Em Capitães da Areia, Jorge Amado mostra como, no Brasil, a responsabilidade de todos vira tarefa de ninguém: autoridades se acusam mutuamente, ninguém assume de fato a proteção das crianças e o problema persiste. Quase 90 anos depois, a Lei 15.211/2025 (ECA Digital) repete exatamente esse padrão agora no ambiente digital, com vigilância em massa vendida como proteção infantil.
A lei surgiu após forte comoção pública com o documentário Adultização, do influenciador Felca, que expôs redes de exploração de imagens de menores em plataformas digitais e acumulou cerca de 50 milhões de visualizações. O objetivo é legítimo. O problema está nos meios: obrigações que transformam plataformas em extensão do Estado, exigindo verificação de identidade, retenção de dados e moderação pesada. Na prática, cria uma infraestrutura de vigilância desproporcional que afeta milhões de usuários inocentes sem resolver a raiz do problema.
Núcleo da desproporcionalidade
O núcleo da desproporcionalidade está nas regras de verificação de idade e identidade. A lei veda a autodeclaração e exige “mecanismos confiáveis” para contas de menores, com vinculação ao responsável legal. Plataformas que possam ser acessadas por crianças (isto é, quase todas) devem implementar filtros, supervisão parental e, sobretudo, remover e reportar conteúdos de exploração sexual infantil, retendo metadados e dados associados por meses, prorrogáveis.
Para cumprir, é preciso verificação de identidade real. No Brasil, o caminho oficial passa pelos serviços da Empresa Nacional de Inteligência em Governo Digital e Tecnologia da Informação( Serpro). A Consulta CPF da Serpro exige contratação formal com certificado digital e-CNPJ, sem API pública gratuita ou aberta. O custo por consulta varia conforme o volume contratado: de R$ 0,65 para faixas menores a R$ 0,017 para quem consome mais, segundo a tabela escalonada do próprio Serpro, o que significa que só compensa em escala alta. Para volumes menores, é proibitivo. E há um detalhe que expõe o absurdo: conforme a própria Central de Ajuda do Serpro, à pergunta “A API retorna dados de CPF de menores?”, a resposta é taxativa:
Dados de menor de idade bloqueados em atendimento à Lei Geral de Proteção de Dados – LGPD. A Lei Geral de Proteção de Dados Pessoais (LGPD), Lei Nº 13.709, de 14 de agosto de 2018, dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural” [1].
Ou seja, a ferramenta oficial de verificação de identidade do governo brasileiro não retorna informações sobre exatamente o público que a lei pretende proteger.
Resultado previsível: oligopólio. Apenas Big Tech e grandes empresas conseguem implementar soluções de verificação sem quebrar. Pior: os sistemas de visão computacional necessários para verificação de documentos e estimativa de idade, com câmeras de detecção facial, sistema de reconhecimento de caracteres ópticos avançado, detecção de falsificações, análise biométrica em tempo real são todos extremamente caros e complexos.
Custos típicos de provedores comerciais variam de R$ 3 a R$ 30 por verificação, e desenvolver internamente exige equipes especializadas em IA, bancos de dados massivos e atualização constante contra deepfakes. Startups e plataformas médias simplesmente não têm nem orçamento nem expertise. O mercado se concentra nos poucos que já têm infraestrutura global.
Os primeiros efeitos concretos já apareceram: nos primeiros dias após a entrada em vigor da lei, em 17 de março de 2026, os projetos de código aberto MidnightBSD e Arch Linux 32 anunciaram a suspensão de serviços para usuários brasileiros, alegando impossibilidade de cumprir as exigências de verificação.
O MidnightBSD foi categórico em seu comunicado: “Essas leis foram criadas para proteger grandes empresas, não crianças” [2]. O Arch Linux 32, mantido por voluntários e voltado a computadores antigos, citou a falta de infraestrutura legal e financeira para implementar mecanismos de “garantia de idade auditável”, tornando indisponível por certo período o acesso ao download do sistema, circunstância que foi pouco tempo depois revista [3].
Nenhuma distribuição Linux mais popular, como Ubuntu, Debian, Fedora, seguiu o mesmo caminho, mas o sinal é claro: quando projetos comunitários começam a cogitar a se afastar do país, não estamos mais discutindo apenas entretenimento, mas o próprio ecossistema de acesso digital. Ao impor requisitos técnicos custosos sem sistemas públicos acessíveis, a lei não protege crianças: apenas as exclui do convívio digital, expulsa concorrentes menores e concentra poder de vigilância nas empresas e no Estado.
