Atalho

Novidades

Governo Federal edita Decretos com novas normas para provedores de aplicação

21/05/2026

Em resumo

O Presidente da República editou os Decretos Federais nº 12.975 e nº 12.976/2026, publicados em 21/05/2026, que introduzem obrigações significativas aos provedores de aplicações de internet. Muitas dessas obrigações estão relacionadas à orientação firmada pelo Supremo Tribunal Federal no julgamento dos Temas 987 e 533, que tratam da responsabilidade de provedores de aplicações de internet por conteúdos de terceiros, nos termos do artigo 19 do Marco Civil da Internet. Há, contudo, inovações relevantes.

Os Decretos ampliam os deveres de diligência, transparência e governança dos provedores de aplicação, detalham hipóteses de responsabilização, instituem obrigações relacionadas à remoção e à moderação de conteúdo e reforçam o papel desses agentes na prevenção e no combate a ilícitos digitais. A Agência Nacional de Proteção de Dados (ANPD) passa a exercer funções de regulação, fiscalização e apuração de infrações relacionadas ao cumprimento dessas obrigações. Adicionalmente, foi instituído regime específico para o enfrentamento da violência contra mulheres em ambiente digital, com a imposição de deveres específicos e prazos bastante reduzidos para a atuação dos provedores de aplicação.

Mais detalhes

Os Decretos Federais nº 12.975 e nº 12.976/2026 implementam alterações relevantes no regime jurídico aplicável aos provedores de aplicações de internet, com impacto direto sobre práticas de moderação de conteúdo, gestão de riscos e responsabilidade civil.

O Decreto nº 12.975/2026 altera o Decreto nº 8.771/2016, que regulamenta o Marco Civil da Internet, introduzindo novas obrigações, além de ampliar o dever de cuidado em relação a conteúdos gerados por terceiros. O texto reflete o entendimento adotado pelo Supremo Tribunal Federal quanto à obrigatoriedade de que todo provedor de aplicações de internet constitua sede e representante legal no Brasil, com poderes para responder administrativa e judicialmente, prestar informações às autoridades competentes, cumprir ordens judiciais e arcar com penalidades e multas, entre outras atribuições. De acordo com o Decreto, o representante deve necessariamente ser uma pessoa jurídica.

O Decreto também passa a exigir a disponibilização de canal permanente e de fácil acesso para o recebimento de denúncias, indo além da decisão do Supremo ao disciplinar o procedimento de notificação e resposta e ao estabelecer requisitos mínimos — ainda que amplos — para a validade das notificações. Impõe, ainda, o dever de confirmar o recebimento das notificações, avaliar o seu conteúdo e comunicar, de forma fundamentada, a decisão de remoção ou manutenção do conteúdo. Além disso, prevê que a autoridade competente poderá regulamentar as formas de notificação e de contestação, bem como os respectivos procedimentos e os prazos para resposta e remoção de conteúdo.

Nesse contexto, o Decreto também revela uma preocupação com o eventual abuso do regime ampliado de notificações, ao permitir que o provedor de aplicações de internet mantenha o conteúdo disponível quando, após análise diligente e fundamentada, concluir pela existência de dúvida razoável quanto ao seu caráter ilícito. Nessa hipótese, deverá considerar a proporcionalidade entre a dúvida identificada e a gravidade do potencial ilícito, comunicando ao notificante as razões da não indisponibilização. O Decreto ressalta, ainda, a importância da análise contextual do conteúdo, para assegurar a liberdade de expressão, a liberdade religiosa e de crença, bem como eventuais finalidades informativas, educativas ou de crítica, sátira e paródia.

Em matéria de responsabilização, o texto incorpora o conceito de falha sistêmica mencionado na decisão do Supremo, o qual poderá ensejar a responsabilização do provedor em caso de omissão na indisponibilização proativa de conteúdos ilícitos considerados graves, como aqueles relacionados a terrorismo, crimes contra crianças e adolescentes, tráfico de pessoas, incitação à violência ou discriminação, dentre outros. Como inovação em relação à decisão do Supremo, o Decreto estabelece que a avaliação da ocorrência de falha sistêmica será realizada pela autoridade competente, considerando a capacidade do provedor de demonstrar a adoção de medidas adequadas de prevenção e mitigação de riscos sistêmicos.

Por outro lado, o Decreto também estabelece que na apuração da responsabilidade administrativa, a autoridade competente deverá avaliar a atuação diligente, proporcional e célere do provedor no tratamento das notificações recebidas, sendo vedada a responsabilização fundada exclusivamente na manutenção ou na remoção isolada de conteúdos objeto de notificação.

O Decreto também prevê hipóteses de presunção de responsabilidade, notadamente quando conteúdos ilícitos forem veiculados por meio de anúncios pagos, impulsionamentos ou redes artificiais de distribuição, admitindo-se a exclusão de responsabilidade mediante comprovação de atuação diligente e tempestiva. No tocante a anúncios pagos, cria-se a obrigação de que os provedores de aplicações que, mediante remuneração, disponibilizem ferramentas para anúncio ou impulsionamento de conteúdo, mantenham, por um ano, contado da data do encerramento da veiculação, as informações de cada anúncio ou impulsionamento e dos anunciantes.

