Nesta segunda-feira, 25 de maio de 2026, eu tive o prazer de participar como convidado do Comitê Gestor da Internet no Brasil (CGI.br), do debate Impacto do ECA digital em Sistemas Operacionais, parte da programação do Fórum da Internet no Brasil em Belém/PA. Neste texto, que é uma versão expandida do que eu preparei como minha contribuição ao debate, eu quero explorar quais as consequências do ECA Digital para sistemas operacionais livres, como o Debian. Como o debate não era um debate de engenharia, alguns detalhes das minhas ideias sobre o tema ficaram de fora, e eu adicionei elas aqui num adendo.

O ECA Digital busca resolver um problema que é real, e eu diria até mesmo urgente, que é a proteção de direitos fundamentais de crianças e adolescentes no ambiente digital. Esses direitos incluem, mas não estão limitados, aos direitos à liberdade, ao respeito e á dignidade; o direito á educação, a cultura, ao esporte e ao lazer. Estes direitos são ameaçados, quando as plataformas distribuem conteúdos e entregam experiências que estimulam o excesso de uso de telas, a violência, o preconceito e a desinformação, tudo em nome de maximizar o tempo gasto nas plataformas, seja consumindo publicidade, seja produzindo dados que serão vendidos mais tarde pra mais publicidade ou para coisas piores.

Essa proteção, segundo o ECA (o original), é compartilhada entre a família, o estado e a sociedade. Isso significa então, que a sociedade -- empresas, associações e -- por que não -- projetos de software livre têm, a princípio, que colaborar com a manutenção daqueles direitos, e o ECA Digital impõe algumas obrigações neste sentido.

Impacto inicial

O período imediatamente posterior à sanção do ECA Digital foi bastante tumultuado. A gente passou por um certo pânico, um temor de que de repente o software livre de repente passaria a estar "fora da lei". Isso foi potencializado por bastante desinformação, como a não-notícia de que dois sistemas operacionais muito pouco relevantes anunciaram "sua saída do Brasil, 'culpando' o ECA Digital".

Na minha avaliação, estávamos despreparados pelo fato da comunidade de software livre não estar, ou estar muito pouco, organizada politicamente pra debater e influenciar em políticas públicas que nos afetam diretamente. Um dos aprendizados deste processo é a percepção de que precisamos voltar a se organizar.

Sistemas operacionais livres afetados

O [texto do ECA Digital (lei 15.211)][l15211] define obrigações para "produtos ou serviços de tecnologia da informação direcionados a crianças e a adolescentes ou de acesso provável por eles". O Guia Orientativo da ANPD (ainda em consulta pública enquanto eu escrevo este texto) traz mais detalhes sobre isso, mas o meu resumo seria que:

• Servidores, estações de trabalho, etc não são afetados, porque não são direcionados a crianças e a adolescentes ou de acesso provável por eles.
• Computadores de uso geral vendido com sistemas operacionais livres pré-instalados (por exemplos máquinas da Dell com Ubuntu pré-instalados) seriam afetados; empresas que eventualmente forneçam equipamentos com software livre para escolas também.

Obrigações dos sistemas operacionais no ECA Digital

O Eca Digital define as obrigações para os sistemas operacionais no seu artigo 12:

Art. 12. Os provedores de lojas de aplicações de internet e de sistemas operacionais de terminais deverão:

I – tomar medidas proporcionais, auditáveis e tecnicamente seguras para aferir a idade ou a faixa etária dos usuários, observados os princípios previstos no art. 6º da Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais);

II – permitir que os pais ou responsáveis legais configurem mecanismos de supervisão parental voluntários e supervisionem, de forma ativa, o acesso de crianças e de adolescentes a aplicativos e conteúdos; e

III – possibilitar, por meio de Interface de Programação de Aplicações (Application Programming Interface – API) segura e pautada pela proteção da privacidade desde o padrão, o fornecimento de sinal de idade aos provedores de aplicações de internet, exclusivamente para o cumprimento das finalidades desta Lei e com salvaguardas técnicas adequadas.

A obrigação do inciso II já é tranquilamente atendidade por exemplo pela disponibilazação do GNOME Parental Controls, do KDE Kiosk, entre outros.

Os incisos I e III que são algo inédito, e involvem o desafio de aferir a idade dos usuários e fornecer essa informação para aplicativos para que aplicativos e plataformas adequem a sua experiência à faixa etária do usuario criança ou adolescente, sem pra isso vazer nenhum dado pessoal, includindo a identidade do usuário.

