){kind=small}
)
A recente repercussão, em razão do início da vigência do ECA Digital (Lei nº 15.211/2025), trouxe à tona um debate acalorado, incluindo um alarmismo técnológico que ignora a substância jurídica da nova norma. No turbilhão do X, fiquei instigado quando a discussão foi ironicamente resumida à ideia de que o Estado estaria tentando "salvar as crianças do Linux", fazendo piada com a ideia estapafúrdia de que o software livre seria um inimigo a ser combatido.
)
Esse tweet me acendeu uma lâmpada e, em conversas bastante qualificadas e produtivas, inclusive com o Thiago Ayub, percebi que muita gente não está notando algo crucial: o papel dos Sistemas Operacionais no ECA Digital.
Nossos vídeos em destaque
O que está em jogo não é a criminalização de uma arquitetura tecnológica, mas a exigência de que todas as empresas que atuam no Brasil, inclusive as que operam com software livre, devem cumprir a responsabilidade compartilhada na proteção de crianças e adolescentes online. Assim preconiza a Constituição Federal de 1988:
- Art. 227. É dever da família, da sociedade e do Estado assegurar à criança, ao adolescente e ao jovem, com absoluta prioridade, o direito à vida, à saúde, à alimentação, à educação, ao lazer, à profissionalização, à cultura, à dignidade, ao respeito, à liberdade e à convivência familiar e comunitária, além de colocá-los a salvo de toda forma de negligência, discriminação, exploração, violência, crueldade e opressão. (Redação dada Pela Emenda Constitucional nº 65, de 2010)
A regulação da responsabilidade das empresas não retira dos pais a sua parcela de deveres. O texto constitucional impõe uma corresponsabilidade em que todos os atores precisam operar em conjunto. Afinal, se para criar uma criança é necessária uma aldeia inteira, hoje essa aldeia é também digital, exigindo que empresas de tecnologia (grandes e pequenas), poder público e famílias atuem de forma coordenada, e não excludente.
O cerne da questão para os sistemas operacionais (SOs) reside na aferição de idade. Longe de serem alvos de uma "caça às bruxas", os SOs são convocados a ser parceiros estratégicos para viabilizar um ambiente digital seguro. Na condição de porta de entrada para o acesso à Internet, cada sistema operacional possui uma posição privilegiada para implementar camadas de proteção que respeitem o melhor interesse do menor. Óbvio, não se trata de um problema que tenha nascido nos sistemas operacionais. Mas se trata de uma exigência para que eles exerçam seu papel de assegurar a proteção integral a crianças e adolescentes. E aqui cabe citar o ECA (Lei nº 8.069/1990):
- Art. 4º É dever da família, da comunidade, da sociedade em geral e do poder público assegurar, com absoluta prioridade, a efetivação dos direitos referentes à vida, à saúde, à alimentação, à educação, ao esporte, ao lazer, à profissionalização, à cultura, à dignidade, ao respeito, à liberdade e à convivência familiar e comunitária.
§1º A garantia de prioridade compreende: (Incluído pela Lei nº 15.240, de 2025)
a) primazia de receber proteção e socorro em quaisquer circunstâncias;
(...)
Um dos mitos difundidos (muito em razão de uma leitura superficial do ECA Digital e de um pânico desnecessário, como apontou muito bem o meu xará Paulo Alkmim) seria que a lei inviabilizaria distribuições Linux por exigir uma estrutura corporativa inexistente em projetos comunitários. Contudo, o Artigo 40 da Lei nº 15.211/2025 é pragmático: ele não exige a constituição de um CNPJ no Brasil para provedores estrangeiros, mas apenas a indicação de um representante residente no país. Essa função pode ser exercida de forma simples por uma pessoa física (CPF) ou por um advogado (OAB), garantindo que mesmo comunidades descentralizadas possuam um canal interlocutor com as autoridades brasileiras sem a necessidade de burocracias empresariais pesadas.
Essa exigência em si é problemática, e pode obviamente ser questionada. No entanto, o argumento de "bloqueio" por falta de CNPJ esconde que o ecossistema Linux não é um bloco monolítico, mas um ecossistema composto por entidades que já possuem representação legal e comercial, como a Red Hat, a Canonical e a SUSE, que podem perfeitamente atuar como interlocutoras das diretrizes de segurança.
Por outro lado, para quem usa os sistemas e produtos, não há nenhuma exigência legal de entregar dados pessoais como CPF, RG e muito menos biometria. Na verdade, o ECA Digital é expresso ao determinar o respeito à minimização de dados pessoais. Nesse sentido, a solução para a aferição de idade seria, por exemplo, delegar a um terceiro confiável (ou a um conjunto de terceiros) a atribuição de entregar o que se chama de sinal de idade. Uma informação simples de que a pessoa tem ou não a idade necessária para acessar aquele serviço.
