Debian e o ECA Digital

April 18, 2026
Tags: ,

A Lei Nº 15.211, de 17 de setembro de 2025, popularmente conhecida como o ECA Digital (em referência ao ECA - Estatuto de Criança e do Adolescente, lei Nº 8.069, de 13 de julho de 1990), foi promulgada em março de 2026. A não ser que você tenha estado numa caverna no último mês, você sabe que essa lei declara o objetivo de "proteção de crianças e adolescentes em ambientes digitais".

Por um lado, é evidente que a distribuição de conteúdo em massa tem que ser regulada de alguma forma pra evitar a instrumentalização das redes sociais pra promover o vício em estar online, a divulgação de desinformação, incluindo pra influenciar eleições e articular tentativas de golpes de estado, e outras atividades que claramente criam problemas para a saúde pública e para a economia popular (apostas?). Crianças e adolescentes são particularmente suscetíveis a essa pororoca de chorume que é a internet comercial.

Por outro lado, existem várias partes da lei que não são específicas o suficiente, e que abrem brechas para tornar legais coisas que são absolutamente execráveis, como a coleta de dados biométricos em massa a fim de "proteger as criancinhas".

Eu acho que muitos aspectos desse lei merecem debate, mas aqui eu vou focar apenas na relação dessa nova legislação com o Debian e as suas consequências concretas para o projeto, porque a lei 15.211 menciona explicitamente "sistemas operacionais de terminal", que são sistemas operacionais destinados ao acesso à internet por usuários finais.

Problemas complexos possuem respostas fáceis que sempre estão erradas, e eu não pretendo aqui trazer conclusões definitivas.

A reação ao ECA Digital

A iminência da promulgação levou a uma reação de pânico na internet. Textos e mais textos foram escritos. Só no Tecmundo, que segundo algumas fontes parece ser "o maior site sobre tecnologia do Brasil", teve um texto do Thiago Ayub que ao menos na minha bolha pareceu ser o primeiro a viralizar sobre o tema, e aparentemente deu o tom da reação da maioria da comunidade.

Outra reação bastante negativa foi a do Alexandre Oliva, que vem escrevendo uma série de textos que aumenta cada vez que eu consulto. O Oliva é uma referência no Software Livre e eu tenho máximo respeito pelas reflexões dele. Ele questiona tudo que poderia dar errado, e passa um depurador no texto da lei. Vai um pouco longe em alguns possíveis casos que a lei poderia vir a se aplicar, eu acho, mas vale a leitura.

Uma certa bolha no Youtube viu uma explosão de vídeos apocalípticos decretando o fim do "Linux" no Brasil. Um vídeo razoável, de um canal que eu acompanho e cujas reflexões eu respeito e com as quais eu quase sempre concordo, foi o do Tecnologia e Classe.

Reflexões um pouco mais otimistas vêm do Paulo Rená, que tem publicado vários textos também no Tecmundo com uma visão mais positiva sobre a lei em si e sobre as suas consequências para o software livre, e sobre como os requisitos de aferição de idade podem ser implementados da uma forma que não contribua com um aumento da vigilância em massa.

O que de concreto nós (não) sabemos até agora

A lei foi sancionada em Março, e sua regulação foi delegada à Agência Nacional de Proteção de Dados (ANPD), o que a princípio parece ser um bom sinal. A ANPD divulgou um cronograma de ações relacionadas à regulação, onde é dito que a partir de março de 2026, "priorizará o monitoramento de lojas de aplicativos e sistemas operacionais proprietários".

Algo que me parece claro é que o a maior parte dos sistemas livres, usados como infraestrutura, servidores, desktops corporativos, estações de trabalho etc, não são alcançados pela lei, porque não são "direcionado a crianças e a adolescentes no País ou de acesso provável por eles". Também me parece claro que o objetivo é regular os fornecedores comerciais de hardware com sistema operacional pré-instalado, e que pais e responsáveis que instalam um sistema livre que eventualmente sejam usados por crianças ou adolescentes não estão em risco.

Por outro lado, empresas vão estar na mira, mais cedo ou mais tarde. A Canonical, que nem vende hardware, está listada entre as empresas às quais a ANPD solicitou informações sobre planos para adequação. Fornecedores de hardware com software livre para consumidor final certamente vão entrar no radar mais cedo ou mais tarde, assim como empresas que eventualmente vendam hardware com software livre para escolas. Não sei quantas dessas empresas existem, mas a gente com certeza quer que existam mais delas, e não menos!

Numa live organizada pela Safernet Brasil, mais de um dos representantes do governo, incluindo o representante da ANPD, disseram textualmente que não é o objetivo da lei prejudicar as comunidades de software livre. Nesta mesma live, eu postei 4 perguntas que a princípio ficarem sem resposta:

  1. A nota inicial da ANPD menciona monitorar inicialmente "sistemas operacionais proprietários", mas mais pra frente fala apenas de "sistemas operacionais". Como exatamente ficam os sistemas operacionais livres?
  2. Num contexto de regulação de sistemas operacionais, é suficiente que um sistema operacional forneça a possibilidade opcional de controle parental, com indicação da idade configurada localmente no sistema pelo responsável (administrador do sistema, i.e. "root"), e que responda apenas "sim" ou "não" a perguntas do tipo "o usuário tem mais do que X anos de idade?", ou apenas informe uma faixa etária para aplicações, sem nenhuma outra informação pessoal?
  3. Projetos de sistema operacional livre, como o Debian, vão precisar ter alguma forma de representação formal no Brasil pra lidar com eventual monitoramento pela ANPD? O Debian não tem uma entidade formal central mesmo a nível internacional!
  4. O grupo brasileiro de membros do Debian deveria procurar contratar uma orientação legal agora, ou num futuro próximo?