Uma estratégia de conformidade

Temos duas informações pra afirmar que sistemas operacionais livres não têm necessidade de fazer nada de forma imediata. Primeiro, de acordo com as definições no Guia Orientativo da ANDP, os sistemas operacionais livres apresentam baixo risco, por a princípio serem muito pouco usados por crianças e adolescentes. Segundo, a ANPD também menciona explicitamente que a sua prioridade inicial é a fiscalização de sistemas proprietários, em especial de Google, Apple e Microsoft.

No entanto, a princípio nada impede que a médio/longo prazo sistemas livres venham a ser fiscalizados, o que faz com que precisemos tem um plano, que certamente vai ter que ser coordenado de alguma com a comunidade internacional porque não seria prático ter uma solução apenas para o Brasil se pode haver legislação semelhante em muitos outros países.

Qualquer solução livre para aferição e emissão de sinal de idade pelo SO, pra ser feita do jeito certo, de uma forma que proteja os dados pessoais e a privacidade das crianças e adolescentes, precisaria de financiamento porque fazer isso não é trivial e envolve um esforço de projeto razoável, e que definitivamente não é possível de se fazer com base no esforço voluntário.

Mas o que me preocupa muito mais é o processo de aferição de idade pelas plataformas online, e a gente já teve notícias de plataformas exigindo biometria (selfies), upload de documentos pessoais, e tudo mais.

O SO está numa posição privilegiada para proteger os dados pessoais e a privacidade dos usuários. Se um sinal de idade fornecido pelo SO for suficiente para que não seja necessária aplicação com métodos mais invasivos por plataformas e aplicativos, nesse caso provavelmente valeria à pena para a comunidade implementar aferição e sinal de idade no sistema operacional.

Um outro pressuposto dessa eventual conformidade com o ECA Digital seria o da participação do responsável: se um adolescente tem a senha do root, então nada é garantido, já que pela própria natureza do software livre implica que ele pode ser modificado pelo usuário.

Política

Um último aspecto de uma eventual implementação de aferição e sinal de idade é o ambiente totalmente conflagrado no debate sobre o tema. Todas as tentativas de especificação ou implementação até agora geraram flamewars gigantes, com bastante FUD e alguns argumentos sensatos com questões válidas sobre proteção de dados e riscos à privacidade.

Qualquer tentativa de implementação vai ter que não só endereçar as questões técnicas, mas também ser bem documentada pra atenuar -- assumindo que não vai ser possível impedir totalmente -- a fúria na internet.

Adendo: o que exatamente eu quero dizer com "no sistema operacional"

Minha fala durante o evento terminou na seção anterior, mas eu vou expandir aqui as minhas ideias sobre uma eventual implementação de aferição e sinal de idade. Essa ideais são muito preliminares e representam só o pouco que eu aprendi desde que comecei a acompanhar este tema.

Primeiro, quando eu digo "no sistema operacional" é no sentido de que seria instalado pelo responsável (root) e de forma que não possa ser contornado de forma trivial por um adolescente. Isso é perfeitamente possível de ser feito com um pacote opcional, a ser incluído apenas em sistemas aos quais o ECA Digital se aplique e não em toda e qualquer instalação do Debian ou de qualquer outro SO.

Segundo, qualquer solução aceitável teria que ser uma solução baseada em credenciais verificáveis, provas de conhecimento zero, ou algo do tipo, que não forneça nenhum dado pessoal além do mínimo necessário para saber a faixa etária do usuário.

A Lei Nº 15.211, de 17 de setembro de 2025, popularmente conhecida como o ECA Digital (em referência ao ECA - Estatuto de Criança e do Adolescente, lei Nº 8.069, de 13 de julho de 1990), foi promulgada em março de 2026. A não ser que você tenha estado numa caverna no último mês, você sabe que essa lei declara o objetivo de "proteção de crianças e adolescentes em ambientes digitais".

Por um lado, é evidente que a distribuição de conteúdo em massa tem que ser regulada de alguma forma pra evitar a instrumentalização das redes sociais pra promover o vício em estar online, a divulgação de desinformação, incluindo pra influenciar eleições e articular tentativas de golpes de estado, e outras atividades que claramente criam problemas para a saúde pública e para a economia popular (apostas?). Crianças e adolescentes são particularmente suscetíveis a essa pororoca de chorume que é a internet comercial.

Por outro lado, existem várias partes da lei que não são específicas o suficiente, e que abrem brechas para tornar legais coisas que são absolutamente execráveis, como a coleta de dados biométricos em massa a fim de "proteger as criancinhas".

