A responsabilidade civil dos provedores de aplicações de internet no Brasil é um tema que gera debates intensos. O que parecia um consenso, que exigia uma ordem judicial prévia para responsabilizar os provedores por conteúdos de terceiros, começou a ser questionado diante dos novos desafios do mundo digital, como a desinformação em massa e a necessidade de proteger direitos fundamentais online.
Em 26 de junho de 2025, o Supremo Tribunal Federal decidiu, em um julgamento, que parte do artigo 19 da Lei nº 12.965/2014 (Marco Civil da Internet) era inconstitucional. Essa decisão alterou as regras de responsabilização das plataformas por conteúdos de terceiros, que estavam em vigor há mais de dez anos. Poucos meses depois, em 20 de maio de 2026, a Presidência da República publicou os Decretos nº 12.975 e nº 12.976, acrescentando uma nova camada regulatória ao tema.
Este artigo tem como objetivo analisar a evolução das normas em três aspectos principais: (1) o regime de responsabilidade originalmente estabelecido no Marco Civil, (2) a decisão do STF e os quatro regimes de responsabilização que ela introduziu, e (3) os novos desafios trazidos pelos decretos publicados em maio deste ano.
O Marco Civil da Internet, promulgado em 2014, foi um avanço importante para a governança digital no Brasil, buscando equilibrar a liberdade de expressão com a proteção dos direitos individuais.
O artigo 19, que é central para esse equilíbrio, determinava que os provedores de aplicações de internet só poderiam ser responsabilizados civilmente por conteúdos de terceiros se não cumprissem uma ordem judicial específica para remover esse conteúdo dentro do prazo estabelecido. Ou seja, a responsabilidade do provedor só surgia após uma ordem judicial descumprida.
Ao evitar a responsabilização automática, o legislador queria impedir que os provedores removesse conteúdos de forma indiscriminada por medo de processos judiciais, tornando a ordem judicial uma condição essencial. No entanto, com o tempo, esse modelo mostrou suas fragilidades, já que muitas plataformas frequentemente ignoraram ordens de remoção, acreditando que as multas impostas eram um custo baixo.
O crescimento das grandes empresas de tecnologia, a propagação de desinformação por meio de algoritmos, os casos de fake news e os ataques à democracia, impulsionados por conteúdos virais, mostraram que o regime do artigo 19, elaborado em 2014, não era mais suficiente para proteger direitos constitucionais.
A única exceção clara no Marco Civil da Internet era o artigo 21, que permitia a responsabilização dos provedores após notificação extrajudicial em casos de divulgação não consentida de material íntimo, conhecido como regime de notice and takedown, aplicado a casos de 'revenge porn'.
Em 20 de maio de 2026, a Presidência da República lançou dois decretos que alteram e complementam o Marco Civil da Internet. Essa ação do Executivo surgiu em um contexto de inação do Congresso, que ainda não havia legislado sobre as questões levantadas pela decisão do STF, levando o Executivo a regulamentar por decreto os temas operacionais do novo regime de responsabilização.
Entretanto, essa decisão não está isenta de críticas. Ao ampliar o escopo do julgamento e incluir novas obrigações, como a regulamentação de conteúdos gerados por inteligência artificial e o registro de porta lógica, os decretos podem enfrentar questionamentos sobre sua constitucionalidade.
O Decreto nº 12.975/2026 atualiza o regime geral de provedores, exigindo que mantenham sede e representantes legais no Brasil, com autoridade para responder a questões administrativas e judiciais, além de cumprir penalidades e fornecer informações sobre suas operações.
O decreto também define o dever de cuidado dos provedores e especifica o que constitui uma falha sistêmica. Essa falha ocorre quando não se comprovam medidas adequadas para prevenir ou remover conteúdos que envolvem, entre outros, terrorismo, indução ao suicídio, discriminação, crimes contra mulheres e crianças, tráfico de pessoas e atos antidemocráticos.
A avaliação sobre a falta de adoção de medidas adequadas caberá à Agência Nacional de Proteção de Dados (ANPD). É importante ressaltar que a presença isolada de conteúdo ilícito não caracteriza, por si só, uma falha sistêmica. O decreto segue a lógica do julgamento do STF, evitando a responsabilidade objetiva automática e exigindo a comprovação de omissão estrutural.
