo razoável. Aqui o decreto deixa uma brecha temerosa, pois o critério de tempo razoável não é especificado, podendo ter múltiplas dimensões que sequer seriam uniformes nas cortes judiciais, quanto mais nos critérios de plataformas.
A outra lacuna, talvez ainda maior, é atribuir a plataforma de aplicação de internet a necessidade de avaliar se a publicidade é crime ou ato ilícito. Crime ainda temos as tipificações penais, embora como sabemos a adequada tipificação é objeto de inúmeras discussões no judiciário, mas esse filtro ficará a cargo das plataformas. De fato, muitas vezes vemos produtos e serviços ilegais sendo anunciados livremente, como as bets ilegais, por exemplo, mas as nuances aqui são inúmeras, sem contar a expansão para atos ilícitos, o que certamente vai implicar em uma revisão severa nas políticas publicitárias e procedimentos operacionais das plataformas.
O decreto também obriga a manutenção de repositório com as informações de cada anúncio ou impulsionamento e dos respectivos anunciantes por um ano após o encerramento da veiculação (art. 16-M), e a remoção, mediante notificação de autoridade do Sistema Nacional de Defesa do Consumidor ou da AGU, de publicidade enganosa, abusiva ou fraudulenta (art. 16-N). O ponto de atenção aqui é que o conteúdo publicitário não claramente identificável como publicidade é considerado enganoso por definição legal (art. 16-N, § 2º), não se trata de presunção relativa.
Vou chamar esse procedimento de Teste da Publicidade Ilegal, pelo qual as plataformas deverão revisitar suas políticas publicitárias para implementar filtros de compliance mais rigorosos, além é claro dos procedimentos operacionais e técnicos que efetivamente barrem esses conteúdos. A ideia é interessante, em um país como elevado índice de serviços e produtos ilegais sendo comercializados livremente, tais como produtos piratas, plataformas de streaming piratas, Bets ilegais, financeiras não autorizadas, bebidas falsificadas, dentre tantas outras situações, mas há que se registrar uma importante mudança de paradigma, na qual a fiscalização dessas atividades de certa maneira foi delegada ao agente privado.
Na figura 4 detalhamos o procedimento do Teste da Publicidade Ilegal, no qual o fluxo de avaliações é explicitado, sendo importante notar que a responsabilidade é presumida, cabendo a plataforma de aplicação de internet barrar o conteúdo independente de qualquer notificação ou ordem judicial.
Figura 4 - Anúncios, impulsionamentos pagos e publicidade enganosa (arts. 16-K a 16-N)
O que é inteiramente novo no framework
O decreto estabeleceu diversas novas obrigações originalmente não previstas no MCI, as quais precisam ser urgentemente direcionadas dentro das plataformas de aplicações de internet. Quem opera plataforma digital, tais como marketplace, rede social, aplicativo com conteúdo de terceiros, serviço de anúncios ou comunidade online, deve tratar o decreto como um programa de adequação regulatória, e não como ajuste pontual de termos de uso. O plano mínimo de implementação inclui avaliar em detalhes as seguintes questões:
- ANPD como reguladora das plataformas (art. 19-A): a Agência Nacional de Proteção de Dados passa a regular, fiscalizar e sancionar o cumprimento dos novos deveres, concentrando LGPD, ECA Digital (lei 15.211/25) e MCI. Caberá a ela definir prazos de remoção, legitimados a notificar, critérios de falha sistêmica e regimes diferenciados para pequenos provedores.
- Sede e representante legal no Brasil (art. 16-A): obrigatória a constituição de representante na forma de pessoa jurídica, com poderes para responder administrativa e judicialmente, prestar informações sobre moderação, perfilamento e publicidade, e suportar multas e penalidades.
- Devido processo de moderação (arts. 16-D a 16-F): canal permanente de denúncia, requisitos de validade da notificação, confirmação de recebimento, decisão fundamentada comunicada a notificante e autor do conteúdo, direito de contestação e dever de coibir notificações abusivas. O art. 16-I completa o sistema com duas salvaguardas: é vedada a responsabilização administrativa fundada exclusivamente na manutenção ou remoção isolada de conteúdo notificado, e a autoridade competente não pode notificar provedores para moderação de conteúdos de forma isolada.
- Guarda da porta lógica de origem (art. 15-A): provedores de conexão e de aplicações devem guardar, junto ao IP, a porta lógica de origem, de forma autônoma e independente de requisição prévia.
- Encaminhamento ao Poder Público (art. 16-H): identificado conteúdo criminoso, o provedor deverá remeter o conteúdo e os dados de autoria e materialidade às autoridades, na forma a ser disciplinada pelo Ministério da Justiça e Segurança Pública.
- Autorregulação e transparência (art. 20-A): termos de uso devem contemplar o sistema de notificações, o devido processo e relatórios anuais de transparência sobre notificações extrajudiciais, anúncios e impulsionamentos; a autorregulação valerá como elemento de boa-fé na apuração de infrações.
- Proteção à mulher no ambiente digital (decreto 12.976/26): norma irmã publicada na mesma data impõe a remoção de conteúdo íntimo não consentido em até 2 horas após a notificação da vítima ou de seu representante.
Um framework em construção, mas não há tempo a perder
O novo regime ainda terá camadas adicionais, pois a ANPD editará guias e regulamentos específicos, e o Ministério da Justiça disciplinará o encaminhamento de conteúdo criminoso às autoridades. Há, ademais, debate relevante sobre os limites do poder regulamentar, tendo em vista que o decreto cria deveres e estrutura sancionatória em matéria que o próprio STF remeteu ao Congresso Nacional, o que pode ensejar questionamentos judiciais. Nada disso, porém, suspende o prazo pelo qual a partir de 20 de julho de 2026, as obrigações são exigíveis.
A recomendação é iniciar imediatamente o diagnóstico de aderência (gap assessment) e priorizar as adequações de maior exposição nos aspectos de representação legal, canal de notificações, retenção de dados e protocolo de 2 horas. Empresas que tratarem o tema como projeto estruturado de compliance regulatório chegarão a julho com risco controlado; as demais ficarão expostas a fiscalização, sanções e responsabilização civil sob um regime substancialmente mais severo que o do antigo art. 19 do MCI.
Em síntese, o novo framework impõe às plataformas de aplicação de internet uma sucessão de filtros que batizamos ao longo deste artigo: (i) o Teste do Regime de Moderação, que define quais serviços ingressam no novo regime de moderação e quais permanecem na lógica original do art. 19 do MCI; (ii) o Teste da Indisponibilização de Conteúdo, que rege a notificação e retirada (notice and takedown) de conteúdos criminosos, excetuados os crimes contra a honra; (iii) o Teste de Falha Sistêmica, aplicável ao rol taxativo de crimes graves independentemente de notificação; e (iv) o Teste da Publicidade Ilegal, que presume a responsabilidade do provedor por anúncios e impulsionamentos ilícitos. Somados, esses testes revelam um movimento de elevação da régua de compliance e de filtragem de conteúdo que se tornou substancialmente mais rigorosa, deslocando para o agente privado o ônus de avaliar, decidir e documentar a licitude do que circula em suas plataformas.