Impacto do ECA Digital nos sistemas operacionais livres

May 25, 2026
Tags: (none)

Nesta segunda-feira, 25 de maio de 2026, eu tive o prazer de participar como convidado do Comitê Gestor da Internet no Brasil (CGI.br), do debate Impacto do ECA digital em Sistemas Operacionais, parte da programação do Fórum da Internet no Brasil em Belém/PA. Neste texto, que é uma versão expandida do que eu preparei como minha contribuição ao debate, eu quero explorar quais as consequências do ECA Digital para sistemas operacionais livres, como o Debian. Como o debate não era um debate de engenharia, alguns detalhes das minhas ideias sobre o tema ficaram de fora, e eu adicionei elas aqui num adendo.

O ECA Digital busca resolver um problema que é real, e eu diria até mesmo urgente, que é a proteção de direitos fundamentais de crianças e adolescentes no ambiente digital. Esses direitos incluem, mas não estão limitados, aos direitos à liberdade, ao respeito e á dignidade; o direito á educação, a cultura, ao esporte e ao lazer. Estes direitos são ameaçados, quando as plataformas distribuem conteúdos e entregam experiências que estimulam o excesso de uso de telas, a violência, o preconceito e a desinformação, tudo em nome de maximizar o tempo gasto nas plataformas, seja consumindo publicidade, seja produzindo dados que serão vendidos mais tarde pra mais publicidade ou para coisas piores.

Essa proteção, segundo o ECA (o original), é compartilhada entre a família, o estado e a sociedade. Isso significa então, que a sociedade -- empresas, associações e -- por que não -- projetos de software livre têm, a princípio, que colaborar com a manutenção daqueles direitos, e o ECA Digital impõe algumas obrigações neste sentido.

Impacto inicial

O período imediatamente posterior à sanção do ECA Digital foi bastante tumultuado. A gente passou por um certo pânico, um temor de que de repente o software livre de repente passaria a estar "fora da lei". Isso foi potencializado por bastante desinformação, como a não-notícia de que dois sistemas operacionais muito pouco relevantes anunciaram "sua saída do Brasil, 'culpando' o ECA Digital".

Na minha avaliação, estávamos despreparados pelo fato da comunidade de software livre não estar, ou estar muito pouco, organizada politicamente pra debater e influenciar em políticas públicas que nos afetam diretamente. Um dos aprendizados deste processo é a percepção de que precisamos voltar a se organizar.

Sistemas operacionais livres afetados

O [texto do ECA Digital (lei 15.211)][l15211] define obrigações para "produtos ou serviços de tecnologia da informação direcionados a crianças e a adolescentes ou de acesso provável por eles". O Guia Orientativo da ANPD (ainda em consulta pública enquanto eu escrevo este texto) traz mais detalhes sobre isso, mas o meu resumo seria que:

  • Servidores, estações de trabalho, etc não são afetados, porque não são direcionados a crianças e a adolescentes ou de acesso provável por eles.
  • Computadores de uso geral vendido com sistemas operacionais livres pré-instalados (por exemplos máquinas da Dell com Ubuntu pré-instalados) seriam afetados; empresas que eventualmente forneçam equipamentos com software livre para escolas também.

Obrigações dos sistemas operacionais no ECA Digital

O Eca Digital define as obrigações para os sistemas operacionais no seu artigo 12:

Art. 12. Os provedores de lojas de aplicações de internet e de sistemas operacionais de terminais deverão:

I – tomar medidas proporcionais, auditáveis e tecnicamente seguras para aferir a idade ou a faixa etária dos usuários, observados os princípios previstos no art. 6º da Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais);

II – permitir que os pais ou responsáveis legais configurem mecanismos de supervisão parental voluntários e supervisionem, de forma ativa, o acesso de crianças e de adolescentes a aplicativos e conteúdos; e

III – possibilitar, por meio de Interface de Programação de Aplicações (Application Programming Interface – API) segura e pautada pela proteção da privacidade desde o padrão, o fornecimento de sinal de idade aos provedores de aplicações de internet, exclusivamente para o cumprimento das finalidades desta Lei e com salvaguardas técnicas adequadas.

