ECA Digital: Obrigações empresariais, o conceito de acesso provável e as 12 providências práticas para adequação
A lei 15.211/25, sancionada em setembro de 2025 e conhecida como ECA Digital, representa o mais significativo avanço legislativo brasileiro na proteção de crianças e adolescentes no ambiente digital desde a promulgação do ECA e da LGPD. Mais do que uma atualização do Estatuto da Criança e do Adolescente de 1990, a nova legislação inaugura um regime próprio de proteção infantojuvenil em ambientes digitais, impondo obrigações robustas às empresas de tecnologia e criando mecanismos efetivos de fiscalização e sancionamento. Com prazo de adequação reduzido para seis meses pela MP 1.319/25, o que implica conformidade obrigatória até março de 2026, as organizações precisam agir com urgência e método.
Examinamos aqui quais empresas estão sujeitas às novas obrigações, analisa os critérios legais para identificação dessas organizações (incluindo o conceito de "acesso provável"), apresenta um roteiro prático de providências para adequação e explora a agenda fiscalizatória da ANPD no tema.
Quais empresas estão sujeitas ao ECA Digital?
A primeira e mais importante pergunta que gestores e profissionais de compliance devem fazer é: minha empresa está sujeita ao ECA Digital? A resposta exige compreensão dos critérios de aplicação estabelecidos pela lei.
O ECA Digital aplica-se a fornecedores de produtos ou serviços de tecnologia da informação em duas situações: (i) quando o produto ou serviço é direcionado a crianças e adolescentes; ou (ii) quando há acesso provável por esse público. Essa distinção é fundamental e revela a amplitude do alcance normativo.
Na primeira categoria, estão claramente abrangidas as empresas que oferecem produtos ou serviços especificamente voltados ao público infantojuvenil. Exemplos incluem: plataformas educacionais infantis, aplicativos de jogos com temática infantil, redes sociais direcionadas a adolescentes, serviços de streaming com catálogo infantil, lojas de aplicativos que comercializam conteúdo para menores e desenvolvedores de jogos com classificação indicativa livre ou para maiores de 10 ou 12 anos.
A segunda categoria é mais ampla e complexa. Empresas cujos produtos ou serviços não são especificamente direcionados a crianças e adolescentes, mas que podem ser acessados por esse público, também se sujeitam às obrigações legais. É aqui que entra o conceito de "acesso provável" como um dos critérios para identificar essas empresas.
O conceito de acesso provável. O art. 1º, parágrafo único, da lei estabelece três situações que configuram o acesso provável por crianças e adolescentes, funcionando como critérios objetivos para que as empresas avaliem se estão sujeitas às obrigações legais.
O primeiro critério é a suficiente probabilidade de uso e atratividade do produto ou serviço por crianças e adolescentes. Avalia-se aqui se o produto possui características que naturalmente atraem o público jovem, como visual colorido, personagens animados, mecânicas de jogo simples, linguagem informal ou temáticas populares entre menores. Uma plataforma de vídeos curtos com filtros divertidos e desafios virais, por exemplo, possui alta atratividade para adolescentes, ainda que não seja especificamente direcionada a eles.
O segundo critério é a considerável facilidade ao acesso e à utilização. Analisa-se se o produto ou serviço é de fácil acesso e uso por crianças e adolescentes, considerando barreiras técnicas, cognitivas ou econômicas. Um aplicativo gratuito, com interface intuitiva e disponível nas principais lojas de aplicativos, apresenta alta facilidade de acesso. O CGI.br - Comitê Gestor da Internet no Brasil recomenda que esse critério não seja considerado isoladamente para configurar acesso provável, uma vez que qualquer site ou aplicação é facilmente acessível por dispositivos conectados à internet.
O terceiro critério é o significativo grau de risco à privacidade, à segurança ou ao desenvolvimento biopsicossocial de crianças e adolescentes, especialmente no caso de produtos ou serviços que tenham por finalidade permitir a interação social e o compartilhamento de informações em larga escala entre usuários em ambiente digital. Redes sociais, aplicativos de mensagens e plataformas de jogos online com recursos de comunicação entre usuários enquadram-se naturalmente nesse critério. O CGI.br defende que esse critério de risco significativo seja, isoladamente, suficiente para configurar acesso provável, garantindo aplicação proporcional e racional da lei.
