ECA Digital e LGPD: impactos nas empresas diante de um novo paradigma regulatório

A sua empresa coleta dados de crianças e de adolescentes quando oferece produtos e serviços, inclusive nos meios digitais? E se coleta, adota medidas de governança de dados para protegê-los?

Esse questionamento não é uma provocação. É uma questão jurídica concreta e que requer respostas eficientes por parte de todos os atores envolvidos com tratamento de dados de crianças e adolescentes no ambiente digital. A razão é simples: dados de crianças e adolescentes não são categorias de dados comuns. Eles dizem respeito a pessoas em desenvolvimento, em situação de vulnerabilidade reconhecida pelo ordenamento jurídico brasileiro, as quais merecem proteção reforçada.

Não é novidade que o ambiente digital evoluiu de forma desigual, e práticas como coleta excessiva de dados de menores sem governança expuseram esse público a riscos para os quais a legislação então existente mostrou-se insuficiente.

E foi decorrente desse vácuo legislativo que entrou em vigor, em 17 de março de 2026, o Estatuto Digital da Criança e do Adolescente, o ECA Digital, instituído pela Lei nº 15.211/2025, com um objetivo claro: proteger crianças e adolescentes no ambiente digital. Para isso, impõe deveres de prevenção, proteção, informação e segurança aos fornecedores de produtos e serviços de tecnologia da informação, abrangendo redes sociais, programas de computador, sistemas operacionais, lojas de aplicações, jogos eletrônicos e serviços similares conectados à internet.

Em 18 de março de 2026, o presidente da República assinou o Decreto nº 12.880/2026, que regulamenta o ECA Digital e traz dispositivos específicos de proteção de dados, privacidade e governança algorítmica. Em 20 de março de 2026, a ANPD (Agência Nacional de Proteção de Dados), órgão regulador e fiscalizador, publicou as Orientações Preliminares sobre os Mecanismos Confiáveis de Aferição de Idade, principal referência prática para as empresas sobre o tema.

O ECA Digital, contudo, não opera de forma isolada. Ele integra, ao lado da Lei Geral de Proteção de Dados (LGPD) e de outras normas, um contexto normativo de proteção que já estava em construção muito antes de 2025.

Em 1988, o art. 227 da Constituição Federal já impunha à família, à sociedade e ao Estado o dever de assegurar à criança e ao adolescente, com absoluta prioridade, o direito à dignidade, ao respeito e à liberdade. Essa norma inspirou o Estatuto da Criança e do Adolescente de 1990 e foi o fundamento das legislações posteriores.

Foi nesse cenário que a LGPD (Lei nº 13.709), em 2018, representou um avanço concreto: o art. 14 estabeleceu que o tratamento de dados de crianças e de adolescentes deve ser realizado no melhor interesse desse público, com consentimento específico e destacado dos pais ou responsáveis legais. Em 2023, a ANPD (Agência Nacional de Proteção de Dados) editou o Enunciado CD/ANPD nº 01/2023 reconhecendo que esse tratamento pode ser realizado com fundamento em qualquer das hipóteses legais previstas nos arts. 7º e 11 da LGPD, desde que o melhor interesse do menor prevaleça. Em 2022, a Emenda Constitucional nº 115 elevou a proteção de dados ao status de direito fundamental, previsto no art. 5º, LXXIX, da Constituição Federal.

O ECA Digital, portanto, pode ser compreendido como um movimento de setorização funcional da proteção de dados, ao introduzir regras específicas para o ambiente digital voltadas à tutela de crianças e adolescentes, sem, contudo, romper com a lógica sistêmica e transversal da Constituição Federal e da Lei Geral de Proteção de Dados, com as quais mantém relação de complementariedade normativa.

A nova Lei alcança duas categorias de empresários: a primeira é formada pelas empresas que direcionam seus produtos ou serviços digitais a crianças e adolescentes; a segunda engloba aquelas cujos produtos ou serviços, mesmo sem serem destinados a esse público, possam ser por ele acessados.

O conceito de "acesso provável", definido no art. 1º, parágrafo único do ECA Digital, caracteriza-se pela presença de ao menos uma das seguintes situações: suficiente probabilidade de uso e atratividade do serviço por crianças e adolescentes; considerável facilidade de acesso e utilização por esse público; ou significativo grau de risco à privacidade, à segurança ou ao desenvolvimento biopsicossocial de crianças e adolescentes. Esses critérios exigem que cada empresa examine suas funcionalidades e conclua, de forma fundamentada e documentada, se está ou não no âmbito de aplicação da lei.

