ECA Digital em vigor: e agora? 

Um novo marco, uma nova responsabilidade 

Desde o dia 17 de março de 2026, o Brasil conta com um novo conjunto de regras aplicáveis a todo produto ou serviço digital acessível a crianças e adolescentes. O Estatuto Digital da Criança e do Adolescente, instituído pela Lei nº 15.211/2025, não é uma revisão marginal de normas existentes. É um marco regulatório autônomo, com obrigações próprias, autoridade fiscalizadora definida e regime sancionatório expressivo. 

A aprovação veio acompanhada de um sinal institucional relevante: no mesmo mês de entrada em vigor, a Lei nº 15.352/2026 transformou a Autoridade Nacional de Proteção de Dados em agência reguladora, dotando-a de autonomia funcional, técnica, decisória e financeira. O órgão responsável pela fiscalização do ECA Digital ganhou musculatura institucional no exato momento em que a lei passou a valer. 

Se a sua empresa opera um produto ou serviço digital no Brasil, esse cenário tem um significado prático direto: a janela de adaptação silenciosa terminou. 

O que de fato muda 

A lei impõe obrigações que vão muito além das políticas de privacidade e dos termos de uso. Trata-se de redesenhar produtos, processos e, em muitos casos, o próprio modelo de negócio. 

O ponto mais imediato e tecnicamente exigente é a verificação de idade. A autodeclaração deixa de ser suficiente. Quando o acesso é condicionado por risco, e especialmente em relação a conteúdos impróprios para menores, a lei exige mecanismos técnicos confiáveis de verificação a cada acesso. Isso pressupõe uma revisão da infraestrutura de autenticação de boa parte das plataformas que operam no Brasil. 

O segundo eixo de obrigações diz respeito ao design dos produtos. A lei adota o princípio de safety-by-default: as configurações padrão de qualquer plataforma devem ser as mais protetoras possíveis. Configurações menos restritivas só podem ser adotadas mediante escolha expressa e informada dos responsáveis legais. Não do próprio usuário menor. Isso implica revisão direta de interfaces, fluxos de onboarding e arquitetura de permissões. 

Menores de 16 anos devem ter suas contas vinculadas a um responsável legal, com ferramentas funcionais de supervisão parental disponibilizadas pela própria plataforma. Essa vinculação não pode ser meramente formal: a lei exige que o mecanismo opere de forma efetiva. 

No campo da publicidade, as vedações são expressas e abrangentes. Fica proibido o uso de técnicas de perfilamento para direcionamento de publicidade comercial a crianças e adolescentes, bem como o emprego de análise emocional, realidade aumentada, estendida ou virtual para essa finalidade. A vedação se estende, de forma específica, aos dados coletados no próprio processo de verificação de idade, impedindo que a conformidade regulatória se converta em nova fonte de dados para monetização. Jogos digitais voltados ao público infantojuvenil também ficam proibidos de adotar o mecanismo de loot boxes, as caixas-surpresa pagas amplamente utilizadas em modelos de receita por microtransação. 

As plataformas passam a ter, ainda, um dever ativo de moderação e reporte. Conteúdos que indiquem exploração, abuso sexual, sequestro ou aliciamento de menores devem ser identificados, removidos e comunicados às autoridades competentes. Os dados relacionados a esses casos devem ser retidos por no mínimo seis meses para fins de investigação. Por fim, plataformas com mais de um milhão de usuários menores de 18 anos ficam obrigadas a publicar relatórios periódicos de transparência com dados sobre denúncias, remoções e estratégias de proteção adotadas. 

Quem precisa agir, e com urgência 

O alcance da lei é mais amplo do que parece à primeira leitura. Se a sua plataforma não foi concebida para crianças mas pode ser acessada por elas, você já está no raio de aplicação da norma. Ela não se aplica apenas a plataformas explicitamente voltadas ao público infantojuvenil. O critério central é o de acesso provável: qualquer produto ou serviço digital que possa ser acessado por crianças e adolescentes está sujeito às suas obrigações, independentemente da intenção original do desenvolvedor. 

