Por Caio Carrara
No dia 22 de agosto de 2025, a Câmara dos Deputados aprovou o PL 2628/2022, que dispõe sobre a proteção de crianças e adolescentes em ambientes digitais. Apesar dos 3 anos do projeto em andamento, somente recentemente o Projeto de Lei ganhou tração e notoriedade. Isso aconteceu após as denúncias feitas pelo influenciador Felca a respeito da adultização de crianças e adolescentes e a exploração de menores por meio do uso de mídias sociais centralizadas.
Considerando a sensibilidade e a importância do tema, o projeto de lei conseguiu unir os mais variados espectros da política nacional. Especialmente em um momento em que o poderio e influência social, econômica e política das mídias sociais centralizadas em escala global é inquestionável.
O texto do projeto de lei possui diversas características. Uma das mais evidentes é a sua abrangência. A regulação proposta atinge desde aplicações para a internet, passando por redes sociais, programas de computador, lojas de aplicativos e até mesmo sistemas operacionais. Considerando tamanha amplitude de escopo e impacto, se faz necessária uma análise cuidadosa sobre quais são os potenciais impactos para o ecossistema de mídias sociais descentralizadas no país. O chamado Fediverso.
Assim sendo, abaixo há a interpretação desses potenciais impactos nos seguintes tópicos:
- O Fediverso é atingido pelo projeto de lei?
- Qual é o impacto do PL para as aplicações do Fediverso
- Qual o impacto para a governança e o desenvolvimento das aplicações do Fediverso
- Qual o impacto para administração de instâncias do Fediverso no Brasil
O Fediverso é atingido pelo projeto de lei?
Sim. As mídias sociais descentralizadas federadas, conhecidas por Fediverso, poderão ser atingidas pelo projeto de Lei 2628/2022. Ainda que, evidentemente, o projeto de lei tenha sido originado a partir das ações dos usuários em mídias sociais centralizadas de grande porte e as tenha tido como foco, a maneira com que o PL é escrito acaba abarcando diversos outros tipos de aplicações e fornecedores.
O PL, logo em seu 1º artigo, deixa claro que:
Esta Lei […] aplica-se a todo produto ou serviço de tecnologia da informação direcionado a crianças e a adolescentes no País ou de acesso provável por eles […]
Além disso, em seu artigo 2º, diz:
Para os fins desta Lei, considera-se produto ou serviço de tecnologia da informação: produto ou serviço fornecido a distância, por meio eletrônico e provido em virtude de requisição individual, tal como aplicações de internet, programas de computador, softwares, sistemas operacionais de terminais, lojas de aplicações de internet, jogos eletrônicos ou similares conectados à internet ou a outra rede de comunicações.
Não obstante, no mesmo artigo, deixa-se claro a definição de rede social para a lei:
Aplicação de internet que tem como principal finalidade o compartilhamento e a disseminação, pelos usuários, de opiniões e informações veiculadas por textos ou arquivos de imagens, sonoros ou audiovisuais, em uma única plataforma, por meio de contas conectadas ou acessíveis de forma articulada, permitida a conexão entre usuários.
Assim sendo, cada aplicação social federada (Mastodon, Lemmy, Pixelfed, etc.) é considerada um produto ou serviço de tecnologia da informação ou rede social conforme as definições no projeto de lei.
Nesse cenário, cada uma das instâncias dessas aplicações poderá ser classificada como fornecedora dos produtos ou serviços de tecnologia da informação.
Um ponto que pode provocar dúvidas diz respeito à definição encontrada no artigo 2º, parágrafo 2º:
Para os fins desta Lei, não são consideradas produtos ou serviços de tecnologia da informação as funcionalidades essenciais para o funcionamento da internet, como os protocolos e os padrões técnicos abertos e comuns que permitem a interconexão entre as redes de computadores que compõem a internet.
Uma vez que o Fediverso só existe com base em algum protocolo de comunicação, seja o ActivityPub, o AT Protocol ou mesmo o Nostr, pode surgir o questionamento se esse trecho do projeto não isentaria todo o Fediverso.