E repito que o Brasil, neste 17 de março de 2026, se colocou na vanguarda da proteção de dados pessoais de crianças e adolescentes. O país aprendeu com os problemas enfrentados em jurisdições como a Califórnia e a Austrália. O ECA Digital veda expressamente o perfilamento de crianças e adolescentes e foca na minimização de dados. Ao contrário do que aponta o alarmismo apocalíptico, nada na lei sugere uma coleta biométrica em massa; busca-se, sim, a “segurança por projeto” (Security by Design).
A resistência a uma interpretação de boa vontade também parece ignorar os filtros de razoabilidade inseridos no texto legal. Sobre o acesso provável e conteúdo impróprio, a exigência de aferição de idade aplica-se especificamente a serviços, conteúdos ou produtos comprovadamente impróprios ou proibidos para quem tem menos de 18 anos. Repositórios de software que distribuem ferramentas de produtividade e infraestrutura dificilmente se enquadram nessa categoria de risco sistêmico. Além disso, o ECA Digital é literal ao excluir do seu escopo de aplicação os padrões técnicos abertos e protocolos essenciais ao funcionamento da internet (art. 2º, § 2º).
Linux não é o "alvo" do ECA Digital
E propriamente quanto à imposição de obrigações, a lei estabelece que os sistemas operacionais devem tomar medidas que sejam "proporcionais, auditáveis e tecnicamente seguras". A proporcionalidade aqui é o instituto jurídico de maior proteção ao software livre: não se pode exigir de um mantenedor voluntário o mesmo aparato de controle de uma Big Tech. Ainda assim, é perfeitamente exequível que o Linux utilize as ferramentas que já possui.
O ecossistema FLOSS (Free/Libre andOpen Source Software) dispõe de soluções robustas de controle parental e filtragem de conteúdo, como o Timekpr-nExT, o OpenDNS, o Gnome Parental Controls e o E2guardian (também citados pelo Paulo Alkmin). Essas ferramentas demonstram que a comunidade técnica já entrega meios de proteção muito antes de qualquer imposição legal, desmentindo a tese de incompatibilidade técnica.
Ou seja: o Linux não é o "alvo" do ECA Digital; mas é uma camada tecnológica que pode liderar a implementação de soluções seguras e transparentes para crianças e adolescentes no Brasil.
Nesse cenário, a ANPD (Agência Nacional de Proteção de Dados) assume um papel vital de regulamentar os requisitos de transparência e interoperabilidade. Com sua crescente autonomia administrativa, a agência é o fórum adequado para que a comunidade técnica colabore na definição de padrões que respeitem a arquitetura aberta da internet. Mas antes, seria necessário compreender que, dentro do desenho legislativo do ECA Digital e do novo Decreto nº 12.880/2026 (que, entre outras finalidades, regulamenta a Lei), as barreiras previstas para uma eventual proibição do Linux já são quase insuperáveis (de novo, sugiro ler as explicações de Paulo Alkmin).
)
A propósito, os episódios recentes envolvendo as distros Midnight BSD e Arch Linux 32, que poderiam significa que existe algum risco real, não decorrem sequer de um bloqueio imposto pelo Estado brasileiro. Os anúncios de auto-restrição foram de total responsabilidade de seus mantenedores, sem nenhuma ação administrativa por parte do Brasil. As medidas, movidas pelo pânico digital, foram mais barulhentas do que efetivas, e não possuem fundamento na realidade das sanções graduais e proporcionais previstas na lei.
Então, o requisito seria prevalecer na comunidade a percepção de que, apesar da legitimidade de um ceticismo contra agente públicos, o tão temido bloqueio no Brasil é um cenário remoto e improvável por dois motivos. Primeiro, o Linux já possui os meios técnicos para ser um parceiro da lei. E, segundo, o sistema jurídico brasileiro possui travas consistentes para evitar que a regulação sufoque a inovação aberta.
A partir desse ponto, basta buscar dialogar para poder viabilizar que os detalhamentos a serem feitos pela ANPD direcionam interpretações e especificações regulamentares que deixem isso mais explícito. E a Agência já começou a sinalizar nesse sentido com a publicação, dia 20 de março, das suas primeiras orientações preliminares e de um cronograma regulatório para aferição de idade no ambiente digital, além de um conjunto de perguntas e respostas, onde está escrito:
- Quanto tempo as empresas terão para se adaptar? Elas serão obrigadas a contratar soluções específicas de aferição de idade? Dadas as complexidades técnicas e de adaptação de produto, a plena implementação demandará adaptação de produtos de vários setores. A ANPD, como autoridade reguladora, definirá diretrizes de implementação, e emitirá orientações sobre boas práticas para orientar o setor privado.
Exigir corresponsabilidade do sistema operacional não é criminalizar a tecnologia, é adaptar a previsão da Constituição Federal de 1988 para o ambiente digital atual. O software livre, por sua natureza transparente e colaborativa, tem o potencial de liderar a criação de soluções que protejam a infância sem comprometer a liberdade digital. Espero que o ecossistema no Brasil saiba transformar o medo em diálogo e garantir que a inovação caminhe de mãos dadas com a segurança jurídica e os direitos humanos de crianças e adolescentes.
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
