Controle etário no ambiente digital. O que muda com o ECA Digital

O que muda com o ECA Digital e o que donos de aplicativos precisam fazer

A obrigação de verificar a idade dos usuários no ambiente digital tornou-se exigência legal para muitas empresas, desenvolvedores e operadores de plataformas digitais que atuam no Brasil, de todos os portes e segmentos, tendo ou não finalidade de lucro. O marco para essa nova obrigação foi a entrada em vigor do  ECA -Estatuto Digital da Criança e do Adolescente - digital, lei 15.211/25 -, em 17/3/26.

Obrigação posta, surgem as dúvidas práticas: Como cumprir esse dever, que tecnologia adotar, quais dados podem ser coletados nesse processo, quem é responsável pela fiscalização e quais as sanções aplicáveis.

E, na realidade de que a autodeclaração (aquela pop-up que pergunta e o próprio usuário responde) não é mais considerada válida, quais mecanismos poderão ser utilizados com eficiência e segurança?

Diante das dúvidas, bebemos da fonte europeia - o RGPD, o Digital Services ACT e as diretrizes do European Data Protection Board - mas desta vez com referência técnica própria: O Radar Tecnológico 5 da ANPD, publicado em outubro de 2025, que mapeou com precisão as tecnologias disponíveis, seus riscos e seu grau de compatibilidade com a proteção de dados.

O que o ECA digital exige, afinal?

A lei é direta: As plataformas não podem mais aceitar a simples autodeclaração do usuário como prova de maioridade. O clique em "tenho mais de 18 anos" acabou juridicamente. A partir de 17/3/26, toda plataforma que opere no Brasil - independentemente de onde esteja sediada - precisa adotar mecanismos confiáveis de verificação etária.

Mas a lei vai além da verificação de idade. Ela cria um sistema integrado de proteção que combina três obrigações estruturais:

a) Verificação etária confiável no cadastro ou no acesso ao conteúdo restrito;

b) Ferramentas de supervisão parental integradas ao produto - não como funcionalidade opcional ou acessória, mas como parte da arquitetura do serviço;

c) "Sinal de idade" via API segura, que permite que lojas de aplicativos e sistemas operacionais informem a faixa etária do usuário a provedores de conteúdo sem transmitir dados pessoais identificadores.

O Decreto regulamentador publicado em 18/3/26 foi além e segmentou as obrigações por tipo de plataforma.

Para redes sociais, por exemplo, a autodeclaração de idade está vedada e a abertura de contas somente acima de 16 anos, entre 13 e 16 anos, contas vinculadas a conta do responsável legal.

Para aplicações de internet (app e sites) de conteúdo adulto ou apostas, a aferição de idade precisa ser feita por coleta de documento de identificação ou verificação por terceiros, como por API ao sistema do governo.

Para aplicações que tenham jogos com loot boxes (aquelas caixas premiadas que podem gerar vício), a obrigação é que o jogo não seja acessível aos menores ou tenham um desenho alternativo que inviabilize o acesso aos loot boxes por crianças e adolescentes.

Páginas de buscadores (como google, bing) precisarão impedir a exibição de respostas a buscas que contenham conteúdo adulto.

Sistemas operacionais precisarão checar a idade com verificação junto a banco de dados confiáveis e seguros.

Essas novidades nos colocam diante de dois pontos de discussão centrais: 1) como verificar idade de forma segura, sob o viés tecnológico e 2) como garantiremos que não estaremos ampliando a coleta de dados de crianças a adolescentes pelos responsáveis pela aplicação digital.

Ainda não temos, no Brasil, resposta regulatória oficial sobre os temas, mas somando a experiência internacional com as publicações de informativos da Agência Nacional de Proteção de Dados temos um bom ponto de partida.

