Em 17 de março, entrou em vigor o Estatuto da Criança e do Adolescente no Ambiente Digital, o ECA Digital (Lei 15.211/2025), marcando o início de um novo panorama regulatório voltado à proteção de crianças e adolescentes em ambiente online.

O ECA Digital introduziu novas obrigações para as plataformas da internet destinadas a crianças e adolescentes ou de acesso provável por eles, voltadas, especialmente, a medidas que permitam uma supervisão mais abrangente pelos pais ou responsáveis legais, que limitem ou granularizem o acesso a conteúdos conforme a idade ou faixa etária dos usuários, que facilitem o reporte de violações e que fortaleçam o gerenciamento de riscos.

Conheça o JOTA PRO Poder, plataforma de monitoramento que oferece transparência e previsibilidade para empresas

Mais do que impor regras, o ECA Digital inaugura a construção de um ambiente on-line mais seguro, que depende da atuação conjunta do Estado, da família e da sociedade, cada qual dentro das suas competências.

Nesse contexto, já no dia seguinte à sua entrada em vigor, a interpretação e a aplicação prática do ECA Digital ganharam novos contornos. Isso ocorreu com a edição do Decreto 12.880/2026, publicado pelo governo federal no dia 18 de março, com o intuito de regulamentar – ou, até mesmo, esclarecer – o alcance de vários de seus dispositivos. Se, por um lado, o Decreto buscou detalhar e estabelecer parâmetros mais específicos para o cumprimento de determinadas previsões da lei, por outro, ainda há pontos que dependem de regulação e de interpretação pela Agência Nacional de Proteção de Dados (ANPD).

Entre esses pontos, ganham especial destaque os “mecanismos de aferição etária” – introduzidos pela primeira vez na legislação brasileira nesse contexto e que passam a ocupar papel central na aplicação da lei.

Os mecanismos de aferição etária se propõem, por meio das mais diversas tecnologias, a verificar, estimar ou inferir a idade ou faixa etária dos usuários dos serviços digitais. Isso se torna especialmente importante em determinados contextos, como, por exemplo, quando há um risco de dano aos direitos de crianças e adolescentes em decorrência do acesso ao serviço ou produto em questão. No entanto, definir quais são os mecanismos mais adequados para realizar essa aferição – e em quais contextos ela é obrigatória – é um tema que ainda será objeto de intenso debate.

Para estabelecer o mecanismo adequado, o ECA Digital observa a relação entre risco e proporcionalidade. Nesse sentido, a lei prevê, por exemplo, que os fornecedores de produtos ou serviços de tecnologia da informação que disponibilizarem conteúdo, produto ou serviço cuja oferta ou acesso seja impróprio, inadequado ou proibido para menores de 18 anos de idade deverão adotar mecanismos eficazes de verificação de idade, vedada a autodeclaração.

Nos termos do artigo 9°, seriam impróprios ou inadequados produtos, serviços ou conteúdos de tecnologia da informação que contenham material pornográfico ou quaisquer outros vedados pela legislação vigente – ou seja, tudo aquilo que é legalmente proibido para menores de idade.

Para trazer mais clareza a esse dispositivo, o Decreto definiu que conteúdo, produto ou serviço proibido é aquele cujo acesso seja expressamente vedado para crianças e adolescentes por determinação legal específica. O Decreto previu uma lista taxativa que inclui, entre outros, conteúdo pornográfico, bebidas alcoólicas, caixas de recompensa (loot boxes) e apostas, bem como confirmou a obrigação de adoção de mecanismos eficazes de verificação de idade pelos respectivos provedores, ou seja, mecanismos com um alto grau de confiabilidade e baseados na conferência de veracidade do atributo etário, conforme definição trazida pelo próprio Decreto.

Por sua vez, os conteúdos, produtos e serviços “impróprios ou inadequados” passaram a contar com uma conotação própria, desvinculada dos “proibidos”. Portanto, não estão submetidos às obrigações específicas do artigo 9º. De acordo com o Decreto, são impróprios ou inadequados aqueles que possam apresentar risco à privacidade, à segurança, ao desenvolvimento psicossocial, à saúde mental e física e ao bem-estar de crianças e adolescentes, nos termos da classificação indicativa, quando aplicável. Nesses casos, os provedores deverão, cumulativamente:

• Observar a política de classificação indicativa, quando aplicável;
• Adotar medidas técnicas e organizacionais de segurança por padrão, desde a concepção, proporcionais aos riscos identificados por faixa etária; e
• Disponibilizar ferramentas efetivas de supervisão parental, com funcionalidades de bloqueio configuráveis pelos responsáveis legais e demais métodos que visem a proporcionar segurança digital a crianças e adolescentes.

