A aplicação do ECA Digital às instâncias de redes federadas

Foi promulgada, em 17 de setembro de 2025, a lei nº 15.211, a qual ficou conhecida como “ECA Digital” ou “Lei Felca”, trazendo incertezas e preocupações para administradores de instâncias do Fediverso brasileiro, especialmente quanto a quais medidas devem ser adotadas e quais os riscos a que estarão sujeitos. O objetivo deste texto, longe de trazer soluções plenas, é colaborar com algumas reflexões, questionamentos e, dentro do possível, sugestões para minimizar potenciais riscos.

Vamos então, gradualmente, passando pelos pontos que considerei de principal relevância para as redes federadas como um todo.

Aplicabilidade do ECA Digital às redes federadas

Antes de tudo e ponto de extrema importância nessa lei, temos a problemática quanto ao que significa ser um produto ou serviço “direcionado a crianças e a adolescentes ou de acesso provável por eles“. Infelizmente a própria lei não traz uma definição clara e objetiva a esse respeito, de forma que ficaremos dependendo, como em diversos outros pontos, de uma regulamentação posterior pela “autoridade administrativa autônoma de proteção dos direitos de crianças e de adolescentes”, por atos do Poder Executivo e pela jurisprudência que surgir a partir da aplicação efetiva da lei em 17 de março de 2026 (Art. 41-A).

Também é válido questionar o quanto essa lei será aplicável às redes federadas e em que medida, tendo em vista que o seu art. 2º, III define rede social como uma

aplicação de internet que tem como principal finalidade o compartilhamento e a disseminação, pelos usuários, de opiniões e informações veiculadas por textos ou arquivos de imagens, sonoros ou audiovisuais, em uma única plataforma, por meio de contas conectadas ou acessíveis de forma articulada, permitida a conexão entre usuários; (grifo meu)

A dinâmica própria das redes federadas e suas diversas instâncias abrem questionamentos, portanto, sobre o quanto ela pode ser considerada uma rede social, nos termos da lei 15.211/2025, uma vez que, apesar de possibilitar a conexão entre os usuários, essa não ocorre por meio de “uma única plataforma”.

Voltando a atenção ao que torna essa comunicação possível, devido ao conteúdo do § 2º do referido art. 2º, o protocolo ActivityPub não deve ser considerado, por si só, um “produto ou serviço de tecnologia da informação”, uma vez que prescreve o parágrafo:

§ 2º Para os fins desta Lei, não são consideradas produtos ou serviços de tecnologia da informação as funcionalidades essenciais para o funcionamento da internet, como os protocolos e os padrões técnicos abertos e comuns que permitem a interconexão entre as redes de computadores que compõem a internet. (grifo meu)

Não deve, portanto, o protocolo em si ser considerado mesmo uma rede social ou receber qualquer tipo de sanção determinada pela lei, mas a dúvida quanto às instâncias permanece.

Atribuições do órgão regulador

Em vários trechos da lei, é mencionada a “autoridade administrativa autônoma de proteção dos direitos de crianças e de adolescentes no ambiente digital”. Como regulamentado pelo Decreto nº 12.622, essa função fiscalizatória foi delegada à Agência Nacional de Proteção de Dados (ANPD), a qual poderá fazer recomendações e orientações para o cumprimento da lei (art. 6º, § 3º); será a responsável por regular e promover soluções técnicas para verificação de idade (art. 11); e fiscalizará o cumprimento da lei, podendo editar normas complementares (art. 34).

Assim sendo, é possível esperar que haja uma postura propositiva por parte da ANPD, chegando a colaborar com soluções para o devido cumprimento da legislação. Entretanto, é algo que somente será passível de confirmação com a sua entrada em vigor.

Proporcionalidade de medidas sancionatórias

Por todo o corpo da legislação, é possível vislumbrar uma preocupação com os princípios jurídicos da proporcionalidade e razoabilidade para a análise dos casos concretos e para a aplicação de sanções. Destaco o art. 34, § 2º, que trata da função fiscalizatória da ANPD:

Art. 34. § 2º Nas atividades previstas no caput deste artigo [fiscalização do cumprimento da lei], a autoridade competente deverá observar as assimetrias regulatórias e adotar abordagem responsiva, assegurando tratamento diferenciado e proporcional a serviços de natureza, risco e modelo de negócio distintos. (grifo meu)

Como fica claro pelo conteúdo da norma, devem ser levadas em consideração as desigualdades existentes entre os diferentes serviços. Como entre uma rede social de uma grande empresa multinacional e uma instância de uma rede social ainda de nicho, com público relativamente restrito e que, em geral, não busca resultado financeiro; e prevê ainda que a própria regulamentação pode causar assimetrias entre diferentes atores. Por esses motivos, deve ser assegurado o “tratamento diferenciado e proporcional”, mantendo assim uma proporção entre as plataformas e as sanções aplicadas a cada uma delas.

