Brasil e o ECA Digital: Desafios da proteção infantil no mundo digital

Em 17 de março, o Estatuto da Criança e do Adolescente Digital passou a vigorar no Brasil¹. A lei é ampla, exigente, e em vários pontos pioneira. Mais decisivo, talvez, do que a sua densidade normativa imediata é o lugar onde ela coloca o país. O Brasil entra em uma conversa internacional sobre infância em rede que vem ocorrendo há cerca de uma década e que ainda não tem desfecho consensual.

A pergunta de fundo é simples de enunciar e difícil de responder. Como proteger crianças e adolescentes em um ecossistema digital projetado para mantê-los conectados o máximo de tempo possível, sem incinerar, no caminho, a privacidade que a mesma proteção pretende salvaguardar.

O ECA Digital oferece uma resposta brasileira ancorada em algumas premissas. A proteção da criança em ambiente digital aparece como dever compartilhado entre família, sociedade, Estado e empresas de tecnologia, em chave atualizada do art. 227 da Constituição. O desenho protetivo é exigido desde a concepção dos serviços, de modo que a configuração mais resguardada opera como regra padrão e cabe ao fornecedor demonstrar por que se afasta dela em determinada hipótese. A economia da atenção sobre menores de idade recebe contenção expressa, com proibição de perfilamento publicitário, supressão das chamadas caixas de recompensa em jogos eletrônicos e proteção contra padrões de manipulação².

Tais premissas dialogam com escolhas já experimentadas em outras democracias, e é nesse diálogo que reside boa parte do interesse intelectual da nova lei.

O caso britânico oferece o mais antigo dos laboratórios. O Age Appropriate Design Code, em vigor desde setembro de 2020, fixou quinze padrões para qualquer serviço digital com probabilidade de acesso por crianças, com ênfase em privacidade alta por padrão³. A reação das grandes plataformas foi visível e contagiosa, com reformas em interfaces que se converteram, por contágio competitivo, em padrão global. Houve, em paralelo, um fenômeno menos comemorado. Alguns serviços educacionais de pequeno porte preferiram bloquear o acesso de menores britânicos a manter o serviço sob risco regulatório, e o resultado foi o que a literatura inglesa apelidou de chilling effect. Norma protetiva mal calibrada pode acabar empobrecendo a oferta que pretende cuidar, e essa inversão sutil é talvez a parte mais útil da experiência britânica para quem ainda está começando.

A Espanha trilhou um caminho diferente, mais técnico do que normativo. O decálogo de verificação de idade publicado pela Agencia Española de Protección de Datos em 2023 apostou em zero-knowledge proofs, isto é, tokens criptográficos emitidos por terceiros confiáveis que comprovam a idade do usuário sem revelar dados de origem⁴. A solução é elegante e foi acolhida com entusiasmo pela comunidade europeia de privacy by design. A implantação, contudo, depende de infraestrutura de identidade digital em escala, com provedores em quantidade e qualidade compatíveis, o que sai caro a quem precisa construí-la do zero. O Brasil terá que pensar com cuidado o papel do Gov.br nesse desenho, sob pena de adotar a forma sem ter como sustentar a função.

Já a França preferiu agir em duas frentes, com tempos distintos. Desde 2020, impõe aferição de idade obrigatória nos sítios de conteúdo pornográfico. Em 2023, foi um passo adiante, ao instituir a maioridade digital aos quinze anos para uso autônomo de redes sociais⁵. A lei segue vivendo batalhas judiciais sucessivas e funciona, na prática, em regime de aplicação parcial. A experiência francesa fala alto sobre o limite das normas radicais de idade mínima, que cedo ou tarde colidem com problemas técnicos de verificação e com direitos próprios do adolescente, em particular o direito à informação e à participação social.

No caso da Austrália, o parlamento australiano aprovou a Online Safety Amendment, que pura e simplesmente veda o acesso de menores de dezesseis anos a determinadas plataformas e transfere às empresas o ônus da verificação⁶. A medida foi celebrada por associações de pais e por parte da imprensa, e recebida com perplexidade por organismos internacionais. Há o risco evidente de empurrar adolescentes para serviços não regulados, fora do alcance de qualquer salvaguarda, somado à produção de falsa sensação de segurança institucional e à tensão crescente com o comentário geral 25 do Comitê dos Direitos da Criança da ONU, que reconhece, em pé de igualdade, proteção e participação digital. A decisão australiana acabou cumprindo, sem querer, função pedagógica involuntária. Toda escolha radical paga preço alto em outra dimensão, e a fronteira entre proteção e paternalismo nunca é matemática.

