O Online Safety Act 2023 (OSA) ou Lei de Segurança Online, no Reino Unido, representa um novo padrão na legislação, visando a atribuir às plataformas um dever de cuidado (duty of care) legal. Embora não trate diretamente da privacidade de dados pessoais, ela se concentra em garantir a segurança dos usuários em relação ao conteúdo que acessam, consomem e com o qual se envolvem online. Essa legislação pioneira, considerada uma das mais completas globalmente para a regulamentação de plataformas digitais, confere à Ofcom (órgão regulador de comunicações do Reino Unido) a autoridade para supervisionar o setor tecnológico.
A abrangência da lei é extensa, englobando desde grandes empresas de tecnologia e ferramentas de busca até aplicativos de mensagens, plataformas de jogos e páginas que facilitam a troca de informações entre usuários ou a divulgação de material. Assim como o Age-Appropriate Design Code (AADC), possui alcance extraterritorial, aplicando-se a qualquer serviço com usuários no Reino Unido. O propósito primordial é obrigar as plataformas a atuarem de forma preventiva na detecção, administração e remoção de conteúdo ilícito e nocivo, com ênfase na proteção de crianças e adolescentes.
Online Safety Act: deveres de cuidado
O foco principal do OSA não é uma lista de padrões de design pré-estabelecidos, mas sim um conjunto de “deveres de cuidado” hierarquizados. As obrigações de uma plataforma dependem do seu tamanho e do tipo de conteúdo que hospeda, sendo divididas em três categorias principais.
O primeiro é o dever de cuidado sobre conteúdo ilegal, de aplicação universal. Todas as plataformas sob escopo devem realizar avaliações de risco para entender a prevalência de conteúdo ilegal em seus serviços (terrorismo, abuso sexual infantil, discurso de ódio criminal, fraudes). Com isso, devem implementar sistemas e processos para remover tal conteúdo de forma rápida e eficaz assim que tomarem conhecimento dele, transformando a moderação de uma “boa prática” para uma obrigação legal auditável.
O segundo é o dever de cuidado com crianças e adolescentes, aplicável a serviços acessíveis a menores. Plataformas “prováveis de serem acessadas por menores” devem ir além, avaliando o risco de crianças encontrarem conteúdos que, embora não sejam ilegais, tendem a ser prejudiciais (conteúdo sobre suicídio, automutilação, transtornos alimentares, pornografia). Como ação mandatória, devem implementar medidas para prevenir que crianças encontrem esse tipo de conteúdo, mitigar o impacto caso o encontrem e aplicar seus próprios termos de serviço de forma consistente.
Por fim, existem deveres adicionais para plataformas categoria 1 (big techs). As maiores e mais arriscadas plataformas, a serem designadas pela Ofcom, têm deveres extras, incluindo a proteção de adultos contra conteúdo prejudicial, mas legal (desinformação danosa, conteúdo de ódio não-criminal). Para isso, devem oferecer aos usuários adultos ferramentas para controlar o tipo de conteúdo que veem e ser transparentes sobre como seus algoritmos funcionam.
Spacca
Verificação de idade como ferramenta compulsória
Enquanto o AADC introduziu a verificação de idade sob uma ótica de risco de privacidade, o OSA a transforma em uma ferramenta de segurança de conteúdo compulsória, focada no controle de acesso. A lei exige que serviços que publicam ou hospedam pornografia, ou outro conteúdo prejudicial específico, implementem mecanismos de verificação de idade. O objetivo não é apenas proteger os dados da criança, mas impedir seu acesso a espaços e conteúdos perigosos, tornando a autodeclaração inaceitável para cenários de alto risco. A Ofcom será responsável por definir os padrões técnicos que essas soluções devem atender, criando um mercado regulado para tecnologias de age assurance. Para se ter uma ideia, de acordo com a empresa de análise de dados Similarweb [1], o número de pessoas acessando os principais sites de conteúdo pornográfico no Reino Unido caiu em torno de 47% após a entrada em vigor das novas regras para verificação de idade.
Poderes do órgão regulador (Ofcom)
O OSA concede à Ofcom diversas possibilidades para garantir o cumprimento da lei. Entre elas, o poder de auditoria, para exigir que empresas forneçam informações sobre seus algoritmos, práticas de moderação e avaliações de risco. O órgão pode aplicar multas punitivas de até £18 milhões ou 10% do faturamento global anual da empresa, o que for maior, valor que supera as multas do. Em casos extremos, a Ofcom pode solicitar ao tribunal o bloqueio do serviço no Reino Unido e, adicionalmente, a lei cria ofensas criminais para executivos sêniores que falharem em cumprir as ordens ou fornecerem informações falsas, podendo levar à prisão.
