A entrada em vigor da lei 15.211/25 (ECA Digital)1, em 17 de março de 2026, marcou uma mudança importante na forma como o direito brasileiro passou a tratar a proteção de crianças e adolescentes no ambiente digital. Seu objetivo central é estabelecer deveres específicos para produtos e serviços de tecnologia da informação direcionados a esse público, ou com acesso provável por ele. O ECA Digital, juntamente com o Estatuto da Criança e do Adolescente (ECA/1990), compõe hoje os principais instrumentos normativos no Brasil sobre direitos de crianças e adolescentes, e se completam de forma harmônica.
O ECA Digital atinge diretamente as redes sociais, jogos eletrônicos, aplicativos, lojas de aplicativos, sistemas operacionais, plataformas de vídeo e outros serviços digitais, os quais passaram a ser enquadrados em um regime jurídico mais claro e mais exigente. O foco da lei não é a mera remoção de conteúdos ilícitos ou a repressão de abusos já consumados, mas sim a sua prevenção. Para tanto, prevê a obrigação de estruturar produtos e serviços digitais de forma mais segura desde a sua concepção, incluindo mecanismos de proteção, supervisão e redução de risco voltados à infância e à adolescência.
Entre as medidas trazidas pelo novo marco, uma das mais relevantes é a exigência de mecanismos confiáveis de aferição de idade para o acesso a produtos e serviços proibidos por lei a crianças e adolescentes. A autodeclaração de idade, no caso de conteúdos vedados por lei aos menores de idade, como pornografia, apostas, cigarros e bebidas alcoólicas, é proibida. O próprio material explicativo do Ministério da Justiça2 resume esse ponto de maneira bastante direta: A simples autodeclaração deixa de ser suficiente. Em outras palavras, não basta mais perguntar ao usuário se ele tem 18 anos. Para determinados contextos, como os citados acima, a lógica regulatória passou a exigir alguma forma efetiva de verificação.
É aqui que o debate jurídico deixa de ser apenas normativo e passa a ser operacional. A obrigação existe, mas o grande problema agora é outro: Como cumpri-la de modo eficaz, proporcional e tecnicamente viável. E, mais do que isso, como cumpri-la sem transformar a proteção da infância em um pretexto para coleta excessiva de dados, monitoramento permanente ou uso desproporcional de informações sensíveis. Esse é o ponto central da discussão sobre aferição de idade hoje.
Em março de 2026, a ANPD - Agência Nacional de Proteção de Dados publicou orientações preliminares justamente para tentar organizar esse início de implementação no Brasil, e deixou expresso que a adoção de mecanismos confiáveis de aferição de idade deve ocorrer de forma compatível com os direitos à privacidade e à proteção de dados pessoais de crianças e adolescentes.3
Mas esse dilema não é exclusivo do Brasil. Ele já aparece de forma clara no debate internacional. Reguladores europeus e britânicos vêm insistindo que segurança online e proteção de dados não podem ser tratadas como agendas separadas. A Comissão Europeia, ao avançar em sua abordagem harmonizada de verificação etária, e o ICO (Information Commissioner’s Office) em conjunto com a Ofcom (Office of communication), no Reino Unido, vêm sustentando que a efetividade desses mecanismos precisa caminhar junto com minimização de dados, proporcionalidade e proteção da privacidade.4 Já na Austrália, por exemplo, a eSafety Commission tem estruturado diretrizes para restrição de acesso de menores a redes sociais com base em uma lógica de responsabilidade das plataformas e adoção de medidas proporcionais de verificação de idade.5
Isso ajuda a explicar por que a questão da privacidade aparece com tanta força nesse debate, inclusive entre usuários jovens. Não se trata apenas de discutir se a tecnologia funciona, mas de avaliar qual custo informacional ela impõe. Um modelo pode ser altamente eficaz para barrar acessos indevidos e, ao mesmo tempo, ser excessivamente invasivo. Outro pode ser confortável para o usuário, mas não efetivo do ponto de vista regulatório. O desafio é encontrar um ponto de equilíbrio entre proteção efetiva e o respeito aos direitos fundamentais de privacidade e proteção de dados.