Eu acho que muitos aspectos desse lei merecem debate, mas aqui eu vou focar apenas na relação dessa nova legislação com o Debian e as suas consequências concretas para o projeto, porque a lei 15.211 menciona explicitamente "sistemas operacionais de terminal", que são sistemas operacionais destinados ao acesso à internet por usuários finais.

Problemas complexos possuem respostas fáceis que sempre estão erradas, e eu não pretendo aqui trazer conclusões definitivas.

A reação ao ECA Digital

A iminência da promulgação levou a uma reação de pânico na internet. Textos e mais textos foram escritos. Só no Tecmundo, que segundo algumas fontes parece ser "o maior site sobre tecnologia do Brasil", teve um texto do Thiago Ayub que ao menos na minha bolha pareceu ser o primeiro a viralizar sobre o tema, e aparentemente deu o tom da reação da maioria da comunidade.

Outra reação bastante negativa foi a do Alexandre Oliva, que vem escrevendo uma série de textos que aumenta cada vez que eu consulto. O Oliva é uma referência no Software Livre e eu tenho máximo respeito pelas reflexões dele. Ele questiona tudo que poderia dar errado, e passa um depurador no texto da lei. Vai um pouco longe em alguns possíveis casos que a lei poderia vir a se aplicar, eu acho, mas vale a leitura.

Uma certa bolha no Youtube viu uma explosão de vídeos apocalípticos decretando o fim do "Linux" no Brasil. Um vídeo razoável, de um canal que eu acompanho e cujas reflexões eu respeito e com as quais eu quase sempre concordo, foi o do Tecnologia e Classe.

Reflexões um pouco mais otimistas vêm do Paulo Rená, que tem publicado vários textos também no Tecmundo com uma visão mais positiva sobre a lei em si e sobre as suas consequências para o software livre, e sobre como os requisitos de aferição de idade podem ser implementados da uma forma que não contribua com um aumento da vigilância em massa.

O que de concreto nós (não) sabemos até agora

A lei foi sancionada em Março, e sua regulação foi delegada à Agência Nacional de Proteção de Dados (ANPD), o que a princípio parece ser um bom sinal. A ANPD divulgou um cronograma de ações relacionadas à regulação, onde é dito que a partir de março de 2026, "priorizará o monitoramento de lojas de aplicativos e sistemas operacionais proprietários".

Algo que me parece claro é que o a maior parte dos sistemas livres, usados como infraestrutura, servidores, desktops corporativos, estações de trabalho etc, não são alcançados pela lei, porque não são "direcionado a crianças e a adolescentes no País ou de acesso provável por eles". Também me parece claro que o objetivo é regular os fornecedores comerciais de hardware com sistema operacional pré-instalado, e que pais e responsáveis que instalam um sistema livre que eventualmente sejam usados por crianças ou adolescentes não estão em risco.

Por outro lado, empresas vão estar na mira, mais cedo ou mais tarde. A Canonical, que nem vende hardware, está listada entre as empresas às quais a ANPD solicitou informações sobre planos para adequação. Fornecedores de hardware com software livre para consumidor final certamente vão entrar no radar mais cedo ou mais tarde, assim como empresas que eventualmente vendam hardware com software livre para escolas. Não sei quantas dessas empresas existem, mas a gente com certeza quer que existam mais delas, e não menos!

Numa live organizada pela Safernet Brasil, mais de um dos representantes do governo, incluindo o representante da ANPD, disseram textualmente que não é o objetivo da lei prejudicar as comunidades de software livre. Nesta mesma live, eu postei 4 perguntas que a princípio ficarem sem resposta:

1. A nota inicial da ANPD menciona monitorar inicialmente "sistemas operacionais proprietários", mas mais pra frente fala apenas de "sistemas operacionais". Como exatamente ficam os sistemas operacionais livres?
2. Num contexto de regulação de sistemas operacionais, é suficiente que um sistema operacional forneça a possibilidade opcional de controle parental, com indicação da idade configurada localmente no sistema pelo responsável (administrador do sistema, i.e. "root"), e que responda apenas "sim" ou "não" a perguntas do tipo "o usuário tem mais do que X anos de idade?", ou apenas informe uma faixa etária para aplicações, sem nenhuma outra informação pessoal?
3. Projetos de sistema operacional livre, como o Debian, vão precisar ter alguma forma de representação formal no Brasil pra lidar com eventual monitoramento pela ANPD? O Debian não tem uma entidade formal central mesmo a nível internacional!
4. O grupo brasileiro de membros do Debian deveria procurar contratar uma orientação legal agora, ou num futuro próximo?

