📌 RESUMO DA NOTÍCIA

⚖️ Caso: Implementação do ECA Digital

📅 Data: 17/03/2026

⚡ Decisão: Regulamentação faseada da ANPD sobre verificação de idade

🏛️ Instância: Autoridade Nacional de Proteção de Dados (ANPD)

A partir de 17 de março de 2026, o Estatuto da Criança e do Adolescente Digital (ECA Digital) passa a vigorar em todo o território nacional, impondo um conjunto robusto de obrigações a provedores de produtos e serviços digitais que possam ser acessados por menores. A ANPD, agora agência reguladora, conduzirá a implementação de forma faseada, começando pelos modelos de aferição de idade – o ponto mais sensível da norma – e avançando gradualmente para demais requisitos de segurança, privacidade e controle parental. Este artigo detalha o cronograma regulatório, os requisitos técnicos, os desafios operacionais e as estratégias de conformidade que empresas e desenvolvedores precisam adotar para atender à nova legislação.

Principais Pontos

• A ANPD será responsável por editar normas técnicas, guias de boas práticas e procedimentos de fiscalização para o ECA Digital, adotando um modelo de regulação por etapas que prioriza a verificação de idade.

• O ECA Digital exige mecanismos de aferição de idade progressivos, adequados ao grau de risco do serviço, e impõe sanções que podem chegar a 10% do faturamento anual da empresa em caso de descumprimento.

• Empresas de tecnologia devem iniciar a adequação imediatamente, realizando avaliações de impacto, revisando fluxos de coleta de dados e implementando controles parentais configuráveis antes do início da fase 1 da ANPD.

Contexto normativo e entrada em vigor do ECA Digital

O Estatuto da Criança e do Adolescente Digital, instituído pela Lei nº 15.211/2025, representa a primeira legislação brasileira dedicada exclusivamente à proteção de crianças e adolescentes no ambiente digital. Seu texto estabelece princípios de privacidade, segurança e desenvolvimento saudável, ampliando as garantias já previstas na Lei Geral de Proteção de Dados (LGPD). A norma entrou em vigor em 17 de março de 2026, após o período de vacatio legis de seis meses, e passou a ser aplicada a todos os provedores de serviços de internet, aplicativos, jogos eletrônicos, plataformas de redes sociais e demais produtos tecnológicos que possam ser acessados por menores, independentemente da localização da empresa.

A criação do ECA Digital responde a um cenário de hiperconectividade em que menores de idade passam grande parte do tempo em dispositivos móveis, expondo-se a riscos como coleta indevida de dados, publicidade direcionada, conteúdos inadequados e mecanismos de monetização predatórios, como loot boxes. O legislador buscou, portanto, estabelecer um marco regulatório que combine requisitos técnicos (verificação de idade, criptografia, anonimização) com obrigações de governança (relatórios de impacto, auditorias independentes) e sanções administrativas proporcionais à gravidade da infração.

A autoridade competente para garantir a efetividade da norma foi a Autoridade Nacional de Proteção de Dados (ANPD), que recebeu, por meio do Decreto nº 12.622/2025, poderes ampliados de regulação, fiscalização e imposição de penalidades. Essa mudança institucional transformou a ANPD em agência reguladora, dotada de autonomia financeira e administrativa, permitindo-lhe editar normas complementares, estabelecer prazos de adequação e conduzir processos de monitoramento setorial. A estratégia adotada pela ANPD privilegia a regulação por etapas, reconhecendo a complexidade técnica dos requisitos de verificação de idade e a necessidade de dar tempo ao mercado para adaptar suas soluções.

O cronograma de implementação foi dividido em três fases principais: (i) fase preparatória, com publicação de orientações preliminares e abertura de consultas públicas; (ii) fase de implementação da verificação de idade, que inclui a definição de modelos técnicos, métricas de eficácia e requisitos de auditoria; e (iii) fase de consolidação, abrangendo controles parentais, limites de coleta de dados sensíveis e regras de publicidade. Cada fase possui prazos específicos, metas de compliance e mecanismos de sanção que variam de advertência a multas de até 10% do faturamento anual da empresa, conforme previsto no artigo 35 do ECA Digital.

