Com 3 meses para a entrada em vigência do ECA Digital, sua empresa está preparada para cumprir as novas obrigações?
Autores:. Bruno Marcolini e Matheus Sturari
I. Resumo
Com a proximidade da entrada em vigor dos principais dispositivos da Lei nº 15.211/2025 (ECA Digital), prevista para 17 de março de 2026, empresas que oferecem produtos ou serviços digitais precisam intensificar seus esforços de adequação. O ECA Digital representa a mudança regulatória mais significativa desde a LGPD ao estabelecer um conjunto abrangente de obrigações voltadas à proteção de crianças e adolescentes em ambientes digitais, afetando diretamente plataformas, aplicativos, redes sociais, jogos, serviços de streaming, marketplaces, ambientes imersivos e praticamente qualquer solução tecnológica acessível no Brasil.
II. Contexto – O que é o ECA Digital?
Em 17/09/2025 foi sancionada a Lei nº 15.211/2025 (ECA Digital), que disciplina medidas para proteção de crianças e adolescentes no ambiente digital (obrigações de plataformas quanto à prevenção, verificação de idade, supervisão familiar, resposta a conteúdos ilícitos e regras sobre publicidade dirigida a menores).
Para colocar o ECA Digital em prática, o Governo Federal publicou regras complementares que explicam como a lei deve funcionar no dia a dia. Entre elas está um decreto que dá à Autoridade Nacional de Proteção de Dados a autoridade responsável por fiscalizar a proteção de dados no Brasil, com o papel de coordenar e acompanhar a aplicação das novas regras voltadas à proteção de crianças e adolescentes no ambiente online. A própria ANPD confirmou oficialmente que será a responsável por conduzir essa fiscalização e orientar as empresas sobre o que precisam fazer para se adequar.
Além disso, uma medida provisória definiu que parte das novas obrigações começará a valer em seis meses, prazo que termina em 17 de março de 2026. Isso significa que empresas precisam se preparar desde já para cumprir as novas exigências.
III. Aplicação
O ECA Digital é a nova lei federal que regula práticas de plataformas, aplicativos, redes sociais, jogos online, e-commerces e qualquer serviço digital que: (i) é direcionado a crianças e adolescentes; ou (ii) tem acesso provável por menores, ainda que não seja destinado a eles.
Embora a ANPD ainda não tenha explicado exatamente o que significa “acesso provável”, já está claro que o ECA Digital muda de forma profunda a maneira como as empresas devem lidar com crianças e adolescentes no ambiente online. A nova lei exige mais cuidados na coleta e uso de dados, na forma como aplicativos e plataformas são desenhados, nos mecanismos de moderação de conteúdo e até no jeito como produtos e serviços são oferecidos a menores de 18 anos.
Na prática, empresas que antes não se viam como voltadas ao público infantil podem precisar rever suas operações, justamente porque o simples fato de crianças ou adolescentes poderem acessar o serviço já pode trazer obrigações. Essa abordagem é parecida com o que já acontece em países como União Europeia, Reino Unido e Estados Unidos, onde existe um padrão mais rigoroso de proteção da infância no ambiente digital.
IV. Principais obrigações e recomendações para empresas
Dentre as principais obrigações que o novo ECA Digital trouxe, listamos:
a. Verificação de idade confiável
O ECA Digital proíbe que plataformas aceitem apenas a autodeclaração de idade dos usuários. Agora, as empresas são obrigadas a adotar mecanismos técnicos, confiáveis e passíveis de auditoria para verificar a idade real de quem utiliza o serviço. Além disso, quando o usuário tiver menos de 16 anos, a conta deverá obrigatoriamente estar vinculada a um responsável legal, garantindo maior segurança e supervisão no uso da plataforma.
Recomendação: inicie desde já a revisão dos processos de cadastro e autenticação de usuários, avaliando quais soluções de verificação de idade são mais adequadas ao seu modelo de negócio.
b. Configurações padrão mais protetivas
Todas as interfaces e funcionalidades voltadas a crianças e adolescentes devem ser desenvolvidas seguindo os princípios de privacy by design e safety by default, ou seja, com a proteção incorporada desde a concepção do produto e com as configurações mais seguras ativadas automaticamente. Isso inclui limitar a coleta de dados ao mínimo necessário e manter desativados, por padrão, quaisquer recursos que possam aumentar riscos para menores, garantindo uma experiência digital mais segura e adequada ao seu desenvolvimento.
Recomendação: Revise o design atual de produtos e funcionalidades, avaliando se as configurações padrão realmente levam em consideração a privacidade e a segurança de menores. Isso envolve mapear funcionalidades que possam gerar riscos, ajustar parâmetros técnicos, rever políticas de coleta de dados e assegurar que novos projetos já nasçam alinhados a esses princípios. Antecipar essas adaptações reduz vulnerabilidades e demonstra compromisso com um ambiente digital mais responsável. É importante documentar tais revisões e análises para fins de prestação de contas futuramente.