Os provedores também devem criar um canal permanente e acessível para receber notificações sobre conteúdos ilícitos ou criminosos, garantindo que a identificação do notificador seja clara.
Ao receber notificações, os provedores precisam remover conteúdos gerados por terceiros que sejam considerados crimes, conforme a legislação nacional. O decreto estabelece que o contexto da publicação, a liberdade de crença e a finalidade informativa, educativa ou de crítica, sátira e paródia devem ser levados em conta.
O decreto exclui serviços de e-mail, mensageria instantânea em comunicações pessoais e comunicação audiovisual em grupos restritos do regime de moderação de conteúdo. Para esses serviços, a responsabilização dos provedores ainda depende do descumprimento de ordens judiciais específicas de remoção.
O decreto também aborda a responsabilidade relacionada a anúncios, impulsionamento e publicidade ilícita, mas o texto foi cortado, impossibilitando a continuação da análise.
Exclusões expressas: mensageria privada e e-mails
O decreto exclui do regime de moderação de conteúdo os serviços de e-mail, mensageria instantânea no âmbito de comunicações interpessoais e comunicação audiovisual em grupo restrito. Para esses serviços, a responsabilização dos provedores continua condicionada ao descumprimento de ordem judicial específica de remoção.
Anúncios, impulsionamento e publicidade ilícita
O decreto prevê que a responsabilidade do provedor de aplicação de internet poderá ser presumida nos casos de conteúdos ilícitos veiculados por meio de anúncios, impulsionamentos pagos ou redes artificiais de distribuição, independentemente de notificação prévia. Para afastar essa presunção, o provedor deverá demonstrar que atuou de forma diligente e em tempo razoável.Os provedores que ofereçam ferramentas de anúncio ou impulsionamento ficam ainda obrigados a vedar a contratação de conteúdos criminosos e a manter, pelo prazo de 1 ano, os registros de cada anúncio e dos respectivos anunciantes.
Em resposta às discussões judiciais, o decreto, diferentemente do que foi analisado pelo STF, trouxe uma novação de impacto técnico considerável: o estende o dever de guarda de registros de endereço IP para abranger, também e finalmente, a porta lógica de origem, sempre que necessária para identificação do terminal de origem. A medida busca ampliar a rastreabilidade de usuários em investigações criminais e cíveis.
3 Decreto nº 12.976/2026: proteção contra violência digital de gênero O referido decreto institui um regime específico para a proteção de mulheres no ambiente digital, com foco no enfrentamento da violência de gênero online.
Falha sistêmica em conteúdos contra mulheres
Os provedores serão responsabilizados por falha sistêmica quando deixarem de indisponibilizar imediatamente conteúdos que configurem crimes ou atos ilícitos praticados contra mulheres em razão da condição do sexo feminino. O decreto estabelece prazos específicos para a remoção: 6 horas para conteúdos manifestamente ilegais que configurem os crimes ou atos ilícitos expressamente listados no decreto ou em até 24 horas para os demais casos.
Prazos especiais para conteúdo íntimo não consentido
Para a remoção de material íntimo exibido sem autorização, o prazo é significativamente mais restrito: 2 horas, contado notificação.
Obrigações relativas à inteligência artificial
O decreto dispõe que os provedores de aplicações baseados em funcionalidades de inteligência artificial deverão implementar salvaguardas técnicas e procedimentais para identificar e bloquear solicitações de geração de conteúdos íntimos não consentidos. Trata-se de obrigação de resultado tecnológico imposta a sistemas de IA generativa,  inovação normativa que avança além do que o MCI, originalmente, previu e que está sujeita aos questionamentos de legitimidade já mencionados.
Implicações práticas: o que muda para empresas e plataformas A conjunção da decisão colegiada do STF com os novos decretos reconfigura, substancialmente, o ambiente de conformidade para provedores de aplicações no Brasil, notadamente no que diz respeito à (1) revisão de políticas de moderação de conteúdo, (2) governança de anúncios e impulsionamentos, (3) adequação de procedimentos para conteúdos de gênero em face de prazos exíguos, (4) representação legal no Brasil, e (5) reforço da atuação da ANPD quanto à regulação, fiscalização e apuração de infrações.
