Episódio Segurança Legal #419 — Atualização do MCI. Este artigo é derivado do episódio #419 do podcast Segurança Legal, apresentado por Guilherme Goulart e Vinícius Serafim, e foi produzido com apoio de IA. Assista ao episódio completo no YouTube.
O Decreto 12.975/2026, publicado em 20 de maio de 2026, altera o Decreto 8.771/2016 para implementar a decisão do STF que considerou inconstitucional o artigo 19 do Marco Civil da Internet. Na prática, ele amplia os deveres de guarda de registros, que agora incluem a porta lógica de origem, e impõe a provedores de conexão e de aplicação obrigações ativas de moderação, transparência e remoção de conteúdo criminoso.
Para quem opera um serviço na internet no Brasil, dois pontos exigem atenção imediata: o registro técnico de logs e o novo regime de moderação. Abaixo, o que cada um significa na operação.
A guarda de logs ganhou uma camada técnica: a porta lógica
O artigo 15-A passa a exigir que o dever de guarda de registros abranja também a porta lógica de origem, sempre que necessário para identificar o terminal de origem ou o próximo enlace de rede. O motivo é técnico. O esgotamento do IPv4 forçou os provedores a compartilhar um mesmo IP público entre muitos clientes via NAT (CGNAT). Quando vários assinantes saem para a internet sob o mesmo endereço, o IP sozinho pode não identificar mais adequadamente um terminal.
A desambiguação passa a depender da porta. TCP e UDP dispõem de 65.536 portas (0 a 65.535), e o equipamento do provedor mapeia dinamicamente cada conexão a uma delas. Para atender ao 15-A, é preciso logar esse vínculo (IP, porta, timestamp e cliente) conexão por conexão.
O problema operacional é o volume. Um único navegador abre múltiplas conexões; uma residência típica soma celulares, TVs, câmeras, IoT e computadores, todos gerando conexões continuamente. Esse registro precisa existir em toda a cadeia: no provedor de conexão e também no provedor de aplicação que presta o serviço na ponta. E quando há provedores menores atendidos por provedores maiores, o NAT pode ocorrer mais de uma vez, multiplicando os pontos onde o log precisa existir.
Moderação de conteúdo: o fim do “sem dever de monitoramento ativo”
A segunda frente é a moderação. O decreto estabelece deveres gerais, entre eles manter sede e representante legal no país com poderes para prestar informações, e cria obrigações de gestão de reclamações, regras sobre perfilamento, canais de denúncia e relatórios de transparência ativa.
A mudança de paradigma está aqui. O Marco Civil de 2014 era celebrado por não impor monitoramento ativo. O artigo 16-B passa a listar sete grupos de conteúdo considerados criminosos (terrorismo; induzimento ou instigação a suicídio e automutilação; incitação à discriminação por cor, raça e etnia; crimes contra a mulher; crimes sexuais contra vulneráveis; tráfico de pessoas; e condutas relacionadas a golpes) que devem ser removidos tanto sob notificação quanto por dever proativo.
A ausência de medidas adequadas de prevenção pode caracterizar falha sistêmica: o provedor precisa identificar, avaliar e gerir os riscos sistêmicos da sua operação. O conceito não é invenção nacional; vem do Digital Services Act (DSA) europeu.
Duas diferenças relevantes em relação ao Digital Services Act europeu (DSA)
O modelo europeu aplica essas regras apenas a plataformas e buscadores de grande dimensão (acima de 45 milhões de usuários; em 2023 a Comissão Europeia identificou 19 plataformas nesse critério). O decreto brasileiro não faz distinção por tamanho. Ele abre apenas a possibilidade de a ANPD definir critérios diferenciados para pequenos provedores (art. 16-P, que usa “poderá”, não “deverá”), o que é uma preocupação concreta para operações menores.
Por outro lado, o decreto é menos rígido que o DSA num ponto: crimes contra a honra permanecem no modelo anterior, sem remoção automática por notificação.
O risco operacional: detecção e zona cinzenta
Há dois pontos sensíveis na execução. O primeiro é a remoção de conteúdos idênticos a material já reconhecido por ordem judicial. A identificação por hash quebra com a alteração de um único bit, e ferramentas de IA permitem modificar conteúdo de forma a escapar da correspondência exata. A detecção viável tende a depender de IA, viável para grandes plataformas e custosa para as demais.
O segundo é a margem interpretativa. Em conteúdos flagrantes, como material de abuso sexual infantil, não há discussão. Mas categorias como induzimento ou discriminação têm zona cinzenta. Um discurso que comenta um fato discriminatório pode ser confundido com a prática. O incentivo a remover por precaução pode representar um risco real para a liberdade de expressão.
Vale registrar a ressalva: a eficácia do decreto depende da capacidade institucional da ANPD, que passa a acumular a regulação de proteção de dados, o ECA Digital e agora o acompanhamento desta regulamentação. Sem fiscalização e provocação concretas, o risco é uma norma que não é aplicada nem ajustada.
Perguntas frequentes
O Decreto 12.975/2026 obriga meu serviço a guardar logs de portas?
Se você é provedor de conexão ou de aplicação, o artigo 15-A passa a exigir o registro da porta lógica de origem sempre que necessário para identificar o terminal. Serviços que já guardavam logs de IP devem verificar se também estão registrando a porta associada à conexão.
Qual o prazo de guarda desses registros?
O decreto regulamenta o Marco Civil, que fixa um ano para registros de conexão (art. 13) e seis meses para registros de acesso a aplicações (art. 15). O dever da porta lógica acompanha o registro a que se vincula.
Pequenos provedores também precisam cumprir as regras de moderação?
Sim. O decreto não distingue por tamanho de plataforma, ao contrário do DSA europeu. O artigo 16-P permite que a ANPD defina critérios diferenciados para pequenos provedores, mas usa “poderá”. Não há obrigação de fazê-lo.
O que é “falha sistêmica” no contexto do decreto?
É a caracterização aplicada quando o provedor não comprova ter adotado medidas para identificar, avaliar e gerir riscos da sua operação relacionados aos conteúdos criminosos listados. O conceito é inspirado no Digital Services Act da União Europeia.
Preciso de decisão judicial para remover conteúdo agora?
Para a lista de crimes do artigo 16-B, não. A mudança central é a remoção sob notificação e por dever proativo, invertendo o ônus que antes recaía sobre o prejudicado de buscar o Judiciário. Crimes contra a honra seguem o regime anterior.
Como a BrownPipe pode ajudar
A adequação a esse novo cenário começa por uma pergunta técnica concreta: seus registros de log capturam hoje o que o decreto passa a exigir, e por quanto tempo? Podemos avaliar sua arquitetura de logging e seus controles de retenção sob a ótica da conformidade. Fale com a BrownPipe sobre um diagnóstico de adequação.
A BrownPipe atua desde 2012 em segurança da informação e proteção de dados. Este conteúdo foi produzido com apoio de IA e é derivado do episódio #419 – Atualização do MCI do podcast Segurança Legal, apresentado por Guilherme Goulart e Vinícius Serafim. Assista ao episódio completo no YouTube: youtube.com/watch?v=KTQeLJhUaJM.