A ANPD deve iniciar uma consulta pública (Tomada de Subsídios) ainda em Abril sobre detalhes técnicos, o que até agora não aconteceu. A partir desse momento, espero que consigamos ter um melhor entendidmento do quê concretamente o projeto Debian precisa fazer, e também -- e principalmente -- o que o Debian não precisa fazer.

O papel de um Sistema Operacional livre na proteção de crianças e adolescentes

O sistema operacional está numa posição privilegiada, tanto pra proteger, quanto pra abusar do usuário. Um sistema operacional livre, mantido por uma comunidade ativa e com os mecanismos de transparência já tradicionais, sob o controle do dono do equipamento, deve ser capaz de proteger os usuários da indústica de vigilância, e não fornecer mais do que o mínimo necessário pra cumprir os objetivos da lei, que é a proteção de crianças e adolescentes: apenas uma resposta sim/não pra uma pergunta sobre a idade do usuário, ou no máximo informar a faixa de idade dele.

Problemas em aberto pra além do sistema operacional

Mesmo a maioria das pessoas que estão utilizando um sistema operacional livre estão consumindo serviços proprietários e/ou centralizados do centro do capitalismo, e esse é, na minha visão, um problema muito mais cabeludo do que o que nós enquanto desenvolvedores de sistemas operacionais vamos ter que lidar.

Existem vários problemas em aberto para as camadas acima do sistema operacional, e isso já começou a se manifestar com empresas querendo coletar selfies, documentos e etc. O ECA Digital não exige coleta de biometria, mas também não proíbe definitivamente.

Provas de conhecimento zero (ZKP - Zero Knowledge Proofs) são uma alternativa a ter que fornecer biometria ou outras formas de informações pessoais a um número incomensurável de provedores de serviço, mas ainda assim, exigem fornecer essas informações a pelo menos uma terceira parte que seja confiável tanto pela sociedade quando para as empresas.

No final das contas, o ideal seria que se o SO fornece uma atestação de idade verificada localmente, isso fosee o suficiente e nenhuma informação pessoal a mais fosse necessária. Mas o próprio texto da lei diz que as aplicações precisam "implementar mecanismos próprios para impedir o acesso indevido de crianças e de adolescentes a conteúdos inadequados para sua faixa etária", independente do que o SO faça, o que pode abrir as portas pra reforçar ainda mais o estado de vigilância em que estamos metidos.

Uma proposta de agenda para a comunidade de Software Livre

Sou pai de um adolescente que hoje tem 16 anos, e desde que ele tinha 13 eu tive que prestar muita atenção no que ele fazia online. Teve bastante conversa, mas qualquer adulto que já precisou convencer uma adolescente de algo com o quê ele discorda a princípio sabe que existem limites pra esse diálogo. Dessa forma, foi inevitável adotar soluções técnicas pra um problema social, pra evitar tanto o excesso de uso, quanto o consumo de conteúdo que não é adequado pra nenhum ser humano, muito menos pra alguém cuja percepção do mundo ainda está em formação.

Na minha opinião, o que sistemas operacionais livres como o Debian devem fazer é fornecer uma ou mais soluções razoáveis de controle parental que sejam capazes de indicar a idade ou faixa etária do usuário atual sem vazar nenhuma outra informação e sem comunicar isso pra além da aplicação que está usando a API disponível para isso. Eu gostaria de ter essa funcionalidade pra quando minha sobrinha de 8 anos vier na minha casa e eu precisar emprestar um sistema pra ela usar.

Eu acredito que o controle parental do GNOME é um ótimo começo, e aparentemente ele está ainda melhor no GNOME 50, que deve chegar no Debian testing Logo™.

Pra mim, os nossos próximos passos devem ser:

1. Incidir em todos os espaços possíveis pra garantir que o processo de regulação pela ANPD explicite como exatamente projetos de software livre serão tratados com relação ao ECA Digital. Por exemplo, se a ANPD não pretende aplicar a lei a projetos de software livre, precisamos que isso esteja formalizado por escrito.
2. Monitorar, e quando possível colaborar como o processo de implementação dos mecanismos de aferição de idade pra que as soluções adotadas maximizem a privacidade dos usuários, tanto na camada de sistema operacional quanto para aplicações.
3. Mostrar como é possível ter soluções livres e auditáveis das eventuais ferramentas que serão necessárias. Por exemplo, pra mim seria fundamental que existisse uma implementação de referência de um serviço de Provas de conhecimento zero que seja empacotável no Debian e que não dependa de instalar um caminhão de dependências de um lugar aleatório na internet e que possa beneficiar seus usuários com o processo de atualizações de segurança da comunidade de software livre.

