O ECA Digital entrou em vigor em 17 de março e colocou um problema concreto na agenda de operações digitais no Brasil: como verificar a idade de usuários de forma eficaz sem ampliar a exposição de dados sensíveis de crianças e adolescentes? A pergunta é direta. A resposta, nem tanto.
O mercado reagiu rápido. Muitas empresas adotaram soluções baseadas em inteligência artificial para verificação de idade. O problema é que a simples adoção dessas tecnologias não resolve, por si só, a questão de conformidade, especialmente quando os níveis de verificação precisam ser calibrados de acordo com o risco de cada interação.
A discussão não é nova, mas ganhou escala.O Brasil tinha 68,6 milhões de pessoas entre 0 e 19 anos em 2022, segundo o IBGE. É um volume significativo de dados que passou a circular em ambientes digitais sem que os modelos de proteção tivessem evoluído no mesmo ritmo. Esse volume de dados passou a circular em ambientes digitais sem que os modelos de proteção tivessem evoluído no mesmo ritmo. Essa é a lacuna que a regulação agora tenta endereçar.
A lógica dos sistemas que foram desenhados para dar acesso, não para proteger
Historicamente, os sistemas de identificação foram estruturados para viabilizar acesso. Do registro papiloscópico aos documentos digitais com QR Code, a lógica central sempre foi habilitar a entrada, não proteger os dados gerados no processo.
"As soluções sempre foram desenhadas para dar acesso, não para proteger os dados. Essa é uma preocupação muito moderna quando se fala em governo." — Yasodara Córdova, pesquisadora e consultora em Privacidade e Identidades Digitais
O ECA Digital cria uma oportunidade de reequilibrar essa lógica. A legislação proíbe o rastreamento de comportamento e exige que as empresas busquem soluções que evitem a vigilância de crianças e adolescentes. Mas o caminho entre a exigência regulatória e a implementação prática ainda está em construção.
Credenciais verificáveis: o cenário ideal e o que existe hoje
No evento Conexão Certta, Yasodara apresentou o que seria o cenário tecnicamente mais adequado para o problema de verificação de idade sem exposição de dados.
"O melhor caminho é utilizar uma tecnologia que chamamos de credenciais verificáveis, onde é transmitida apenas a informação se a pessoa tem ou não aquela faixa etária." — Yasodara Córdova
A lógica é simples: em vez de transmitir dados completos de identidade, o sistema confirma apenas o atributo necessário para aquela interação específica. Nenhuma informação adicional circula. O problema é que esse modelo ainda é difícil de implementar em escala no ambiente atual.
Na prática, um fluxo compatível com o critério do ECA Digital funciona assim: o usuário acessa a plataforma, o sistema identifica o contexto de risco daquela interação, aciona a verificação de atributo de idade via credencial verificável ou biometria facial, confirma a faixa etária sem armazenar dados completos e libera ou restringe o acesso. Os dados coletados de menores são descartados após a confirmação.
Enquanto isso, a maioria das operações trabalha com soluções que coletam mais dados do que o necessário. E quando esses dados envolvem menores de idade, o nível de risco e responsabilidade muda.
O cronograma da ANPD e o que as empresas precisam fazer agora
A Agência Nacional de Proteção de Dados publicou um despacho decisório estabelecendo que o processo de implementação vai até janeiro de 2027, quando começam a fiscalização e a aplicação de sanções. Os parâmetros normativos sobre métodos de verificação de idade, específicos por nível de risco, devem ser publicados a partir de agosto na segunda etapa do cronograma.
O prazo existe, mas a inércia não é uma opção. Iuri Duarte, especialista em Privacidade e Proteção de Dados Pessoais da Certta, é direto sobre o que esse momento exige.
"A intenção da normativa não é acabar com um modelo de negócio, mas exigir a implementação de controles eficientes. Por isso, as empresas precisam olhar para dentro de casa e garantir que estão agindo conforme a lei exige." — Iuri Duarte, Certta
O mercado já dispõe de soluções capazes de atender diferentes níveis de exigência. O desafio é estruturar essas capacidades dentro dos fluxos operacionais. Segundo Duarte, quando se trata de verificação de idade, critérios como robustez e confiabilidade precisam ser avaliados caso a caso, e os dados coletados de menores devem ser descartados após a verificação para proteger a privacidade.
