Marco Civil da Internet atualizado: novos Decretos ampliam responsabilidades de plataformas digitais e proteção a mulheres online

Em 21 de maio de 2026, foram publicados os Decretos nº 12.975/2026 e nº 12.976/2026, que alteram a regulamentação do Marco Civil da Internet (Lei nº 12.965/2014 ou “MCI”) e estabelecem novas obrigações para provedores de aplicações de internet, especialmente no que se refere à moderação de conteúdos, deveres de transparência, responsabilização de plataformas digitais, proteção de mulheres em ambientes digitais e guarda de dados, sendo este último também aplicável a provedores de conexão.

Tais Decretos estão em linha com a decisão do Supremo Tribunal Federal (STF) de junho de 2025, que declarou a inconstitucionalidade parcial do art. 19 do MCI (Temas 987 e 533 de repercussão geral), fixando novos parâmetros de responsabilização das plataformas digitais por conteúdos gerados por terceiros, incluindo o dever de cuidado e o conceito de falha sistêmica. Anteriormente, de modo geral, os provedores apenas poderiam ser responsabilizados civilmente após descumprimento de ordem judicial específica, porém agora há exceções a esse regime.

Ambos os Decretos atribuem à Agência Nacional de Proteção de Dados (ANPD) a competência para regulação, fiscalização e apuração de infrações, consolidando o papel da agência como autoridade central da governança digital brasileira. A ANPD poderá definir critérios diferenciados de cumprimento dos deveres previstos nos decretos, considerando o porte econômico do provedor, o nível de interferência na circulação de conteúdo e o risco envolvido no serviço, com especial atenção aos pequenos provedores.

Os Decretos entrarão em vigor 60 (sessenta) dias após a data de sua publicação no Diário Oficial da União.

Este informativo destaca os principais pontos regulamentados.

Decreto nº 12.975/2026

1. Novas obrigações: estabelece deveres específicos para provedores de aplicações de internet que realizem intermediação de conteúdo gerado por terceiros, incluindo as obrigações de:

• Constituir e manter sede e representante legal no Brasil, sob a forma de pessoa jurídica, com poderes para responder administrativa e judicialmente, cumprir determinações judiciais, eventuais penalizações e multas;
• Disponibilizar canal permanente e acessível para recebimento e tratamento de notificações de conteúdos criminosos ou ilícitos;
• Adotar medidas para impedir a operação de redes artificiais de distribuição de conteúdos ilícitos;
• Garantir transparência e segurança dos serviços; e
• Prestar informações às autoridades competentes acerca de seus procedimentos de moderação, gestão das reclamações, aos relatórios de transparência, publicidade, impulsionamento remunerado e perfilamento de usuários.

2. Responsabilização por falha sistêmica na remoção de conteúdos ilícitos: prevê responsabilização dos provedores em casos de falha sistêmica na indisponibilização imediata de determinados conteúdos ilícitos, incluindo, entre outros, relacionados a terrorismo, instigação ou auxílio a suicídio ou automutilação, discriminação e discursos de ódio, crimes contra mulheres, crimes sexuais contra pessoas vulneráveis, crimes graves contra crianças e adolescentes, tráfico de pessoas e atos antidemocráticos. A existência de conteúdo ilícito de forma isolada não caracteriza, por si só, falha sistêmica. Sem prejuízo do dever de cuidado, os provedores também devem, com diligência, monitorar e gerenciar os riscos sistêmicos decorrentes de suas atividades ou da circulação dos conteúdos indicados acima.

3. Notificação e contraditório: os provedores deverão disponibilizar um sistema de notificação acessível para comunicação de conteúdos ilícitos ou criminosos, com procedimentos de contestação e reconsideração que asseguram o contraditório e a liberdade de expressão. As plataformas devem indisponibilizar conteúdos que configurem crimes, em resposta às notificações, após análise do caso, exceto nas hipóteses previstas no Decreto que autorizam a manutenção do conteúdo, como nos crimes contra a honra, em que a responsabilização só ocorre se houver descumprimento de ordem judicial específica de remoção. Ao identificar conteúdo criminoso, os provedores devem encaminhá-lo, junto às informações necessárias para apurar autoria e materialidade, às autoridades públicas.

4. Anúncios, impulsionamentos pagos e publicidade: os provedores que disponibilizem, de forma remunerada, ferramentas de anúncio ou impulsionamento de conteúdo devem adotar medidas para impedir a contratação de conteúdo criminoso ou ilícito. Sua responsabilidade é presumida, independentemente de notificação, quando esse tipo de conteúdo for divulgado em anúncios, impulsionamentos pagos ou distribuído por meio de redes artificiais. Contudo, não serão responsabilizados se comprovarem que atuaram de maneira diligente e em tempo razoável para retirar o conteúdo. Os provedores deverão manter, pelo prazo de 1 (um) ano, as informações relativas a cada anúncio ou impulsionamento e aos respectivos anunciantes. O decreto ainda determina a remoção, mediante notificação, de conteúdos que constituam publicidade enganosa, abusiva ou fraudulenta, nos termos do Código de Defesa do Consumidor.

