top of page

ECA Digital, classificação indicativa e aferição de idade: o novo desenho regulatório que reorganiza produtos e serviços digitais no Brasil

  • há 1 dia
  • 9 min de leitura

A entrada em vigor do Estatuto Digital da Criança e do Adolescente — a Lei nº 15.211/2025, conhecida como ECA Digital — em 17 de março de 2026, e a publicação do Decreto nº 12.880/2026 no dia seguinte, inauguraram um regime regulatório que afeta diretamente empresas de tecnologia, games, educação, mídia e aplicativos com presença no Brasil ou cujos serviços tenham acesso provável por crianças e adolescentes. O modelo combina três camadas — classificação indicativa, aferição de idade e proteção desde a concepção — em um sistema integrado que exige reorganização de cadastros, fluxos de onboarding, sistemas de recomendação, publicidade, moderação e controles parentais.


A complexidade do novo arranjo está menos em obrigações isoladas e mais na arquitetura: ECA Digital, LGPD, Portaria MJSP nº 1.048/2025 e orientações da ANPD passam a operar de forma integrada. A leitura combinada dessas camadas é elemento central de qualquer programa de adequação consistente.


A nova arquitetura: três camadas que se sobrepõem


O ECA Digital não substitui a classificação indicativa nem a LGPD; sobrepõe-se a elas. Uma plataforma de streaming, um jogo eletrônico ou um aplicativo educacional precisa hoje atender, simultaneamente:


1. À classificação indicativa — regulada pela Portaria MJSP nº 1.048/2025, que reorganizou o sistema e introduziu o eixo da interatividade como critério autônomo de avaliação. Esse eixo já produziu efeitos concretos: a Coordenação-Geral de Classificação Indicativa reclassificou jogos e ambientes digitais amplamente acessados por crianças e adolescentes, como Roblox, Fortnite, Free Fire e Minecraft, além de elevar para “não recomendado para menores de 18 anos” (NR18) títulos que utilizam loot boxes — como NBA 2K26, WWE 2K26 e EA Sports FC 26.


2. Ao ECA Digital e ao Decreto nº 12.880/2026 — que estabelecem deveres de prevenção de riscos, design adequado à idade, supervisão parental, restrições à publicidade comportamental dirigida a menores e à autodeclaração de idade.


3. À LGPD e às orientações da ANPD — que regem o tratamento dos dados pessoais coletados em qualquer etapa, com atenção especial aos dados de crianças e adolescentes e aos princípios de minimização, finalidade e segurança.


A leitura combinada dessas camadas é o que produz, na prática, as decisões sobre cadastros, perfis infantis, fluxos de checkout, recomendação algorítmica, exibição publicitária e moderação.


Quatro conceitos do Decreto que reorganizam o onboarding


O Decreto nº 12.880/2026 estabeleceu uma diferenciação fundamental que reorganiza como produtos digitais devem tratar a idade dos usuários. São quatro categorias distintas, com efeitos jurídicos próprios:


Aferição de idade — termo geral que engloba qualquer procedimento destinado a verificar, estimar ou inferir, direta ou indiretamente, a idade ou faixa etária do usuário. Inclui análise documental, biométrica, padrões de uso e outros meios tecnicamente idôneos.


Verificação de idade — espécie de aferição de alto grau de confiabilidade, baseada na conferência da veracidade do atributo etário, mediante mecanismos técnicos ou documentais. Exigível quando a lei proíbe o acesso de menores (conteúdo adulto, apostas, bebidas alcoólicas, jogos de azar).


Sinal de idade — informação ou credencial que atesta a idade ou faixa etária do usuário sem revelar dados pessoais adicionais. Permite, por exemplo, que uma loja de aplicativos comunique a um desenvolvedor que o usuário é maior de 18 anos sem expor data de nascimento, documento ou identidade.