· · ·

Principais obrigações impostas pelo ECA Digital

Entre as obrigações centrais do ECA Digital, destaca‑se a necessidade de implementar configurações de privacidade por padrão (privacy‑by‑default) que limitem a coleta e o tratamento de dados pessoais de menores, exceto quando estritamente necessários para a prestação do serviço. O artigo 14 da lei exige que o tratamento de dados de crianças e adolescentes seja realizado com base em consentimento específico dos responsáveis legais, salvo nas hipóteses de cumprimento de obrigação legal ou regulatória. Além disso, a norma impõe a obrigação de conduzir avaliações de impacto à proteção de dados (DPIA) sempre que o tratamento envolver risco elevado ao titular, como no caso de uso de tecnologias de reconhecimento facial ou de análise comportamental.

Outra obrigação relevante refere‑se à proibição de práticas comerciais predatórias. O ECA Digital veda a oferta de loot boxes, sistemas de recompensas aleatórias que incentivam gastos recorrentes, bem como a monetização de conteúdos que sexualizem ou explorem menores. O artigo 28, §4º, determina que a publicidade dirigida a crianças deve ser claramente identificada, não pode utilizar técnicas de profiling avançado e deve ser limitada a produtos ou serviços adequados à faixa etária. Essa restrição se estende a ambientes de realidade aumentada, virtual e mista, onde a coleta de dados biométricos ou emocionais é considerada de alto risco.

O estatuto também cria um conjunto de direitos específicos para os menores, como o direito ao esquecimento digital, à portabilidade de dados e à revogação do consentimento a qualquer momento, sem prejuízo da continuidade do serviço. As plataformas devem disponibilizar interfaces amigáveis que permitam ao usuário infantil ou ao seu responsável exercer esses direitos de forma simples e transparente. O artigo 22 ainda estabelece a obrigação de notificar a ANPD e os titulares em caso de incidentes de segurança que possam comprometer a integridade ou a confidencialidade dos dados de crianças e adolescentes.

Por fim, o ECA Digital impõe a criação de mecanismos de controle parental que possibilitem aos responsáveis limitar o tempo de uso, bloquear conteúdos inadequados e monitorar a atividade online dos menores. Esses controles devem ser configuráveis, de fácil acesso e acompanhados de avisos claros sobre as consequências de cada ajuste. A norma diferencia entre controles padrão (ativados por padrão) e controles opcionais (ativados a critério dos pais), exigindo que as plataformas ofereçam ambas as opções para garantir a proteção efetiva dos menores.

· · ·

Modelo de aferição de idade: etapas, requisitos técnicos e desafios

A verificação de idade constitui o ponto mais sensível e complexo do ECA Digital, razão pela qual a ANPD optou por regulá‑la em etapas. Na fase 1, prevista para ser concluída até 30 de junho de 2026, a agência exige a adoção de métodos de baixa intrusividade, como a validação por meio de documentos de identidade digitalizados ou a utilização de serviços de terceiros certificados que cruzem informações com bases governamentais. Esses procedimentos devem garantir a mínima coleta de dados, preservando o princípio da minimização previsto na LGPD, e devem ser auditáveis por órgãos independentes.

A fase 2, com prazo até 31 de dezembro de 2026, amplia o escopo para serviços de maior risco, como plataformas de jogos online, marketplaces e aplicativos de redes sociais. Nessa etapa, a ANPD permite a combinação de múltiplos fatores de autenticação (multifactor authentication), incluindo reconhecimento facial ou de voz, desde que acompanhados de avaliação de impacto e de consentimento explícito dos responsáveis. O regulamento estabelece ainda limites de retenção de imagens biométricas – no máximo 30 dias – e obriga a criptografia de ponta a ponta dos dados coletados durante o processo de verificação.

A fase 3, prevista para 2027, contempla a consolidação de modelos avançados de verificação baseados em inteligência artificial, que podem analisar padrões de comportamento para inferir a faixa etária do usuário. Contudo, a ANPD condiciona a utilização desses algoritmos a relatórios de transparência que detalhem as métricas de acurácia, taxa de falsos positivos e negativos, bem como a possibilidade de revisão humana. Essa exigência visa evitar a discriminação algorítmica e garantir que menores não sejam indevidamente bloqueados ou, ao contrário, expostos a riscos por falhas de classificação.