Em 14/10/25, a ANPD publicou o radar tecnológico  5 - Mecanismos de Aferição de Idade em ambientes digitais, elaborado pela CGTP - Coordenação-Geral de Tecnologia e Pesquisa. É o documento técnico oficial mais completo que temos no Brasil sobre o tema e publicação essencial para qualquer profissional de compliance digital. Em março de 2026, ganhou versão em inglês, o que sinaliza o interesse da ANPD em posicionar o Brasil na governança digital internacional.

O Radar organiza os mecanismos de aferição em dois grandes grupos:

• Verificação de idade (age verification): Confirma com precisão documental a faixa etária do usuário, por meio de documentos oficiais (RG, CNH), dados bancários, open banking, operadoras de telefonia (MNO) ou prestadores terceiros especializados. É o método mais preciso. O ponto de atenção sob a LGPD é que o documento em si é dado pessoal - às vezes sensível - e deve ser descartado imediatamente após a verificação, retendo-se apenas a informação de que o usuário atende ou não ao critério etário.
• Estimativa de idade (age estimation): Infere a faixa etária por meio de biometria facial, reconhecimento de voz ou padrões de comportamento de navegação. Envolve, necessariamente, dados biométricos - classificados como dados sensíveis pelo art. 5º, II, da LGPD - o que exige base legal específica, RIPD - Relatório de Impacto à Proteção de Dados e salvaguardas reforçadas. A ANPD alerta que a coleta excessiva de biometria pode representar ameaça à privacidade mesmo quando a finalidade é legítima.

A fronteira tecnológica apontada pelo radar como mais compatível com a LGPD são os tokens criptográficos com zero-knowledge proofs (ZKP): Soluções que permitem demonstrar matematicamente que o usuário pertence a determinada faixa etária sem revelar nenhum dado identificador. O token "não carrega dados como nome, CPF ou data de nascimento: Ele contém apenas a informação necessária - por exemplo, 'maior de 13 anos', 'entre 16 e 18 anos' ou 'maior de 18 anos' - protegida por criptografia" (ANPD, radar tecnológico 5, 25, p. 23).

É a solução que melhor concilia eficácia de verificação e respeito à privacidade, é dizer, sem aplicar coleta de dados.

Essa abordagem, aliás, resolve uma dúvida que o mercado já está colocando: Uma plataforma de conteúdo pornográfico tem obrigação de adotar verificação documental ou por terceiro confiável. Uma loja de aplicativos para crianças pode cumprir o dever pelo sinal de idade via API combinado com controles parentais. Em todos os dois casos, a autodeclaração, modelo prevalescente hoje, não vale mais.

Não estamos inventando a roda. O Brasil chegou a essa norma após observar experiências internacionais que já enfrentaram o mesmo desafio.

Na União Europeia (sede do GPDR), a norma mais atual, o Digital Services (DSA), em vigor desde fevereiro de 2024, foi além: Tratou os menores como grupo de risco distinto e exigiu medidas proporcionais ao risco para controle etário, com multas de até 6% da receita global. Em julho de 2025, a Comissão Europeia publicou orientações específicas para plataformas e chegou a desenvolver um protótipo de verificação de idade que comprova a maioridade do usuário sem expor nenhum dado pessoal.

Como o Reino Unido não integra a União Europeia, o Children's Code (ICO, 2020) estabeleceu 15 padrões para serviços digitais acessíveis a menores: Privacidade alta por padrão, coleta mínima de dados, geolocalização desativada por padrão, proibição de técnicas de nudge para obtenção de dados. O Online Safety Act (2023) foi mais duro: Desde julho de 2025, plataformas com conteúdo adulto precisam de verificação de idade "altamente eficaz", com multas de até £18 milhões ou 10% do faturamento global. Se quiserem mais rigidez na proteção integral de crianças e adolescente, hoje, o modelo britânico é o melhor benchmark.

