O Supremo Tribunal Federal (STF) definiu nesta quarta-feira ajustes significativos na decisão que ampliou a responsabilidade das plataformas digitais pelo conteúdo que publicam, declarando o trânsito em julgado das ações e eliminando a possibilidade de novos questionamentos jurídicos. A decisão impõe obrigações rigorosas aos provedores de aplicações de internet que atuam no Brasil, com prazo de 60 dias para implementação das novas regras de governança e compliance.
O que mudou na decisão do STF sobre big techs
A decisão do STF estabelece que as big techs são obrigadas a ter sede física no Brasil, além de manterem um representante legal no país. Essa medida visa garantir que as empresas tenham presença local para responder a demandas judiciais e regulatórias, facilitando a fiscalização e a aplicação da lei. A ausência de sede no país era um ponto de atrito recorrente entre o judiciário brasileiro e as grandes plataformas globais.
Além da sede, os ministros fixaram um prazo de 60 dias para que os provedores adotem as novas regras e esclareçam as obrigações que terão que ser implementadas. A chamada tese reúne as regras que terão que ser seguidas por toda a Justiça em território brasileiro, criando um precedente vinculante para casos futuros de responsabilidade civil e digital.
Obrigações de sede e representante no Brasil
A exigência de constituição e manutenção de sede e representante no país é uma das mudanças mais impactantes para a estrutura operacional das big techs. A identificação e informações para contato deverão ser disponibilizadas e estar facilmente acessíveis nos respectivos sítios. Isso significa que as empresas não poderão mais operar de forma anônima ou distante da jurisdição brasileira.
Para os CISOs e equipes de governança, isso implica a necessidade de mapear os fluxos de dados e as responsabilidades legais dentro da estrutura local. A presença física facilita a colaboração com autoridades nacionais em investigações de crimes cibernéticos e vazamentos de dados, exigindo que as empresas tenham canais de comunicação claros e ágeis com o poder judiciário e órgãos de fiscalização.
Responsabilidade solidária e dever de cuidado
O STF definiu que os provedores poderão ter responsabilidade solidária quando não atuarem nos casos de contas denunciadas como não autênticas. As empresas podem deixar de ser responsabilizadas por conteúdo do usuário se ficar comprovada dúvida razoável sobre casos de crimes ou atos ilícitos, sem prejuízo do dever de remoção do conteúdo.
Ficou decidido que há presunção relativa de culpa do provedor de aplicações de internet em caso de conteúdos ilícitos quando se tratar de anúncios e impulsionamentos pagos, ou mecanismos artificiais de disseminação inorgânica de conteúdos ilícitos. Nesses casos, a responsabilização não depende de notificação. Os provedores ficarão excluídos de responsabilidade se comprovarem que atuaram diligentemente e em tempo razoável para tornar indisponível o conteúdo.
O Supremo definiu ainda que a responsabilidade dos provedores pelo chamado dever de cuidado ocorre quando há configuração de falha sistêmica, quando deixa de atuar de forma responsável, transparente e cautelosa. Isso coloca uma carga pesada sobre os sistemas de moderação e detecção de conteúdo das plataformas.
Prazos e implementação das novas regras
O prazo de 60 dias para a implementação das obrigações impostas aos provedores é curto e exige uma mobilização imediata das equipes de compliance e segurança. Isso vale para a adoção de ações do chamado dever de cuidado, que inclui medidas para reduzir riscos de ofensas a direitos fundamentais e combate a atos ilícitos, autorregulação e disponibilização de canais de atendimento específicos para pedidos de retirada de conteúdos.
Os provedores de aplicações de internet deverão editar autorregulação que abranja, necessariamente, sistema de notificações, devido processo e relatórios anuais de transparência em relação a notificações extrajudiciais, anúncios e impulsionamentos. Deverão, igualmente, disponibilizar a usuários e a não usuários canais específicos de atendimento, preferencialmente eletrônicos, que sejam acessíveis e amplamente divulgados nas respectivas plataformas de maneira permanente.
Implicações para governança de segurança e LGPD
Esta decisão tem implicações diretas para a governança de segurança da informação e conformidade com a Lei Geral de Proteção de Dados (LGPD). A exigência de transparência e relatórios anuais de transparência alinha-se com os princípios de accountability da LGPD, exigindo que as empresas documentem e demonstrem suas medidas de segurança e privacidade.
A responsabilidade solidária por falhas sistêmicas significa que as empresas não podem mais terceirizar a responsabilidade pela segurança de seus sistemas de moderação. A segurança de conteúdo e a proteção de dados devem ser integradas, com processos claros de resposta a incidentes que envolvam remoção de conteúdo e notificação de usuários afetados.
Impacto nos processos de moderação de conteúdo
A decisão exige que os provedores atuem de forma responsável, transparente e cautelosa na moderação de conteúdo. Isso implica a necessidade de investir em tecnologias de detecção de conteúdo ilícito e em equipes humanas para revisão de casos complexos. A falta de diligência pode resultar em responsabilidade civil e multas administrativas.
O responsável pela publicação do conteúdo removido pelo provedor de aplicações de internet poderá requerer judicialmente o seu restabelecimento, mediante demonstração da ausência de ilicitude. Ainda que o conteúdo seja restaurado por ordem judicial, não haverá imposição de indenização ao provedor. Isso cria um equilíbrio entre a liberdade de expressão e a responsabilidade das plataformas.
O que os CISOs devem fazer imediatamente
Diante dessa decisão, os CISOs devem revisar os processos de governança de segurança e compliance das suas organizações. É necessário mapear as obrigações impostas pelo STF e garantir que os sistemas de moderação e resposta a incidentes estejam alinhados com as novas regras.
A implementação de canais de atendimento específicos e acessíveis deve ser priorizada, garantindo que os usuários possam reportar conteúdos ilícitos de forma fácil e rápida. Além disso, a documentação de processos de remoção de conteúdo e a manutenção de relatórios de transparência devem ser iniciadas imediatamente para cumprir o prazo de 60 dias.
Por fim, a colaboração com autoridades nacionais e a participação em fóruns de segurança cibernética são essenciais para manter-se atualizado sobre as interpretações e aplicações práticas dessas novas regras no cenário jurídico brasileiro.