Assim, a privacidade dos usuários e a proteção dos dados pessoais tidas como direitos fundamentais pelo artigo 5, X e LXXIX, CRFB, tornam-se decorativas para a população brasileira sem que isso atenda ao interesse público que justificou o clamor popular voltado à aprovação dessa lei.
O principal efeito prático não recai sobre a intimidade e vida privada das crianças, mas sobre a privacidade de toda a população e o seu exercício de liberdade de pensamento.
Eliminado o anonimato no consumo de conteúdo, toda interação com sistemas de informação passa a ser indexada à identidade pessoal do usuário. No plano comercial, isso significa traçar perfis de usuários sem consentimento real e com publicidade hiperinvasiva. No plano político, significa que a mesma infraestrutura construída para “proteger crianças” pode ser trivialmente redirecionada para monitorar dissidência e censurar: o que separa uma coisa da outra não é a tecnologia, mas a vontade de quem governa.
Retenção de dados e o problema da moderação
A retenção obrigatória de dados agrava a invasão de privacidade. Para detectar material já conhecido, existe uma ferramenta gratuita chamada PhotoDNA, desenvolvida pela Microsoft: ela gera uma “impressão digital” única (um hash irreversível) de imagens já identificadas como ilegais, permitindo que plataformas encontrem cópias exatas sem nunca ver ou armazenar a foto original [4]. Não é reconhecimento facial, não permite reconstruir a imagem e não exige vigilância de todos os usuários. Funciona bem para conteúdo repetido. O Facebook a adotou em 2010, o Twitter (atual X) em 2011, o Google em 2016.
Mas a lei exige mais: moderação ativa de conteúdo novo. E aí entram sistemas de visão computacional em massa, caros e proprietários. A própria pesquisa brasileira na área esbarra em um paradoxo: treinar modelos de IA para detectar material de abuso sexual infantil exige acesso a conjuntos de dados cuja posse é proibida. Como já dito em outra oportunidade [4], pesquisadores que trabalham em parceria com a Polícia Federal como Valois et al., em estudo publicado em 2024, relatam que mesmo com cooperação oficial, o acesso ao material é restrito até para investigadores treinados.
Não há na lei qualquer previsão de sandbox regulatório, protocolo de cooperação técnica ou exceções controladas para pesquisa. Exige-se a solução sem permitir o caminho até ela. A lei ataca o final da cadeia, o acesso, mas deixa intacta a raiz do problema: a hospedagem e proliferação desse conteúdo criminoso na infraestrutura da própria internet.
Como já dito em recente estudo publicado [4], esse modelo repete o erro clássico brasileiro: declara que Estado, empresas e sociedade são responsáveis, mas impõe obrigações tão onerosas e invasivas que, na prática, ninguém consegue cumprir de forma efetiva.
Alternativas viáveis e menos intrusivas
Felizmente, existem alternativas menos intrusivas, mais eficazes e que não transformam o Brasil em um panóptico digital. Elas seguem uma ordem lógica de impacto.
Primeiro, limpeza de conteúdo das plataformas com desenvolvimento de tecnologia para limpeza de bancos de dados, que é o principal problema. Em vez de obrigar toda plataforma a gastar fortunas em moderação reativa, a iniciativa privada, capitaneada pelas big techs e que já possuem a qualificação técnica, poderia desenvolver ferramentas abertas de detecção e remoção de imagens de crianças dos conjuntos de dados disponibilizados através das plataformas, contando com o amparo regulatório e o acesso controlado a bases de referência que só o poder público pode viabilizar. Pesquisadores da Unicamp já demonstraram que seria tecnicamente viável [5]. A urgência é real: o Human Rights Watch encontrou, em uma análise de menos de 0,0001% de um modelo de IA (que contém 5,85 bilhões de imagens), 170 fotos de crianças de pelo menos dez estados brasileiros, muitas identificáveis por nome e localização. E relata que ao menos 85 meninas brasileiras já foram vítimas de deepfakes sexualmente explícitos gerados por ferramentas treinadas com esses dados [6].