Do outro lado do Atlântico, os Estados Unidos convivem com a COPPA desde 1998. A lei foca em menores de treze anos, exige consentimento parental verificável e construiu, ao longo dos anos, um ecossistema inteiro de cumprimento, com prestadores especializados em coletar autorizações e armazenar comprovantes. Quase três décadas depois, o saldo é misto. O adolescente entre treze e dezessete ficou inteiramente fora do escopo, e a cultura do consentimento parental virou, em boa parte dos casos, formulário burocrático sem leitura efetiva. A própria Federal Trade Commission reconheceu o problema em janeiro de 2024, ao propor revisão substancial da regra para lidar com economia da atenção e com perfilamento de adolescentes. O recado vale para quem está chegando agora ao tema. Mesmo modelos consolidados precisam de atualização constante⁷.

Por fim, a União Europeia, por sua vez, montou um arranjo articulado a partir de 2022, com o Digital Services Act como peça central, complementado pelo Digital Markets Act e por regulações setoriais. O DSA impõe deveres específicos às chamadas very large online platforms quanto à proteção de menores, incluindo a proibição de publicidade comportamental dirigida a usuários menores de idade e a obrigação de avaliação anual de riscos sistêmicos⁸. Foi desse repertório europeu que o ECA Digital tirou parte expressiva da sua arquitetura, com destaque para os deveres de transparência e para os relatórios semestrais que a nova lei brasileira passa a exigir das plataformas com mais de um milhão de usuários menores de dezoito anos.

Esse panorama comparado oferece lições que merecem entrar no debate brasileiro. A aferição de idade configura, antes de tudo, escolha política sobre quais dados os usuários estão dispostos a ceder, e a quem. Documentos oficiais, biometria facial, padrões de uso e tokens criptográficos produzem equilíbrios distintos entre proteção, privacidade e funcionalidade. A ANPD, em suas orientações preliminares de março de 2026, reconhece esse ponto com franqueza, ao registrar que cada solução técnica adotada gera risco simétrico ao que pretende mitigar⁹. A maturação desse debate exige tempo, experimentação regulada e abertura para revisão.

O instrumento talvez mais promissor para essa maturação já existe e é doméstico. O sandbox regulatório, adotado pela ANPD em seu projeto piloto sobre inteligência artificial e proteção de dados, oferece ambiente jurídico delimitado para a testagem supervisionada de soluções inovadoras, com metodologia estruturada, prazos definidos e acompanhamento direto da Autoridade. A própria ANPD define o sandbox como espaço controlado de experimentação colaborativa entre regulador, entidade regulada e partes interessadas, destinado a testar inovações regulatórias e tecnológicas em contexto de menor incerteza sancionatória¹⁰.

A aferição de idade reúne praticamente todas as características que recomendam esse formato: é tecnologia ainda em amadurecimento, envolve tratamento de dados pessoais sensíveis ou de elevada criticidade, afeta direitos fundamentais de crianças, adolescentes e adultos, varia conforme o setor regulado e depende de aprendizado iterativo. Um sandbox dedicado ao tema permitiria testar, em escala limitada, modelos de verificação proporcional, anonimizada e interoperável com soluções públicas de identidade digital, inclusive o Gov.br, sem impor de imediato um desenho único a todo o ecossistema digital infantojuvenil.

Nesse ponto, a escolha por um sandbox seria menos heroica do que a publicação imediata de um regulamento definitivo, e provavelmente mais útil. Em vez de presumir maturidade técnica onde ainda há incerteza, permitiria à ANPD acumular evidências empíricas sobre eficácia, riscos de exclusão, minimização de dados, segurança, auditabilidade e preservação do anonimato. Essa função é coerente com a própria finalidade do sandbox da ANPD, que busca conciliar inovação, proteção de dados pessoais, privacidade e segurança jurídica.

A fronteira entre proteção e paternalismo permanece tênue. O comentário geral 25 do Comitê dos Direitos da Criança da ONU consagra simultaneamente o direito à proteção e o direito à participação¹¹. Banir adolescentes de espaços digitais resolve o lado da proteção, ao custo da participação. Permitir tudo, com avisos genéricos, faz o oposto. A engenharia institucional fina opera entre esses dois polos, e o ECA Digital optou por caminho intermediário, com vinculação de contas a responsáveis legais para menores de dezesseis anos e configurações por padrão. O acerto desse caminho será medido empiricamente nos próximos anos.

A efetividade dessas normas depende de aplicação consistente e de cooperação internacional. Plataformas digitais são globais. Regulações nacionais isoladas tendem a gerar arbitragem regulatória, em que serviços migram para jurisdições mais permissivas e usuários mais experientes contornam restrições por meio de redes privadas virtuais. A cooperação entre autoridades de proteção de dados, prevista em vários acordos firmados pela ANPD com pares estrangeiros, deixa de ser cortesia diplomática e se torna uma necessidade.