Trata-se de abordagem que, embora vise a definir obrigações proporcionais ao risco, preconizando a implementação de proteções-padrão segmentadas por faixa etária, apresenta uma definição ampla que pode encontrar desafios práticos de enquadramento do produto ou serviço como impróprio ou inadequado, especialmente quando a classificação indicativa não puder ser utilizada como parâmetro (e.g., quando o serviço permitir acesso a conteúdo não classificável).

Vale também observar a discussão a respeito da adoção de mecanismos de aferição de idade que, de um lado, atendam à minimização da coleta de dados pessoais de crianças e adolescentes e, ao mesmo tempo, ofereçam a segurança necessária quanto ao mecanismo escolhido para possibilitar o acesso a determinado produto ou serviço.

Na mesma linha, deve-se observar com atenção como as novas regras de classificação indicativa editadas pelo Ministério da Justiça impactarão a lógica da aferição de idade, haja vista que, sob a perspectiva integrativa, a classificação indicativa não perdeu seu caráter de recomendação aos pais e responsáveis legais e, portanto, não possui o objetivo de impedir o acesso, e nem a gestão familiar por meio do controle parental.

Além disso, tanto os serviços proibidos quanto aqueles classificados como impróprios ou inadequados deverão receber os sinais de idade coletados pelas lojas de aplicação e sistemas operacionais – os quais, por sua vez, deverão aferir a idade dos usuários mediante emprego de método confiável. O Decreto deixa a definição dos métodos permitidos a cargo da ANPD, mas já indica um caminho recomendável: a adoção de credenciais verificáveis.

Nesse contexto, o próximo grande desafio certamente será definir quais mecanismos de aferição etária serão considerados adequados e eficazes para cada situação, o que deve levar em consideração as técnicas atualmente disponíveis, o contexto socioeconômico do Brasil e a eficácia pretendida.

Atenta a esse cenário, a ANPD publicou, no dia 20 de março, orientações preliminares sobre mecanismos confiáveis de aferição etária, estabelecendo um conjunto de seis requisitos a serem observados pelos provedores na definição e adoção dos mecanismos: (i) proporcionalidade; (ii) acurácia, robustez e confiabilidade; (iii) privacidade e proteção de dados pessoais; (iv) inclusão e não discriminação; (v) transparência e auditabilidade; e (vi) interoperabilidade.

A ANPD orienta os provedores a identificar e avaliar os riscos associados ao produto ou serviço digital, bem como aqueles decorrentes do próprio mecanismo de aferição de idade, para a implementação de uma abordagem que considere e seja proporcional a esses riscos. Há, também, recomendação de avaliação e mensuração periódica da eficácia dos mecanismos, que devem observar os princípios da finalidade e transparência já previstos na LGPD.

Junto às orientações preliminares, a ANPD também divulgou as etapas previstas para a implantação das soluções de aferição de idade, indicando uma tendência de implementação e fiscalização faseada, seguindo o princípio da regulação responsiva historicamente adotada pela agência desde a entrada em vigor da LGPD.

Para o futuro, portanto, permanece o desafio de definir os mecanismos adequados e de concretizar, na prática, as diretrizes preliminarmente estabelecidas. Espera-se, nesse sentido, que a ANPD reconheça a possibilidade de adoção de mecanismos diversos, inclusive de forma combinada, desde que observados parâmetros mínimos de eficácia, privacidade e segurança, com salvaguardas adequadas à mitigação dos riscos identificados e à natureza dos produtos e serviços.

Essa abordagem é compatível com a experiência internacional – por exemplo, com as diretrizes para o cumprimento das obrigações de aferição etária previstas no Online Safety Act do Reino Unido, elaboradas pela Ofcom[1] – e evita a criação de barreiras desproporcionais de acesso para os usuários ou a imposição de ônus excessivos a provedores de menor porte, especialmente em um contexto ainda incipiente de desenvolvimento de determinadas técnicas. Ao mesmo tempo, afasta a adoção isolada de mecanismos considerados insuficientes.

Assine gratuitamente a newsletter Últimas Notícias do JOTA e receba as principais notícias jurídicas e políticas do dia no seu email

Uma coisa é certa: nesse novo cenário, o cumprimento das novas obrigações legais exigirá, dos provedores, uma leitura integrada do ECA Digital e da sua regulamentação atual e futura, com especial atenção à análise de riscos e à definição das medidas adequadas a serem adotadas em cada caso.

A regulação deve apontar menos para a adoção de soluções padronizadas, e mais para a necessidade de decisões justificáveis, proporcionais e eficazes, que viabilizem a oferta de ambientes digitais seguros para crianças e adolescentes, em linha com o objetivo e o espírito da lei.

[1] https://www.ofcom.org.uk/online-safety/illegal-and-harmful-content/age-assurance