Entre as obrigações centrais do ECA Digital está a adoção de mecanismos de aferição de idade para serviços que disponibilizem conteúdo impróprio, inadequado ou proibido para menores de dezoito anos. A aferição de idade refere-se aos procedimentos destinados a verificar, estimar ou inferir a idade ou a faixa etária de um usuário, por análise documental, biometria, avaliação de padrões de uso ou outros meios tecnicamente idôneos, conforme art. 2º, IV, do Decreto nº 12.880/2026.

A mera autodeclaração do usuário é expressamente vedada pelo art. 9º, § 1º, do ECA Digital. As Orientações Preliminares da ANPD estabelecem seis requisitos mínimos que toda solução de aferição deve observar: proporcionalidade entre a solução adotada e o nível de risco; acurácia, robustez e confiabilidade do mecanismo; privacidade e proteção de dados pessoais; inclusão e não discriminação; transparência e auditabilidade; e interoperabilidade entre sistemas públicos e privados.

Interpretar o ECA Digital de forma isolada é um erro com potencial de gerar elevados custos financeiros e reputacionais às empresas. Por isso, a LGPD permanece como base estrutural de qualquer programa de conformidade e as duas normas precisam ser interpretadas conjuntamente. O próprio art. 3º do ECA Digital confirma essa articulação ao determinar que os produtos e serviços digitais direcionados a crianças e adolescentes devem observar medidas adequadas e proporcionais nos termos definidos na LGPD.

As Orientações da ANPD reforçam a importância do Relatório de Impacto à Proteção de Dados (RIPD), previsto no art. 38 da LGPD, e o art. 16, § único, do ECA Digital também prevê Relatório de Impacto de monitoramento e avaliação da proteção de dados pessoais, instrumentos que podem e devem ser integrados em um único documento estruturado para evitar duplicação de esforços.

Essa integração é especialmente vantajosa para empresas que já possuem processos de gestão de privacidade baseados na LGPD e precisam agora incorporar as exigências do ECA Digital sem reconstruir toda a estrutura de governança.

Em síntese, não é juridicamente sustentável cumprir a nova Lei à margem da LGPD, nem o inverso. Trata-se de regimes que operam de forma simultânea e complementar, impondo às organizações uma abordagem integrada de conformidade, sob pena de transformar um dever legal em um risco estratégico desnecessário.

Adequar-se ao ECA Digital significa revisitar a LGPD e, com isso, consolidar e aprofundar práticas que já deveriam integrar a governança de dados da organização. Os registros de operações de tratamento precisam identificar especificamente os fluxos que envolvem dados de menores. As políticas de privacidade precisam contemplar esse público de forma clara. As bases legais utilizadas precisam ser revisadas, observado o princípio do melhor interesse do menor. E os mecanismos de aferição de idade devem ser confiáveis e passíveis de auditoria, para que a empresa possa demonstrar conformidade em eventuais processos judiciais ou administrativos.

Os dados de crianças e adolescentes nunca foram dados comuns, e o ordenamento jurídico brasileiro sempre o soube. A Constituição de 1988 já sinalizava essa prioridade. A LGPD a reforçou em 2018; o ECA Digital veio torná-la concreta e fiscalizável. Retomando a provocação inicial, o cenário se traduz, na prática, em dois posicionamentos: o das organizações que já mapearam seus riscos e avançam na implementação de medidas efetivas, e o daquelas que ainda precisam estruturar, com urgência, sua agenda de conformidade. O tempo, nesse caso, não é aliado da inércia.

O sistema normativo está posto: a lei define, o decreto operacionaliza, a ANPD supervisiona e a variável reputacional passou a ocupar posição central na tomada de decisão, independentemente do porte ou do setor. Ao final, não se trata mais de optar pela adequação, mas de gerir, com maturidade, um imperativo regulatório inadiável.

O texto acima expressa a visão de quem o assina, não necessariamente do Congresso em Foco. Se você quer publicar algo sobre o mesmo tema, mas com um diferente ponto de vista, envie sua sugestão de texto para [email protected].