O parágrafo é claro quanto à classificação do que considera essencial para o funcionamento da internet: protocolos e padrões que permitem a interconexão entre as redes de computadores que compõem a internet. Nesse sentido, nenhum dos protocolos do Fediverso existem para a interconexão entre as redes da internet. Mas sim, apenas para a comunicação das próprias aplicações federadas.
Assim sendo, o Fediverso pode não ter sido o foco, mas de fato é atingido pelo PL tanto em função das definições encontradas no artigo 1º, como na razoável interpretação do artigo 2º.
Qual o impacto do PL 2628/2022 para as aplicações do Fediverso?
Para analisarmos o impacto do PL para as aplicações do Fediverso é necessário retomarmos o modelo de desenvolvimento dessas aplicações. O modelo difere consideravelmente das aplicações comerciais, centralizadas e fechadas, nas quais o PL aparentemente se debruçou mais enfaticamente.
As aplicações da web social descentralizada, em sua maioria, são desenvolvidas segundo o modelo de código aberto e/ou livre. As decisões de projeto, assim como o próprio desenvolvimento, são feitas por uma comunidade global, autônoma e razoavelmente diversa. Além disso, ainda que eventualmente a comunidade desenvolvedora de uma solução possa oferecer uma instância (instalação) oficial da aplicação, outras pessoas ou empresas podem oferecer a mesma aplicação em instâncias independentes.
Esse arranjo de criação, governança, desenvolvimento e fornecimento das aplicações torna muito mais complexa a interpretação do projeto de lei e a sua efetiva aplicação no contexto do Fediverso. Logo, a análise de como o PL impacta as aplicações deve ser feita separadamente entre aplicações e administração das instâncias.
O impacto para a governança e desenvolvimento das aplicações
Efetivamente, esse impacto tende a ser grande, porém dificilmente afetará as comunidades de desenvolvimento. Considerando as atuais configurações, tanto das próprias comunidades como dos projetos de regulamentação avançando ao redor do globo.
O projeto de lei brasileiro não é o único no mundo que tenta trazer algum nível de regulação para as aplicações de internet e mídias sociais. O Reino Unido, recentemente, também avançou com suas medidas regulatórias conhecidas como Online Safe Act (OSA). Isso traz o desafio para as comunidades de desenvolvimento do Fediverso em implementar recursos de controle e verificação em cada localidade para uma solução global. Efetivamente, tende a ser inviável.
É possível ter compreensão do desafio com um exemplo. O Fediverso, dada a diversidade de temas de cada uma de suas instâncias e a potencial federação ampla entre as mesmas, pode facilmente ser classificado como um ambiente com conteúdo potencialmente impróprio para menores de 18 anos. Portanto, o acesso de menores deveria ser vedado segundo o PL.
Para garantir essa regra, as aplicações do Fediverso deverão portanto possuir:
Mecanismos confiáveis de verificação de idade a cada acesso do usuário ao conteúdo, produto ou serviço […], vedada a autodeclaração.
Deixando de lado as questões sobre os demasiados riscos à privacidade dessa medida, as aplicações precisariam implementar mecanismos de verificação de idade. Em outra seção do projeto de lei, é estabelecido que “o poder público poderá atuar como regulador, certificador ou promotor de soluções técnicas de verificação de idade”. Não obstante, cada localidade no globo poderá adotar a sua própria implementação técnica de verificação de idade. De forma que, ficaria a cargo das comunidades de desenvolvimento das aplicações, mantidas muitas vezes por voluntários, implementar a integração com mecanismos específicos de cada localidade. Uma vez que, até o presente momento, não há um padrão mundial amplamente aceito para essas verificações. Uma possível alternativa para esse desafio seria a adoção de soluções padronizadas de “zero knowledge proof”.
Outro exemplo específico vindo do projeto de lei brasileiro é o que diz respeito à associação de uma conta de responsável para menores. As aplicações sociais do Fediverso, por também serem classificadas como redes sociais, deverão garantir que contas de usuários de até 16 anos estejam vinculadas à conta do responsável legal. Para isso, eventualmente, a verificação de idade não será suficiente. Apesar de o projeto de lei não deixar claro essa questão, é possível considerar a necessidade de se ter também a verificação de responsabilidade legal entre os usuários e suas contas. Tudo isso depende de implementações específicas nas aplicações para o caso brasileiro.