Mais do que nunca, dezenas de empresas estão raspando a web em escala industrial para construir datasets de treinamento de IA. Se houver um framework cooperativo que disponibilize ferramentas abertas de detecção, como hashes do PhotoDNA e classificadores treinados, quem hoje extrai valor do acesso aberto à internet passa a funcionar também como agente de denúncia: cada raspagem se torna uma varredura potencial contra material de exploração infantil. Em vez de vigilância massiva sobre usuários, cria-se um sistema em que a própria infraestrutura de coleta de dados atua como rede de detecção distribuída. A limpeza upstream é medida preventiva, barata em escala e ataca a proliferação na origem, sem precisar verificar o CPF de todo cidadão.
Segundo, aplicação de multa aos criminosos com restituição direta e anônima às vítimas via tecnologia de criptomoedas (blockchain). A lei prevê retenção para investigação, mas não apresenta formas de reparação. É comum vermos manchetes sobre prisões em que criminosos são flagrados com centenas de milhares de fotos de abuso. Se cada pessoa ali pode ser individualizada de forma com identificadores criados por meio de sistemas de informação, cada pessoa ali deveria ser indenizada, e esse crime deveria representar a ruína financeira do criminoso [4].
Terceiro, uma estrutura de governança própria [4]. Em vez de apenas distribuir multas sobre empresas privadas sem oferecer contrapartida, o caminho mais eficaz é permitir que as próprias empresas de tecnologia desenvolvam e aprimorem sistemas de detecção e verificação, com o governo atuando como facilitador: garantindo acesso controlado a bases de dados de referência, criando exceções regulatórias para pesquisa, compartilhando hashes atualizados e coordenando a troca de informações entre plataformas e forças policiais. Um consórcio público-privado com essa lógica (empresas desenvolvem, governo ampara) é o oposto do modelo atual, em que o Estado exige resultados sem criar as condições para alcançá-los.
Corrigir o rumo
O ECA Digital tem boa intenção, mas erra no diagnóstico. A privacidade de milhões é violada, o mercado se concentra em poucas empresas eliminando pequenas empresas da iniciativa privada nacional, projetos de código aberto são empurrados para fora do país e a proteção infantil continua incompleta.
Existem caminhos melhores e mais eficazes: a limpeza upstream de datasets liderada pela iniciativa privada com amparo regulatório; a identificação e restituição anônima às vítimas; e uma governança cooperativa, na qual as empresas desenvolvem as soluções enquanto o governo atua como facilitador. O objetivo deve ser proteger as crianças de forma inteligente, sem transformar o Brasil em um Estado de vigilância permanente.
O Congresso Nacional tem a chance de corrigir o rumo impulsionado por recentes iniciativas populares que já pedem a revogação integral da lei com 20 mil votos a favor [7], e a ANPD, responsável por regulamentar a aferição etária, tem a oportunidade de construir um framework de cooperação em vez de consolidar medidas desproporcionais. É preciso agir antes que a responsabilidade de todos, mais uma vez, se transforme na tarefa de ninguém.
[1] SERPRO. Migração para Consulta CPF V2. [s. l.], 2026. Disponível aqui.
[2] MIDNIGHTBSD. Download MidnightBSD. [s. l.], 2026. Disponível aqui.
[3] ARCHLINUX 32. Arch Linux Downloads. [s. l.], 2026. Disponível aqui.
[4] DIENES, Guilherme Burzynski. A responsabilidade de todos se torna tarefa de ninguém: Jorge Amado e a proteção infantil no ambiente digital. In: VERONESE, Josiane Rose Petry; VIEIRA, Karina Melo. Confluências: Direito e Arte, 2026. Disponível aqui. p. 289-306.
[5] CAETANO, Carlos [et al.]. Neglected Risks: The Disturbing Reality of Children’s Images in Datasets and the Urgent Call for Accountability. Arxiv, New York [Estados Unidos], n. 2504.14446v1, 20 Apr 2025. Disponível em: https://arxiv.org/abs/2504.14446. Acesso em: 05 out. 2025.
[6] HUMAN RIGHTS WATCH. Brazil: Children’s Personal Photos Misused to Power AI Tools. [s. l.], 10 jun. 2024. Disponível aqui.
[7] E-CIDADANIA. Ideia Legislativa. Revogação integral da Lei Felca (lei n. 15.211/25). Brasília: Senado Federal, 2026. Disponível aqui.
Seja o primeiro a comentar.
Você precisa estar logado para enviar um comentário.
Fazer login