ECA Digital e IA: Limites jurídicos para a infância conectada

Em 2025, a internet deixou de ser mera infraestrutura para se tornar um ambiente de vida para crianças e adolescentes. Nesse cenário, o ECA Digital (lei 15.211/25) surge como marco regulatório destinado a disciplinar produtos e serviços digitais voltados - ou acessíveis - a menores de idade. A norma exige proteção por desenho e por padrão (privacy/safety by design & by default), verificação de idade confiável, supervisão parental efetiva e limites estritos à publicidade e ao perfilamento comportamental.

Mais do que reagir a danos, a lei redefine o papel das plataformas: a conformidade se desloca do conteúdo para a arquitetura, cabendo às empresas desenharem sistemas, algoritmos e configurações que previnam riscos desde a concepção.

Estrutura normativa e deveres principais

O ECA Digital aplica-se a aplicativos, jogos, redes sociais, lojas e sistemas operacionais voltados ou potencialmente acessíveis a menores. Nesses casos, impõe obrigações de prevenção de riscos, aferição etária e supervisão parental:

1. Prevenção por desenho - Plataformas devem implementar controles técnicos e organizacionais para reduzir a exposição a conteúdos nocivos, como exploração sexual, cyberbullying, jogos de azar ou automutilação. A lógica é ex ante: governança de produto, testes de funcionalidades (recomendação, autoplay, mensagens diretas, lives, ranqueamento) e monitoramento contínuo voltados ao melhor interesse da criança;
2. Verificação de idade (age assurance) - Serviços com conteúdo impróprio precisam de métodos confiáveis de verificação (não bastam autodeclarações). O ECA Digital impõe requisitos também a sistemas operacionais e lojas, que devem oferecer arquiteturas seguras, APIs interoperáveis e controles parentais integrados, sob o princípio da minimização de dados;
3. Supervisão parental e contas vinculadas - Determina-se a vinculação de contas de menores à de um responsável, com funcionalidades de bloqueio, limitação de tempo e visibilidade controlada;
4. Publicidade e perfilamento - A lei proíbe ou restringe o perfilamento para fins publicitários e coíbe práticas de exploração (como loot boxes e monetização abusiva).

Ao inverter o paradigma da autorregulação, o ECA Digital impõe responsabilidade técnica e jurídica desde o design do produto.

ECA Digital e LGPD: integração e impacto na IA

A Lei Geral de Proteção de Dados Pessoais (LGPD) (lei 13.709/18) já estabelece que o tratamento de dados de crianças e adolescentes deve observar o melhor interesse e, em regra, depender de consentimento dos responsáveis (art. 14). O ECA Digital concretiza essa proteção ao exigir verificação de idade segura, controle parental efetivo e uso exclusivo do dado etário para sua finalidade específica, vedando o reuso para publicidade ou tracking. Tal integração reforça os princípios da finalidade, necessidade e segurança (arts. 6º e 46 da LGPD). Em sistemas de IA e algoritmos, a combinação entre LGPD e ECA Digital exige Relatórios de Impacto à Proteção de Dados Pessoais (RIPD) para funcionalidades de alto risco, como recomendação, moderação automatizada e detecção etária.

A Autoridade Nacional de Proteção de Dados (ANPD), por meio de notas e do Radar Tecnológico, alerta para riscos associados a soluções de verificação etária baseadas em IA - especialmente biometria facial ou de voz - destacando princípios de proporcionalidade, acurácia, não reuso e auditabilidade. Quem optar por tais tecnologias deve comprovar governança algorítmica sólida, com testes de viés, segurança e transparência proporcional ao risco.

Convergência normativa e referências internacionais

O Marco Civil da Internet (lei 12.965/14) segue como base de direitos digitais (liberdade de expressão, privacidade, neutralidade, guarda de registros), enquanto o ECA Digital adiciona obrigações setoriais voltadas à infância. Já o ECA original (lei 8.069/90) mantém-se como fundamento da proteção integral, agora traduzido em requisitos técnicos e operacionais.

O Brasil aproxima-se de legislações internacionais que reforçam essa lógica de proteção por design:

• GDPR (art. 8) - Exige consentimento parental entre 13 e 16 anos e protege dados infantis de forma reforçada;
• UK Children's Code (Age-Appropriate Design Code) - Define 15 padrões obrigatórios de design; violações podem configurar infração de proteção de dados;
• EU Digital Services Act (DSA) - Proíbe publicidade baseada em perfilamento de menores e incentiva defaults protetivos, com diretrizes detalhadas publicadas em 2025.

Esses instrumentos consolidam um modelo convergente: aferição etária proporcional, design seguro e publicidade não comportamental.

Aplicações práticas e deveres setoriais

Plataformas, lojas e sistemas operacionais deverão:

• Mapear acessos prováveis e elaborar matrizes de risco por produto e funcionalidade;
• Adotar gateways etários confiáveis e controles parentais via API, com logs, auditoria e RIPD;
• Desativar anúncios comportamentais para menores e revisar SDKs e parceiros;
• Estabelecer rotinas de moderação, denúncia e comunicação às autoridades.

Edtechs e instituições de ensino, públicas ou privadas, precisam:

• Revisar contratos conforme o art. 14 da LGPD e o ECA Digital;
• Definir bases legais, políticas de dados infantis e mecanismos de segurança;
• Evitar coleta excessiva e justificar o uso de IA em avaliações ou monitoramentos, garantindo proporcionalidade e minimização.

Desafios, governança algorítmica e educação digital

A verificação de idade é um dos pontos de maior complexidade: exige equilíbrio entre efetividade, privacidade e inclusão. A ANPD prioriza o tema em sua agenda, buscando padronizar requisitos técnicos e jurídicos.

A governança algorítmica, por sua vez, deve migrar do plano declaratório para o operacional: criação de métricas de risco, análises de impacto, red teaming para detecção de grooming e contatos indevidos, e documentação para prestação de contas ex ante.

No campo educacional, alfabetização midiática e educação digital tornam-se elementos estruturais da proteção integral, complementando o dever técnico das plataformas.

Em síntese, o ECA Digital não substitui o Marco Civil da Internet nem reproduz a LGPD - ele representa uma evolução normativa que traduz o princípio da proteção integral para o ecossistema algorítmico. Ao exigir segurança por padrão, verificação de idade confiável e governança tecnológica contínua, a lei inaugura um novo paradigma regulatório voltado à infância conectada. O ciclo de vida da inteligência artificial - da coleta à inferência, passando pela explicabilidade e mitigação de riscos - torna-se parte indissociável do compliance infantojuvenil. Para plataformas, edtechs e instituições educacionais, o desafio é integrar direito, engenharia e design de produto sob uma mesma bússola: o melhor interesse da criança como critério técnico, jurídico e ético de desenvolvimento digital.