Entre os efeitos extremamente negativos causados pela promulgação da Lei 15.211/2025, conhecida como Lei Felca, está o ataque aos softwares de código aberto que atuam no Brasil.
O problema tecnológico central reside no fato de que a nova lei exige um um sistema de verificação compulsória de identidade. Ao exigir que provedores de aplicação e sistemas operacionais garantam a faixa etária de seus usuários de forma “tecnicamente segura”, a lei induz à criação de vastos bancos de dados biométricos, que acabará sendo centralizado por serviços de verificação em empresas estrangeiras.
A lei aplica-se a qualquer produto ou serviço de tecnologia da informação “de acesso provável” por crianças e adolescentes, independentemente da localização da sede da empresa desenvolvedora ou do local de fabricação do software.
Este critério expande a regulação para além de plataformas de entretenimento, atingindo camadas de infraestrutura. A inclusão da Canonical (desenvolvedora do sistema operacional Ubuntu) na lista de empresas monitoradas pela Agência Nacional de Proteção de Dados (ANPD) é um exemplo: sistemas operacionais são classificados como “porta de entrada” para o mundo digital e, portanto, tornam-se sujeitos às mesmas obrigações de controle de acesso de uma rede social.
O Artigo 40 exige que todos os fornecedores abrangidos pela lei mantenham um representante legal no Brasil com poderes para receber citações e notificações judiciais, além de responder perante órgãos do Poder Executivo e Judiciário.
Projetos de software livre, distribuições Linux comunitárias (como Debian ou Arch Linux) e repositórios de gerenciamento de pacotes operam, frequentemente, por meio de fundações internacionais ou colaborações voluntárias sem representação jurídica local. A ausência de um CNPJ ou representante constituído no Brasil torna esses softwares tecnicamente infratores. Consequentemente, estão sujeitos às sanções do Artigo 35, que incluem multas simples de até R$50 milhões e ordens de bloqueio nacional dirigidas às prestadoras de serviços de telecomunicações via Anatel.
Uma inovação técnica da Lei Felca é a exigência, no inciso III do Artigo 12, de que sistemas operacionais e lojas de aplicativos forneçam uma Interface de Programação de Aplicações (API, na sigla em inglês) de sinal de idade.
Este mecanismo obriga que o sistema operacional (como o Android ou o Windows) “saiba” a idade do usuário e transmita essa informação de forma padronizada para qualquer aplicativo ou site que o usuário visite. Do ponto de vista da infraestrutura, isso cria um marcador persistente de identidade que acompanha a navegação, eliminando o anonimato entre diferentes sessões e serviços. Para sistemas de código aberto, como as distribuições Linux, essa exigência apresenta um desafio de implementação, uma vez que a natureza do software livre permite que o usuário modifique ou desabilite tais APIs, o que colocaria o sistema em descumprimento direto com a lei.
Ao contrário das plataformas proprietárias, que operam sob modelos de negócio centralizados e coletam dados de usuários de forma nativa, o sistema Linux e as ferramentas de desenvolvimento comunitário baseiam-se na descentralização e na autonomia técnica. Essa característica faz com que nenhuma distribuição Linux possa garantir, de forma “auditável e segura” (conforme exige a lei), que um menor não contornará as restrições. Para a ANPD, essa incapacidade técnica de garantir o bloqueio permanente pode ser interpretada como descumprimento, sujeitando os mantenedores das distribuições às sanções máximas previstos no Artigo 35.
A Canonical, empresa por trás do Ubuntu, foi uma das primeiras a ser formalmente inquirida pela ANPD em 2026. O foco da autoridade recai sobre os gerenciadores de pacotes, que funcionam como “lojas de aplicações” nos termos do Artigo 2º.
O risco imediato é o bloqueio dos mirrors e repositórios. Caso o Ubuntu ou o Debian não implementem uma verificação de identidade para permitir o download de softwares, a Anatel pode ser acionada para bloquear os endereços IP e domínios que distribuem os pacotes. O efeito cascata seria catastrófico: como os repositórios de desktop e servidor são frequentemente os mesmos, uma ordem de bloqueio para “proteger menores” derrubaria a infraestrutura de servidores de hospitais, bancos e órgãos do próprio governo brasileiro que dependem dessas atualizações de segurança.