A ANPD abriu tomada de subsídios para receber contribuições sobre esses conceitos, buscando esclarecer se os critérios são cumulativos, alternativos ou graduais. Enquanto não houver regulamentação específica, a prudência recomenda que empresas adotem postura conservadora: se qualquer um dos três critérios estiver presente, a organização deve considerar-se potencialmente sujeita às obrigações do ECA Digital.
Amplitude das empresas abrangidas. A combinação dos critérios de direcionamento e acesso provável resulta em escopo notavelmente amplo. Estão potencialmente sujeitas ao ECA Digital:
Redes sociais e plataformas de compartilhamento, incluindo redes sociais generalistas, plataformas de vídeos curtos, serviços de compartilhamento de fotos e redes de mensagens instantâneas. Mesmo que não sejam direcionadas a menores, a alta atratividade e o risco inerente à interação social as enquadram na lei.
Plataformas de jogos e entretenimento digital, abrangendo desenvolvedores e publicadores de jogos eletrônicos, plataformas de distribuição de jogos, serviços de streaming de jogos e comunidades de jogadores. A presença de mecânicas atrativas e recursos de comunicação amplia o enquadramento.
Serviços de streaming e conteúdo audiovisual, incluindo plataformas de vídeo sob demanda, serviços de música, podcasts e rádio online. A facilidade de acesso e a presença de conteúdo atrativo para menores são determinantes.
Marketplaces e comércio eletrônico que comercializem produtos atrativos ao público infantojuvenil, como brinquedos, jogos, roupas infantis ou eletrônicos populares entre jovens.
Plataformas educacionais e de aprendizado, sejam escolas online, aplicativos de idiomas, plataformas de cursos ou ferramentas educacionais, especialmente quando utilizadas por instituições de ensino básico.
Sistemas operacionais e lojas de aplicativos, uma vez que são a porta de entrada para todo o ecossistema digital e possuem papel determinante no acesso de menores a conteúdos e serviços.
Aplicativos de produtividade e comunicação utilizados em contexto familiar ou escolar, como ferramentas de videoconferência, editores de texto colaborativos e plataformas de organização.
Empresas estrangeiras. A lei também se aplica a empresas estrangeiras que ofereçam produtos ou serviços acessíveis no Brasil, independentemente de onde estejam sediadas. Suas filiais, sucursais, escritórios ou estabelecimentos no país respondem solidariamente pelo cumprimento das obrigações e pagamento de eventuais multas.
Obrigações impostas às empresas. Uma vez identificada a sujeição ao ECA Digital, as empresas devem observar um conjunto robusto de obrigações técnicas, operacionais e organizacionais. Examinemos as principais.
A primeira e mais impactante obrigação diz respeito à verificação de idade. O art. 9º determina que plataformas que disponibilizem conteúdo impróprio, inadequado ou proibido para menores de 18 anos devem adotar mecanismos confiáveis de verificação de idade a cada acesso do usuário, sendo expressamente vedada a autodeclaração. Trata-se de mudança paradigmática: a simples confirmação de idade mediante clique deixa de ser suficiente. Na prática, será necessário implementar sistemas de reconhecimento facial, verificação de documentos ou outras tecnologias que confirmem efetivamente a idade do usuário. A ANPD está desenvolvendo estudo técnico sobre mecanismos de aferição de idade, tema considerado central para a efetividade do ECA Digital.
A segunda obrigação estrutural refere-se às configurações protetivas por padrão. O art. 7º estabelece que os fornecedores deverão, desde a concepção de seus produtos e serviços, garantir por padrão a configuração no modelo mais protetivo disponível em relação à privacidade e à proteção de dados pessoais. Isso inverte a lógica anterior: a segurança não é mais uma opção a ser configurada pelo usuário, mas o ponto de partida obrigatório. Uma rede social infantil, por exemplo, não pode vir configurada por padrão com perfil público; o padrão deve ser perfil privado, e apenas mediante escolha informada dos responsáveis é que configurações menos protetivas podem ser adotadas.