Autodeclaração de idade — método limitado à informação fornecida pelo próprio usuário, sem evidência adicional. A Lei veda o uso da mera autodeclaração para fornecedores de conteúdo, produto ou serviço cuja oferta ou acesso seja impróprio, inadequado ou proibido a crianças e adolescentes.


A distinção é operacionalmente decisiva. Para conteúdos proibidos a crianças e adolescentes, o Decreto exige verificação efetiva de idade e bloqueio de acesso. Para conteúdos impróprios ou inadequados, a implementação deve combinar classificação indicativa, medidas de segurança por padrão, ferramentas de supervisão parental e mecanismos de aferição ou sinais de idade proporcionais ao risco, evitando tratar a autodeclaração isolada como solução suficiente. Calibrar o nível adequado de aferição para cada fluxo é hoje uma decisão técnica e jurídica simultânea.


Os seis grupos de requisitos da ANPD


Em 20 de março de 2026, a ANPD publicou o documento “Mecanismos confiáveis de aferição de idade — orientações preliminares”. A ANPD agrupou os parâmetros aplicáveis em seis conjuntos de requisitos, que devem ser lidos em conjunto com as exigências mais específicas do Decreto nº 12.880/2026:


1. Proporcionalidade — a solução técnica deve ser compatível com o risco do serviço.


2. Acurácia, robustez e confiabilidade — o método precisa entregar o grau de certeza adequado ao tipo de conteúdo ou serviço.


3. Privacidade e proteção de dados — observância integral da LGPD, com especial atenção à minimização.


4. Inclusão e não discriminação — a aferição não pode produzir barreiras indevidas de acesso nem excluir usuários legítimos.


5. Transparência e auditabilidade — o funcionamento do mecanismo deve ser informado de forma clara e ser auditável.


6. Interoperabilidade — preferência por arquiteturas que permitam o uso de sinais de idade gerados em outros pontos do ecossistema, evitando coleta redundante.


Esses grupos não esgotam o regime. O Decreto e as orientações da Autoridade detalham exigências específicas: minimização de dados, vedação ao uso secundário, vedação à rastreabilidade e restrições ao compartilhamento contínuo entre agentes. Dados coletados para aferição de idade não podem ser usados para publicidade comportamental, perfilamento, enriquecimento cadastral ou inferência sobre hábitos. Quando houver uso de documento, o tratamento deve limitar-se ao dado etário, sem retenção da imagem, cópia ou demais informações do documento.


Minimização de dados como linha de defesa


O ponto mais sensível — e mais subestimado — é a minimização. Há um receio legítimo de que a aferição de idade transforme a internet brasileira em um sistema de coleta documental e biométrica generalizada. A ANPD respondeu a esse risco apresentando, como referências técnicas, credenciais verificáveis e provas de conhecimento zero (zero-knowledge proofs), que permitem comprovar um atributo etário sem revelar data de nascimento, número de documento ou identidade.


Essas tecnologias não são impostas como padrão obrigatório, mas indicam o caminho preferencial. Em serviços de baixo risco, soluções baseadas em biometria ou apresentação de documento tendem a ser desproporcionais, salvo justificativa técnica e jurídica robusta — sobretudo quando envolvem dados biométricos, classificados como sensíveis pela LGPD.


Para empresas, isso significa que o desenho do fluxo de aferição é, em si, uma decisão de conformidade com a LGPD. Coletar a menos não é apenas boa prática: é o critério regulatório que separa uma implementação defensável de uma exposição administrativa relevante.


Controles parentais, vinculação e publicidade


O ECA Digital estabelece três obrigações complementares que reorganizam a experiência de menores em plataformas digitais:


Supervisão parental acessível — ferramentas de fácil uso para que responsáveis acompanhem e configurem o uso por crianças e adolescentes.


Vinculação obrigatória de contas de menores de 16 anos aos responsáveis legais em redes sociais.


