Palavra de Sá

Fernando Horta: Legislar no ritmo do viral

Em agosto de 2025, o influenciador digital Felipe Bressanim Pereira, conhecido como Felca, publicou um vídeo de cinquenta minutos intitulado Adultização. Em menos de uma semana, o conteúdo ultrapassava trinta milhões de visualizações.

Em menos de trinta dias, o Congresso Nacional aprovava o texto que viria a se tornar a Lei nº 15.211/2025, sancionada pelo presidente da República em setembro de 2025 e posta em vigor seis meses antes do prazo original por Medida Provisória, em 17 de março de 2026. A lei é formalmente denominada Estatuto Digital da Criança e do Adolescente (ECA Digital), mas ganhou o apelido popular de Lei Felca – homenagem ao influenciador cuja comoção pública, ao que tudo indica, foi o principal motor do processo legislativo.

A velocidade é, em si, um dado analítico. Legislação que regula direitos fundamentais – privacidade, liberdade de expressão, acesso à informação, proteção de dados biométricos – e que impõe obrigações técnicas complexas sobre um ecossistema digital de dimensões globais não deveria, em qualquer teoria razoável de produção normativa, ser aprovada no mesmo ciclo de atenção que um viral de redes sociais.

O Brasil produziu, em menos de um mês, um marco regulatório cujos análogos mais próximos – o GDPR europeu, o Age Appropriate Design Code britânico, a legislação australiana de 2025 – levaram anos de consultas técnicas, debates parlamentares e avaliações de impacto regulatório para ser finalizados.

Este artigo não questiona a legitimidade do problema que o vídeo de Felca tornou visível. A exploração sexual de crianças e adolescentes em plataformas digitais é um crime grave, real e insuficientemente combatido. O que se questiona é a cadeia de raciocínio – do diagnóstico à solução – que produziu a Lei Felca: um diagnóstico analiticamente impreciso, uma solução legislativa desproporcionada, e um aparato institucional de fiscalização que não existe com a robustez necessária para torná-la efetiva. Nas seções seguintes, cada um desses elementos é examinado em detalhe.

<><> O vídeo, o conceito e o problema do guarda-chuva

O vídeo Adultização reúne, sob um mesmo rótulo emocional, fenômenos radicalmente distintos do ponto de vista jurídico, moral e sociológico. Em suas cinco décadas de duração, percorre-se um espectro que vai de crianças ensinando estratégias de investimento para adultos – forma discutível, mas não necessariamente ilícita, de autonomia precoce – até casos documentados de produção e comercialização de pornografia infantil.

Entre esses extremos, sem distinção analítica explícita, aparecem: pais que exploram a imagem dos filhos para gerar engajamento e monetização; adolescentes inseridos em dinâmicas de relacionamento performático para audiências adultas; e algoritmos que amplificam esse material para usuários com interesse criminoso.

O problema central é a palavra que organiza o vídeo inteiro: adultização. O termo, tal como empregado, não possui genealogia conceitual consistente na literatura científica sobre desenvolvimento infantil, psicologia clínica ou sociologia da infância.

Os conceitos técnicos consagrados para descrever os processos que o vídeo documenta são outros: parentificação, para os casos de inversão de hierarquias familiares; sexualização precoce ou erotização infantil, para os fenômenos de natureza sexual; e exploração infantil, para os casos em que um adulto obtém ganho econômico ou sexual às custas de um menor. Cada um desses conceitos implica um agente responsável identificável, uma relação de poder específica e um conjunto de intervenções jurídicas adequadas.

Adultização, na versão popularizada pelo vídeo, não descreve – homogeneíza. Ao colocar no mesmo plano a criança que faz um discurso motivacional sobre vendas e a criança cujas imagens são comercializadas em redes de pornografia, o conceito neutraliza a distinção entre o culturalmente questionável e o criminalmente grave.

Mais importante: ao nomear o fenômeno pela condição da criança (tornar-se adulta) em vez de pela condição do adulto que a explora (explorador, abusador, negligente), o enquadramento desloca a responsabilidade do perpetrador para o ambiente. Esse deslocamento não é semântico: é a estrutura lógica que torna possível uma resposta legislativa que regula o ambiente digital em vez de punir os adultos responsáveis.

Um dado factual subestimado no debate confirma essa análise: o caso mais grave documentado no vídeo, o do influenciador Hytalo Santos, já estava sob investigação do Ministério Público da Paraíba desde 2024, meses antes da publicação do vídeo. O crime existia, era reconhecido como crime, e os instrumentos legais disponíveis – o próprio ECA de 1990, o Código Penal, o Marco Civil da Internet – eram suficientes para processá-lo. Hytalo Santos e seu companheiro foram presos e condenados a onze e oito anos de prisão, respectivamente. Nenhuma lei nova foi necessária para isso. O que faltava, demonstravelmente, não era legislação — era enforcement da legislação existente.

