ECA Digital e Software Livre
TechReg Insights #7
Olá, pessoal! Aqui é o Rodrigo Ferreira, e esta é a TechReg Insights.
ECA Digital e o uso de GNU/Linux no Brasil
Tenho lido uma quantidade assustadora de leituras excessivamente otimistas ou pessimistas sobre o impacto do ECA Digital na disponibilidade de software livre e de código aberto (FOSS) no Brasil. Como entusiasta de software livre, usuário de distribuições GNU/Linux há mais de duas décadas, pesquisador em regulação algorítmica e pai de três crianças, penso que posso lançar luz sobre alguns pontos.
Preliminarmente, para já chutarmos isso para longe da mesa: “Lei Felca” é o cacete. O debate é muito anterior ao (positivamente) induzido pelo Felca, e a regulação é, para o bem e para o mal, muito mais ampla do que as denúncias específicas dele.
Além disso, diferentemente de normas como a “Lei Maria da Penha”, cuja homenagem, por meio de menção nominal, consta expressamente da ementa, a Lei 15.211/2025, segundo a ementa, “Dispõe sobre a proteção de crianças e adolescentes em ambientes digitais (Estatuto Digital da Criança e do Adolescente)”. Zero referências ao Felca.
Quer simplificar o longo “Estatuto Digital da Criança e do Adolescente”? Beleza: chamemos de “ECA Digital”.
Agora podemos avançar para o tema central. E, entre extremos, a verdade normalmente está no meio-termo.
Vou ignorar a turma mal-intencionada. Dentre os bem-intencionados, vejo vários veiculando a ideia de que o ECA Digital não impacta negativamente sistemas operacionais FOSS como as distribuições GNU/Linux. E outros tantos afirmam que, como está, o ECA Digital vai levar ao banimento do GNU/Linux no Brasil.
A meu ver, os dois grupos estão errados e suas premissas não são sustentadas por avaliações básicas da realidade objetiva, apesar das boas intenções.
Como a ideia deste artigo é apresentar argumentos técnicos, vou adotar algumas tecnicalidades que não empregaria em uma conversa informal, mas que serão necessárias para uma delimitação mais precisa do ECA Digital em relação a sistemas operacionais livres.
Em primeiro lugar, há uma polissemia lesiva no debate quando se fala sobre Linux. Linux é, tecnicamente, um kernel (o núcleo do sistema operacional) que atua como ponte entre o hardware e os demais softwares. Ele não é, em si, um sistema operacional. Portanto, se formos tecnicamente precisos, nenhuma das obrigações do ECA Digital recai diretamente sobre o Linux (kernel), nem seria implementada diretamente nele.
Entretanto, informalmente, utilizamos (eu mesmo) o termo Linux para indicar sistemas operacionais que são a agregação do projeto GNU (a maior iniciativa de software livre de todos os tempos, e que é a base do sistema operacional propriamente dito) com o kernel Linux. A essa base, que chamamos de GNU/Linux (e que tem muito mais do GNU do que do Linux), vários outros softwares, desenvolvidos e mantidos por outras comunidades, são agregados, formando as diversas distribuições de GNU/Linux como Debian, Arch ou Fedora.
Algumas dessas distribuições são modificadas e tornam-se distribuições independentes. Por exemplo, o super popular Ubuntu, que eu mesmo utilizo, é baseado em Debian. E há uma distribuição educacional chamada Edubuntu, que é baseada no Ubuntu, que é baseado no Debian, que é baseado no GNU com o kernel Linux.
Então, logo de início, vamos alinhar a terminologia de forma mais própria para um debate técnico. Neste texto, adotaremos os seguintes conceitos:
“Linux” se refere ao kernel.
“GNU/Linux” se refere à base do sistema operacional que é a integração dos projetos GNU e Linux.
“Distribuição GNU/Linux” refere-se à base GNU/Linux sobre a qual são agregados dezenas de milhares de softwares complementares, de múltiplas fontes e comunidades de software livre, de forma a compor um sistema operacional útil para usuários finais.
Por que isso, que tem sido ignorado no debate, é super importante? Porque esses milhares de componentes que compõem uma distribuição GNU/Linux são desenvolvidos e mantidos por comunidades completamente distintas. Uma instalação básica do Debian para desktop inclui cerca de dois mil (!!!) pacotes de software. O APT (Advanced Packaging Tool) do Debian oferece outros cerca de SETENTA MIL pacotes. E cada subcomponente, em cada um desses pacotes, muitas vezes tem seus próprios desenvolvedores, muitos deles voluntários, espalhados pelos mais diversos cantos do planeta.