Análise comparativa com Marco Legal brasileiro
A comparação entre as abordagens do Reino Unido e do Brasil revela diferenças de escopo e de filosofia regulatória.
Em relação à LGPD
A Lei Geral de Proteção de Dados (Lei nº 13.709/2018) e o OSA operam em camadas diferentes, embora complementares (Tabela 1). Uma plataforma que opera em ambas as jurisdições precisa, simultaneamente, cumprir o OSA para gerenciar seu conteúdo e proteger usuários de danos no Reino Unido, e cumprir a LGPD para garantir que toda a coleta e tratamento de dados pessoais sejam legais e transparentes no Brasil.
Tabela 1 – Comparativo entre o Online Safety Act e a LGPD
| Aspecto | Online Safety Act (UK) | LGPD (Brasil) |
| Foco Principal | Segurança de Conteúdo. Regula o que é dito, visto e compartilhado para mitigar danos. | Proteção de Dados. Regula como dados pessoais são coletados, usados e compartilhados para proteger o titular. |
| Objeto Regulado | O ecossistema de conteúdo: posts, vídeos, mensagens, algoritmos de recomendação. | O dado pessoal: informação relacionada a pessoa natural identificada ou identificável. |
| Abordagem | Preventiva e Sistêmica. Impõe deveres de cuidado que forçam a reengenharia dos sistemas. | Baseada em Direitos e Princípios. Garante direitos ao titular e estabelece bases legais para o tratamento de dados. |
| Órgão Fiscalizador | Ofcom. Regulador de comunicações e mídia. | ANPD. Regulador focado em privacidade e proteção de dados. |
Elaborado com base no Online Safety Act 2023 e na Lei nº 13.709/2018.
Em relação ao Projeto de Lei nº 2.628/2022
O Projeto de Lei nº 2.628/2022, que visa a dispor sobre a proteção de crianças e adolescentes em ambientes digitais, se aproxima muito mais da filosofia do OSA, importando a lógica do dever de cuidado e da análise de risco (Tabela 2).
Tabela 2 – Comparativo entre o Online Safety Act e o PL nº 2.628/2022
| Característica Regulatória | Online Safety Act 2023 (Reino Unido) | Projeto de Lei nº 2.628/2022 (Brasil) |
| Escopo de Aplicação | Serviços de usuário para usuário e serviços de busca com links para o Reino Unido. | Produtos e serviços de tecnologia direcionados ou que possam ser utilizados por crianças e adolescentes em território nacional. |
| Dever Central | Impõe um “dever de cuidado” proativo para proteger usuários de conteúdos ilegais e crianças de conteúdos prejudiciais. | Estabelece “deveres de prevenção, de proteção, de informação e de segurança”, exigindo medidas para prevenir e mitigar riscos. |
| Avaliação de Risco | Exige avaliações de risco de conteúdo ilegal e específicas para crianças (children’s risk assessments). | Determina “gerenciamento de risco” dos recursos, avaliação de conteúdos por faixa etária e relatórios de impacto. |
| Proteção Infantil | Exige prevenção de acesso a “conteúdo de prioridade primária” (pornografia, suicídio) através de verificação de idade. | Obriga configuração padrão protetiva à privacidade, controle parental, verificação de idade para conteúdo pornográfico. |
| Órgão Supervisor | Ofcom, com poderes para investigar, emitir códigos de prática e aplicar sanções. | Propõe a criação de uma “autoridade nacional autônoma” para regular, fiscalizar e sancionar. |
| Poder Sancionatório | Multas de até £18 milhões ou 10% do faturamento global anual. Poder para bloquear serviços. | Multas de até 10% do faturamento do grupo no Brasil, limitadas a R$ 50 milhões por infração. |
Elaborado com base no Online Safety Act 2023 e no Projeto de Lei nº 2.628/2022.
Desafios e controvérsias
A implementação de um regime de dever de cuidado não é isenta de desafios complexos. A análise desses pontos é necessária para antecipar os obstáculos que o Brasil também enfrentará. No Reino Unido, o debate prático da implementação pela Ofcom gira em torno de três eixos principais.
O primeiro é o conflito entre a liberdade de expressão e a moderação excessiva. O temor é que, para evitar multas maiores, as empresas optem por uma moderação excessivamente cautelosa, removendo conteúdos legítimos, mas controversos, o que poderia criar um ambiente de censura privada.
O segundo é o impacto na inovação e na concorrência. Os deveres de cuidado exigem investimentos massivos que, enquanto podem ser absorvidos pelas big techs, podem criar uma barreira de entrada para plataformas menores e startups, consolidando o poder das empresas que a regulação visa controlar.