Restrições à publicidade comportamental dirigida a menores — vedação ao uso de dados pessoais para manipular emoções, promover conteúdos inadequados ou estimular consumo impulsivo.


Soma-se a isso a obrigação, para provedores com mais de 1 milhão de usuários menores de 18 anos registrados, de publicar relatórios semestrais de transparência sobre moderação, denúncias, riscos e medidas adotadas.


Cronograma da ANPD e janela de adequação


A ANPD divulgou cronograma que segmenta a fiscalização em fases:


Fase 1 — em curso desde março de 2026: monitoramento de lojas de aplicativos e sistemas operacionais, considerados elos estruturantes (podem fornecer sinais de idade gratuitos aos desenvolvedores).


Fase 2 — a partir de agosto de 2026: publicação de orientações técnicas definitivas e ampliação do monitoramento para outros setores, definidos a partir do risco.


A partir de janeiro de 2027: a ANPD indicou o início de nova etapa de ações de fiscalização voltadas à adequação dos agentes regulados, sem prejuízo do monitoramento já em curso e de medidas anteriores em casos de denúncias ou violações de elevado risco.


A janela até janeiro de 2027 não é, portanto, uma “janela de tolerância”. A própria ANPD vincula a aplicação plena de penalidades à atualização dos regulamentos de fiscalização e sanções, atualmente em consulta pública — mas já monitora 37 empresas e adverte que ações fiscalizatórias podem ser deflagradas a qualquer tempo. Em casos graves, o Judiciário mantém competência independente para determinar suspensão de atividades.


As sanções administrativas previstas no ECA Digital incluem advertência, multa simples de até 10% do faturamento bruto do grupo econômico no Brasil no último exercício — ou, na ausência de faturamento, valor calculado de R$ 10 a R$ 1.000 por usuário cadastrado — limitada, em qualquer caso, a R$ 50 milhões por infração, além de suspensão temporária e proibição do exercício de atividade.


Fornecedores abrangidos pela Lei devem manter representante legal no Brasil. No caso de empresa estrangeira, eventual filial, sucursal, escritório ou estabelecimento situado no País responde solidariamente pelo pagamento das multas aplicadas.


Checklist de adequação ao ECA Digital


Para empresas de tecnologia, games, educação, mídia e apps, recomenda-se priorizar:


1. Mapeamento de aplicabilidade


  • Identificar se o produto/serviço é direcionado a crianças e adolescentes ou tem acesso provável por esse público.

  • Mapear faixas etárias prováveis de usuários e tipos de conteúdo disponibilizado.


2. Classificação indicativa


  • Revisar a classificação atual à luz da Portaria MJSP nº 1.048/2025 e do eixo de interatividade.

  • Verificar presença de mecanismos sujeitos a vedação (loot boxes, recompensas aleatórias para menores).

  • Garantir exibição clara e consistente da classificação em todos os pontos de contato.


3. Aferição e verificação de idade


  • Definir, fluxo a fluxo, se o caso exige verificação (alto grau de confiabilidade) ou aferição proporcional.

  • Eliminar autodeclaração isolada para conteúdos, produtos ou serviços impróprios, inadequados ou proibidos a menores.

  • Avaliar uso de sinais de idade fornecidos por lojas de aplicativos e sistemas operacionais.

  • Priorizar arquiteturas baseadas em credenciais verificáveis ou ZKP quando viáveis.


4. Minimização e LGPD


  • Garantir que dados coletados para aferição não sejam reutilizados para publicidade, perfilamento ou enriquecimento.

  • Documentar bases legais, finalidades e prazos de retenção.

  • Limitar o tratamento documental ao dado etário, sem retenção da imagem do documento.

  • Reforçar segurança e prevenção de incidentes.


5. Design adequado à idade e controles parentais


  • Revisar configurações padrão de privacidade para menores (maior nível de proteção por padrão).

  • Implementar ferramentas de supervisão parental acessíveis.