Os desafios operacionais são consideráveis. As empresas precisam integrar sistemas de verificação de idade aos fluxos de cadastro já existentes, adaptar políticas de privacidade, treinar equipes de suporte e estabelecer processos de auditoria contínua. Além disso, a heterogeneidade dos dispositivos (smartphones, tablets, consoles) e a variedade de jurisdições (serviços globais que operam no Brasil) exigem soluções escaláveis e compatíveis com padrões internacionais, como o ISO/IEC 29134 para avaliação de privacidade. A não observância dos prazos ou a implementação de mecanismos inadequados pode acarretar multas progressivas, suspensão de atividades e, em casos extremos, a proibição de comercialização no território nacional.

Para mitigar esses riscos, recomenda‑se que as organizações adotem uma abordagem de "privacy‑by‑design" desde o início do desenvolvimento de novos produtos, realizando testes de usabilidade com grupos de pais e menores, e estabelecendo parcerias com provedores de verificação certificados que já possuam certificação ISO/IEC 27001. A documentação detalhada de cada etapa – desde a escolha do método de verificação até a política de retenção de dados – será fundamental para demonstrar boa‑fé perante a ANPD durante as auditorias de conformidade.

· · ·

O papel da ANPD na regulação por etapas e na fiscalização

A ANPD, ao assumir a competência regulatória sobre o ECA Digital, estruturou um plano de ação que combina consultas públicas, publicação de guias técnicos e monitoramento setorial. Na primeira fase, a agência realizou audiências com representantes da indústria, da sociedade civil e de órgãos de defesa da criança, a fim de validar os parâmetros de verificação de idade e definir indicadores de desempenho (KPIs) que permitam mensurar a eficácia dos mecanismos adotados. Esses documentos foram publicados no portal da ANPD e serviram de base para a elaboração da Resolução CD/ANPD nº 5/2026, que detalha os requisitos de segurança da informação e os prazos de adequação.

Durante a fase de implementação, a ANPD passou a conduzir inspeções in loco e auditorias remotas em empresas selecionadas, priorizando aquelas que operam serviços de alto risco, como plataformas de streaming de vídeo e jogos multiplayer. As auditorias verificam a conformidade com os requisitos de minimização de dados, a existência de relatórios de DPIA, a adequação dos contratos com terceiros e a efetividade dos controles parentais. Caso sejam identificadas irregularidades, a agência pode aplicar advertências com prazo de correção, multas proporcionais ao faturamento (até 2% na fase 1, 5% na fase 2 e 10% na fase 3) e, em situações extremas, a suspensão temporária das atividades no Brasil.

A ANPD também criou um canal de denúncias online, que permite que pais, tutores ou qualquer cidadão informe suspeitas de violação ao ECA Digital. As denúncias são analisadas por uma equipe especializada em proteção de menores, que pode instaurar processos administrativos ou encaminhar casos ao Ministério Público, quando houver indícios de crime contra a criança. Essa abordagem colaborativa reforça a cultura de compliance e amplia a capacidade de fiscalização da agência, que, até o momento, já identificou mais de 30 empresas em situação de não‑conformidade e aplicou medidas corretivas.

Além da fiscalização, a ANPD tem a missão de promover a educação digital. Por meio de webinars, publicações de boas‑práticas e parcerias com escolas, a agência busca conscientizar pais, responsáveis e desenvolvedores sobre a importância da verificação de idade e dos controles parentais. Essa estratégia preventiva complementa o aparato sancionatório, pois ao elevar o nível de conhecimento do mercado reduz‑se a probabilidade de infrações recorrentes. O relatório anual de 2026, ainda em fase de elaboração, deverá apresentar indicadores de adesão, número de sanções aplicadas e impactos observados na redução de incidentes envolvendo menores.