Mesmo as fundações, que recebem doações e financiam desenvolvedores de tempo integral para alguns componentes mais importantes, são descentralizadas. O kernel é mantido pela Linux Kernel Organization, financiada pela Linux Foundation. Os componentes do GNU são mantidos pela Free Software Foundation. Ferramentas de produtividade livres? Document Foundation, dentre outros. Servidor web? Apache Foundation, dentre outros. Isso tudo é organizado nas distribuições, como a Debian, mantida pela Software in the Public Interest (SPI), uma entidade sem fins lucrativos que agrega essa estrutura de software, mas não a desenvolve.
Entender isso é fundamental, porque parte do que o ECA Digital exige não será (nem teria, realisticamente, como ser) desenvolvida ou mantida por quem gerencia essas distribuições. Por exemplo: parte das novas soluções de controle parental em várias distribuições GNU/Linux virá do GNOME 50. O que é o GNOME? É o ambiente gráfico de desktop de várias das principais distribuições GNU/Linux. E, apesar do nome significar originalmente GNU Network Object Model Environment, o GNOME não é mais vinculado ao GNU. É mantido, adivinhem, pela GNOME Foundation.
Limite de tempo de tela do controle parental do GNOME 50.
O Ubuntu, derivado da Debian, é organizado pela Canonical. Ele adotará o GNOME 50. E só agora chegamos a uma empresa com fins lucrativos, que oferece serviços e, paralelamente, disponibiliza o Ubuntu como software livre e aberto. Empresa que, inclusive, possui CNPJ no Brasil (a Brasil Serviços de Software Ltda é subsidiária da Canonical Group). Mas que é a última em uma longa cadeia de softwares livres, inclusive sistemas operacionais de base.
Superadas as tecnicalidades, vamos ao Direito.
O art. 2º, I, do ECA Digital remete explicitamente a sistemas operacionais (com a bisonha redação “sistemas operacionais de terminais”), e o art. 12 estabelece obrigações específicas para esses sistemas, como a aferição de faixa etária, o controle parental e a API para sinal de idade. Cumprir algumas dessas obrigações, no atual estado da arte, impõe ajustes nos sistemas operacionais que dependerão da comunidade de desenvolvedores camadas abaixo dos mantenedores das distribuições. Além disso, o art. 40 exige manter representante legal no Brasil, o que grande parte das distribuições não possui (nem teria razão para passar a possuir).
Portanto, o ECA Digital impacta SIM a comunidade brasileira que adota software livre. Inúmeras distribuições totalmente comunitárias, não intermediadas por empresas, jamais cumprirão o art. 40. “Ah, mas é só designar o representante, não precisa ter CNPJ”. Pouco importa. São entidades sem fins lucrativos de outros cantos do planeta, milhares de pacotes desenvolvidos por voluntários que sequer são mantidos por organizações, ou seja, operam na pessoa física. Por que se dariam a esse trabalho?
A visão otimista de alguns intérpretes do ECA Digital, de que não há potencial negativo para a comunidade de software livre, não me parece sustentada na realidade objetiva. Agora, isso significa que as distribuições GNU/Linux, mesmo as sem representantes no Brasil, serão banidas? A resposta é não. E penso que, aqui, a turma salta do otimismo injustificado de um lado para o pessimismo injustificado de outro.
O ECA Digital expressamente se restringe ao serviço ou produto de TI “direcionado a crianças e adolescentes” ou “de acesso provável por eles”. Que diabos seria “acesso provável”? A Lei usa os critérios de atratividade a esse público, considerável facilidade de acesso e utilização, ou o risco a esse público decorrente de interação em larga escala de usuários em ambiente digital.
Para honrar a tradição na regulação de tecnologias emergentes no Brasil, a redação do ECA Digital nesse ponto é completamente sofrível (e não só nesse ponto: sabe-se lá o que andaram consumindo para virem com a expressão “sistema operacional de terminal”).
De qualquer forma, logo de cara, parecem claramente fora do alcance do ECA digital todas as distribuições GNU/Linux voltadas a servidores (que, aliás, é a absurda e esmagadora maioria dos casos de uso de GNU/Linux no Brasil e no mundo). Aos leitores leigos: distribuições GNU/Linux para servidores são as usadas, por exemplo, para suportar servidores web, bancos de dados ou serviços de e-mail. Toda vez que você acessa um site, há uma enorme probabilidade de que o servidor que responde à requisição do seu navegador esteja rodando uma distribuição GNU/Linux.