<><> Falhas estruturais do texto legal

A Lei nº 15.211/2025 adota, como seu dispositivo central, a obrigação de verificação de identidade e idade para acesso a plataformas digitais de “acesso provável” por menores. A teoria da mudança implícita nesse dispositivo é a seguinte: se plataformas verificarem que seus usuários são adultos, a exploração sexual de crianças diminuirá. Essa teoria é logicamente deficiente.

Os casos documentados no vídeo de Felca – que é o fundamento empírico explícito da lei – não envolvem adultos que se passam por menores para acessar plataformas. Envolvem, predominantemente, crianças que são expostas por seus próprios responsáveis legais, ou adolescentes aliciados por adultos que os conheceram justamente em plataformas onde ambos tinham acesso legítimo. A verificação de que um usuário tem mais de dezoito anos não interrompe, em nenhum passo da cadeia causal, o processo de exploração de uma criança por seu pai, sua mãe, seu responsável ou por um adulto que a abordou legitimamente. O dispositivo central da lei não resolve o problema central que a motivou.

O que resolveria – e que a lei contém, mas em segundo plano – seria o fortalecimento das obrigações das plataformas de: (a) detectar e remover proativamente conteúdo de exploração infantil usando capacidades algorítmicas que já possuem; (b) notificar imediatamente autoridades investigativas quando esse conteúdo for identificado; (c) não monetizar conteúdo que envolva menores em situações inadequadas. Esses elementos estão presentes no texto, mas foram soterrados pela atenção pública e midiática ao regime de verificação de identidade — que é, ao mesmo tempo, o dispositivo mais impactante para o usuário comum e o menos eficaz para o problema original.

A lei se aplica, em sua literalidade, a “todo produto ou serviço de tecnologia da informação direcionado a crianças e adolescentes ou de acesso provável por eles”. O artigo 12 determina que provedores de lojas de aplicativos e de sistemas operacionais adotem “medidas proporcionais, auditáveis e tecnicamente seguras” para aferir faixa etária.

Essa redação não distingue entre uma rede social algorítmica de broadcasting, uma plataforma de mensagens privadas, um repositório de software livre, um sistema operacional de código aberto e um jogo eletrônico. Do ponto de vista técnico, jurídico e dos riscos concretos que apresentam para crianças, essas entidades são radicalmente diferentes. A lei, contudo, as trata como equivalentes.

Os efeitos colaterais desse enquadramento foram imediatos. No primeiro dia de vigência da lei, o projeto Arch Linux 32 – uma distribuição comunitária de código aberto, sem fins lucrativos e sem capacidade de implementar sistemas de verificação de identidade – anunciou a suspensão de seus serviços para usuários brasileiros. Plataformas de jogos como a Riot Games pausaram o acesso para menores de dezoito anos.

Discussões proliferaram sobre o impacto da lei sobre projetos de software livre e de infraestrutura técnica que nunca produziram conteúdo inadequado para crianças, mas que tecnicamente se enquadram na definição legal de “acesso provável”. O efeito prático é uma lei que elimina alternativas digitais comunitárias e descentralizadas, concentrando o mercado nas Big Techs com capacidade de compliance – precisamente os atores cujo poder a regulação digital deveria limitar.

Para que um adulto prove que é adulto em uma plataforma digital, é necessário que forneça dados que o identifiquem como adulto. Em prática, isso significa CPF, biometria facial ou outros identificadores sensíveis. O princípio da proporcionalidade em direito digital exige que qualquer restrição de um direito fundamental – neste caso, a privacidade e o anonimato – seja necessária, adequada e proporcional ao fim visado.

A lei falha no teste da necessidade: soluções baseadas em Provas de Conhecimento Zero (ZKP), que permitem confirmar maioridade sem revelar identidade, existem, são tecnicamente maduras e foram defendidas como alternativa preferencial em consulta pública promovida pelo próprio Ministério da Justiça em fevereiro de 2026. Não foram incorporadas ao texto.

A consequência é que a lei realiza uma transferência de responsabilidade: quem arca com o ônus da proteção não são as plataformas que lucraram com a exposição de crianças, mas os usuários adultos que devem provar sua inocência. Cada adulto que acessa uma rede social no Brasil passa a ser, por presunção legal, um potencial menor que precisa demonstrar o contrário. Essa inversão da carga da prova, aplicada a uma população de mais de cem e cinquenta milhões de usuários ativos de internet, é proporcional ao objetivo de proteger crianças de pais e responsáveis que as exploram? A resposta não pode ser afirmativa.

