O Decreto 12.975/2026, que alterou o Decreto 8.771/2016, regulamentador do Marco Civil da Internet, não inova, mas opera o regime transitório que o STF conferiu ao artigo 19, com eficácia imediata enquanto não sobrevier a legislação para a qual o STF apenas apelou.
Sim, no item 13 da tese fixada nos Temas 987 e 533, o Supremo literalmente apelou ao Congresso para que elaborasse legislação capaz de sanar as deficiências do regime, fórmula que, ao nomear a providência como apelo formal, preserva a liberdade de conformação do Parlamento sem impor obrigação de legislar, de modo que a ausência de nova lei não impede a aplicação imediata do regime estabelecido pela Corte.
A atribuição conferida à ANPD pelo art. 19-A não cria competência nova por via regulamentar, mas reconhece competência que sempre pertenceu ao campo da proteção de dados e que apenas não havia encontrado, antes, o pressuposto fático para seu exercício.
O Decreto 8.771 foi silente quanto à autoridade responsável por fiscalizar o cumprimento dos deveres previstos nos arts. 10 a 12 do Marco Civil porque a agência ainda não existia, criada apenas pela Lei 13.709/2018, e porque o art. 19, então eficaz, submetia a responsabilização do provedor ao descumprimento de ordem judicial específica, de sorte que inexistia objeto a fiscalizar no plano administrativo.
Esse arranjo foi alterado pelo STF no julgamento dos Recursos Extraordinários 1.037.396, Tema 987, e 1.057.258, Tema 533, em 26 de junho de 2025, que reconheceu a inconstitucionalidade parcial e progressiva do art. 19 e fixou que, enquanto não sobreviesse nova legislação, o dispositivo sujeitaria os provedores à responsabilização civil por conteúdos de terceiros nas hipóteses de crime ou ato ilícito, ressalvados os crimes contra a honra e a legislação eleitoral. Modulados os efeitos prospectivamente, a interpretação transitória passou a ser o direito vigente.
O preenchimento, por ato infralegal, do espaço aberto por uma decisão de eficácia ampla, enquanto o legislador não atua, não é novidade no direito brasileiro. O exemplo paradigmático é o reconhecimento da união homoafetiva, pois na ADI 4.277 e na ADPF 132, julgadas em 2011, o STF reconheceu, por interpretação conforme a Constituição, a união estável entre pessoas do mesmo sexo como entidade familiar, sem lei a disciplinar a matéria e sem determinar ao Congresso que legislasse, e o vácuo que persistiu nos cartórios foi colmatado não pelo Legislativo, mas por ato secundário, a Resolução 175, de 2013, do CNJ.
A estrutura daquele precedente é a mesma que aqui se examina, e se ali o preenchimento se admitiu sem lei alguma a regulamentar, com maior razão se admite no presente, em que existe a Lei 12.965, cuja nova interpretação o decreto apenas operacionaliza. E ainda que aquele ato tenha promanado do CNJ no exercício de competência própria sobre os serviços de registro, essa distinção apenas evidencia que o decreto se acha em posição mais sólida, por dispor da lei intermediária que no precedente sequer existia.
É esse novo regime que faz surgir uma fiscalização administrativa de conformidade que antes inexistia, pois quando a responsabilidade do provedor passa a estruturar-se em torno de um dever de cuidado e de gestão de riscos sistêmicos, conforme os arts. 16-B e 16-C nascem obrigações de governança verificáveis administrativamente.
A disponibilidade do conteúdo de terceiro em uma plataforma resulta dos dados tratados pelo provedor, de modo que a aferição da conformidade dos sistemas de moderação e dos registros incide de forma sistêmica, e não sobre o mérito do conteúdo, função naturalmente absorvida pela Agência, pois a matéria sempre pertenceu ao mandato da LGPD e do Marco Civil da Internet, faltando apenas o gatilho fático que o novo regime do art. 19 acionou.
