Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
Quando dados e conteúdo entram na mesma sala
No último dia 21 de maio, o governo federal publicou o Decreto 12.975, que regulamenta dispositivos do Marco Civil da Internet relacionados a deveres dos provedores de aplicações de internet.
A regra, feita na esteira da decisão sobre o tema no STF (ainda não transitado em julgado), detalha obrigações de moderação de conteúdo, transparência e mitigação da circulação massiva de conteúdos criminosos, prevendo ainda salvaguardas como fundamentação de decisões de remoção, mecanismos de contestação para usuários e vedação expressa a remoções arbitrárias.
Um dos aspectos mais relevantes do decreto para o debate institucional é a atribuição à Agência Nacional de Proteção de Dados (ANPD) das competências de regulação, fiscalização e apuração de infrações relacionadas ao cumprimento dessas obrigações. O decreto deixa claro que a responsabilização considera a atuação sistêmica das plataformas e não casos isolados, sendo o papel da ANPD de supervisionar processos e deveres de diligência, não arbitrar postagens individuais.
O arranjo brasileiro introduzido pelo Decreto 12.975 combina elementos que, na maioria das democracias comparadas, estão distribuídos entre instâncias distintas. Essa escolha ocorre num momento específico da trajetória institucional da ANPD: a autoridade concluiu sua transformação em agência reguladora em março de 2026 e iniciou a chamada de servidores aprovados em processo seletivo simplificado apenas no fim de 2025.
Sua agenda de fiscalização para o biênio 2026–2027 já contempla quatro frentes exigentes — direitos dos titulares, proteção de crianças e adolescentes no ambiente digital, tratamento de dados pelo Poder Público e inteligência artificial —, definidas antes da atribuição das novas competências sobre moderação de conteúdo.
Ainda assim, a atribuição prevista no Decreto 12.975 representa uma mudança institucional relevante – e com poucos casos comparados para analisarmos esses potenciais efeitos no longo prazo.
Realizamos um levantamento preliminar em 75 jurisdições para mapear como esse arranjo se distribui internacionalmente. A pesquisa classificou os países em três grupos: casos em que a autoridade de dados é reguladora primária de moderação; casos de corregulação formal ou sobreposição parcial; e casos sem esse tipo de atribuição.
Entre as 75 jurisdições analisadas, apenas três concentram, no mesmo órgão, autoridade estatutária plena sobre proteção de dados e moderação de conteúdo: China, Indonésia e Singapura. Em todos esses casos, a concentração resulta de tradições institucionais distintas da brasileira, em que comunicações, segurança digital, dados e conteúdo estão integrados em estruturas administrativas mais centralizadas.
O padrão predominante entre democracias consolidadas é a separação entre proteção de dados, regulação de conteúdo e regulação de mídia e comunicações.
A União Europeia é o caso mais estruturado. O Digital Services Act criou uma arquitetura de supervisão baseada nos Coordenadores de Serviços Digitais, com competências de inspeção, solicitação de dados e imposição de sanções. Alguns países designaram, ainda, reguladores de comunicações, mídia ou telecomunicações para esse papel — não as autoridades de proteção de dados. A Itália, por exemplo, designou a AGCOM, sua autoridade de comunicações.
Há sobreposições parciais em vários países. França, Holanda e Espanha atribuíram às autoridades de proteção de dados algum papel formal em aspectos específicos do DSA — particularmente publicidade baseada em perfilamento e direito ao esquecimento. Nesses casos, a autoridade de dados intervém quando o problema de conteúdo também configura, de forma direta, um problema de dados.
O Reino Unido segue uma lógica similar. O Online Safety Act atribui à Ofcom a função central de supervisão de segurança online. O Information Commissioner’s Office (ICO) atua de forma coordenada nos pontos em que segurança online e proteção de dados se sobrepõem, e os dois órgãos emitem orientações conjuntas para serviços sujeitos a ambos os regimes.
O que a supervisão de moderação sistêmica envolve
Para entender por que esse padrão de separação prevalece, vale olhar o que a supervisão de moderação sistêmica envolve. No primeiro semestre de 2025, plataformas sob o DSA reportaram mais de 9 bilhões de decisões de moderação — 99% proativas, com base em termos de uso, e não em deveres legais de remoção.
