Nesta terça-feira, 17 de março de 2026, entra em vigor o Estatuto Digital da Criança e do Adolescente. A proteção infantojuvenil passa a integrar a própria arquitetura dos serviços digitais, representando importante atualização normativa que exige mudança estrutural das plataformas, de acordo com o respectivo risco.
O ECA Digital se aplica a produtos e serviços direcionados ou de acesso provável por crianças e adolescentes, em especial quando houver risco relevante à privacidade, à segurança ou ao desenvolvimento biopsicossocial. Na prática, isso amplia o alcance regulatório para redes sociais, jogos, apostas, conteúdo adulto, marketplaces, lojas de aplicativos e sistemas operacionais conectados.
A principal inflexão é regulatória e técnica — o estatuto desloca o eixo da proteção do plano declaratório para o plano do design. Não basta ter termos de uso, políticas ou canais de denúncia. A lei exige medidas preventivas desde a concepção do produto: configurações mais protetivas por padrão, limitação de coleta de dados ao necessário, mecanismos de supervisão parental e aferição de idade, prevenção de uso compulsivo e vedação de técnicas de design que enfraqueçam salvaguardas.
Isso significa que o cumprimento do ECA Digital não será avaliado apenas por documentos, mas por escolhas operacionais verificáveis. Como funciona a aferição de idade, quais são as configurações padrão, quais dados são coletados, como conteúdos são recomendados, quais interações são permitidas e quais mecanismos existem para reduzir exposição a riscos. A lei exige prevenção contínua, não apenas resposta reativa após denúncias.
É nesse ponto que a abordagem baseada em risco assume papel estruturante. Longe de representar flexibilização indevida ou concessão ao mercado, trata-se de técnica regulatória essencial para assegurar efetividade protetiva em um ambiente marcado por diversidade de serviços, assimetrias de capacidade e dinâmicas de evasão.
A calibragem dos mecanismos tecnológicos deve considerar não apenas o risco do conteúdo ou da funcionalidade oferecida, como também os impactos sistêmicos da regulação, inclusive riscos regulatórios decorrentes de overcompliance.
Sob essa óptica, os princípios da necessidade, proporcionalidade, minimização, usabilidade, inclusão e transparência deixam de funcionar como referências abstratas e passam a operar como critérios jurídicos concretos para orientar desenho de jornadas, governança interna e demonstração de diligência.
O CO:RE[1] constitui uma das principais referências internacionais na sistematização dos riscos digitais para crianças e adolescentes, com base no modelo dos 4Cs:[2]
- Content (Conteúdo) abrange os riscos decorrentes da exposição a materiais inadequados ou prejudiciais à faixa etária, como conteúdos violentos, sexualizados ou discriminatórios;
- Contact (Contato) refere-se aos riscos associados a interações potencialmente danosas com terceiros, incluindo assédio, aliciamento e perseguição;
- Conduct (Conduta) envolve os riscos relacionados ao comportamento dos próprios usuários ou às interações entre pares, como cyberbullying, discursos de ódio e práticas que possam gerar danos físicos ou psicológicos;
- Contract (Contrato) compreende os riscos derivados das relações contratuais e comerciais mediadas por plataformas, como exploração econômica, jogos de azar, práticas publicitárias predatórias e coleta excessiva de dados.
Nesse sentido, uma das premissas centrais do ECA Digital é a imposição de mecanismos de aferição de idade, sendo vedada a autodeclaração para conteúdos vedados por lei aos menores de idade, como pornografia e apostas. Isso cria um dilema regulatório inevitável. Para proteger esse público vulnerável, plataformas precisam distingui-lo de adultos, mas mecanismos rígidos de verificação podem ampliar a coleta de dados (inclusive sensíveis) e aumentar riscos de vigilância. Por isso, o estatuto não impõe tecnologia única e remete à regulamentação a definição de critérios proporcionais.
O desafio é técnico e de governança. Soluções como verificação documental ou biometria facial não podem ser demonizadas nem banalizadas, sob pena de colidir com princípios de minimização e necessidade. Ao mesmo tempo, mecanismos frágeis para riscos altos tornam as salvaguardas ineficazes.
Nesse sentido, soluções de aferição de idade devem ser acessíveis, inclusivas, interoperáveis e alinhadas com padrões técnicos abertos, evitando exclusão de grupos vulneráveis, fragmentação da internet, dependência de tecnologias proprietárias e concentração excessiva de poder econômico.[3]
A direção mais consistente é a abordagem baseada em risco. Serviços de maior exposição exigem controles mais robustos; outros podem operar com soluções menos intrusivas, inclusive ganhando espaço o “sinal de idade”, que confirma apenas se o usuário está acima de certa faixa etária, sem identificação completa.
Aferir idade não significa saber quem é o usuário, mas aplicar salvaguardas compatíveis com a própria faixa etária. A União Europeia tem avançado em credenciais digitais que permitem comprovar idade mínima sem expor dados adicionais, e o debate britânico sobre age assurance segue na mesma linha: mecanismos efetivos, auditáveis e proporcionais, sem transformar proteção em vigilância.