Pro futuro, acho que o principal aprendizado é que não podemos deixar esse tipo de regulação ser discutida à nossa revelia, e temos que estar preparados pra participar mais ativamente do processo de discussão junto a organizações que fazem esses debates. Nossa capacidade de interferir no processo legislativo em si provavelmente vai ser limitada, mas vamos ter que dar um jeito de depurar leis como essa antes delas serem aprovadas.

No próximo sábado estaremos discutindo este tema na MiniDebConf 2026, que vai acontecer entre 23 e 25 na UNICAMP.

Acabamos de lançar mais um episódio do Papo Livre: #1 – meios de comunicação.

Neste episódio eu, Paulo Santana e Thiago Mendonça discutimos os diversos meios de comunicação em comunidades de software livre. A discussão começa pelos meios mais “antigos”, como IRC e listas de discussão e chega aos mais “modernos”, passo pelo meio livre e meio proprietário Telegram, e chega à mais nova promessa nessa área, Matrix (e o seu cliente mais famoso/viável, Riot).

Podcasts têm sido um dos meus passatempos favoritos a um tempo. Eu acho que é um formato muito interssante, por dois motivos.

Primeiro, existem muitos podcasts com conteúdo de altíssima qualidade. Meu feed atualmente contém os seguintes (em ordem de assinatura):

• The Changelog
• Request for Commits
• FLOSS Weekly
• Ruby Rogues
• Free as in Freedom
• Joe Rogan Podcast
• Waking Up with Sam Harris
• Nerdcast
• Café Brasil
• Anticast
• Mamilos
• Ultrageek
• Invisibilia
• Decrépitos
• PodProgramar

Parece muito, e é. Ultimamente eu notei que estava ouvindo episódios com várias semanas de atraso, e resolvi priorizar episódios cujo tema me interessam muito e/ou que dizem respeito a temas da atualidade. Além disso desencanei de tentar escutar tudo, e passei a aceitar que vou deletar alguns itens sem escutar.

Segundo, ouvir um podcast não exige que você pare pra dar atenção total. Por exemplo, por conta de uma lesão no joelho que me levou a fazer cirurgia reconstrução de ligamento, eu estou condenado a fazer musculação para o resto da minha vida, o que é um saco. Depois que eu comecei a ouvir podcasts, eu tenho vontade de ir pra academia, porque agora isso representa o meu principal momento de ouvir podcast. Além disso, toda vez que eu preciso me deslocar sozinho pra qualquer lugar, ou fazer alguma tarefa chata mas necessária como lavar louça, eu tenho companhia.

Fazia um tempo que eu tinha vontade de fazer um podcast, e ontem oficialmente esse projeto se tornou realidade. Eu, Paulo Santana e Thiago Mendonça estamos lançando o Podcast Papo Livre onde discutiremos software livre em todos os seus aspectos.

No primeiro episódio, partindo da notícia sobre a vinda de Richard Stallman ao Brasil nas próximas semanas, discutimos as origens e alguns conceitos fundamentais do software livre.

A Software Freedom Conservancy é uma organização sem fins lucrativos que fornece “personalidade jurídica” a projetos de software livre, o que possibilita que os projetos recebam doações, emitam recibos sem precisarem passarem pelo processo árduo de formalizarem as suas próprias organizações.

Uma outra atividade muito importante que a Conservancy desempenha é a de combater violações da GPL para os projetos membros. Por exemplo ela no momento está numa batalha judicial contra a VMWare onde a mesma é acusada de violar da GPL no Linux (o kernel, como você já sabe) na distribuição de um de seus produtos proprietários de virtualização.

Na última Debconf em Agosto deste ano, a Software Freedom Conservancy anunciou um programa onde membros do Debian podem escolher delegar à Conservancy os direitos de garantir o cumprimento da GPL nos seus projetos.

Garantir o cumprimento da GPL é uma tarefa árdua, e precisa de recursos para poder pagar as pessoas. E pode te trazer inimigos poderosos: por exemplo, em função da ação contra a VMWare a Conservancy teve palestras em eventos canceladas na última hora, e perdeu patrocinadores.

Para dar continuidade às suas atividades, a Conservancy está com uma campanha para ter o apoio de indivíduos, de forma que os patrocinadores corporativos tenham menos peso no seu financiamento. Se você se importa com a GPL e pode contribuir, por favor faça a sua parte!