Esses são somente dois exemplos de como as especificações do PL 2628/2022 afetarão as mais variadas aplicações do Fediverso com desenvolvimento global. Como dito anteriormente, o impacto de governança, design e desenvolvimento é potencialmente gigante para as empresas de redes centralizadas fechadas e tanto maior será para comunidades desenvolvendo soluções livres para o Fediverso.
Como falado anteriormente, é pouco provável assumir que os projetos de desenvolvimento aberto adotem medidas específicas em função da lei brasileira. Especialmente considerando que o Fediverso como um todo tem seu desenvolvimento liderado por pessoas, empresas e organizações do chamado Norte Global. Além disso, as possíveis restrições e/ou punições não chegariam nas comunidades de desenvolvimento das aplicações, mas sim para as pessoas administradoras de instâncias.
O impacto para a administração de instâncias do Fediverso no Brasil
Esse pode ser o ponto crucial para uma potencial diminuição dos incentivos ao ecossistema de instâncias brasileiras no Fediverso. A depender de como a lei seja regulamentada e aplicada, uma eventual descontinuidade do ecossistema do Fediverso no país não pode ser completamente descartada.
Uma aplicação do Fediverso, enquanto não é instalada em um servidor e disponibilizada para seus usuários, é somente um amontoado de códigos-fonte. Porém, à medida que esse código se “materializa” em uma instância, o ônus dessa forma de “serviço” ofertado recai sobre a pessoa administradora da instância, conforme as definições do PL.
Como exercício de análise, vamos supor que uma aplicação do Fediverso já contasse com todos os recursos e funcionalidades necessários implementados (o que provavelmente nunca ocorrerá). Seriam algumas das responsabilidades (e trabalho) da administração de uma instância do Fediverso (mas não somente):
Tomar medidas razoáveis […] ao longo da operação de suas aplicações, com o objetivo de prevenir e mitigar riscos de acesso, exposição, recomendação ou facilitação de contato com os seguintes conteúdos, produtos ou práticas:
I – exploração e abuso sexual;
II – violência física, intimidação sistemática virtual e assédio;
III – indução, incitação, instigação ou auxílio, por meio de instruções ou orientações, a práticas ou comportamentos que levem a danos à saúde física ou mental de crianças e de adolescentes, tais como violência física ou assédio psicológico a outras crianças e adolescentes, uso de substâncias que causem dependência química ou psicológica, autodiagnóstico e automedicação, automutilação e suicídio;
IV – promoção e comercialização de jogos de azar, apostas de quota fixa, loterias, produtos de tabaco, bebidas alcoólicas, narcóticos ou produtos de comercialização proibida a crianças e a adolescentes;
V – práticas publicitárias predatórias, injustas ou enganosas ou outras práticas conhecidas por acarretarem danos financeiros a crianças e a adolescentes; e
VI – conteúdo pornográfico.
(Art. 6)
I – realizar gerenciamento de riscos de seus recursos, funcionalidades e sistemas e de seus impactos direcionados à segurança e à saúde de crianças e de adolescentes;
II – realizar avaliação do conteúdo disponibilizado para crianças e adolescentes de acordo com a faixa etária, para que seja compatível com a respectiva classificação indicativa;
III – oferecer sistemas e processos projetados para impedir que crianças e adolescentes encontrem, por meio do produto ou serviço, conteúdos ilegais e pornográficos, bem como outros conteúdos manifestamente inadequados à sua faixa etária, conforme as normas de classificação indicativa e a legislação aplicável;
IV – desenvolver desde a concepção e adotar por padrão configurações que evitem o uso compulsivo de produtos ou serviços por crianças e adolescentes; e
V – informar extensivamente a todos os usuários sobre a faixa etária indicada para o produto ou serviço no momento do acesso, conforme estabelecido pela política de classificação indicativa.
(Art. 8)
Deverão ser adotados mecanismos confiáveis de verificação de idade a cada acesso do usuário ao conteúdo, produto ou serviço […], vedada a autodeclaração.
(Art. 9)
Deverão adotar medidas técnicas e organizacionais para garantir o recebimento das informações de idade […].