O terceiro eixo envolve a viabilidade técnica e a privacidade. Soluções robustas de verificação de idade (age assurance) frequentemente exigem a coleta de dados sensíveis, o que pode entrar em conflito com princípios de minimização de dados. Adicionalmente, a varredura de conteúdo em aplicativos de mensagens ameaça a criptografia de ponta a ponta, um pilar da segurança e privacidade no âmbito digital.
Essas controvérsias servem como um alerta para o Brasil. O PL 2.628/2022, ao importar a filosofia do dever de cuidado, inevitavelmente importa também esses desafios, com a diferença que o debate e fomento europeu ao tema é bem anterior ao do Brasil. A proposta de uma entidade de supervisão autônoma por aqui enfrentaria os mesmos dilemas da Ofcom: como definir “conteúdo prejudicial”, como auditar algoritmos sem ferir segredos comerciais e como aplicar sanções sem que seja alguma forma de incentivo a censura? A paralisia do Brasil no debate, embora frustrante no sentido de proteção, oferece a oportunidade de aprender com os desafios práticos que o Reino Unido já está enfrentando.
Considerações finais
A análise comparativa demonstra que o Reino Unido já materializou uma nova e complexa fase da regulação digital, enquanto o Brasil debate um caminho similar. Com a LGPD, o Brasil possui uma base sólida para a privacidade e proteção de dados pessoais, mas no que tange à responsabilidade sobre conteúdo, ainda se apoia em um modelo reativo. O Projeto de Lei nº 2.628/2022 revela que o diagnóstico do problema é o mesmo do Reino Unido: a necessidade de impor um dever proativo às plataformas, estabelecendo deveres de prevenção, proteção, informação e segurança.
Enquanto o Reino Unido já enfrenta os desafios práticos da implementação, o Brasil permaneceu paralisado no debate, e um sintoma claro dessa paralisia foi o fenômeno recente envolvendo o criador de conteúdo Felca, jogando luz sobre tendências de adultificação e o grave potencial para exploração sexual de crianças e adolescentes na plataforma.
Sob uma ótica de “dever de cuidado”, como a proposta pelo Online Safety Act, as plataformas seriam legalmente obrigadas a avaliar e mitigar proativamente os riscos de tais conteúdos e dinâmicas. No Brasil, contudo, os episódios geraram apenas espanto e discussões reativas, sem um arcabouço legal que exija das empresas responsabilidade sobre o design de seus sistemas, que podem facilitar e até incentivar esses danos. O fenômeno Felca, portanto, trouxe luz sobre as consequências de um ambiente digital que opera sem as devidas salvaguardas para proteger seus usuários mais vulneráveis.
Portanto, o Online Safety Act não é apenas uma lei estrangeira, mas um espelho do futuro que o PL 2.628/2022 almeja. Ele serve como um estudo de caso em tempo real para a implementação de um regime que tenta redesenhar a arquitetura da responsabilidade na era digital. O Reino Unido força a indústria de tecnologia a internalizar os custos sociais de seus produtos, movendo-se para uma era de corresponsabilidade legal. O Brasil, com a LGPD e a Lei 14.811/2024, deu passos fundamentais, mas sua abordagem ainda é fragmentada em comparação com o regime centralizado do OSA.
__________________________________
Referências
BRASIL. Câmara dos Deputados. Projeto de Lei nº 2.628, de 2022. Institui a Lei Brasileira de Liberdade, Responsabilidade e Transparência na Internet. Brasília, DF: Câmara dos Deputados, 2022. Disponível aqui.
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Brasília, DF: Presidência da República, 2018. Disponível aqui.
BRASIL. Lei nº 14.811, de 12 de janeiro de 2024. Institui medidas de proteção à criança e ao adolescente contra a violência nos estabelecimentos educacionais ou similares, prevê a Política Nacional de Prevenção e Combate ao Abuso e Exploração Sexual da Criança e do Adolescente e altera o Decreto-Lei nº 2.848, de 7 de dezembro de 1940 (Código Penal), e as Leis nºs 8.072, de 25 de julho de 1990 (Lei dos Crimes Hediondos), e 8.069, de 13 de julho de 1990 (Estatuto da Criança e do Adolescente). Brasília, DF: Presidência da República, 2024. Disponível aqui.
INFORMATION COMMISSIONER’S OFFICE (ICO). Age-appropriate design: a code of practice for online services (Children’s code). Wilmslow: ICO, 2021. Disponível aqui.
OFCOM. Online Safety Act: Ofcom’s approach to regulation. London: Ofcom, 2025. Disponível aqui.
REINO UNIDO. Online Safety Act 2023. London: The Stationery Office, 2023. Disponível aqui.
Seja o primeiro a comentar.
Você precisa estar logado para enviar um comentário.
Fazer login