Nesse cenário, a primeira solução que costuma aparecer é também a mais simples: A autodeclaração. Trata-se do modelo em que o usuário apenas informa sua data de nascimento ou confirma que é maior de idade. Durante anos, esse foi o padrão dominante em grande parte da internet, justamente porque é barato, rápido, fácil de implementar e não depende de integração com terceiros. No entanto, do ponto de vista regulatório, essa prática oferece pouca garantia. A própria regulamentação brasileira passou a tratar a autodeclaração como método limitado, pois ele não possui elementos adicionais que confirmem a veracidade ou a titularidade do dado fornecido. Além disso, é insuficiente para contextos de maior risco.
Isso não significa que a autodeclaração vá desaparecer completamente. Em ambientes de baixo risco, ela ainda pode funcionar como etapa preliminar de acesso ou como parte de um fluxo mais amplo. O que muda é que ela já não pode mais ser tratada como solução suficiente em situações que a lei exige controle de acesso mais robusto. O ECA Digital, nesse ponto, desloca o centro da discussão: o problema não é mais saber se a autodeclaração é conveniente para a empresa, mas se ela é juridicamente suficiente para proteger crianças e adolescentes em contextos sensíveis. E a resposta, hoje, tende a ser negativa.
A alternativa mais tradicional para superar essa insuficiência é a verificação documental. Nesse modelo, o usuário apresenta um documento oficial ou valida sua identidade em uma base confiável. É uma abordagem intuitiva, porque aproxima o ambiente digital de práticas já utilizadas em setores regulados, como abertura de contas, onboarding financeiro e autenticação governamental. Do ponto de vista da certeza, ela é significativamente mais forte, porque vincula a idade a uma credencial oficial. Mas seu custo operacional e jurídico é elevado. Ela envolve mais etapas, mais fricção, mais responsabilidades de armazenamento e segurança, além de maior exposição a riscos de incidentes. Além disso, no Brasil, essa solução precisa ainda dialogar com a LGPD e com o tratamento reforçado exigido quando há uso de dados sensíveis ou criação de bases mais amplas do que o estritamente necessário.
É justamente para reduzir essa fricção que começaram a ganhar espaço modelos intermediários, baseados em verificação inicial seguida de reaproveitamento do resultado. Em vez de submeter o usuário ao mesmo processo toda vez que ele acessa um serviço, a ideia é fazer uma validação mais forte uma única vez e, a partir dela, emitir um sinal, token ou atributo reutilizável que apenas confirme a faixa etária relevante. Esse tipo de arquitetura é atraente porque reduz repetição, melhora a experiência do usuário e limita a circulação constante de documentos ou dados mais intrusivos. Ainda que os formatos concretos variem, essa lógica de reaproveitamento já aparece em ecossistemas de identidade digital mais maduros e se conecta com a tendência de uso de atributos verificáveis, em vez de compartilhamento integral de dados de identificação.
Outro caminho frequentemente discutido é a biometria, especialmente a estimativa de idade por reconhecimento facial. Esse processo é mais rápido, mas concentra diversas críticas. No plano jurídico, porque lida com biometria, que é um dado pessoal sensível, que possui tratamento diferenciado nas legislações. No plano técnico, porque pode apresentar erros, vieses e taxas de acerto desiguais conforme perfil demográfico. Já no plano social, porque tende a produzir maior sensação de vigilância, justamente em um tema que já desperta desconfiança quanto a rastreamento excessivo. Não por acaso, as orientações preliminares da ANPD enfatizam que o desenho desses mecanismos deve ser compatível com privacidade e proteção de dados, e o debate europeu e britânico tem insistido na necessidade de soluções privacy-preserving, e não apenas de soluções eficientes em tese.6
Há ainda modelos baseados em sinais comportamentais, nos quais o sistema tenta inferir a idade do usuário a partir de seu padrão de uso, linguagem, preferências ou contexto de navegação. Embora essas abordagens possam servir como camada auxiliar de risco ou triagem, elas dificilmente resolvem, sozinhas, o problema jurídico da aferição de idade em situações críticas. Isso porque trabalham com inferência, e não com comprovação. Além disso, tendem a gerar dúvidas sérias de transparência, explicabilidade e potencial discriminatório. Para decisões que envolvem maior risco, especialmente quando se quer impedir acesso a conteúdo legalmente restrito, o nível de certeza exigido é superior ao que esse tipo de ferramenta costuma oferecer.