Adicionalmente, estabelece-se a obrigação de reportar ilícitos ao Poder Público. Ao identificar ou concluir pela existência de conteúdo criminoso, o provedor deverá encaminhar o material e as informações necessárias à identificação da autoria e da materialidade dos crimes às autoridades competentes. O Decreto não especifica quais órgãos deverão receber tais dados, indicando que isso será disciplinado pelo Ministro de Estado da Justiça e Segurança Pública.

Na linha da decisão do Supremo, o Decreto preserva a aplicação do artigo 19 do Marco Civil da Internet aos crimes e atos ilícitos contra a honra, que permanecem condicionados ao descumprimento de ordem judicial específica para fins de responsabilização. Ademais, estabelece que, em caso de sucessivas replicações de conteúdo previamente reconhecido como ilícito por decisão judicial, todos os provedores deverão promover a remoção de conteúdos idênticos, independentemente de novas decisões judiciais, a partir de notificação judicial ou extrajudicial. Trata-se de ponto relevante, pois impacta direitos de provedores que não participaram do processo judicial que originou a determinação de remoção.

Em outra inovação, o Decreto impõe aos provedores de aplicações a obrigação de guardar a porta lógica de origem associada ao endereço IP, independentemente de requisição prévia, sempre que necessário para possibilitar a identificação inequívoca do terminal de origem ou do próximo enlace de rede. Trata-se de tema amplamente debatido na jurisprudência e não contemplado na decisão do Supremo. Além disso, o Decreto passa a exigir a remoção de publicidade considerada enganosa ou fraudulenta com base em mera notificação extrajudicial.

Por fim, o Decreto atribui à Agência Nacional de Proteção de Dados (ANPD) competência para regular, fiscalizar e apurar infrações relacionadas aos deveres impostos aos provedores, além de determinar a adoção de mecanismos de autorregulação e a publicação de relatórios periódicos de transparência. Nesse contexto, a ANPD — que recentemente recebeu a atribuição de fiscalizar violações aos direitos de crianças e adolescentes no ambiente digital, nos termos do chamado ECA Digital — passa a acumular novas competências em curto intervalo de tempo.

Já o Decreto nº 12.976/2026 estabelece regime específico voltado à proteção de mulheres contra a violência na internet, adotando definição ampla de violência digital, que abrange condutas como assédio, perseguição, divulgação de conteúdo íntimo sem consentimento — inclusive conteúdo gerado ou alterado por inteligência artificial — e violência política de gênero.

O Decreto impõe aos provedores o dever de indisponibilizar conteúdos ilícitos mediante notificação recebida por meio de canal oficial e dedicado, disponibilizado pelo provedor de aplicações, com prazos reduzidos para resposta, incluindo a remoção de conteúdo íntimo não autorizado em até duas horas, e de outros conteúdos violadores em até seis ou vinte e quatro horas. Prevê, ainda, a adoção de medidas técnicas para bloqueio do reenvio desses materiais

Adicionalmente, estabelece a obrigação de atuação proativa para reduzir o alcance e a visibilidade de ataques coordenados contra mulheres, inclusive independentemente de notificação prévia em determinadas hipóteses. O Decreto também veda a geração ou modificação de conteúdo íntimo por meio de inteligência artificial e exige a implementação de salvaguardas técnicas para impedir tais práticas, além de prever a criação de mecanismos institucionais voltados à prevenção, proteção e acolhimento de vítimas.

Ambos os Decretos estabelecem prazo de sessenta dias para sua entrada em vigor.

Nosso time também destaca que o Supremo Tribunal Federal determinou que os embargos de declaração pendentes em face do acórdão que declarou parcialmente inconstitucional o artigo 19 do Marco Civil da Internet sejam julgados virtualmente entre 29 de maio e 9 de junho de 2026. Tal decisão poderá impactar a interpretação dos Decretos em questão.

Compartilhe nas redes sociais
Trench Rossi Watanabe
São Paulo
Av. Dr. Chucri Zaidan, 1649, 31º andar
Edifício EZ Towers, Torre A | 04711-130
São Paulo - SP - Brasil
Rio de Janeiro
Rua Lauro Muller, 116 - Conj. 2802
Ed. Rio Sul Center | 22290-906
Rio de Janeiro - RJ - Brasil
Brasília
Saf/s Quadra 02 - Lote 04 - Sala 203
Ed. Comercial Via Esplanada | 70070-600
Brasília - Distrito Federal - Brasil
Porto alegre
Av. Soledade, 550
Cj. 403 e 404 | 90470-340
Porto Alegre - RS - Brasil
Imprensa
JeffreyGroup
trw@jeffreygroup.com

Termos de Uso

Política de Privacidade

Ícone do Facebook Encarregado de dados pessoais

Transparência

Canal de Ética

Ícone do Instagram
Ícone do Facebook
Ícone do YouTube
Ícone do Linkedin