Essas distribuições para servidores não atendem, salvo cambalhotas hermenêuticas de nível olímpico, a quaisquer dos requisitos do ECA Digital para “acesso provável” por crianças e adolescentes (porque usuários de um site ou de um serviço de e-mail não acessam diretamente o sistema operacional do servidor), nem parecem corresponder ao que o legislador quis chamar de “sistema operacional de terminal”, muito provavelmente uma referência mal redigida à versão desktop (com interface gráfica) dos sistemas operacionais.
Mas, assim como há esses casos de razoável certeza negativa, também há os de razoável certeza positiva: distribuições como a Edubuntu, variante do Ubuntu para uso educacional, parecem claramente atrair a incidência do ECA Digital. Qualquer pessoa minimamente razoável reconhecerá que distribuições como a Edubuntu são criadas para uso por crianças e adolescentes.
Logo, o ECA Digital se aplica ou não a distribuições GNU/Linux? Me parece que a resposta mais técnica é simples, curta e objetiva: depende. Depende do propósito e do público-alvo da distribuição específica.
O que nos leva a uma zona cinzenta intermediária, para a qual tenho mais dúvidas do que certezas. Nesta zona estão as distribuições altamente personalizáveis, como Arch Linux, nas quais o propósito e o público-alvo não estão aprioristicamente definidos pela distribuição, mas pela implementação. Essas distribuições são direcionadas a crianças e adolescentes? Eu diria que não. Mas podem ser configuradas para isso? Com certeza. Essa configuração é feita por quem produz a distribuição? Não. Então, há ou não incidência do ECA Digital diretamente sobre os mantenedores da distribuição? Eu tenderia a dizer que não, mas há espaço para ambos os caminhos aqui. A resposta honesta é: até que sobrevenha maior certeza regulatória, “não sei”.
Outro cenário super difícil está nas distribuições voltadas a privacidade, como TAILS e Qubes OS. São direcionados a crianças e adolescentes? Não. “Considerável facilidade de acesso” para esse público? Eu diria que não. Mas não é difícil imaginar um adolescente nerd usando TAILS para burlar controles parentais. Eu mesmo comecei a programar pré-adolescente, vendi meu primeiro software aos 14 anos. Meu filho mais velho, aos 15 anos, já programa em Python e está estudando C. O computador dele tem controle parental. Seria difícil para ele usar TAILS e furar todos os controles? Não.
Para quem não conhece, TAILS e Qubes OS são sistemas operacionais avançados voltados a privacidade extrema ou segurança. TAILS, por exemplo, é baseado em GNU/Linux e é amnésico: usado corretamente, não deixa rastros de uso. Pode rodar de um pendrive. É o que eu uso para testar arquivos potencialmente inseguros, o que ativistas muitas vezes usam para navegação e denúncias anônimas, e o que vários nerds, eventualmente adolescentes mais tecnicamente qualificados, usam para acessar a darknet. Tudo o que acontece na sessão “desaparece” quando o pendrive é retirado e o sistema é reiniciado, porque toda a execução ocorre em memória volátil (nada vai para o disco, tudo fica em RAM, daí o “amnésico”).
Todas as conexões à Internet do TAILS são via Tor (aliás, o TAILS é um subprojeto do projeto Tor). E o que vem a ser Tor? Um projeto que produz um navegador, um protocolo e uma rede homônimos que promovem privacidade por meio de camadas criptográficas, de modo que nenhum nó consegue identificar simultaneamente a origem e o destino de uma requisição. Nem seu provedor, nem governos, nem ninguém. Essa tecnologia é usada por whistleblowers e insurgentes em países com forte opressão política, mas também é a base da darknet, onde toda sorte de criminalidade, inclusive abusos contra crianças e adolescentes, transita sem freios. Pois é, senhoras e senhores: a base da darknet é um protocolo de privacidade.
Sabem quando um sistema como o TAILS terá controle parental? Nunca. Países como EUA, China, Rússia e Irã não conseguiram quebrar o Tor, e não há mecanismos técnicos para impedir que alguém baixe ou execute o TAILS. Mais fácil uma vaca tossir enquanto voa que o Brasil, por intermédio da ANPD ou de qualquer outro órgão regulador ou de persecução, conseguir banir esse tipo de sistema operacional.
O que me leva ao último ponto. Mas e as distribuições comuns? E se o Brasil decidir banir e a comunidade voluntariamente aceitar o banimento e bloquear usuários brasileiros?
Vamos lá. Em primeiro lugar, as penalidades de advertência e multa podem ser aplicadas pela autoridade administrativa. Mas as de suspensão e proibição de exercício das atividades só podem ser aplicadas pelo Judiciário (art. 35, §5º). Além disso, é preciso que haja um “infrator”. Quem seria o infrator se, em uma distribuição Debian, o controle parental do GNOME fosse considerado insuficiente? A GNOME Foundation? A Software in the Public Interest? Nenhuma delas está no Brasil.
