Podcast Segurança Legal, episodio #419 — Atualização do MCI. Este artículo se deriva del episodio #419 del podcast Segurança Legal, presentado por Guilherme Goulart y Vinícius Serafim, y fue producido con apoyo de IA. Mira el episodio completo en YouTube.
El Decreto 12.975/2026, publicado el 20 de mayo de 2026, modifica el Decreto 8.771/2016 para implementar la decisión del Supremo Tribunal Federal (STF) de Brasil que declaró inconstitucional el artículo 19 del Marco Civil da Internet (el marco de derechos civiles de internet de Brasil). En la práctica, amplía los deberes de guarda de registros —que ahora incluyen el puerto lógico de origen— e impone a los proveedores de conexión y de aplicación obligaciones activas de moderación, transparencia y eliminación de contenido delictivo.
Para quien opera un servicio en internet en Brasil, dos puntos exigen atención inmediata: el registro técnico de logs y el nuevo régimen de moderación. A continuación, qué significa cada uno en la operación.
La guarda de logs gana una capa técnica: el puerto lógico
El artículo 15-A pasa a exigir que el deber de guarda de registros abarque también el puerto lógico de origen, siempre que sea necesario para identificar el terminal de origen o el siguiente enlace de red. El motivo es técnico. El agotamiento del IPv4 obligó a los proveedores a compartir una misma IP pública entre muchos clientes mediante NAT (CGNAT). Cuando varios abonados salen a internet bajo la misma dirección, la IP por sí sola puede ya no identificar adecuadamente un terminal.
La desambiguación pasa a depender del puerto. TCP y UDP disponen de 65.536 puertos (0 a 65.535), y el equipo del proveedor asigna dinámicamente cada conexión a uno de ellos. Para cumplir con el artículo 15-A, es necesario registrar ese vínculo (IP, puerto, timestamp y cliente) conexión por conexión.
El problema operacional es el volumen. Un único navegador abre múltiples conexiones; un hogar típico suma teléfonos, televisores, cámaras, dispositivos IoT y computadoras, todos generando conexiones continuamente. Ese registro debe existir en toda la cadena: en el proveedor de conexión y también en el proveedor de aplicación que presta el servicio en el extremo. Y cuando hay proveedores más pequeños atendidos por proveedores mayores, el NAT puede ocurrir más de una vez, multiplicando los puntos donde el log debe existir.
Moderación de contenido: el fin del «sin deber de monitoreo activo»
El segundo frente es la moderación. El decreto establece deberes generales —entre ellos mantener sede y representante legal en el país con poderes para prestar información— y crea obligaciones de gestión de reclamaciones, reglas sobre perfilado, canales de denuncia e informes de transparencia activa.
El cambio de paradigma está aquí. El Marco Civil de 2014 era celebrado por no imponer monitoreo activo. El artículo 16-B pasa a enumerar siete grupos de contenido considerados delictivos (terrorismo; inducción o instigación al suicidio y la automutilación; incitación a la discriminación por color, raza y etnia; delitos contra la mujer; delitos sexuales contra personas vulnerables; trata de personas; y conductas relacionadas con estafas) que deben eliminarse tanto bajo notificación como por deber proactivo.
La ausencia de medidas adecuadas de prevención puede caracterizar una falla sistémica: el proveedor debe identificar, evaluar y gestionar los riesgos sistémicos de su operación. El concepto no es una invención nacional; proviene del Digital Services Act (DSA) europeo.
Dos diferencias relevantes respecto al Digital Services Act europeo (DSA)
El modelo europeo aplica estas reglas solo a plataformas y buscadores de gran dimensión (más de 45 millones de usuarios; en 2023 la Comisión Europea identificó 19 plataformas que cumplían ese criterio). El decreto brasileño no distingue por tamaño. Solo abre la posibilidad de que la ANPD (la autoridad de protección de datos de Brasil) defina criterios diferenciados para pequeños proveedores (artículo 16-P, que usa «podrá», no «deberá»), lo que es una preocupación concreta para las operaciones más pequeñas.
Por otro lado, el decreto es menos rígido que el DSA en un punto: los delitos contra el honor permanecen en el modelo anterior, sin eliminación automática por notificación.
El riesgo operacional: detección y zona gris
Hay dos puntos sensibles en la ejecución. El primero es la eliminación de contenidos idénticos a material ya reconocido por orden judicial. La identificación por hash se rompe con la alteración de un solo bit, y las herramientas de IA permiten modificar contenido de forma que escape a la correspondencia exacta. La detección viable tiende a depender de IA, factible para grandes plataformas y costosa para las demás.
El segundo es el margen interpretativo. En contenidos flagrantes, como material de abuso sexual infantil, no hay discusión. Pero categorías como inducción o discriminación tienen una zona gris. Un discurso que comenta un hecho discriminatorio puede confundirse con la práctica. El incentivo a eliminar por precaución puede representar un riesgo real para la libertad de expresión.
Vale registrar la salvedad: la eficacia del decreto depende de la capacidad institucional de la ANPD, que pasa a acumular la regulación de protección de datos, el ECA Digital (Estatuto del Niño y del Adolescente) y ahora el seguimiento de esta regulación. Sin fiscalización y provocación concretas, el riesgo es una norma que no se aplica ni se ajusta.
Preguntas frecuentes
¿El Decreto 12.975/2026 obliga a mi servicio a guardar logs de puertos?
Si eres proveedor de conexión o de aplicación, el artículo 15-A pasa a exigir el registro del puerto lógico de origen siempre que sea necesario para identificar el terminal. Los servicios que ya guardaban logs de IP deben verificar si también están registrando el puerto asociado a la conexión.
¿Cuál es el plazo de guarda de esos registros?
El decreto regula el Marco Civil, que fija un año para los registros de conexión (artículo 13) y seis meses para los registros de acceso a aplicaciones (artículo 15). El deber del puerto lógico acompaña al registro al que se vincula.
¿Los pequeños proveedores también deben cumplir las reglas de moderación?
Sí. El decreto no distingue por tamaño de plataforma, a diferencia del DSA europeo. El artículo 16-P permite que la ANPD defina criterios diferenciados para pequeños proveedores, pero usa «podrá». No hay obligación de hacerlo.
¿Qué es una «falla sistémica» en el contexto del decreto?
Es la caracterización aplicada cuando el proveedor no demuestra haber adoptado medidas para identificar, evaluar y gestionar los riesgos de su operación relacionados con los contenidos delictivos enumerados. El concepto está inspirado en el Digital Services Act de la Unión Europea.
¿Necesito una decisión judicial para eliminar contenido ahora?
Para la lista de delitos del artículo 16-B, no. El cambio central es la eliminación bajo notificación y por deber proactivo, invirtiendo la carga que antes recaía sobre el perjudicado de acudir al Poder Judicial. Los delitos contra el honor siguen el régimen anterior.
Cómo BrownPipe puede ayudar
La adecuación a este nuevo escenario comienza por una pregunta técnica concreta: ¿tus registros de log capturan hoy lo que el decreto pasa a exigir, y por cuánto tiempo? Podemos evaluar tu arquitectura de logging y tus controles de retención bajo la óptica del cumplimiento. Habla con BrownPipe sobre un diagnóstico de adecuación.
BrownPipe actúa desde 2012 en seguridad de la información y protección de datos. Este contenido fue producido con apoyo de IA y se deriva del episodio #419 – Atualização do MCI del podcast Segurança Legal, presentado por Guilherme Goulart y Vinícius Serafim. Mira el episodio completo en YouTube: youtube.com/watch?v=KTQeLJhUaJM.