top of page
Buscar

ECA Digital (Lei 15.211/2025): o que muda, prazos e penalidades para plataformas

  • Foto do escritor: Caroline Bozzano
    Caroline Bozzano
  • 23 de set.
  • 5 min de leitura

Introdução


O Brasil aprovou um novo marco para proteção de crianças e adolescentes no ambiente online: o ECA Digital, instituído pela Lei nº 15.211, de 17 de setembro de 2025. A norma impõe deveres claros a redes sociais, apps, jogos eletrônicos, lojas de aplicações e demais serviços digitais, com foco em verificação de idade, supervisão parental, transparência e moderação. Por medida provisória, o prazo de vacatio foi reduzido para 6 meses — o que, na prática, leva a conformidade obrigatória até março de 2026.


Ilustração de criança navegando com supervisão parental em aplicativo, conceito de ECA Digital e verificação de idade

Plataformas e serviços digitais têm 6 meses para implementar mecanismos confiáveis de verificação de idade, ferramentas de supervisão familiar, políticas e sistemas para prevenir acesso a conteúdos ilegais ou impróprios, além de regras específicas sobre publicidade e tratamento de dados de menores. O descumprimento pode levar a multas de até R$ 50 milhões, entre outras sanções.


Sumário (clique para ir à seção)


  1. O que é o ECA Digital e quando começa a valer


O ECA Digital é a lei federal que dispõe sobre a proteção de crianças e adolescentes em ambientes digitais, modernizando o arcabouço do Estatuto da Criança e do Adolescente à realidade das plataformas. Foi sancionado em 17/09/2025 e popularmente associado ao combate à adultização — isto é, à exposição precoce de menores a conteúdos, interações e lógicas de monetização incompatíveis com sua condição de desenvolvimento.


A entrada em vigor, originalmente prevista para 1 ano após a sanção, foi reduzida para 6 meses por Medida Provisória nº 1.319/2025, já em vigor e pendente de deliberação do Congresso. Assim, as plataformas têm até março de 2026 para se adaptar.


Atenção: a MP tem eficácia imediata, mas depende de conversão em lei.


  1. Quem precisa se adequar


A lei alcança qualquer produto ou serviço de tecnologia da informação direcionado ou de acesso provável por crianças e adolescentes no Brasil:


  • Redes sociais e mensageria;

  • Jogos eletrônicos (free-to-play, gacha, loot boxes), marketplaces in-app;

  • Lojas de aplicativos, sistemas operacionais e navegadores com controles familiares;

  • Plataformas de vídeo, streaming, shorts e lives;

  • Ferramentas educacionais e aplicativos de entretenimento.


  1. Principais obrigações (com exemplos práticos)


Verificação de idade “confiável”


  • Exigir métodos robustos além da autodeclaração (ex.: verificação documental com liveness, age estimation biométrica com salvaguardas de privacidade, tokenização via provedores confiáveis).

  • Não condicionar acesso a coleta excessiva de dados; aplicar minimização e segurança.

  • Exemplo: redes sociais devem impedir cadastro de menores de 13 anos (ou faixa definida na ToS), bloqueando contornos simples via data de nascimento e adotando sinais múltiplos (padrões de uso, consentimento verificado de responsável, KBA parental).


Supervisão parental efetiva


  • Oferecer contas familiares, dashboards e controles granulares de conteúdo, tempo de tela e compras.

  • Facilitar denúncia e bloqueio de perfis e termos.


Prevenção de riscos e moderação


  • Prevenir acesso a conteúdos ilegais (abuso/exploração sexual, jogos de azar, promoção de drogas, automutilação/suicídio) e impróprios (assédio, violência etc.).

  • Ter fluxos de remoção ágeis, trust & safety 24/7 e parcerias com autoridades.


Publicidade e monetização


  • Restringir práticas publicitárias predatórias e perfilamento de menores; aumentar transparência em impulsionamento e conteúdos patrocinados direcionados a crianças/adolescentes.


Dados pessoais de crianças e adolescentes


  • Regras específicas para coleta, uso e compartilhamento, com foco em proteção reforçada e finalidade pedagógica ou de melhor interesse — em sintonia com princípios já conhecidos da LGPD, porém com obrigações adicionais setoriais para plataformas.


  1. Penalidades e fiscalização


A lei prevê advertência, multas e até proibição de exercício da atividade em caso de descumprimento, com multas que podem chegar a R$ 50 milhões por infração, conforme destacam as Casas do Congresso.


A fiscalização recai sobre uma autoridade administrativa com atribuições regulatórias no tema infantojuvenil, e o governo anunciou a transformação da ANPD em agência reguladora com competências ampliadas para acompanhar e sancionar obrigações do ECA Digital — medida que também depende de tramitação legislativa.


Implicação prática: prepare-se para regulação infralegal, guias técnicos, consultas públicas e auditorias; o “como” cumprir (padrões de verificação, métricas de risco, relatórios) tende a ser detalhado em atos futuros.