(Art. 14)
Diante de fundados indícios de que a conta é operada por criança ou adolescente em desconformidade com os requisitos de idade mínima previstos na legislação, os provedores de redes sociais deverão suspender o acesso do usuário e assegurar a instauração de procedimento célere e acessível no qual o responsável legal possa apresentar apelação e comprovar a idade por meio adequado, nos termos de regulamento.
(Art. 24)
Comunicar os conteúdos de aparente exploração, de abuso sexual, de sequestro e de aliciamento detectados em seus produtos ou serviços, direta ou indiretamente, às autoridades nacionais e internacionais competentes, na forma de regulamento.
Os fornecedores deverão reter, pelo prazo estabelecido no art. 15 da Lei nº 12.965, de 23 de abril de 2014, os seguintes dados associados a um relatório de conteúdo de exploração e de abuso sexual de criança ou de adolescente:
I – conteúdo gerado, carregado ou compartilhado por qualquer usuário mencionado no relatório e metadados relacionados ao referido conteúdo;
II – dados do usuário responsável pelo conteúdo e metadados a ele relacionados.
(Art. 27)
Para atender ao princípio da proteção integral, é dever dos fornecedores de produtos ou serviços de tecnologia da informação direcionados a crianças e a adolescentes ou de acesso provável por eles proceder à retirada de conteúdo que viola direitos de crianças e de adolescentes assim que forem comunicados do caráter ofensivo […]
(Art. 29)
O artigo 29 acima é especialmente complicado de se exercer no Fediverso, tendo em vista a natureza de armazenamento distribuído de uma publicação. Uma vez que uma publicação é criada em uma instância do Fediverso, a mesma é distribuída para todas as instâncias federadas. E não há nenhuma garantia protocolar para a exclusão da mesma. Mesmo se assim for feita na instância de origem.
Os exemplos acima não são todos, mas são representativos do nível de regulação a que a pessoa administradora de uma instância do Fediverso estará submetida. Várias dessas determinações, como a do artigo 29, são simplesmente inviáveis de serem aplicadas efetivamente em um ambiente distribuído como o Fediverso. Logo, a administração da instância pode se ver de mãos atadas em diversas situações.
O projeto de lei deixa em aberto uma possível modulação das obrigações do provedor / fornecedor do produto ou serviço no seu artigo 39:
As obrigações previstas nos arts. 6º, 17, 18, 19, 20, 27, 28, 29, 31, 32 e 40 desta Lei aplicar-se-ão conforme as características e as funcionalidades do produto ou serviço de tecnologia da informação, moduladas de acordo com o grau de interferência do fornecedor do produto ou serviço sobre os conteúdos veiculados disponibilizados, o número de usuários e o porte do fornecedor.
Entretanto, essa abertura talvez não seja suficiente, tamanho o risco potencial de se administrar uma instância de aplicação social no Fediverso. Ainda mais se considerarmos que usualmente as instâncias são administradas e moderadas por comunidades de voluntários autofinanciados.
Do ponto de vista da comunidade do Fediverso brasileira, a implementação do PL 2628/2022 apresenta um dilema relevante: enquanto busca proteger crianças e adolescentes nas grandes mídias sociais centralizadas, pode inadvertidamente comprometer a continuidade e crescimento de soluções descentralizadas. As exigências regulatórias podem ser desproporcionais para comunidades que operam com recursos limitados e que dependem da colaboração voluntária. Isso levanta preocupações sobre a viabilidade da administração de instâncias nacionais, tendo em vista que as consideráveis penalidades podem recair sobre os administradores das instâncias.
Dessa forma, o efeito do PL 2628/2022 no ecossistema de instâncias federadas de aplicações sociais do Fediverso é como o de um agrotóxico extremamente forte. Que tem potencial de acabar com algumas pragas malignas no sistema, mas ao custo de também comprometer diversas formas de vida necessárias para um equilíbrio saudável do ecossistema.
Caio Carrara é engenheiro de software e integrante do GT de Fediverso da Associação Alquimídia.
Site pessoal: https://carrara.dev.br. Perfil no Fediverso: @caio@floss.social.
A seção blog do portal Alquimídia é um ambiente de expressão e debate. As opiniões nos artigos são exclusivas de cada colaborador e não refletem necessariamente o posicionamento da Associação Cultural Alquimídia.