<><> A dimensão da soberania digital

Há um silêncio estrutural no debate sobre a Lei Felca que nenhuma das críticas circulantes formula com a clareza necessária: a lei foi concebida como se o Brasil fosse um Estado digitalmente soberano, capaz de impor obrigações a plataformas, coletar dados de seus cidadãos e manter controle jurisdicional sobre esse processo. Ele não é.

O Brasil é um dos maiores produtores de dados do planeta, mas não é soberano sobre eles. Cerca de cento e trinta e quatro milhões de brasileiros são usuários ativos do Instagram; cento e sessenta milhões usam o WhatsApp; o país é o terceiro maior usuário do ChatGPT no mundo. Cada uma dessas interações flui por infraestruturas de corporações norte-americanas sujeitas ao Cloud Act dos Estados Unidos – legislação que permite às autoridades norte-americanas exigir acesso a dados armazenados por empresas americanas em qualquer servidor do mundo, independentemente da jurisdição local.

Em 72% das universidades brasileiras, os servidores de e-mail pertencem ao Google. O chamado projeto “Nuvem Soberana” do governo federal resultou, sob escrutínio, em parcerias com AWS, Google, Huawei, Oracle e Microsoft – com autorização, pelo Gabinete de Segurança Institucional, para hospedagem de dados classificados como reservados ou secretos em nuvens privadas estrangeiras.

Nesse contexto, a obrigação criada pela Lei Felca de coletar biometria facial e CPF de toda a população adulta brasileira como condição de acesso ao ambiente digital significa, concretamente, ampliar o inventário de dados sensíveis dos brasileiros nas infraestruturas dessas mesmas corporações sobre as quais o Estado não exerce controle jurisdicional efetivo. O dado novo é particularmente grave: identificadores biométricos são únicos e irrevogáveis. Diferentemente de uma senha comprometida, uma biometria vazada não pode ser substituída.

A dimensão colonial do problema é agravada pela hipocrisia técnica das plataformas que a lei agora regula. TikTok, YouTube, ChatGPT e outras plataformas já utilizam, para fins comerciais e publicitários, sistemas de inferência comportamental capazes de estimar com precisão a faixa etária, a orientação sexual, o estado de saúde mental, as preferências políticas e os padrões de consumo de seus usuários – incluindo a identificação de usuários menores de idade, feita pelo próprio TikTok na Europa desde janeiro de 2026 para fins regulatórios.

Esses sistemas existiam antes da lei. Eram utilizados para segmentação publicitária. Não eram utilizados para remover crianças de plataformas inadequadas porque crianças engajadas são crianças monetizáveis. A lei não pune essa omissão deliberada – premia-a, ao criar uma obrigação de coleta que enriquece o ativo de dados das plataformas enquanto apresenta o ônus ao usuário.

<><> O vácuo regulatório e a impossibilidade institucional da fiscalização

Toda a arquitetura da Lei Felca pressupõe uma condição que o texto legal não satisfaz: a existência de um aparato estatal com capacidade técnica, orçamentária e histórica para fiscalizar as obrigações que impõe. Essa capacidade não existe com a robustez necessária, e a lei entrou em vigor sabendo disso.

A trajetória da ANPD desde a promulgação da LGPD documenta com precisão a distância entre o mandato legal e a capacidade real de execução. Após quase cinco anos de vigência da LGPD, em 2024, União Europeia, Reino Unido, Estados Unidos, Argentina e Austrália, somados, aplicaram US$ 1,7 bilhão em multas por infrações à proteção de dados.

O Brasil não aplicou nenhuma multa a empresas privadas naquele ano. Em todo o histórico da ANPD, a única empresa privada multada foi a Telekall Infoservice, em julho de 2023 – uma microempresa de telemarketing penalizada com R$ 14.400,00. Dos sete processos administrativos sancionatórios concluídos até então, seis envolveram órgãos públicos, que por lei não estão sujeitos a sanções financeiras.

A resposta institucional do governo a esse déficit foi transformar a ANPD em agência reguladora e criar duzentos cargos de especialista em regulação e proteção de dados, a serem preenchidos por concurso público. A medida é apresentada como o instrumento que permitirá à agência realizar “auditorias algorítmicas complexas” sobre as maiores corporações de tecnologia do mundo.