Não se trata, pois, do decreto inventar uma atribuição, mas de reconhecer que a fiscalização de governança das plataformas é, na origem, fiscalização de tratamento sistêmico de conformidade. A agência não atua sobre o conteúdo em si, não lhe cabendo decidir se uma publicação configura crime, juízo reservado ao provedor e, em última instância, ao Judiciário, conforme dispõe o art. 16-J ao exigir ordem judicial para os crimes contra a honra.
Compete-lhe, antes, a verificação de conformidade no atacado, que, longe de tutela diminuída, é o modo mais amplo de proteção, pois a fiscalização que se debruçasse sobre cada publicação no varejo estaria condenada à reação tardia e à seletividade, ao passo que a aferição sistêmica incide sobre os processos, os fluxos de notificação e a arquitetura de moderação e alcança a própria capacidade da plataforma de tratar adequadamente, no atacado, o universo de conteúdos que processa, sendo por isso estrutural e preventiva, ampla sem ser censória e geral sem ser casuística.
Verifica-se, em suma, se o sistema é confiável, e não se esta ou aquela publicação foi corretamente tratada, de sorte que a proteção resultante se projeta sobre a generalidade dos usuários e não apenas sobre quem teve a iniciativa de uma notificação pontual.
Essa atuação não monopoliza a governança do ecossistema digital, integrando-se às competências não revogadas do Cade na dimensão concorrencial, da Senacon na defesa do consumidor, da Anatel na infraestrutura de conexão e do CGI.br na coordenação multissetorial, bem como à autorregulação do art. 20-A, da qual o Conar, em funcionamento desde 1980, é exemplo consolidado.
Para os crimes contra crianças e adolescentes do inciso V do art. 16-B há fundamento legal positivo na Lei 15.211/2025, o ECA Digital, que designou a Agência como responsável pela fiscalização e sanção, competência formalizada pelo Decreto 12.622/2025 e reforçada pela conversão da ANPD em agência reguladora pela MP 1.317/2025, ainda dependente de aprovação congressual.
Por ser esse estatuto lei setorial circunscrita à proteção infantojuvenil, para as demais hipóteses do art. 16-B a competência se sustenta apenas na conformidade sistêmica sobre o tratamento de dados, jamais no juízo sobre o caráter criminoso do conteúdo, sob reserva de jurisdição.
A edição na mesma data do Decreto 12.976/2026, voltado à violência contra a mulher no ambiente digital, em nada altera a análise, pois o tratamento apartado decorreu de recorte temático, e não de diferença de estrutura ou de autoridade, na medida em que aquele decreto se ancora na mesma interpretação do art. 19, replica a mesma lógica de dever de cuidado e de falha sistêmica e atribui à mesma Agência a fiscalização, sendo suas obrigações específicas modulações setoriais de um mesmo regime, e não regime paralelo com autoridade diversa.
Situação distinta é a do art. 15-A, que institui o dever de guarda da porta lógica de origem associada ao endereço IP, dispositivo que não encontra fundamento na decisão do Supremo nem na Lei 15.211 e deve ser aferido em face dos arts. 13 e 15 do Marco Civil. Como a evolução técnica tornou o endereço IP, isoladamente, insuficiente para individualizar o terminal de origem, o art. 15-A resiste ao exame de legalidade quando interpretado de modo estrito como explicitação técnica do dever de identificação, com acesso preservado sob reserva de jurisdição.
A esse exame de validade soma-se um juízo de proporcionalidade, cabendo à ANPD, em seu papel regulador e à luz da assimetria entre os agentes, inspirado na linha do que autoriza o art. 16-P do decreto, delimitar o alcance da guarda da porta lógica de origem e até dispensá-la quanto aos pequenos provedores, pelo custo, e aos provedores de conteúdo próprio, que não oferecem o risco que a justifica.
O debate sobre as regularidades dos textos já é objeto de apreciação parlamentar e judicial. Direito é, sobretudo, bom senso. Foi um longo caminho até que o art. 19 tivesse seu desfecho. Não faz sentido que sua eficácia seja jogada para debaixo do tapete.