Reforçando essa ideia, prescreve o art. 39:

Art. 39. As obrigações previstas nos arts. 6º, 17, 18, 19, 20, 27, 28, 29, 31, 32 e 40 desta Lei aplicar-se-ão conforme as características e as funcionalidades do produto ou serviço de tecnologia da informação, moduladas de acordo com o grau de interferência do fornecedor do produto ou serviço sobre os conteúdos veiculados disponibilizados, o número de usuários e o porte do fornecedor. […] § 2º As obrigações referidas no caput deste artigo serão aplicadas de forma proporcional à capacidade do fornecedor de influenciar, de moderar ou de intervir na disponibilização, na circulação ou no alcance dos conteúdos acessíveis por crianças e adolescentes. § 3º A regulamentação definirá critérios objetivos para a aferição do grau de intervenção e para a aplicação proporcional das obrigações previstas neste artigo. (grifo meu)

Observa-se, novamente, a preocupação com a característica específica de cada tipo de serviço, suas funcionalidades e suas capacidades reais, além de seu porte, sendo as obrigações legais diretamente relacionadas às capacidades reais “do fornecedor” — ou do administrador da instância — de ingerência sobre os conteúdos compartilhados na rede.

Nesse sentido, a previsão do § 3º sobre a definição de critérios objetivos para essa avaliação é positiva para que possamos compreender efetivamente as medidas que deverão ser adotadas e como fazer a adequação das instâncias à regulamentação. Enquanto isso, aguardamos a promulgação da regulamentação específica.

Utilização por menores

O cerne do ECA Digital está na preocupação acerca do uso indevido das redes por menores, como disposto no art. 6º:

Art. 6º Os fornecedores de produtos ou serviços de tecnologia da informação direcionados a crianças e a adolescentes ou de acesso provável por eles deverão tomar medidas razoáveis desde a concepção e ao longo da operação de suas aplicações, com o objetivo de prevenir e mitigar riscos de acesso, exposição, recomendação ou facilitação de contato com os seguintes conteúdos, produtos ou práticas: I – exploração e abuso sexual; II – violência física, intimidação sistemática virtual e assédio; III – indução, incitação, instigação ou auxílio, por meio de instruções ou orientações, a práticas ou comportamentos que levem a danos à saúde física ou mental de crianças e de adolescentes, tais como violência física ou assédio psicológico a outras crianças e adolescentes, uso de substâncias que causem dependência química ou psicológica, autodiagnóstico e automedicação, automutilação e suicídio; IV – promoção e comercialização de jogos de azar, apostas de quota fixa, loterias, produtos de tabaco, bebidas alcoólicas, narcóticos ou produtos de comercialização proibida a crianças e a adolescentes; V – práticas publicitárias predatórias, injustas ou enganosas ou outras práticas conhecidas por acarretarem danos financeiros a crianças e a adolescentes; e VI – conteúdo pornográfico.

Também sendo previsto que:

Art. 8º Os fornecedores de produtos ou serviços de tecnologia da informação direcionados a crianças e a adolescentes ou de acesso provável por eles deverão: […] V - informar extensivamente a todos os usuários sobre a faixa etária indicada para o produto ou serviço no momento do acesso, conforme estabelecido pela política de classificação indicativa. (grifo meu)

Há ainda, no art. 12, I, a exigência de “medidas proporcionais, auditáveis e seguras” para verificação da idade ou faixa etária, com previsão de uma regulamentação posterior específica para os meios de verificação de idade e supervisão parental (§ 3º).

Enquanto a viabilidade de implementar alguma forma de verificação de idade permanece uma incógnita, especialmente na ausência da regulamentação específica a respeito, com base nesse trecho, especificamente no inciso V do art. 8º, é recomendável que as instâncias, tanto em sua página inicial quanto no processo de cadastro, informem de forma clara e objetiva que o uso da rede não é recomendado para menores de 18 anos — ou a idade que o administrador julgar mais conveniente. Essa atitude relativamente simples já pode desenquadrar a instância de algumas situações.