A aritmética não confirma a ambição: duzentos especialistas – ainda a serem selecionados, empossados e treinados – devem fiscalizar um universo de obrigações que abrange, na literalidade da lei, todo produto de tecnologia da informação de acesso provável por menores no Brasil. Para referência: o ICO britânico, regulador com escopo mais restrito que o da ANPD pós-ECA Digital, opera com mais de novecentos servidores. A DPC irlandesa, que fiscaliza as subsidiárias europeias das Big Techs, tem mais de quatrocentos.

O problema é agravado pelo estado incompleto da regulamentação. A lei entrou em vigor sem que houvesse definição técnica de o que é um mecanismo “confiável e auditável” de verificação etária, sem parâmetros para distinguir perfilamento proibido de perfilamento permitido, e sem critérios objetivos sobre o que qualifica um serviço como de “acesso provável” por menores. O próprio decreto regulamentador foi revisado às pressas no dia da entrada em vigor, e sua redação final ainda dependia de elaboração conjunta entre cinco órgãos federais com perspectivas institucionais distintas.

Essa combinação – obrigações vagas, regulador fraco, regulamentação incompleta – produz o que a literatura de economia da regulação denomina zona cinzenta regulatória: um espaço em que os atores com maior capacidade jurídica e de lobby definem, na prática, o que “cumprimento” significa.

Nessa zona, as Big Techs implementam interpretações que maximizam sua coleta de dados e minimizam sua responsabilidade; os projetos comunitários e as plataformas menores se retiram do mercado brasileiro por incapacidade de arcar com os custos de compliance; e a ANPD, sem parâmetros normativos consolidados nem histórico de enforcement efetivo contra grandes corporações, assiste ao processo sem condições de contestá-lo sistematicamente.

As sanções mais severas previstas na lei – suspensão de atividades e bloqueio de plataformas – dependem de decisão judicial, não de ação administrativa da ANPD. O governo brasileiro já vivenciou a experiência de tentar bloquear uma plataforma digital global: o episódio com a plataforma X durou meses, custou capital político considerável, e o resultado estrutural foi nulo. Há razões para acreditar que esse mecanismo de enforcement, o único capaz de alterar o comportamento das Big Techs, é na prática inaplicável contra atores que disponham de recursos jurídicos para contestá-lo sistematicamente.

<><> A formalização jurídica da impotência soberana

A análise empreendida nas seções anteriores permite uma síntese que nenhuma das críticas circulantes formula com suficiente precisão: a Lei Felca não é uma lei mal executada – é uma lei estruturalmente inadequada ao problema que pretende resolver. Seus problemas não são de implementação; são de concepção.

O diagnóstico que a motivou confundiu, sob o rótulo impreciso de adultização, fenômenos distintos que requeriam respostas distintas. A solução adotada inverteu a lógica da responsabilidade: regulamentou o usuário em vez da plataforma, coletou dados dos inocentes em vez de punir os culpados, e criou uma infraestrutura de identificação biométrica universal quando o problema documentado era a exploração de crianças por adultos identificáveis.

O contexto de colonialismo digital em que essa infraestrutura opera significa que os dados coletados por mandato legal fluirão para corporações estrangeiras sobre as quais o Estado brasileiro não exerce controle jurisdicional real. E o regulador designado para fiscalizar esse processo chega ao cargo com um histórico de uma única multa a uma microempresa de R$ 14.400,00 em cinco anos de existência.

O resultado é o que se pode denominar, sem hipérbole, de formalização jurídica da impotência soberana: o Estado brasileiro usou seu poder normativo para obrigar seus cidadãos a entregar dados biométricos sensíveis às mesmas corporações que o Estado deveria regular – enquanto essas corporações, que possuíam capacidade técnica para proteger crianças e escolheram deliberadamente não usá-la por razões de lucratividade, saem do processo com um ativo de dados mais rico e uma responsabilidade juridicamente diluída.

Isso não significa que o problema real – a exploração digital de crianças – deva permanecer sem resposta legislativa. Significa que a resposta adequada teria outra estrutura: responsabilização das plataformas pelos seus algoritmos de amplificação; obrigação de cooperação imediata com autoridades investigativas; proibição de monetização de conteúdo infantil em contextos inadequados; investimento em infraestrutura regulatória digital soberana; e adoção de soluções criptográficas que permitam verificação etária sem entrega de identidade.

Nenhum desses elementos é impossível. Todos exigem, no entanto, algo que a velocidade legislativa do ciclo viral não permite: tempo, expertise e a disposição de regular quem precisa ser regulado – a plataforma – em vez de quem é mais fácil de alcançar: o usuário.

 

Fonte: A Terra é Redonda