A ANPD deve iniciar uma consulta pública (Tomada de Subsídios) ainda em Abril sobre detalhes técnicos, o que até agora não aconteceu. A partir desse momento, espero que consigamos ter um melhor entendidmento do quê concretamente o projeto Debian precisa fazer, e também -- e principalmente -- o que o Debian não precisa fazer.

O papel de um Sistema Operacional livre na proteção de crianças e adolescentes

O sistema operacional está numa posição privilegiada, tanto pra proteger, quanto pra abusar do usuário. Um sistema operacional livre, mantido por uma comunidade ativa e com os mecanismos de transparência já tradicionais, sob o controle do dono do equipamento, deve ser capaz de proteger os usuários da indústica de vigilância, e não fornecer mais do que o mínimo necessário pra cumprir os objetivos da lei, que é a proteção de crianças e adolescentes: apenas uma resposta sim/não pra uma pergunta sobre a idade do usuário, ou no máximo informar a faixa de idade dele.

Problemas em aberto pra além do sistema operacional

Mesmo a maioria das pessoas que estão utilizando um sistema operacional livre estão consumindo serviços proprietários e/ou centralizados do centro do capitalismo, e esse é, na minha visão, um problema muito mais cabeludo do que o que nós enquanto desenvolvedores de sistemas operacionais vamos ter que lidar.

Existem vários problemas em aberto para as camadas acima do sistema operacional, e isso já começou a se manifestar com empresas querendo coletar selfies, documentos e etc. O ECA Digital não exige coleta de biometria, mas também não proíbe definitivamente.

Provas de conhecimento zero (ZKP - Zero Knowledge Proofs) são uma alternativa a ter que fornecer biometria ou outras formas de informações pessoais a um número incomensurável de provedores de serviço, mas ainda assim, exigem fornecer essas informações a pelo menos uma terceira parte que seja confiável tanto pela sociedade quando para as empresas.

No final das contas, o ideal seria que se o SO fornece uma atestação de idade verificada localmente, isso fosee o suficiente e nenhuma informação pessoal a mais fosse necessária. Mas o próprio texto da lei diz que as aplicações precisam "implementar mecanismos próprios para impedir o acesso indevido de crianças e de adolescentes a conteúdos inadequados para sua faixa etária", independente do que o SO faça, o que pode abrir as portas pra reforçar ainda mais o estado de vigilância em que estamos metidos.

Uma proposta de agenda para a comunidade de Software Livre

Sou pai de um adolescente que hoje tem 16 anos, e desde que ele tinha 13 eu tive que prestar muita atenção no que ele fazia online. Teve bastante conversa, mas qualquer adulto que já precisou convencer uma adolescente de algo com o quê ele discorda a princípio sabe que existem limites pra esse diálogo. Dessa forma, foi inevitável adotar soluções técnicas pra um problema social, pra evitar tanto o excesso de uso, quanto o consumo de conteúdo que não é adequado pra nenhum ser humano, muito menos pra alguém cuja percepção do mundo ainda está em formação.

Na minha opinião, o que sistemas operacionais livres como o Debian devem fazer é fornecer uma ou mais soluções razoáveis de controle parental que sejam capazes de indicar a idade ou faixa etária do usuário atual sem vazar nenhuma outra informação e sem comunicar isso pra além da aplicação que está usando a API disponível para isso. Eu gostaria de ter essa funcionalidade pra quando minha sobrinha de 8 anos vier na minha casa e eu precisar emprestar um sistema pra ela usar.

Controle parental no GNOME 49

Eu acredito que o controle parental do GNOME é um ótimo começo, e aparentemente ele está ainda melhor no GNOME 50, que deve chegar no Debian testing Logo™.

Pra mim, os nossos próximos passos devem ser:

  1. Incidir em todos os espaços possíveis pra garantir que o processo de regulação pela ANPD explicite como exatamente projetos de software livre serão tratados com relação ao ECA Digital. Por exemplo, se a ANPD não pretende aplicar a lei a projetos de software livre, precisamos que isso esteja formalizado por escrito.
  2. Monitorar, e quando possível colaborar como o processo de implementação dos mecanismos de aferição de idade pra que as soluções adotadas maximizem a privacidade dos usuários, tanto na camada de sistema operacional quanto para aplicações.
  3. Mostrar como é possível ter soluções livres e auditáveis das eventuais ferramentas que serão necessárias. Por exemplo, pra mim seria fundamental que existisse uma implementação de referência de um serviço de Provas de conhecimento zero que seja empacotável no Debian e que não dependa de instalar um caminhão de dependências de um lugar aleatório na internet e que possa beneficiar seus usuários com o processo de atualizações de segurança da comunidade de software livre.

Pro futuro, acho que o principal aprendizado é que não podemos deixar esse tipo de regulação ser discutida à nossa revelia, e temos que estar preparados pra participar mais ativamente do processo de discussão junto a organizações que fazem esses debates. Nossa capacidade de interferir no processo legislativo em si provavelmente vai ser limitada, mas vamos ter que dar um jeito de depurar leis como essa antes delas serem aprovadas.

No próximo sábado estaremos discutindo este tema na MiniDebConf 2026, que vai acontecer entre 23 e 25 na UNICAMP.