No caso, se não pudermos afirmar categoricamente que não se trata de serviço “de acesso provável” por crianças e adolescentes, minimamente estará excluído do rol dos serviços “direcionados a crianças e a adolescentes” e cumprirá a determinação legal de informar a faixa etária indicada para uso, demonstrando boa vontade, cooperação e boa-fé.

Supervisão parental

Havendo uso por menores, há previsões quanto à necessidade de implementação de ferramentas para a supervisão pelos responsáveis legais, sendo que deve novamente ser considerada, segundo o art. 17, I, “a tecnologia disponível e a natureza e o propósito do produto ou serviço” e, II, disponibilizadas informações para os responsáveis sobre as ferramentas existentes. Há, novamente, a pendência de uma regulamentação, também por parte da ANPD, sobre quais serão as diretrizes para os mecanismos de supervisão parental (art. 17, § 1º).

Ainda assim, em seu art. 18 é exigida a implementação de ferramentas que possibilitem aos responsáveis legais:

I – visualizar, configurar e gerenciar as opções de conta e privacidade da criança ou do adolescente; II – restringir compras e transações financeiras; III – identificar os perfis de adultos com os quais a criança ou o adolescente se comunica; IV – acessar métricas consolidadas do tempo total de uso do produto ou serviço; V – ativar ou desativar salvaguardas por meio de controles acessíveis e adequados; VI – dispor de informações e de opções de controle em língua portuguesa.

Bem como o art. 24, caput, estabelece que contas de menores de 16 anos devem estar vinculadas a um usuário ou conta do responsável legal.

Ressalte-se, porém, que todas essas determinações, as quais aparentam ser inviáveis atualmente, principalmente para instâncias pequenas, tornam-se desnecessárias para o caso de conseguirmos descaracterizar a instância como sendo “direcionada a crianças e a adolescentes ou de acesso provável por eles”, de forma a tornar todo o disposto no ECA Digital não aplicável. Mas isso apenas as determinações da ANPD e o desenrolar de casos futuros poderão determinar.

Cabe, no momento, apenas ressaltar, conforme art. 24, § 1º, I, e como destacado no tópico anterior, a inadequação do uso do serviço por menores de idade.

Art. 24. No âmbito de seus serviços, os provedores de produtos ou serviços direcionados a crianças e a adolescentes ou de acesso provável por eles deverão garantir que usuários ou contas de crianças e de adolescentes de até 16 (dezesseis) anos de idade estejam vinculados ao usuário ou à conta de um de seus responsáveis legais. § 1º Caso seus serviços sejam impróprios ou inadequados para crianças e adolescentes, os provedores de redes sociais deverão adotar medidas adequadas e proporcionais para: I – informar de maneira clara, destacada e acessível a todos os usuários que seus serviços não são apropriados; (grifo meu)

Casos de violações

Um ponto que acredito que possa ter causado desconforto em alguns administradores é o conteúdo do art. 27, principalmente seu § 2º, segundo os quais:

Art. 27. Os fornecedores de produtos ou serviços de tecnologia da informação disponíveis no território nacional deverão remover e comunicar os conteúdos de aparente exploração, de abuso sexual, de sequestro e de aliciamento detectados em seus produtos ou serviços, direta ou indiretamente, às autoridades nacionais e internacionais competentes, na forma de regulamento. […] § 2º Os fornecedores deverão reter, pelo prazo estabelecido no art. 15 da Lei nº 12.965, de 23 de abril de 2014 (Marco Civil da Internet), os seguintes dados associados a um relatório de conteúdo de exploração e de abuso sexual de criança ou de adolescente: I – conteúdo gerado, carregado ou compartilhado por qualquer usuário mencionado no relatório e metadados relacionados ao referido conteúdo; II – dados do usuário responsável pelo conteúdo e metadados a ele relacionados.

Tal retenção, além de incômoda, traz um potencial de aumento nos custos de manutenção dos servidor,es além da preocupação com possíveis sanções pelo seu descumprimento.

Contudo, ao analisar o referido art. 15 do Marco Civil da Internet, conclui-se ser um cenário não aplicável à maioria das instâncias, uma vez que não se tratam de pessoas jurídicas e de atividade profissional remunerada e com fins econômicos.