Na Austrália, super recente, a lei foi direta ao ponto: Desde dezembro de 2025, menores de 16 anos estão proibidos de criar contas em redes sociais. Milhões de contas foram encerradas pelas próprias plataformas após a entrada em vigor da norma. É a medida mais restritiva adotada por uma democracia ocidental.

O padrão que emerge desse conjunto é consistente: Proibição da autodeclaração, privacidade por padrão, minimização de dados na aferição etária, responsabilidade preventiva das plataformas e neutralidade tecnológica com gradação por risco.

É nesse cenário que nos encontramos em termos regulatórios do ambiente digital no Brasil. E, com a ANPD elevada ao protagonismo de regulamentador e fiscalizador.

A lei 15.352/26, sancionada em 25/2/26, transformou a ANPD em agência reguladora autônoma. Essa transformação não é meramente formal. Ela dota o órgão de instrumento jurídico robusto para editar regulamentos técnicos com força normativa, realizar consultas e audiências públicas e - o ponto que o mercado precisa acompanhar de perto - estabelecer as especificações definitivas dos mecanismos de aferição etária aceitos para cada tipo de plataforma.

Já está inserida na Agenda Regulatória 2025-2026 da ANPD três novos itens diretamente relacionados ao ECA Digital: (i) regulamentação dos mecanismos de aferição de idade; (ii) escopo e obrigações gerais dos fornecedores; e (iii) revisão do regime de fiscalização e sanção. O cronograma é escalonado: primeiro, orientação e diálogo com o setor; depois, exigibilidade com sancionamento, assim como foi a jornada para os temas específicos da lei Geral de Proteção de Dados.

Com sua marca registrada pautada na escuta pública, a ANPD anunciou, no dia 18/3/26, a abertura futura de consulta pública sobre os mecanismos de aferição etária. E nós estaremos por lá, contribuindo na formação dessa nova cultura do compliance digital.

E como tudo que é novidade levanta dúvidas, a distinção entre o que é exigível desde já e o que ainda depende de regulamentação da ANPD é crucial para o planejamento de compliance digital das empresas.

São obrigações imediatas, desde 17/3/26:

a) Proibição absoluta da autodeclaração como mecanismo único de verificação etária;

b) Vedação de publicidade comportamental direcionada a crianças e adolescentes;

c) Proibição de loot boxes em jogos acessíveis a menores;

d) Obrigação de remover de conteúdo ilegal em até 24 horas após notificação;

e) Disponibilização de ferramentas de supervisão parental integradas ao produto;

f) Contas em redes sociais criadas por adolescentes por padrão devem ser privadas;

g) Desativação por padrão de rolagem infinita, notificações compulsórias e autorreprodução de conteúdo.

São obrigações progressivas, sujeitas à regulamentação da ANPD:

a) Implementação do mecanismo técnico específico de aferição etária, calibrado ao risco do serviço, para o que vale a elaboração de um Relatório de Impacto;

b) Fornecimento de sinal de idade via API segura com minimização de dados;

c) Documentação dos processos de aferição para comprovação de conformidade em fiscalizações.

Mais uma vez, a ANPD trabalhou certo. O Radar Tecnológico 5 é um documento técnico didático, honesto sobre os limites das tecnologias disponíveis e cuidadoso ao apontar os riscos de cada solução à luz da LGPD. A abordagem escalonada da implementação é, na nossa prática de DPO, o caminho mais razoável: regulamentar o que já é possível exigir, dialogar com o setor sobre o que ainda é tecnologicamente incerto, e construir o padrão definitivo com base em evidências.

O desafio prático que já estamos vivendo é o mesmo de sempre: o compartilhamento de informações suficientes pelas organizações para que possamos analisar conformidade e fazer recomendações. Empresas que ainda não mapearam seus fluxos de acesso de menores, que não revisaram suas interfaces de produto e que não implementaram os controles parentais exigidos estão expostas - não apenas às sanções do ECA Digital, mas também ao risco reputacional que uma autuação da ANPD carrega.