Na prática, estão no radar da lei redes sociais e aplicativos de mensagem, mesmo os classificados como adultos, quando utilizados de forma relevante por menores. Plataformas de streaming, jogos eletrônicos e serviços de entretenimento digital estão diretamente alcançados. Fintechs com contas ou funcionalidades acessíveis por adolescentes, incluindo aquelas voltadas a educação financeira, precisam avaliar sua posição. O mesmo vale para e-commerces com presença de usuários jovens e plataformas educacionais que incluam crianças em sua base. 

A responsabilidade não se limita a empresas brasileiras: estabelecimentos estrangeiros com presença no Brasil respondem solidariamente pelo cumprimento das obrigações e pelo pagamento de eventuais multas. A extraterritorialidade do regime é expressa. 

ECA Digital e LGPD: camadas que se sobrepõem 

Uma interpretação equivocada recorrente é a de que o ECA Digital apenas repete o que a LGPD já determina em relação ao tratamento de dados de crianças e adolescentes. Essa leitura é operacionalmente perigosa. 

A LGPD, em seu artigo 14, estabelece proteções específicas para dados pessoais de menores, condicionando o tratamento ao consentimento específico dos responsáveis e exigindo que seja realizado no melhor interesse da criança. O ECA Digital não revoga esse regime. Ele adiciona uma camada autônoma de obrigações que vai além do tratamento de dados: alcança o design de interfaces, os modelos de monetização, a moderação de conteúdo e a arquitetura de segurança dos produtos. 

As duas leis coexistem e, em muitos pontos, se acumulam. Uma infração ao ECA Digital pode configurar, simultaneamente, uma violação à LGPD, sujeitando a empresa a sanções dos dois regimes. A ANPD tem competência expressa para atuar nos casos em que as obrigações do ECA Digital se relacionem ao tratamento de dados pessoais. 

Para o compliance, isso significa que não basta revisar a política de privacidade ou atualizar o Relatório de Impacto à Proteção de Dados. É necessário mapear todas as camadas de obrigação e tratar os dois marcos como complementares, não como alternativos. 

Por onde começar: um roteiro executivo 

Não há adequação sem diagnóstico. O ponto de partida é entender com precisão em que situação o seu produto ou serviço se encontra frente às exigências da lei, e isso exige um mapeamento honesto de exposição antes de qualquer decisão de produto ou processo. 

O primeiro movimento é identificar quais produtos e funcionalidades têm acesso provável por menores, mesmo que não sejam originalmente destinados a esse público. A partir daí, é possível hierarquizar o que exige intervenção imediata e o que pode ser tratado em fases subsequentes. 

Em paralelo, é necessário avaliar o mecanismo atual de verificação de idade. O método em uso sustenta as exigências da lei? A autodeclaração simples não atende. As alternativas disponíveis envolvem verificação por API, integração com sistemas operacionais ou lojas de aplicativos, com atenção permanente ao requisito de minimização de dados nesse processo. 

O redesenho das configurações padrão de privacidade e segurança deve ocorrer em conjunto com a implementação dos mecanismos de supervisão parental. Essas frentes não são sequenciais: precisam ser tratadas como parte de um mesmo projeto de revisão de produto. 

A adequação do modelo de publicidade exige um mapeamento específico. Se alguma funcionalidade de segmentação, perfilamento ou análise comportamental alcança, direta ou indiretamente, usuários menores, ela precisa ser redesenhada ou desativada. Não há espaço para interpretações criativas sobre o que constitui perfilamento nesse contexto. 

Por fim, a governança de conteúdo precisa ser estruturada com fluxos claros de moderação, canais de denúncia, protocolos de remoção e reporte às autoridades, além do regime de retenção de dados para fins investigativos. Tudo isso documentado, auditável e testado. 

O momento é agora 

A lei está em vigor. A ANPD já sinalizou que o monitoramento do mercado começa imediatamente, sem período de tolerância informal. As multas previstas chegam a 10% do faturamento do grupo econômico no Brasil ou até R$ 50 milhões por infração, além da possibilidade de suspensão ou proibição de atividades no país. 

Mais do que o risco sancionatório, o que está em jogo é a posição da sua empresa diante de um novo padrão regulatório. Organizações que estruturarem sua conformidade agora ganham vantagem competitiva real e reduzem sua exposição em investigações futuras. O debate sobre quem precisa se adequar já foi encerrado pela própria lei. O que resta é definir como e com quem.