1. Escopo da lei

1. Quando entra em vigor? 

Inicialmente a lei entraria em vigor após 12 meses de sua aprovação, contudo, a presidência da república vetou o dispositivo que previa a tal prazo. Em seguida editou a Medida Provisória n° 1319, de 2025, estabelecendo que a lei entra em vigor após seis meses de sua publicação, em 17 de março de 2026.

Cabe lembrar que a Agência Nacional de Proteção de Dados foi designada como a autoridade administrativa autônoma de proteção de crianças e adolescentes em ambientes digitais por meio do Decreto Nº 12.622, de 17 de setembro de 2025. Dessa forma, ela também será a responsável pela fiscalização e cumprimento da lei no ano que vem.  

2. A quem se aplica? 

Quem deverá adotar medidas previstas pela lei? Em termos de escopo, a lei se aplica a todos os produtos ou serviços de tecnologia da informação destinados a crianças e adolescentes ou de acesso provável por elas (art. 1°). Ou seja, não se trata somente de quem desenvolve pensando nesse público, mas quem também tem seus serviços possivelmente acessados por ele. 

Por exemplo, a lei se aplicaria a fornecedores e provedores de tecnologias que alcancem crianças e adolescentes, incluindo equipamentos eletrônicos de uso pessoal, aplicações de internet, lojas e sistemas operacionais, jogos eletrônicos, redes sociais e soluções de monitoramento infantil, bem como quem se caracterize como controlador de dados nos termos da LGPD ou ofereçam conteúdos impróprios, inadequados ou proibidos para crianças e adolescentes. Todos esses exemplos de provedores têm disposições específicas na lei. 

Mas o que seria esse “acesso provável” por crianças e adolescentes? De acordo com a lei (art. 1°, P.U.), o acesso é considerado provável quando: 

1. (i) há probabilidade e atratividade de uso por crianças e adolescentes, 

2. (ii) considerável facilidade de acesso por esse público ou quando 

3. (iii) existe significativo grau de risco para crianças e adolescentes pelo produto ou serviço. 

Este último elemento precisa ser observado especialmente no caso de “produtos ou serviços que tenham por finalidade permitir a interação social e o compartilhamento de informações em larga escala entre usuários em ambiente digital” como as redes sociais. 

Para além de se aplicar a todos esses agentes, a lei deixa expresso que eles precisam manter representante legal no Brasil para poder assumir responsabilidades (art. 40). 

Além disso, a lei determina que provedores de aplicação com mais de 1 milhão de usuários deverão elaborar relatórios semestrais de transparência sobre denúncias, moderação de conteúdo, aprimoramentos técnicos de mecanismos de verificação de idade e avaliações de risco (art. 31).

O ECA Digital também adota um princípio de proporcionalidade na aplicação da lei. Segundo o art. 39, as obrigações da lei, como medidas de design protetivo, controle parental, moderação de conteúdo e relatórios de transparência,  devem ser aplicadas de acordo com características e funcionalidades do produto ou serviço, o número de usuários e o grau de interferência do fornecedor sobre o conteúdo veiculado ou disponibilizado.

Contudo, pequenos desenvolvedores e serviços com controle editorial ou de conteúdos protegidos por direitos autorais estão isentos do cumprimento das obrigações da lei descritos no artigo 39, desde que (1) sigam as normas de classificação indicativa; (2) ofereçam transparência na classificação etária; (3) disponibilizem ferramentas de mediação parental que permitam restringir conteúdo, dados, interação e compras; (4) tenham canais de denúncia acessíveis.

Agora que sabemos quando e a quem se aplica o ECA Digital, vamos as suas principais disposições.

2. Principais disposições

1. Design protetivo

Como medida derivada da lógica de “privacy by design”, o ECA Digital exige que produtos e serviços digitais voltados ou de acesso provável a a crianças e adolescentes sejam projetados e desenhados para proteger esse público.

O art. 6º obriga empresas a prevenir e mitigar riscos de exposição a conteúdos nocivos, como exploração e abuso  sexual, violência, assédio, indução ou auxílio a automutilação e suicídio, dependência química, publicidade predatória e pornografia.Tudo isso deve ser adotado desde a concepção e no  design de plataformas ou serviços e não apenas em políticas de moderação.