· · ·

Impactos para as empresas e estratégias de conformidade

Para as organizações que já operam no Brasil, a entrada em vigor do ECA Digital implica a necessidade de revisão imediata de contratos, políticas de privacidade e fluxos de tratamento de dados. A primeira medida recomendada é a realização de um mapeamento completo dos pontos de coleta de informações pessoais de menores, identificando quais dados são essenciais e quais podem ser eliminados. Em seguida, deve‑se elaborar um plano de ação que contemple a implementação dos modelos de verificação de idade de acordo com a fase regulatória em que a empresa se enquadra, priorizando soluções de baixa intrusividade para serviços de menor risco.

A adoção de plataformas de verificação certificadas, que já atendam aos requisitos da fase 1, pode acelerar o processo de compliance e reduzir custos de desenvolvimento interno. Contudo, empresas que desenvolvem suas próprias soluções precisam garantir que os algoritmos de reconhecimento facial ou de análise comportamental estejam alinhados às diretrizes de transparência e auditabilidade estabelecidas pela ANPD. Isso inclui a publicação de relatórios de precisão, a definição de mecanismos de contestação para usuários que discordem da classificação de idade e a implementação de políticas de retenção que limitem o armazenamento de dados biométricos a períodos estritos.

Do ponto de vista de governança, recomenda‑se a criação de um comitê interno de proteção de dados (Data Protection Board) que inclua representantes de TI, jurídico, compliance e áreas de negócios. Esse comitê será responsável por monitorar o cumprimento dos prazos estabelecidos pela ANPD, validar as avaliações de impacto, aprovar contratos com fornecedores de verificação de idade e coordenar respostas a incidentes de segurança. A adoção de ferramentas de monitoramento contínuo, como dashboards de conformidade e alertas automatizados, facilita a identificação precoce de desvios e a tomada de medidas corretivas antes da ocorrência de sanções.

Por fim, a estratégia de comunicação com usuários e responsáveis deve ser reforçada. As empresas precisam disponibilizar informações claras sobre como funciona a verificação de idade, quais dados são coletados, como são armazenados e quais direitos os menores possuem. Mensagens de consentimento devem ser redigidas em linguagem acessível, evitando termos jurídicos complexos, e devem incluir links para políticas de privacidade, guias de controle parental e canais de suporte. Essa transparência não só cumpre a exigência legal, mas também fortalece a confiança do público e reduz a probabilidade de reclamações e denúncias à ANPD.

Perguntas Frequentes

❓ Qual é o prazo para as empresas implementarem a verificação de idade segundo o ECA Digital?

A ANPD definiu três fases: até 30/06/2026 para métodos de baixa intrusividade (fase 1), até 31/12/2026 para soluções multifator em serviços de alto risco (fase 2) e, a partir de 2027, para modelos avançados baseados em IA (fase 3). Cada fase tem metas específicas de conformidade e sanções progressivas.

❓ Quais são as sanções previstas para o descumprimento das obrigações do ECA Digital?

As sanções variam de advertência com prazo para correção até multas que podem alcançar até 10 % do faturamento anual da empresa no Brasil, além da possibilidade de suspensão temporária ou definitiva das atividades relacionadas ao serviço não‑conforme.

❓ Como a ANPD fiscaliza a adequação das empresas ao ECA Digital?

A agência realiza auditorias presenciais e remotas, verifica relatórios de DPIA, analisa contratos com terceiros, monitora denúncias por meio de seu canal online e pode instaurar processos administrativos ou encaminhar casos ao Ministério Público quando houver indícios de crime contra a criança.

Conclusão

O ECA Digital, em vigor desde 17/03/2026, estabelece um marco regulatório robusto para a proteção de menores no ambiente digital, delegando à ANPD a responsabilidade de conduzir a implementação por etapas, com foco inicial na verificação de idade. As empresas precisam adaptar seus processos, adotar tecnologias certificadas e fortalecer a governança de dados para evitar sanções que podem chegar a 10 % do faturamento anual.

Mantenha sua organização atualizada sobre as normas da ANPD e implemente as melhores práticas de verificação de idade para garantir conformidade e segurança dos menores.

Fontes Oficiais: Tribunais Superiores e Portais Jurídicos

Foto: 112 Uttar Pradesh via Pexels