É nesse contexto que ganham destaque as soluções baseadas em credenciais verificáveis e técnicas criptográficas, como as provas de conhecimento zero. A lógica aqui é distinta das abordagens tradicionais: Em vez de exigir o envio de documentos, imagens ou um conjunto amplo de dados pessoais, o usuário passa a comprovar apenas um atributo específico necessário para aquela finalidade, como, por exemplo, ser maior de 18 anos, sem revelar as demais informações subjacentes. No caso das provas de conhecimento zero, isso ocorre por meio de mecanismos criptográficos que permitem validar determinada informação sem que o dado original seja efetivamente compartilhado com a plataforma. Em outras palavras, a plataforma obtém apenas a confirmação do requisito (ex: maioridade), e não acesso aos dados pessoais que sustentam essa condição (como data de nascimento ou documento). Essa arquitetura vem sendo impulsionada na Europa no contexto do European Digital Identity Wallet e da abordagem europeia de age verification7, e é particularmente interessante porque responde ao principal ponto de tensão deste debate: Permite elevar a confiabilidade do resultado, sem necessariamente ampliar a coleta e o armazenamento de dados pessoais. Mais recentemente, a Comissão Europeia indicou que soluções baseadas nesse modelo já se encontram tecnicamente prontas para implementação, com o rollout previsto em etapas, o que reforça não apenas sua viabilidade, mas também a direção concreta que o debate regulatório tende a seguir, ainda que sua adoção em larga escala dependa de fatores institucionais e de interoperabilidade.8
Essa tendência também ajuda a explicar por que a discussão atual já não se limita a perguntar qual método verifica melhor, mas sim qual método traz maior segurança com menor custo para a privacidade. Quando a Comissão Europeia passou a pressionar grandes plataformas por medidas mais eficazes contra o acesso de menores a conteúdo adulto, o discurso oficial destacou justamente a necessidade de verificação da idade com preservação de privacidade. A mesma direção aparece nas manifestações conjuntas da ICO e Ofcom, que procuram harmonizar segurança online e proteção de dados, e nas orientações preliminares da ANPD, que assumem explicitamente esse duplo compromisso.
No Brasil, porém, esse modelo mais sofisticado ainda depende de maturação institucional e técnica. A tecnologia existe, mas sua adoção ampla pressupõe infraestrutura, interoperabilidade, padrões de confiança e participação coordenada de múltiplos agentes, inclusive plataformas, sistemas operacionais, lojas de aplicativos, governo e provedores de identidade. Por isso, no curto prazo, o cenário mais provável não é a substituição imediata por uma única solução ideal, mas a convivência de modelos híbridos, calibrados conforme o risco, o tipo de serviço e o impacto potencial sobre crianças e adolescentes. Nesse contexto, a escolha do mecanismo de verificação de idade tende a ser orientada por uma lógica de avaliação de risco, levando em consideração fatores como o tipo de conteúdo ou serviço oferecido, o potencial impacto sobre crianças e adolescentes, o grau de intrusividade da solução adotada e a disponibilidade de alternativas menos invasivas que alcancem nível equivalente de confiabilidade. A própria ANPD, ao divulgar seu cronograma de fiscalização, indicou uma implementação por etapas, começando por atores estruturantes, como lojas de aplicativos e sistemas operacionais proprietários.9
O ponto, portanto, não é que exista hoje uma fórmula única, pronta e universal. O que já existe é uma direção regulatória clara. O ECA Digital rompeu com a lógica de mera autorregulação e deixou estabelecido que, em determinados contextos, a verificação de idade precisa ser efetiva, e não simbólica. Ao mesmo tempo, a regulamentação e as orientações posteriores mostram que essa exigência não autoriza qualquer solução a qualquer custo. O dever de proteger crianças e adolescentes convive com o dever de preservar sua privacidade, minimizar a coleta de dados e evitar desenho abusivo ou desproporcional de produtos digitais.
No fim, o que dá unidade a toda a discussão é justamente esse tensionamento entre proteção efetiva e preservação de direitos fundamentais. A aferição de idade deixou de ser um detalhe técnico periférico e passou a ocupar um lugar central na governança jurídica das plataformas. Mas a pergunta decisiva não é apenas como barrar acessos de crianças e adolescentes a conteúdos e ambientes indevidos. É como fazer isso sem produzir um ambiente de vigilância permanente, sem normalizar a coleta excessiva de informações.