A obrigação do inciso II já é tranquilamente atendidade por exemplo pela disponibilazação do GNOME Parental Controls, do KDE Kiosk, entre outros.

Os incisos I e III que são algo inédito, e involvem o desafio de aferir a idade dos usuários e fornecer essa informação para aplicativos para que aplicativos e plataformas adequem a sua experiência à faixa etária do usuario criança ou adolescente, sem pra isso vazer nenhum dado pessoal, includindo a identidade do usuário.

Uma estratégia de conformidade

Temos duas informações pra afirmar que sistemas operacionais livres não têm necessidade de fazer nada de forma imediata. Primeiro, de acordo com as definições no Guia Orientativo da ANDP, os sistemas operacionais livres apresentam baixo risco, por a princípio serem muito pouco usados por crianças e adolescentes. Segundo, a ANPD também menciona explicitamente que a sua prioridade inicial é a fiscalização de sistemas proprietários, em especial de Google, Apple e Microsoft.

No entanto, a princípio nada impede que a médio/longo prazo sistemas livres venham a ser fiscalizados, o que faz com que precisemos tem um plano, que certamente vai ter que ser coordenado de alguma com a comunidade internacional porque não seria prático ter uma solução apenas para o Brasil se pode haver legislação semelhante em muitos outros países.

Qualquer solução livre para aferição e emissão de sinal de idade pelo SO, pra ser feita do jeito certo, de uma forma que proteja os dados pessoais e a privacidade das crianças e adolescentes, precisaria de financiamento porque fazer isso não é trivial e envolve um esforço de projeto razoável, e que definitivamente não é possível de se fazer com base no esforço voluntário.

Mas o que me preocupa muito mais é o processo de aferição de idade pelas plataformas online, e a gente já teve notícias de plataformas exigindo biometria (selfies), upload de documentos pessoais, e tudo mais.

O SO está numa posição privilegiada para proteger os dados pessoais e a privacidade dos usuários. Se um sinal de idade fornecido pelo SO for suficiente para que não seja necessária aplicação com métodos mais invasivos por plataformas e aplicativos, nesse caso provavelmente valeria à pena para a comunidade implementar aferição e sinal de idade no sistema operacional.

Um outro pressuposto dessa eventual conformidade com o ECA Digital seria o da participação do responsável: se um adolescente tem a senha do root, então nada é garantido, já que pela própria natureza do software livre implica que ele pode ser modificado pelo usuário.

Política

Um último aspecto de uma eventual implementação de aferição e sinal de idade é o ambiente totalmente conflagrado no debate sobre o tema. Todas as tentativas de especificação ou implementação até agora geraram flamewars gigantes, com bastante FUD e alguns argumentos sensatos com questões válidas sobre proteção de dados e riscos à privacidade.

Qualquer tentativa de implementação vai ter que não só endereçar as questões técnicas, mas também ser bem documentada pra atenuar -- assumindo que não vai ser possível impedir totalmente -- a fúria na internet.

Adendo: o que exatamente eu quero dizer com "no sistema operacional"

Minha fala durante o evento terminou na seção anterior, mas eu vou expandir aqui as minhas ideias sobre uma eventual implementação de aferição e sinal de idade. Essa ideais são muito preliminares e representam só o pouco que eu aprendi desde que comecei a acompanhar este tema.

Primeiro, quando eu digo "no sistema operacional" é no sentido de que seria instalado pelo responsável (root) e de forma que não possa ser contornado de forma trivial por um adolescente. Isso é perfeitamente possível de ser feito com um pacote opcional, a ser incluído apenas em sistemas aos quais o ECA Digital se aplique e não em toda e qualquer instalação do Debian ou de qualquer outro SO.

Segundo, qualquer solução aceitável teria que ser uma solução baseada em credenciais verificáveis, provas de conhecimento zero, ou algo do tipo, que não forneça nenhum dado pessoal além do mínimo necessário para saber a faixa etária do usuário.