O Brasil é país com cerca de cinquenta milhões de crianças e adolescentes, larga maioria conectada, em contexto socioeconômico bastante distinto do europeu. A simples importação de modelos comparados, ainda que tecnicamente refinados, ignora variáveis estruturais decisivas, como letramento digital desigual, acesso doméstico precário a dispositivos atualizados e fragilidade das redes públicas de proteção à infância. Qualquer regulação séria precisa carregar esse contexto na sua arquitetura.

O ECA Digital é, nesse sentido, é uma proposta de pacto social sobre o lugar das infâncias e adolescências no mundo digital brasileiro. A sua efetividade dependerá de coisas que escapam ao texto legal, como o engajamento responsável das plataformas reguladas, a presença ativa das famílias e das escolas, o trabalho técnico cuidadoso da ANPD na produção dos atos infralegais que ainda virão, e o fortalecimento progressivo do Sistema de Garantia de Direitos da Criança e do Adolescente.

Quem participa dessa conversa global sobre infância em rede com franqueza descobre que ainda há mais perguntas do que respostas. O Brasil chega tardio em alguns aspectos e, em outros, na vanguarda. O melhor uso desse momento talvez seja resistir aos polos do triunfalismo e do ceticismo, dois discursos confortáveis que dispensam o trabalho cuidadoso de desenhar, testar, corrigir e seguir adiante.

_______

1 BRASIL. Lei nº 15.211, de 17 de março de 2025. Estatuto da Criança e do Adolescente Digital. Disponível em https://www.planalto.gov.br/ccivil_03/_Ato2023-2026/2025/Lei/L15211.htm. Acesso em 26 abr. 2026.

2 BRASIL. Decreto nº 12.880, de 18 de março de 2026, que regulamenta a Lei nº 15.211/2025. V. arts. 5º (deveres gerais), 6º (proteção desde a concepção), 13 (relatórios de transparência), 17 (vinculação de contas) e 27 (proibição de perfilamento publicitário) da lei. Disponível em https://www.planalto.gov.br/ccivil_03/_Ato2023-2026/2026/Decreto/D12880.htm.

3 INFORMATION COMMISSIONER’S OFFICE (UK). Age appropriate design. A code of practice for online services, em vigor desde setembro de 2020. O texto integra quinze standards obrigatórios para serviços com probabilidade de acesso por crianças. Disponível em https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/childrens-information/childrens-code-guidance-and-resources/age-appropriate-design-a-code-of-practice-for-online-services/.

4 AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS. Decálogo de princípios para a verificação de idade e a proteção de pessoas menores de idade frente a conteúdos inadequados. Madri, 2023, com revisão em 2025. Disponível em https://www.aepd.es/prensa-y-comunicacion/notas-de-prensa/decalogo-verificacion-edad-proteccion-menores-internet.

5 FRANÇA. Loi n° 2023-566, du 7 juillet 2023, visant à instaurer une majorité numérique et à lutter contre la haine en ligne, que estabelece a chamada maioridade digital aos quinze anos para uso autônomo de redes sociais. Disponível em https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000047800353.

6 AUSTRÁLIA. Online Safety Amendment (Social Media Minimum Age) Act 2024, que proíbe o acesso de menores de dezesseis anos a determinadas plataformas. Disponível em https://www.aph.gov.au/Parliamentary_Business/Bills_Legislation/Bills_Search_Results/Result?bId=r7284. V. discussão em UNICEF, Online Safety Amendment Act, dezembro de 2024.

7 ESTADOS UNIDOS DA AMÉRICA. Children’s Online Privacy Protection Act (COPPA), 1998. A FEDERAL TRADE COMMISSION publicou em janeiro de 2024 a Notice of Proposed Rulemaking para revisão da regulação, com foco em economia da atenção e perfilamento. Disponível em https://www.ftc.gov/legal-library/browse/rules/childrens-online-privacy-protection-rule-coppa.

8 UNIÃO EUROPEIA. Regulamento (UE) 2022/2065 (Digital Services Act), em especial arts. 28 e 34 a 35, sobre proteção de menores e avaliação anual de riscos sistêmicos. Disponível em https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32022R2065.

9 ANPD. Mecanismos confiáveis de aferição de idade. Orientações preliminares. Brasília, março de 2026. O documento registra cautela específica quanto a métodos baseados em biometria facial, em razão de "riscos de vigilância, vieses algorítmicos e coleta excessiva de dados sensíveis". Disponível em https://www.gov.br/anpd/pt-br.

10 https://www.gov.br/anpd/pt-br/sandbox/o-sandbox-regulatorio

11 ORGANIZAÇÃO DAS NAÇÕES UNIDAS. Comitê dos Direitos da Criança. Comentário Geral nº 25 (2021), sobre os direitos das crianças em relação ao ambiente digital. Disponível em https://www.ohchr.org/en/documents/general-comments-and-recommendations/general-comment-no-25-2021-childrens-rights-relation.