c. Proibição de publicidade abusiva e perfilamento
Proibição de qualquer forma de publicidade direcionada que utilize perfil comportamental de crianças e adolescentes, impedindo que anúncios sejam personalizados com base no histórico ou no comportamento online desse público. Além disso, a lei veda o uso de “loot boxes” e mecanismos similares de recompensa quando destinados a menores, por serem considerados práticas que podem estimular comportamentos compulsivos
Recomendação: Avaliação de jogos, funcionalidades de gamificação ou recursos interativos que utilizem elementos aleatórios ou de recompensa, removendo-os ou restringindo seu acesso a menores. Essas adaptações reduzem riscos regulatórios e asseguram maior transparência e responsabilidade na relação com o público infantojuvenil.
d. Ferramentas robustas de supervisão parental
Oferta de ferramentas eficazes para que pais e responsáveis possam supervisionar o uso do serviço por menores. Entre esses controles obrigatórios estão a possibilidade de limitar o tempo de uso, bloquear compras realizadas dentro da aplicação, definir quais interações são permitidas e gerenciar as recomendações feitas por algoritmos, garantindo uma experiência digital mais segura e adequada para menores
Recomendação: controles parentais robustos e, caso não os tenha, desenvolva ou aperfeiçoe esses mecanismos o quanto antes. Isso inclui revisar fluxos de configuração, simplificar o acesso desses responsáveis às ferramentas de supervisão e assegurar que todas as funcionalidades sejam transparentes e fáceis de usar. Implementar esses controles de forma antecipada fortalece a confiança dos usuários e reduz significativamente riscos regulatórios.
e. Moderação e resposta rápida a conteúdos ilícitos
Conteúdos que possam colocar em risco a integridade física, psicológica ou moral de crianças e adolescentes sejam identificados e removidos rapidamente pelas plataformas. Para isso, os serviços digitais devem manter canais de denúncia acessíveis e eficientes, além de protocolos claros de cooperação com autoridades competentes, garantindo uma resposta ágil e alinhada às obrigações legais sempre que houver suspeita de violação ou ameaça aos direitos de menores.
Recomendação: Recomendação de processos de moderação de conteúdo, assegurando que existam critérios claros para identificação de materiais potencialmente nocivos e fluxos internos que permitam sua remoção imediata. Também é fundamental aprimorar ou implementar canais de denúncia simples e eficazes, além de estabelecer rotinas de comunicação com autoridades quando necessário.
f. Transparência e relatórios semestrais
Serviços digitais que tenham muitos usuários menores de idade deverão publicar relatórios periódicos detalhando suas práticas de proteção. Esses documentos devem apresentar dados sobre denúncias recebidas e conteúdos removidos, descrever como funciona a moderação aplicada pela plataforma e explicar quais medidas de segurança e proteção foram implementadas ao longo do período.
Recomendação: Avaliação imediata sobre o enquadramento nesse requisito e, caso positivo, comece a estruturar um modelo de relatório que reúna informações de forma organizada, clara e acessível. Isso envolve revisar sistemas internos de registro, padronizar indicadores, mapear práticas de moderação e consolidar evidências das medidas de proteção adotadas.
g. Representante legal no Brasil
Empresas estrangeiras que ofereçam serviços no Brasil deverão manter um representante oficial no país. Esse representante será responsável por receber notificações, responder à ANPD e atuar como ponto de contato para questões relacionadas ao cumprimento das regras do ECA Digital e da proteção de crianças e adolescentes no ambiente online.
Recomendação: empresas internacionais com operação local devem avaliar desde já a necessidade de nomear esse representante, definindo quem exercerá essa função e de que forma ocorrerá a comunicação com autoridades brasileiras. É importante estabelecer processos internos para garantir respostas rápidas e coordenadas, além de revisar políticas e práticas internas para assegurar a plena conformidade com as exigências locais.
h. Governança e documentação
Manutenção de programas de conformidade específicos para a proteção de crianças e adolescentes no ambiente digital. Esses programas devem incluir avaliações de impacto voltadas para identificar e mitigar riscos a esse público, revisão dos contratos firmados com terceiros que participam do tratamento de dados ou da operação da plataforma, criação e atualização de políticas internas que tratem diretamente do tema e implementação de controles técnicos e administrativos capazes de garantir a segurança e a proteção adequadas.
Recomendação: estruturação ou atualização de programas e medidas organizacionais voltadas à conformidade com as exigências do ECA Digital e identificação de gaps relacionados à proteção infantojuvenil. É importante iniciar ou atualizar avaliações de impacto, revisar contratos com parceiros e fornecedores, ajustar políticas internas e fortalecer controles técnicos e administrativos.
Sanções: Em caso de descumprimento de tais determinações, o ECA Digital prevê multas que podem alcançar R$ 50 milhões por infração, além de medidas como suspensão e até proibição de atividades. Além da responsabilização administrativa, o não cumprimento gera exposição reputacional elevada e pode desencadear investigações pelo Ministério Público e por outras autoridades.
V. Conclusão
Faltando apenas três meses para a vigência dos dispositivos mais relevantes do ECA Digital e torna-se essencial que organizações iniciem ou acelerem programas estruturados de conformidade e atualizem outras políticas e procedimentos internos correlatos. O cenário regulatório para 2026 indica atenção redobrada das autoridades e uma demanda crescente por soluções técnicas e jurídicas capazes de mitigar riscos a crianças e adolescentes e o escopo abrangente de aplicação do ECA Digital faz com que tais exigências se apliquem variados negócios.