As legislações específicas sobre segurança da criança e do adolescente, como o ECA Digital, e aquelas voltadas especificamente para a privacidade e proteção de dados pessoais, como a LGPD, devem ser analisadas conjuntamente, e ambas devem ser sopesadas e consideradas nas tomadas de decisão dos controladores. Nenhuma das leis traz soluções prontas, e ambas exigem análise de risco antes da implementação de serviços e produtos que envolvam tratamento de dados pessoais, e especialmente dados pessoais sensíveis. Com relação à tecnologia da informação direcionada a crianças e adolescentes (ou de acesso provável por eles), a questão dos mecanismos de aferição de idade desse público não é um tema lateral, mas sim central, devendo os provedores buscarem os formatos que melhor atendem ao objetivo da lei específica.
Em um contexto em que plataformas digitais ocupam papel central na forma como esse público interage e consome conteúdo, a discussão sobre verificação de idade passa a integrar um debate mais amplo sobre responsabilidade no desenho desses ambientes. A crescente responsabilização de grandes plataformas por falhas na mitigação de riscos associados ao uso intensivo de seus serviços, inclusive com o reconhecimento de negligência em decisões recentes, reforça a necessidade de mecanismos efetivos de proteção que atuem preventivamente, e não apenas de forma reativa.10
__________
1 BRASIL. Lei nº 15.211, de 2025 (ECA Digital). Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2023-2026/2025/lei/L15211.htm
2 Ministério da Justiça. ECA Digital – exigência de verificação de idade. Disponível em: https://www.gov.br/mj/pt-br/assuntos/sua-protecao/sedigi/eca-digital
3 ANPD. Orientações preliminares sobre aferição de idade no ambiente digital. Disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-publica-orientacoes-preliminares-e-cronograma-para-afericao-de-idade-no-ambiente-digital
4 ICO (Information Commissioner’s Office). Children’s Code. Disponível em: https://ico.org.uk/for-organisations/childrens-code/ European Commission. Digital Strategy. Disponível em: https://digital-strategy.ec.europa.eu/en
5 A eSafety Commission australiana tem avançado na construção de diretrizes para restrição de acesso de menores a redes sociais, com foco na responsabilidade das plataformas e na adoção de mecanismos proporcionais de verificação de idade, buscando conciliar segurança e proteção à privacidade. Ver: https://www.esafety.gov.au/about-us/industry-regulation/social-media-age-restrictions.
6 Reguladores europeus e britânicos têm enfatizado que mecanismos de age assurance devem ser eficazes sem comprometer a privacidade, observando princípios como minimização de dados e proporcionalidade. Nesse sentido, destacam-se iniciativas conjuntas do ICO e da Ofcom, bem como a abordagem da Comissão Europeia, que vem promovendo soluções de verificação etária com preservação de privacidade. Disponível em: https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/childrens-information/childrens-code-guidance-and-resources/joint-statement-on-a-common-international-approach-to-age-assurance/ https://www.ofcom.org.uk/online-safety
7 No âmbito do European Digital Identity Wallet (eIDAS 2.0), a União Europeia tem desenvolvido soluções baseadas em credenciais digitais e compartilhamento seletivo de atributos (selective disclosure), que permitem comprovar informações como a maioridade sem necessidade de revelar ou armazenar dados pessoais adicionais em cada interação. Disponível em: https://digital-strategy.ec.europa.eu/en/policies/european-digital-identity
8 Comissão Europeia indicou que soluções de verificação etária baseadas em identidade digital já se encontram tecnicamente prontas, com implementação prevista de forma gradual, no âmbito das iniciativas relacionadas ao European Digital Identity Wallet. Ver: IAPP, European Commission’s age verification app technically ready, rollout to come, disponível em: https://iapp.org/news/a/european-commission-s-age-verification-app-technically-ready-rollout-to-come
9 A ANPD indicou a implementação gradual das medidas de aferição de idade, com início da fiscalização por atores estruturantes, como lojas de aplicativos e sistemas operacionais proprietários, conforme cronograma divulgado pela autoridade.
10 Decisões recentes nos Estados Unidos têm reconhecido a responsabilidade de grandes plataformas digitais por falhas na mitigação de riscos associados ao uso intensivo de redes sociais, especialmente por usuários jovens, incluindo o reconhecimento de negligência em casos envolvendo alegações de design prejudicial e estímulo ao uso excessivo. Ver, por exemplo: Electronic Privacy Information Center (EPIC), Jury finds Meta and Google negligent in landmark social media addiction case, disponível em: https://epic.org/jury-finds-meta-and-google-negligent-in-landmark-social-media-addiction-case/
Disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-publica-orientacoes-preliminares-e-cronograma-para-afericao-de-idade-no-ambiente-digital