5. Transparência e autorregulação: os provedores deverão monitorar e gerir, de forma diligente, os riscos sistêmicos de seus serviços, além de publicar termos de uso e outras formas de autorregulação que incluam o sistema de notificações, o devido processo e relatórios anuais de transparência sobre notificações, anúncios e impulsionamento pago.

6. Guarda de registros: amplia as obrigações de retenção de dados para provedores de conexão e de aplicações de internet, incluindo a guarda da porta lógica de origem associada ao endereço IP, para fins de identificação de terminais em investigações, observadas as garantias do Marco Civil da Internet.

7.Exceções ao dever de cuidado: o dever de cuidado quanto ao conteúdo criminoso ou ilícito, incluindo os relativos à falha sistêmica e moderação proativa, não se aplica a determinadas categorias de serviços, como serviços de e-mail, mensageria instantânea (quanto às comunicações interpessoais protegidas pelo sigilo) e comunicação audiovisual em grupo restrito, que permitem reuniões, chamadas ou videoconferências em ambientes de acesso controlado. Nesses casos, a responsabilização permanece condicionada ao descumprimento de ordem judicial específica.

Decreto nº 12.976/2026

 

8. Proteção de mulheres em ambiente digital: estabelece medidas específicas voltadas à prevenção e ao enfrentamento da violência contra mulheres em ambientes digitais. A norma adota princípios como: não discriminação em razão da condição do sexo feminino; proteção da privacidade e dos dados pessoais; centralidade da vítima, assegurados o acolhimento adequado, a preservação de provas e acessibilidade dos canais de denúncia; não revitimização; e reconhecimento de discriminações múltiplas como fator agravante da violência digital.

9. Conceito ampliado de violência digital contra mulheres: conceitua “violência contra mulheres em ambiente digital” de forma ampla, abrangendo condutas como perseguição digital (cyberstalking), divulgação não consentida de conteúdo íntimo, violência política de gênero, ameaças qualificadas, deepfakes íntimos e vigilância digital, entre outras hipóteses.

10. Prazos de remoção de conteúdo: até que haja regulamentação específica, os provedores devem, após notificação, indisponibilizar o conteúdo ou informar as razões de sua manutenção e os meios de contestação. Para conteúdo manifestamente ilegal, o prazo é de até 6 horas; para os demais casos de violência contra a mulher em ambiente digital, de até 24 horas. Já o conteúdo íntimo não autorizado deve ser removido em até 2 horas, com indisponibilização em toda a aplicação e bloqueio automático de reenvio. A norma também estabelece requisitos formais mínimos para a notificação e prevê mecanismos de contestação e reconsideração, observando o equilíbrio entre proteção da vítima e garantias processuais.

11. Vedação à geração de conteúdo íntimo por inteligência artificial: veda expressamente a geração e a modificação de conteúdo íntimo de terceiros por meio de inteligência artificial ou qualquer outro recurso tecnológico. Os provedores baseados em funcionalidades de IA deverão implementar salvaguardas técnicas para identificar e bloquear solicitações de geração desses conteúdos.

12. Mitigação de ataques coordenados: os provedores deverão adotar medidas técnicas e proporcionais para reduzir o alcance e a visibilidade de ataques coordenados contra mulheres, independentemente de notificação prévia. O regime prioritário será aplicado em casos de violência política contra a mulher e em situações envolvendo mulheres com exposição pública decorrente de atuação profissional.

O que muda na prática? As novas regulamentações ampliam significativamente as obrigações de governança, transparência e moderação de conteúdo impostas às plataformas digitais que atuam no Brasil. As normas indicam uma tendência regulatória de maior responsabilização dos provedores, especialmente em relação à prevenção de danos sistêmicos, proteção de grupos vulneráveis e combate a conteúdos ilícitos.

Na prática, empresas de tecnologia, redes sociais, marketplaces, plataformas de compartilhamento de conteúdo e demais provedores de aplicações deverão revisar seus mecanismos de moderação, fluxos de resposta a notificações, políticas de transparência, estruturas de governança, protocolos de compliance digital e políticas de anúncios e impulsionamento de conteúdo. Recomenda-se especial atenção à constituição de representante legal no Brasil, à implementação de canais de denúncia e à adequação dos termos de uso.

Em caso de dúvidas sobre o assunto acima, por favor, não hesitem em nos contatar.