Quais setores estão mais expostos ao ECA Digital, de acordo com o texto da Lei 15.211/2025 e do Decreto 12.622/2025
O ECA Digital afeta operações com dinâmicas muito diferentes entre si. A lei se aplica a qualquer produto ou serviço digital com possibilidade real de acesso por menores, o que amplia o escopo bem além do que muitas empresas imaginam:
Risco muito alto: redes sociais, plataformas de apostas e bet, e plataformas de conteúdo adulto. Esses setores estão explicitamente nominados na lei e concentram as obrigações mais rigorosas de verificação etária.
Risco alto: jogos eletrônicos (especialmente os que envolvem compras e loot boxes, proibidos pelo ECA Digital para menores), serviços de streaming e lojas de aplicativos. A obrigação principal é verificar a faixa etária por interação, não apenas no cadastro.
Risco médio a alto: e-commerce em geral, buscadores e qualquer aplicativo com acesso provável por menores. Para esses setores, a exigência de conformidade depende do tipo de conteúdo e do perfil do público alcançado.
Em todos os casos, o ponto crítico não é a verificação em si, mas calibrar o nível de verificação de acordo com o risco de cada interação, sem criar fricção desnecessária para os usuários maiores de idade.
O que muda quando a fiscalização é real: LGPD x ECA Digital
“Infelizmente a gente conseguiu se acomodar muito bem às exigências da LGPD, que não trouxe uma estrutura de fiscalização que consiga cobrar de forma eficiente das empresas o manejo adequado dos dados das pessoas. No caso do ECA Digital, eu espero que agora exista realmente essa cobrança.” — Yasodara Córdova
O sinal é relevante: a lei existe e o cronograma está definido. O que muda agora é a expectativa desses especialistas do mercado de que a fiscalização aconteça de verdade.
Entre proteção e confiança: como pais enxergam o ECA Digital
Se para empresas o ECA Digital representa uma nova etapa de responsabilidade regulatória, para famílias o debate também passa pela construção de limites no ambiente digital sem comprometer a relação de confiança com crianças e adolescentes.
Em parceria com o Estadão, pais e responsáveis relataram como já utilizam mecanismos de controle de conteúdo no dia a dia e como enxergam as novas ferramentas de verificação etária previstas pela regulamentação.
Mãe de um rapaz de 13 anos, a nutricionista Vivian De Cicco, por exemplo, sempre foi rígida com relação ao conteúdo acessado pelo filho. Além de verificar a faixa etária recomendada, ela adotou o hábito de acessar plataformas especializadas para analisar detalhes sobre o contexto de cada filme antes de liberar ou não o filho para assistir. Assim como já utiliza os recursos disponíveis para bloquear determinados conteúdos e serviços no ambiente digital, seja em sites, redes sociais ou jogos.
Para ela, as ferramentas de verificação vão facilitar no dia a dia, garantindo que o filho consiga ter uma relação saudável e útil com as novas tecnologias.
Vivian, claro, reconhece a dificuldade em encontrar um equilíbrio entre proteção e invasão de privacidade, evitando prejudicar o ambiente familiar. “Certamente a verificação de idade vai facilitar a gestão do acesso. Mas é necessário entender que a construção da relação de confiança entre pais e filhos tem como princípio básico o diálogo respeitoso e constante”, finaliza.
Infraestrutura de confiança digital: o novo desafio da verificação inteligente
O ECA Digital amplia uma discussão que o mercado ainda deve amadurecer nos próximos anos: como equilibrar verificação etária, privacidade, anonimização de dados e experiência do usuário dentro de diferentes contextos de negócio.
Na prática, isso significa que empresas precisarão discutir não apenas mecanismos de verificação, mas também quais informações realmente precisam ser coletadas, como esses dados serão tratados e quais níveis de validação fazem sentido para cada cenário de risco.
É justamente essa evolução que a Certta define como infraestrutura de confiança digital: uma abordagem que busca conectar verificação, privacidade e experiência do usuário sem transformar conformidade em fricção operacional.