A terceira obrigação fundamental concerne à vinculação de contas ao responsável legal. O art. 24 determina que usuários ou contas de crianças e adolescentes de até 16 anos estejam obrigatoriamente vinculados ao usuário ou à conta de um de seus responsáveis legais. As plataformas devem disponibilizar ferramentas de supervisão parental que permitam aos pais visualizar e gerenciar configurações de privacidade, limitar tempo de uso, controlar contatos, restringir conteúdos e aprovar compras. Essas ferramentas devem ser facilmente acessíveis e gerenciáveis, vedando-se que as plataformas as tornem propositalmente complexas ou difíceis de encontrar.
A quarta categoria de obrigações refere-se à prevenção de riscos e moderação de conteúdo. As plataformas devem implementar medidas robustas para coibir exploração e abuso sexual, pornografia, violência, bullying, incitação à automutilação e suicídio, venda de produtos proibidos e publicidade predatória. Conteúdos identificados como violadores devem ser removidos imediatamente, mesmo sem ordem judicial. Os fornecedores também devem manter canais de denúncia acessíveis e responder com agilidade às notificações recebidas.
A quinta obrigação impacta diretamente os modelos de negócio: a proibição de publicidade direcionada por perfilamento comportamental. O art. 26 veda expressamente a criação de perfis comportamentais de crianças e adolescentes para fins de direcionamento de publicidade comercial, inclusive a partir de dados obtidos nos processos de verificação de idade. Isso significa que as plataformas não podem mais utilizar o rastro digital de menores para personalizar anúncios.
Finalmente, merece destaque a proibição das chamadas "caixas de recompensa" (loot boxes) em jogos eletrônicos direcionados a crianças e adolescentes ou de acesso provável por eles, conforme art. 20. Essa vedação responde a preocupações crescentes com mecânicas que simulam jogos de azar e podem gerar comportamentos compulsivos em menores.
Para empresas com mais de um milhão de usuários menores de 18 anos cadastrados, há ainda obrigações específicas de transparência: publicar relatórios semestrais, em português, detalhando número de denúncias recebidas, tempo médio de resposta, medidas adotadas, quantidade de moderação de conteúdo ou contas por tipo, medidas para identificação de contas infantis, e detalhamento dos métodos utilizados e resultados das avaliações de impacto e gerenciamento de riscos.
A lei também estabelece que as obrigações serão aplicadas de forma proporcional às características, funcionalidades, porte e grau de interferência do fornecedor sobre os conteúdos. Regulamentação futura da ANPD definirá critérios objetivos para aferir esse grau de intervenção e a forma proporcional de cumprimento das exigências.
Providências práticas para adequação. Diante do curto prazo disponível, as empresas precisam adotar uma abordagem estruturada para alcançar a conformidade até março de 2026. Apresento a seguir um roteiro prático com as principais providências a serem implementadas.
- Mapeamento e diagnóstico de enquadramento. As organizações devem avaliar todos os seus produtos e serviços à luz dos critérios de sujeição ao ECA Digital, respondendo às seguintes perguntas: O produto ou serviço é direcionado a crianças e adolescentes? Se não, há suficiente probabilidade de uso e atratividade por esse público? O acesso e a utilização são fáceis para menores? Há riscos significativos à privacidade, segurança ou desenvolvimento biopsicossocial? Por exemplo, uma empresa de jogos eletrônicos deve avaliar cada título de seu portfólio: jogos com temática infantil são claramente direcionados; jogos com visual atrativo e mecânicas simples configuram acesso provável; jogos com comunicação entre usuários apresentam risco significativo.
- Elaboração de avaliações de impacto. A lei exige que os fornecedores realizem avaliações de impacto e gerenciamento de riscos à segurança e saúde de crianças e adolescentes. Esse relatório deve identificar pontos críticos de exposição de menores, mapear fluxos de dados pessoais de crianças e adolescentes, avaliar riscos associados à privacidade, segurança e bem-estar, e propor medidas mitigatórias. Por exemplo, uma rede social deve avaliar os riscos de cyberbullying, contato com estranhos, exposição a conteúdos inadequados e coleta excessiva de dados.