Art. 15. O provedor de aplicações de internet constituído na forma de pessoa jurídica e que exerça essa atividade de forma organizada, profissionalmente e com fins econômicos deverá manter os respectivos registros de acesso a aplicações de internet, sob sigilo, em ambiente controlado e de segurança, pelo prazo de 6 (seis) meses, nos termos do regulamento. (grifo meu)

Dessa forma, a retenção dos dados se torna desnecessária por parte da instância que receber a denúncia, devendo apenas tomar as ações de moderação cabíveis e notificar a autoridade competente. Excetuando-se apenas os casos de ordem judicial específica, a qual pode determinar a retenção de “registros relativos a fatos específicos em período determinado” (Art. 15, § 1º, Marco Civil da Internet).

Penalidades

O ECA Digital, como esperado para uma lei dessa magnitude, estabelece, em seu art. 35, caput e incisos, as penalidades a que estarão sujeitos os infratores de suas determinações, sendo elas

I – advertência, com prazo para adoção de medidas corretivas de até 30 (trinta) dias; II – multa simples, de até 10% (dez por cento) do faturamento do grupo econômico no Brasil no seu último exercício ou, ausente o faturamento, multa de R$ 10,00 (dez reais) até R$ 1.000,00 (mil reais) por usuário cadastrado do provedor sancionado, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração; (grifo meu)

Ressalte-se, novamente, a previsão de proporcionalidade e também da gradação na aplicação da penalidade.

Apesar de ser uma multa que pode atingir um valor considerável, uma vez que uma instância com 300 usuários já estaria sujeita a uma multa mínima de R$3.000 — valor esse que pode ser irrisório para grandes empresas, mas que com certeza faria grande diferença na manutenção da infraestrutura de uma instância —, é importante atentar-se ao restante dos parágrafos e incisos, especialmente o § 1º, incisos III e IV.

§ 1º Para fixação e gradação da sanção, deverão ser observadas, além da proporcionalidade e da razoabilidade, as seguintes circunstâncias: III – a capacidade econômica do infrator, no caso de aplicação da sanção de multa; IV – a finalidade social do fornecedor e o impacto sobre a coletividade no que se refere ao fluxo de informações no território nacional. (grifo meu)

A esse respeito, é apresentada, mais uma vez, a preocupação com a proporcionalidade e razoabilidade na aplicação das penalidades, além da capacidade econômica da instância e do seu administrador e a sua finalidade. Assim sendo, por mais que seja arriscado fazer prognósticos antecipados quanto à aplicação de uma nova lei, tudo leva a acreditar que, no caso em questão, a prioridade será pela aplicação de advertência, principalmente se for demonstrada cooperação e boa vontade por parte dos administradores.

Conclusões gerais

Acredito que o texto, além de longo, tenha sido um tanto maçante e não muito otimista para nossos queridos administradores. Gostaria de poder trazer mais respostas e soluções, mas não é algo possível neste momento. Então, nesta conclusão, tentarei resumir os principais ponto levantados, com as dúvidas, questionamentos e recomendações para o cenário atual, visando, principalmente, reduzir os riscos para as instâncias brasileiras.

Os principais pontos envolvem, basicamente, o que significa ser um serviço “direcionado a crianças e a adolescentes ou de acesso provável por eles”, se o fediverso pode ser considerado uma rede social de acordo com a definição da lei e a aplicação ou não do ECA Digital às instâncias, sendo que uma maior elucidação a esse respeito provavelmente resultaria na solução de muitos dos problemas levantados, como quanto à verificação da idade e a supervisão parental. Como destacado no restante do texto, porém, somente novas resoluções da ANPD e a jurisprudência poderão trazer tais respostas.

Todas as punições e sanções previstas foram acompanhadas de termos que estimulam o uso dos princípios de proporcionalidade e razoabilidade para a análise de cada caso, tornando improvável — porém não impossível — a aplicação de multas de valor muito expressivo. Sendo mais provável a aplicação inicial de advertências e progressão para multas em casos reincidentes.

Ainda assim, recomenda-se que as instâncias tomem alguns cuidados, especialmente com o objetivo de demonstrar ciência sobre a lei, boa-fé e boa vontade, fatores que podem influenciar na aplicação e gradação de sanções. Para isso, de forma simples:

Espero que o texto tenha sido informativo e ajude os administradores pelo menos a compreender melhor a situação atual de sua instância dentro da nova legislação.

Estou à disposição para perguntas ou contribuições em @vitu@bolha.us.