A supervisão parental também passa a ser fundamental. A lei exige ferramentas efetivas e configurações de maior proteção como padrão, incluindo restrição de comunicação com desconhecidos, limitação de recursos que ampliem artificialmente o tempo de uso, restrição ao compartilhamento da geolocalização e transparência sobre quais controles estão ativos. Também veda explicitamente interfaces manipulativas que comprometam escolhas do usuário ou enfraqueçam salvaguardas, em linha com a crítica internacional aos chamados dark patterns em produtos infantis.
Outro ponto central é a reconfiguração do regime de dados infantis. O estatuto vai além da Lei Geral de Proteção de Dados (LGPD) e veda o perfilamento comportamental e a publicidade direcionada baseada em dados de menores, inclusive por técnicas emocionais ou imersivas. Com isso, recomendações personalizadas e segmentação comercial para esse público precisarão ser recalibrados.
Para plataformas baseadas em recomendação personalizada e segmentação, isso exige revisão de modelo econômico, e não somente ajuste contratual, seguindo premissas do Children’s Code do Reino Unido e do Digital Services Act europeu, que também restringe anúncios baseados em perfilização quando houver conhecimento razoável de que o usuário é menor, reforçando que a monetização por engajamento e publicidade comportamental não pode ser o eixo da experiência infantil.
Importante lembrar que essas vedações são de perfilização para publicidade direcionada, e não para adaptação da experiência à idade. Interpretações extremas podem contrariar o espírito da lei, cujo objetivo é tornar as experiências digitais seguras, proporcionais e apropriadas à idade, reconhecendo inclusive a autonomia progressiva do adolescente.
O estatuto também alcança sistemas automatizados e inteligência artificial. Ele prevê revisão regular de ferramentas de IA utilizadas em ambientes acessíveis a menores, com possibilidade de desabilitar funcionalidades não essenciais. Isso se conecta ao debate internacional sobre riscos de recomendação automatizada e inferências comportamentais aplicadas a públicos vulneráveis, tema que tem sido central em discussões regulatórias no Reino Unido, na União Europeia e nos Estados Unidos. E o enforcement para todos esses pontos elencados tende a ser mais intenso — a Agência Nacional de Proteção de Dados (ANPD), agora com status de agência reguladora, assume papel central na regulamentação e fiscalização.
Esse ponto é decisivo, porque transforma proteção infantil em risco regulatório concreto. Não se trata só de reputação, mas de obrigações técnicas auditáveis, com possibilidade de sanções proporcionais ao faturamento. Além disso, o ECA Digital exige que controladores mapeiem riscos e elaborem relatórios de impacto quando o tratamento de dados infantis extrapolar o estritamente necessário, reforçando uma lógica de governança contínua.
O Brasil não seguiu o caminho de bloqueio generalizado de redes sociais adotado em outras jurisdições. Na Austrália, plataformas devem impedir contas de menores de 16 anos sob pena de multas elevadas. A Espanha segue em sentido semelhante, tendo determinado essa mesma idade mínima para registro de crianças em redes sociais, exigindo verificação reforçada. O modelo brasileiro é diferente: não retira menores do ambiente digital como regra, mas impõe dever de arquitetura e governança reforçados para reduzir riscos.
Essa escolha tem implicações práticas. Em vez de proibição ampla, o ECA Digital exige que plataformas demonstrem capacidade de operar com salvaguardas proporcionais, evitando deslocamento de menores para ambientes menos regulados e concentrando esforços em prevenção, design e transparência.
As empresas, portanto, não serão cobradas apenas pelo que prometem em políticas, mas pelo que implementam, na prática, em produto, dados, algoritmos e governança. A partir de hoje, a proteção infantil passa a ser requisito operacional, regulatório e estratégico para qualquer organização que queira operar de forma sustentável no Brasil.
Por fim, importante lembrar que a lógica do ECA Digital é reforçar que a proteção de crianças e adolescentes online é um dever compartilhado entre o Estado, a sociedade, as famílias e as empresas, conforme princípio constitucional da absoluta prioridade aos direitos infantojuvenis e na compreensão de que nenhuma solução técnica isolada é suficiente para garantir a segurança integral.
[1] CHILDREN ONLINE: RESEARCH AND EVIDENCE (CO:RE). “Children Online: Research and Evidence”. Disponível em: https://core-evidence.eu/. Acessado em 16 de janeiro de 2026.
[2] CHILDREN ONLINE: RESEARCH AND EVIDENCE (CO:RE). “The 4 Cs of online risk”. Disponível em https://core-evidence.eu/posts/4-cs-of-online-risk. Acessado em 16 de janeiro de 2026.
[3] Conforme recomendação do COMITÊ GESTOR DA INTERNET NO BRASIL (CGI.br) na contribuição à Consulta Pública — Aferição de Idade na Internet Brasileira do Ministério da Justiça e Segurança Pública. São Paulo: CGI.br, 18 de novembro de 2025. Disponível em:
https://cgi.br/media/docs/publicacoes/4/pt/20251118175422/CGIbr_Contribuicoes_Consulta_MJ_Afericao_Idade.pdf. Acessado em 16 de janeiro de 2026.
A notícia ECA Digital em vigor: o que muda na prática? apareceu antes em ÉTopSaber Notícias.