  1. ECA Digital x LGPD x marcos internacionais (visão prática)


LGPD (Lei 13.709/2018) — art. 14 já exigia consentimento específico de um dos pais para tratamento de dados de crianças, além de princípios de necessidade e segurança.


O ECA Digital:


  • Vai além do framework de dados pessoais, impondo deveres proativos a plataformas sobre risco de conteúdo, design, moderação, publicidade e monetização, com verificação de idade e supervisão como obrigações setoriais.

  • Converge com tendências internacionais (ex.: Online Safety Act do Reino Unido; Age-Appropriate Design), ao exigir safety by design e governança contínua.

  • Difere do GDPR/DSA ao combinar proteção de dados com regras materiais sobre conteúdo e interação, sob sanções administrativas locais e exigibilidade em 6 meses, prazo mais curto que vários marcos estrangeiros.


Resumo: a adequação exigirá integração entre privacidade, produto e confiança & segurança, não apenas ajustes de privacy notice.


  1. Checklist de adequação por área


Jurídico / Compliance


  • Mapear produtos/recursos com acesso provável por menores e elaborar matriz de riscos.

  • Revisar ToS, políticas de comunidade, política de anúncios e fluxos de denúncia/remoção.

  • Estruturar contratos com provedores de verificação de idade e moderadores terceirizados (SLAs, DPIA, security addenda).

  • Plano de gestão de incidentes envolvendo menores (canal prioritário + preservação de provas).


Produto / Engenharia


  • Desenhar arquitetura de verificação de idade com minimização de dados, liveness, prevenção de fraude e fallbacks sem biometria quando possível.

  • Implementar contas familiares com consentimento verificável do responsável e controles por faixa etária.

  • Criar classificação de conteúdo (taxonomia) e sinais de risco para feeds, lives, chats e recomendações.

  • Circuit-breakers para trending nocivo, rate limits e quarentena de uploads suspeitos.


Segurança / Privacidade (DPO)


  • Conduzir DPIA específica para infância e adolescência (Child-Focused DPIA).

  • Definir retenção mínima, pseudonimização e critérios de exclusão para dados sensíveis usados em verificação.

  • Estabelecer programa de auditoria e métricas (ex.: false negative rate da verificação de idade; tempo de resposta a denúncias envolvendo menores).


Trust & Safety / Conteúdo


  • Treinar moderadores em protocolos para conteúdo sexual infantil, automutilação e aliciamento.

  • Criar fluxos de design que não incentivem engagement por conteúdos impróprios para menores; limites de recomendação.

  • Mecanismos fáceis de report para pais, escolas e autoridades; feedback loops com usuários.


Governança & Relato


  • Preparar relatórios de transparência (periodicidade, métricas, método).

  • Registrar decisões de design relacionadas a infância (racional, riscos residuais, mitigação).

  • Plano de comunicação externa: páginas de ajuda, playbooks para imprensa e autoridades.


  1. FAQ


1) O que exatamente configura “adultização” de crianças nas redes?

Exposição de menores a conteúdos, interações e incentivos econômicos típicos do universo adulto (sexualização, violência, jogos de azar, consumo inadequado etc.), incluindo monetização ou engajamento que distorça sua condição de desenvolvimento. A lei endereça prevenção e remoção desses riscos.


2) O ECA Digital se aplica a edtechs e jogos?

Sim. Apps educacionais e jogos eletrônicos entram no escopo quando direcionados ou de acesso provável por menores — inclusive com regras sobre caixas de recompensa/loot boxes e compras in-app.


3) Qual é o prazo real para adequação?

Seis meses contados da publicação, por força da MP 1.319/2025 (eficácia imediata; pendente de conversão). Na prática, março/2026.


4) Quem fiscaliza e regulamenta?

O governo anunciou a transformação da ANPD em agência reguladora com competência ampliada para acompanhar e sancionar obrigações do ECA Digital, além da criação de autoridade administrativa temática prevista no texto. Detalhes serão definidos em atos subsequentes.


5) Quais as multas?

Até R$ 50 milhões por infração, além de advertência e suspensão ou proibição da atividade, conforme o caso.


6) E quem é responsável por bloqueios de plataformas?

A estrutura de cumprimento de decisões pode ser definida por atos infralegais; houve ajuste por veto e decreto para evitar conflito de competências, segundo o governo. Acompanhar a regulamentação.


  1. Conclusão e próximos passos


A combinação de verificação de idade confiável, supervisão parental efetiva, prevenção de riscos e governança baseada em evidências inaugura um novo patamar regulatório no Brasil. Com apenas 6 meses para adequação, quem liderar arquiteturas de safety by design e controles proporcionais ao risco chegará na frente — reduzindo exposição a sanções e construindo confiança com famílias, escolas, anunciantes e reguladores.

 
 
 

Comentários

bottom of page