Novos Decretos Atualizam Regras e Responsabilidades no Marco Civil da Internet
Em 21 de maio de 2026, foram publicados no Diário Oficial da União os Decretos nº 12.975/2026 e nº 12.976/2026, que incorporam e detalham os novos deveres legais impostos a provedores de aplicações de internet estruturados pelo STF quando do julgamento sobre a constitucionalidade do art. 19 do Marco Civil da Internet (RE 1.037.396 – Tema 987, e RE 1.057.258 – Tema 533).
O Decreto nº 12.975/2026 altera o Decreto nº 8.771/2016, que regulamenta o MCI, para incorporar formalmente os novos deveres dos provedores de aplicação. Destacamos, a seguir, pontos centrais introduzidos pela regulamentação:
- Guarda de dados: provedores de conexão e de aplicação devem manteu, junto aos registros de conexão e de acesso, a porta lógica de origem associada ao endereço IP, sempre que necessária para identificação inequívoca do terminal de origem. Essa exigência já vinha sendo construída pela jurisprudência. Trata-se de obrigação relevante do ponto de vista investigativo e que amplia o nível de detalhamento técnico exigido na retenção de registros.
- Estrutura e governança: provedores de aplicação devem constituir sede e representante legal no Brasil, com poderes amplos para atuação administrativa e judicial e para fornecimento de informações às autoridades, incluindo dados sobre funcionamento da plataforma, regras de moderação de conteúdo, sistemas de tratamento de reclamações e relatórios de transparência e gestão de riscos.
- Transparência e devido processo legal: provedores de aplicação devem implementar mecanismos acessíveis de denúncia, fornecer explicações específicas sobre o motivo da remoção ou manutenção de determinado conteúdo denunciado, disponibilizar procedimentos de contestação dessas decisões pelos usuários, bem como elaborar registros de atividades, reforçando a necessidade de formalização de políticas internas e de sistemas de governança mais robustos.
- Fiscalização e implementação: caberá à Autoridade Nacional de Proteção de Dados (ANPD) a competência para editar guias orientativos e regulamentações específicas, bem como para fiscalizar o cumprimento dos novos deveres legais. Com isso, a ANPD concentrará temas relacionados à LGPD, ao ECA Digital e ao MCI.
O decreto também incorpora o dever de cuidado dos provedores de aplicação, que devem adotar medidas para prevenir a circulação de conteúdo relacionado a “riscos sistêmicos”, assim definidos por um rol taxativo de algumas condutas tipificadas como crime na legislação brasileira (item “5” da Tese fixada no julgamento do STF).
Conforme já estruturado na Tese do STF, a responsabilidade civil dos provedores de aplicação depende da ocorrência de falha sistêmica na remoção do conteúdo ilícito tipificado como crime no rol taxativo. Isto é, o provedor pode ser responsabilizado diretamente se não adotar medidas para promover a remoção imediata e independente de notificação, de conteúdo identificado como risco sistêmico. Se o provedor de aplicações implementar as medidas e o conteúdo associado aos “riscos sistêmicos” for encontrado de forma isolada, a responsabilidade civil estará sujeita à não remoção após notificação.
O Decreto não explicou, todavia, qual será o critério para diferenciar a falha sistêmica de uma situação isolada. Esta e outras definições estão agora à cargo da ANPD.
O Decreto nº 12.976/2026, por sua vez, tem por foco estabelecer um regime de proteção às mulheres no ambiente digital. O art. 2º elenca princípios que devem orientar a atuação normativa, fiscalizatória e sancionatória de órgãos e entidades competentes, ao passo que o art. 3º detalha definições sobre “conteúdo íntimo” e “violência contra mulheres em ambiente digital”, associada ao rol taxativo de condutas tipificadas como crime referidas no item “5(e)” da tese fixada pelo STF em junho de 2025. O art. 7º prevê que os provedores de aplicação terão 2 (duas) horas para remover conteúdo íntimo gerado por terceiros sem autorização após o recebimento de notificação. No mais, o conteúdo desse Decreto reproduz o detalhamento do dever de cuidado direcionado aos provedores de aplicação inserido no Decreto 12.975/2026.
A nova regulamentação prevista nos Decretos entra em vigor em 60 (sessenta) dias.
Em conjunto, os dois decretos representam uma mudança relevante no nível de detalhamento regulatório do Marco Civil da Internet, com:
- aumento das obrigações técnicas de guarda de dados;
- fortalecimento de estruturas de governança e representação no Brasil;
- introdução de um padrão mais claro de dever de cuidado e gestão de riscos sistêmicos; e
- criação de um regime específico de proteção a mulheres no ambiente digital, com deveres operacionais concretos.
Do ponto de vista prático, as normas exigem atenção imediata à revisão de políticas de retenção de dados, estruturas societárias e de representação, fluxos de moderação de conteúdo e mecanismos de resposta a denúncias, além da adaptação a padrões mais elevados de transparência e documentação de processos.
Nossa equipe de Tecnologia acompanha de perto o tema e seus impactos em cada operação, e está à disposição para esclarecer quaisquer dúvidas.