  • Estabelecer fluxo de vinculação para contas de menores de 16 anos.

  • Avaliar dark patterns e mecanismos de engajamento contínuo (rolagem infinita, autoplay).


6. Moderação, publicidade e recomendação


  • Revisar políticas de moderação para remoção ágil de conteúdo proibido.

  • Suspender publicidade comportamental dirigida a menores.

  • Auditar sistemas de recomendação quanto a riscos de exposição a conteúdo inadequado.


7. Governança e transparência


  • Avaliar a obrigação de relatórios semestrais de transparência (limite de 1 milhão de usuários menores).

  • Designar representante legal no Brasil (empresas estrangeiras).

  • Estruturar canais de denúncia e atendimento.

  • Documentar avaliações de risco, relatórios de impacto à proteção de dados pessoais quando aplicáveis e avaliações de impacto à segurança e à saúde de crianças e adolescentes, conforme a natureza do serviço e dos tratamentos realizados.


8. Monitoramento regulatório


  • Acompanhar as orientações definitivas da ANPD previstas para agosto de 2026.

  • Acompanhar a consulta pública sobre o regulamento de fiscalização e sanções.

  • Monitorar reclassificações da Coordenação-Geral de Classificação Indicativa.


Conclusão


O ECA Digital marca, no Brasil, a passagem de um modelo regulatório focado em conteúdo para um modelo focado em arquitetura de produto. Não basta retirar ou marcar conteúdos: é necessário desenhar o serviço de modo que crianças e adolescentes tenham experiências adequadas à idade, com proteção desde a concepção, minimização de dados e mecanismos de supervisão funcionais.


A janela até janeiro de 2027 deve ser usada para reorganização real, não para postergação. As orientações definitivas da ANPD, esperadas para agosto de 2026, darão a régua técnica final — mas os contornos fundamentais já estão dados pelo Decreto nº 12.880/2026 e pelas orientações preliminares da Autoridade. Empresas que começarem cedo terão margem para escolher entre múltiplas soluções técnicas e ajustar fluxos com tempo; as que esperarem podem encontrar caminhos estreitos.


FAQ


1. Minha empresa não é direcionada a crianças. O ECA Digital se aplica?


Sim, se houver acesso provável por crianças e adolescentes no Brasil. A lei adota critério funcional, não declaratório: o que importa é se o produto pode, na prática, ser acessado por esse público — não o que está escrito nos Termos de Uso.


2. Posso continuar usando autodeclaração de idade?


Apenas para fluxos em que o conteúdo, produto ou serviço não seja impróprio, inadequado ou proibido a crianças e adolescentes. Nas demais hipóteses, a mera autodeclaração não é admitida como solução suficiente, e o nível de aferição exigido varia conforme a natureza do conteúdo e o risco envolvido.


3. Qual o prazo real para adequação?


A lei está em vigor desde 17 de março de 2026. A ANPD indicou o início de nova etapa de ações de fiscalização a partir de janeiro de 2027, mas ações pontuais podem ocorrer a qualquer tempo. O Judiciário também mantém competência independente. Recomenda-se tratar o tema como prioritário ainda em 2026.


4. Preciso implementar biometria para verificar idade?


Não necessariamente. A ANPD sinaliza preferência por soluções minimizantes — como credenciais verificáveis e provas de conhecimento zero — e exige justificativa técnica e jurídica robusta para uso de biometria, sobretudo em serviços de baixo risco. A escolha deve ser proporcional ao risco do serviço.


5. Como integrar ECA Digital, LGPD e classificação indicativa em um único programa?


Trate as três camadas de forma integrada. A classificação indicativa define adequação do conteúdo; o ECA Digital define como o serviço deve operar; a LGPD define como os dados coletados podem ser tratados. Programas de adequação isolados tendem a produzir contradições internas e exposição a descumprimento cruzado.


 
 
 

Comentários

bottom of page