Supervisionar esse sistema não é revisar casos individuais, mas avaliar processos, critérios, automação, vieses e mecanismos de contestação em escala industrial. É um objeto regulatório com características técnicas próprias, distante da supervisão de bases legais de tratamento de dados ou da notificação de incidentes de segurança.
Essa diferença ajuda a entender por que os dois regimes tendem a ser separados: a proteção de dados se organiza em torno de proporcionalidade, segurança da informação e direitos do titular, enquanto a regulação de conteúdo envolve ponderações como liberdade de expressão, interesse público, jornalismo, crítica política e efetividade da contestação. As agendas se cruzam — perfilamento, recomendação, dados comportamentais e publicidade —, mas partem de objetivos e critérios de avaliação distintos.
Um exemplo empírico ilustra essa distinção. Pesquisa recente publicada pelo CEPR demonstrou que ferramentas automatizadas de moderação são frequentemente suscetíveis a falsos positivos — ativadas por palavrões ou por relatos pessoais de experiências com discriminação.
Quando determinados tópicos políticos são discutidos com maior frequência em linguagem inflamatória, a remoção sistemática desse conteúdo distorce a composição do debate online, mesmo quando os critérios aplicados são tecnicamente consistentes. O problema regulatório central, nesse caso, não é de privacidade nem de segurança da informação: é de como sistemas de moderação afetam a distribuição do discurso público.
Os limites de um modelo mais estruturado
A experiência europeia também oferece evidências sobre os limites do modelo adotado. Um estudo do Centro de Excelência em Comunicações Estratégicas da OTAN analisou conteúdo nocivo relacionado à integridade eleitoral no Facebook em contas polonesas e lituanas, antes e depois da entrada em vigor do DSA — e não encontrou redução geral no conteúdo nocivo, apesar de melhorias pontuais em algumas plataformas.
E, no plano institucional, o ex-relator especial da ONU para Liberdade de Expressão afirmou que as ações do então comissário Thierry Breton na fiscalização do DSA podem ter legitimado a politização do regime de formas que poderiam ser usadas para restringir o debate público (Kaye, 2024).
Essas evidências não invalidam o modelo europeu, mas indicam que nenhum arranjo institucional — por mais elaborado — resolve automaticamente os problemas de efetividade e independência que a supervisão de moderação coloca. O (praticamente inédito) modelo brasileiro dependerá, em grande medida, de como a ANPD estruturará sua atuação nessa nova frente e de como serão estabelecidas interfaces com outros órgãos com competências conexas — o Poder Judiciário, o Ministério Público e eventuais reguladores setoriais.
AGÊNCIA NACIONAL DE PROTEÇÃO DE DADOS (ANPD). Edital de Convocação nº 1/2025, de 15 de dezembro de 2025. Processo Seletivo Simplificado nº 1/2025. Diário Oficial da União, Brasília, DF, 15 dez. 2025. Disponível em: https://www.gov.br/anpd. Acesso em: 25 maio 2026.
AGÊNCIA NACIONAL DE PROTEÇÃO DE DADOS (ANPD). Mapa de Temas Prioritários para o biênio 2026–2027. Brasília: ANPD, dez. 2025. Disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-publica-mapa-de-temas-prioritarios-para-o-bienio-2026-2027-e-atualiza-agenda-regulatoria-2025-2026. Acesso em: 25 maio 2026.