- Implementação de verificação de idade confiável. As empresas devem escolher e implementar tecnologia de verificação que seja efetiva mas proporcional ao risco. Opções incluem verificação de documento de identidade, estimativa de idade por análise facial, verificação por cartão de crédito, autenticação por operadora de telefonia ou sistemas integrados de verificação de idade. Por exemplo, uma plataforma de jogos com conteúdo adulto pode implementar verificação de documento de identidade no cadastro inicial; uma rede social pode utilizar estimativa de idade por análise facial combinada com vinculação a conta de responsável legal. É fundamental que os dados coletados para verificação de idade não sejam utilizados para outras finalidades.
- Revisão de configurações padrão. Todas as configurações de privacidade e segurança devem ser ajustadas para o modo mais protetivo por padrão. Por exemplo, perfis de menores devem iniciar como privados; mensagens diretas de desconhecidos devem estar desabilitadas; compartilhamento de localização deve estar desativado; reprodução automática de vídeos deve ser limitada; notificações que estimulem uso excessivo devem ser desabilitadas.
- Implementação de ferramentas de supervisão parental. As plataformas devem desenvolver ou adquirir soluções que permitam aos responsáveis: vincular sua conta à do menor; visualizar tempo de uso e conteúdos acessados; controlar lista de contatos e bloquear interações com desconhecidos; aprovar ou bloquear compras e downloads; definir limites de tempo de uso; receber alertas sobre atividades suspeitas. Por exemplo, uma loja de aplicativos pode implementar sistema de aprovação parental para downloads; um serviço de streaming pode oferecer painel de controle parental com perfis separados para crianças.
- Revisão de práticas de publicidade e monetização. Empresas que direcionam publicidade a menores devem eliminar o perfilamento comportamental, removendo a criação de perfis baseados em navegação, preferências e comportamento. Jogos eletrônicos devem remover loot boxes de versões acessíveis a menores, substituindo por modelos de monetização transparentes como passes de batalha, assinaturas ou compras diretas de itens. Por exemplo, um jogo móvel popular entre adolescentes deve substituir caixas de recompensa aleatórias por loja com itens de preço fixo.
- Fortalecimento da moderação de conteúdo. As plataformas devem estabelecer políticas claras de moderação, implementar sistemas automatizados de detecção de conteúdo proibido, treinar equipes de moderação humana, criar canais de denúncia acessíveis e com resposta ágil, e definir procedimentos de remoção imediata. Por exemplo, uma rede social deve implementar algoritmos de detecção de nudez infantil com remoção automática, além de canal de denúncia que responda em até 24 horas.
- Atualização de políticas e termos de uso. Políticas de privacidade e termos de uso devem ser completamente revisados para refletir as novas obrigações. Devem ser escritos em linguagem clara e acessível, com versões específicas para diferentes públicos. Técnicas de visual law e legal design podem tornar esses documentos mais compreensíveis. Por exemplo, uma plataforma educacional deve criar política de privacidade específica para crianças, com explicações visuais sobre como os dados são utilizados.
- Capacitação de equipes. Todos os colaboradores envolvidos com produtos digitais devem ser treinados nas novas obrigações, incluindo equipes de desenvolvimento, moderação, atendimento ao cliente, marketing e jurídico. Por exemplo, a equipe de desenvolvimento deve ser capacitada em privacy by design; a equipe de marketing deve compreender as restrições à publicidade infantil.
- Estruturação ou evolução de governança e compliance. As organizações devem criar estrutura de governança para supervisionar o cumprimento contínuo, incluindo designação de responsável pelo compliance com o ECA Digital, estabelecimento de comitê de avaliação ética para decisões críticas, implementação de auditorias periódicas, e definição de procedimentos de resposta a incidentes. Por exemplo, uma grande plataforma pode criar cargo de chief child safety officer com reporte direto à alta administração.
- Revisão de contratos com terceiros. Todos os contratos com parceiros, desenvolvedores e prestadores de serviços devem incluir cláusulas de conformidade com o ECA Digital. Por exemplo, uma loja de aplicativos deve exigir que desenvolvedores declarem se seus apps são direcionados ou de acesso provável por menores e comprovem conformidade com as obrigações aplicáveis.