Ah, e se elas forem condenadas pelo Judiciário à revelia e se aplicar o art. 35, §6, do ECA Digital, que prevê enforcement mediante bloqueio junto às empresas de telecomunicações, etc.? Beleza, pode teoricamente acontecer. Mas vão bloquear o quê? O domínio debian.org? Nada disso é efetivo. “Ah, mas podem bloquear o acesso aos gerenciadores de pacotes por IPs no Brasil”. Ahã. E, no minuto seguinte, todas as distribuições de servidores que usam os mesmíssimos gerenciadores de pacotes, em todos os datacenters do Brasil, que atendem da padaria do João à Petrobras, do blog da Maria ao BNDES e ao próprio STF, não teriam mais atualizações ou novas instalações. Mais fácil a vaca tossir enquanto voa fumando charuto. É evidente que não vai acontecer.
“Ah, mas o Arch Linux 32 proativamente baniu o Brasil”. Balela. Um dos espelhos OFICIAIS está na Universidade Federal de São Carlos. A versão mainstream é a do Arch 64 (que nunca bloqueou o Brasil), mas, se alguém quiser brincar com o supostamente banido Arch 32, é só usar esse mirror oficial aqui, de uma universidade federal brasileira: https://mirror.ufscar.br/archlinux32/archisos/. O que viralizou foi o fato de que, no site oficial, adotaram um geofence provisório, e que foi basicamente simbólico, porque geofence por IP para usuário de Arch é como prender um pitbull raivoso com um pedaço podre de barbante de padaria. Chega a ser risível.
Tá. Mas e como ficam as questões técnicas, como os sinais de idade, ou outras exigências regulatórias, como requisitos específicos de controle parental, que não estejam cobertas pelas distribuições GNU/Linux? Se não houver uma forma efetiva de as distribuições resolverem isso, não vai dar problema para as versões gerenciadas por empresas com presença no Brasil, como a Canonical e o Ubuntu, e para o próprio uso institucional de software livre, em especial em distribuições de propósito específico e de gestão mais comunitária?
Esse é meu grande receio. Não acredito em banimento efetivo para usuários finais, não por limitações jurídicas, mas por inviabilidade técnica. Entretanto, a depender de como o corpo técnico dos reguladores interprete o ECA Digital em relação a software livre, o ecossistema brasileiro poderá se tornar hostil a empresas como a Canonical (que, ao contrário das fundações estrangeiras, está ao alcance do Judiciário brasileiro) e ao uso institucional de distribuições GNU/Linux para desktop (organizações brasileiras que usam software livre podem preferir fugir do risco regulatório migrando para soluções proprietárias). “Ah, mas é só quem organiza as distribuições desenvolver os requisitos do ECA Digital que forem surgindo no Brasil”. Escrevi vários parágrafos sobre como uma distribuição de GNU/Linux é mantida, só para ilustrar o quanto essa ideia é completamente desconectada da realidade.
A verdade é que o ECA Digital possui várias válvulas de escape caso os reguladores tenham boa vontade com software livre. Inclusive no contexto das sanções. Essas válvulas vão ser usadas? Não sei. Por enquanto, penso que nada justifica o extremo otimismo ou o extremo pessimismo. O ECA Digital tem, sim, potencial para ser lesivo à comunidade de software livre e tem válvulas de escape para permitir que a regulação seja razoável para esse segmento de uso.
Qual caminho o Brasil vai adotar? Não sei. Se eu tivesse essa capacidade de antever o futuro, estaria bilionário operando no mercado de derivativos e curtindo alguma praia, não estaria aqui falando de Linux no Substack. Por enquanto, resta aguardar as definições regulatórias, ciente de que cabe à comunidade técnica de software livre municiar os reguladores para que haja maiores chances de uma abordagem tecnicamente correta, viável no mundo dos fatos, protetiva de crianças e adolescentes, e justa. Não é simples. Mas é possível.
Ps: O ciclo 2026 do programa de Estudos Avançados em Regulação e Novas Tecnologias (EART) incluirá um módulo específico sobre ECA Digital e Proteção Online de Crianças e Adolescentes. As inscrições estão abertas.
Para mais detalhes, é só acessar a página do programa. Já temos uma turma fortíssima inscrita, o que significa que o networking e as trocas entre os participantes também serão ótimos.
Obrigado pelo apoio!
Todo o conteúdo da TechReg Insights e de todos os complementos é 100% gratuito, aberto e pode ser compartilhado livremente. Muito obrigado a todos os que ajudam a manter este projeto!
Até a próxima edição!
Rodrigo