BRASIL. Decreto nº 12.975, de 21 de maio de 2026. Altera o Decreto nº 8.771/2016, que regulamenta a Lei nº 12.965/2014, para detalhar deveres dos provedores de aplicações de internet. Diário Oficial da União, Brasília, DF, 21 maio 2026, Seção 1. [2026a]
BRASIL. Decreto nº 12.881, de março de 2026. Conclui o processo de transformação da Agência Nacional de Proteção de Dados em agência reguladora. Diário Oficial da União, Brasília, DF, mar. 2026. [2026b]
BRASIL. Lei nº 15.352, de 25 de fevereiro de 2026. Transforma a Autoridade Nacional de Proteção de Dados em Agência Nacional de Proteção de Dados (ANPD). Diário Oficial da União, Brasília, DF, 25 fev. 2026. [Conversão da Medida Provisória nº 1.317/2025.] [2026c]
BRASIL. Supremo Tribunal Federal. Recurso Extraordinário nº 1.037.396 (Tema 987) e Recurso Extraordinário nº 1.057.258 (Tema 533). Rel. Min. Dias Toffoli e Min. Luiz Fux. Julgamento concluído em 26 jun. 2025. Disponível em: https://portal.stf.jus.br. Acesso em: 25 maio 2026. [2025]
CHINA. Cybersecurity Law of the People’s Republic of China (网络安全法). Promulgada em 7 nov. 2016. Em vigor desde 1º jun. 2017. Disponível em: https://www.cac.gov.cn.
COMISSÃO EUROPEIA. Notificações dos Estados-Membros sobre autoridades competentes para o DSA (art. 49(2) do Regulamento (UE) 2022/2065). Disponível em: https://digital-strategy.ec.europa.eu. Acesso em: 25 maio 2026. [2022]
COMISSÃO EUROPEIA. DSA Transparency Database. Bruxelas: Comissão Europeia, 2023–. Disponível em: https://transparency.dsa.ec.europa.eu. Acesso em: 25 maio 2026. [2023]
HABIBI, M.; HOVY, D.; SCHWARZ, C. The content moderator’s dilemma: how removing toxic speech distorts online discourse. VoxEU/CEPR, Discussion Paper nº 21257, 2026. Disponível em: https://cepr.org/publications/dp21257. Acesso em: 25 maio 2026.
INDONÉSIA. Government Regulation No. 71 of 2019 on the Implementation of Electronic Systems and Transactions (PP 71/2019). Jacarta, 2019.
INTERNATIONAL ASSOCIATION OF PRIVACY PROFESSIONALS (IAPP). The EU Digital Services Act: ready to meet reporting obligations? IAPP, 20 fev. 2025. Disponível em: https://iapp.org/news/a/the-eu-digital-services-act-ready-to-meet-reporting-obligations. Acesso em: 25 maio 2026.
ITÁLIA. Decreto Legislativo 9 novembre 2023, n. 143. Disposizioni di adeguamento della normativa nazionale al Regolamento (UE) 2022/2065. Gazzetta Ufficiale della Repubblica Italiana, Serie Generale, n. 288, 11 dic. 2023.
KAYE, David. The risks of internet regulation. Foreign Affairs, mar. 2024. Disponível em: https://www.foreignaffairs.com/united-states/risks-internet-regulation. Acesso em: 25 maio 2026.
NATO STRATEGIC COMMUNICATIONS CENTRE OF EXCELLENCE (StratCom COE). Impact of the Digital Services Act: a Facebook Case Study. Riga: NATO StratCom COE, 2025. Disponível em: https://stratcomcoe.org/publications/impact-of-the-digital-services-act-a-facebook-case-study/319. Acesso em: 25 maio 2026.
OFCOM; INFORMATION COMMISSIONER’S OFFICE (ICO). Memorandum of Understanding between Ofcom and the Information Commissioner’s Office. Londres: Ofcom/ICO, 2023. Disponível em: https://www.ofcom.org.uk. Acesso em: 25 maio 2026.
REINO UNIDO. Online Safety Act 2023, c. 50. Londres: His Majesty’s Stationery Office, 2023. Disponível em: https://www.legislation.gov.uk.
SINGAPURA. Personal Data Protection Act 2012, cap. 26D; Online Safety (Miscellaneous Amendments) Act 2022. Disponível em: https://sso.agc.gov.sg.
UNIÃO EUROPEIA. Regulamento (UE) 2022/2065 do Parlamento Europeu e do Conselho, de 19 de outubro de 2022, relativo a um mercado único para os serviços digitais (DSA). Jornal Oficial da União Europeia, L 277, 27 out. 2022. Disponível em: https://eur-lex.europa.eu.