- Estruturação de relatórios de transparência aplicável a empresas com mais de um milhão de usuários menores. Devem ser criados processos para coletar, consolidar e publicar semestralmente as informações exigidas pela lei. Por exemplo, uma grande rede social deve implementar dashboard interno que consolide métricas de denúncias, moderação e medidas de proteção, alimentando o relatório público.
Agenda fiscalizatória da ANPD. A fiscalização do ECA Digital foi atribuída à ANPD pelo decreto 12.622/25, que também transformou a autoridade em agência reguladora por meio da MP 1.317/25. Com essa mudança, a ANPD passa a contar com autonomia técnica, administrativa e decisória reforçadas, além de nova carreira de "Especialista em Regulação de Proteção de Dados" com 200 cargos efetivos.
A ANPD já demonstra postura proativa na preparação para a entrada em vigor da lei. Em janeiro de 2026, a agência prorrogou para 13/2/26 o prazo para que 37 empresas selecionadas prestem informações sobre as medidas técnicas e organizacionais em implementação para adequação à nova legislação. A seleção considerou a relevância e influência dessas empresas para o público infantojuvenil no mercado brasileiro. Trata-se de processo de monitoramento que visa conhecer o estágio atual de implementação e os desafios enfrentados pelos diferentes setores econômicos.
A Agenda Regulatória da ANPD para 2025-2026 foi atualizada para contemplar três novos temas relacionados à implementação do ECA Digital. Entre as atividades de fiscalização previstas no Mapa de Temas Prioritários 2026-2027 estão: monitoramento de uso secundário de dados pessoais para publicidade comercial direcionada; verificação da adoção, por design e por padrão, do modelo mais protetivo disponível; e implementação de medidas destinadas a impedir o acesso de crianças e adolescentes a conteúdos impróprios.
A agência também está desenvolvendo guias e regulamentos específicos, incluindo Guia sobre Tratamento de Dados Pessoais de Crianças e Adolescentes e Radar Tecnológico sobre mecanismos de aferição de idade. Está prevista ainda a definição de procedimentos sobre a participação de crianças e adolescentes no processo de construção normativa.
O regime sancionatório previsto no art. 35 da lei é severo. As sanções incluem: advertência com prazo de até 30 dias para corrigir irregularidades; multa simples de até 10% do faturamento do grupo no Brasil ou, na ausência de faturamento, de R$ 10 a R$ 1.000 por usuário cadastrado, limitada a R$ 50 milhões por infração; suspensão temporária das atividades; e proibição do exercício das atividades, mediante decisão judicial. Para empresas estrangeiras, suas filiais, sucursais, escritórios ou estabelecimentos no Brasil responderão solidariamente pelo pagamento das multas.
Considerações finais. O ECA Digital representa mudança de paradigma na regulação digital brasileira. Pela primeira vez, o país dispõe de marco legal abrangente que atribui responsabilidades claras às plataformas digitais na proteção de crianças e adolescentes, superando a lógica de autorregulação que se mostrou insuficiente.
A identificação das empresas sujeitas à lei é o primeiro e mais importante passo para a adequação. Os critérios de direcionamento e acesso provável resultam em escopo amplo, abrangendo não apenas plataformas voltadas ao público infantil, mas todo o ecossistema digital que possa ser acessado por menores. O conceito de acesso provável, com seus três critérios de atratividade, facilidade de acesso e risco significativo, funciona como ferramenta para que as organizações avaliem seu enquadramento na lei.
O prazo de adequação é desafiador: apenas seis meses para implementar verificação de idade confiável, ferramentas de supervisão parental, configurações protetivas por padrão, moderação de conteúdo efetiva e revisão de modelos de negócio baseados em publicidade direcionada e monetização agressiva.
A ANPD já se posiciona ativamente, monitorando dezenas de empresas e preparando regulamentação complementar. As sanções previstas são severas e a agência demonstra disposição para exercer plenamente suas competências fiscalizatórias.
Quem liderar a implementação de arquiteturas de safety by design e controles proporcionais ao risco chegará na frente, reduzindo exposição a sanções e construindo confiança com famílias, escolas, anunciantes e reguladores. Mais do que cumprir obrigações legais, é hora de investir em governança digital responsável, contribuindo para um ambiente online mais seguro para as próximas gerações.