A lei também estabelece o “design protetivo por padrão” (art. 7º): Isso significa que os serviços e produtos devem funcionar com o nível mais elevado de proteção em relação à privacidade e à proteção de dados pessoais, observando o  melhor interesse da criança e do adolescente e considerar a autonomia e o desenvolvimento progressivo desse público. Também é exigido que seja prestada informação adequada de forma que responsáveis e adolescentes possam fazer escolhas informadas sobre a adoção de configurações menos protetivas.

Além disso, há disposições sobre o que o design dos produtos ous serviços deve incluir (art. 8º):

• mecanismos de gerenciamento de riscos e classificação indicativa;

• sistemas que impeçam acesso a conteúdos ilegais ou impróprios;

• configurações que evitem o uso compulsivo ; 

• fornecer informação de modo extensivo da faixa etária no momento do acesso a produtos ou serviços.

2. Proibição de profiling para publicidade 

A lei também proíbe a construção de perfis de crianças e adolescentes para publicidade comportamental. O art. 22 é categórico:

“É vedada a utilização de técnicas de perfilamento para direcionamento de publicidade comercial a crianças e a adolescentes, bem como o emprego de análise emocional, realidade aumentada, realidade estendida e realidade virtual para esse fim.”

A lei também proíbe monetização e impulsionamento de conteúdos que retratam crianças e adolescentes de forma erotizada ou sexualmente sugestiva (art. 23). No capítulo sobre redes sociais, a lei reafirma a vedação da criação de perfis comportamentais a partir da coleta de dados, inclusive aqueles obtidos na verificação de idade, quando usados para fins publicitários (art. 26).

3. Mecanismos de verificação de idade

Um dos pilares da lei é o fortalecimento dos mecanismos de verificação de idade, um dos pontos mais sensíveis quando falamos de fornecer experiências online seguras para crianças e adolescentes. 

Em um primeiro momento, se determina que conteúdos ou serviços impróprios para menores de 18 anos devem ser protegidos por mecanismos confiáveis de verificação de idade, estando vedado o uso  da simples autodeclaração.

Em seguida, a lei determina que as plataformas devem oferecer experiências compatíveis com a idade do usuário (art. 10), levando em conta tanto a autonomia progressiva quanto a diversidade social e econômica do público infantojuvenil. Já o art. 11 abre espaço para que o poder público atue como regulador, certificador ou promotor dessas tecnologias, sempre com participação social e transparência  por meio de consulta pública e de outros mecanismos de participação social. 

O art. 12 estabelece diretrizes técnicas: fornecedores de lojas de aplicativos e sistemas operacionais precisam adotar métodos seguros, auditáveis e proporcionais para verificar idade e oferecer configurações voluntárias de supervisão parental. Por último, tais fornecedores devem possibilitar o fornecimento de “sinal de idade” aos provedores de aplicações de internet para o cumprimento das finalidades do próprio ECA Digital, quais sejam, a proteção de crianças e adolescentes em ambientes digitais

A partir daí, a lei impõe um limite importante. Os dados coletados para verificação de idade não podem ser reutilizados para outras finalidades (art. 13). Cada fornecedor deve também manter seus próprios mecanismos de bloqueio e filtragem de conteúdo impróprio (art. 14). 

Por fim, a lei estabelece que o cumprimento das disposições sobre mecanismos de verificação de idade não exime os agentes da cadeia digital (art. 15) das responsabilidades pelo cumprimento da lei, nesse sentido, tais agentes devem garantir de forma solidária a  proteção integral de crianças e adolescentes.

4. Controle parental e mediação ativa

O ECA Digital traz um conjunto detalhado de obrigações sobre supervisão parental.De início, o texto obriga as plataformas a informar claramente aos pais e responsáveis sobre riscos, medidas de segurança e proteção de dados mesmo quando o produto ou serviço ainda não foi adquirido (art. 16). Se o tratamento de dados de crianças e adolescentes não for estritamente necessário para a operação do produto ou serviço, o controlador deve ir além: mapear riscos e elaborar um relatório de impacto.

Já o art. 17 leva essa lógica para o design das ferramentas. O controle parental deve ser acessível, visível e fácil de usar, e o padrão de configuração desses controles precisa operar sempre no nível mais alto de proteção. 

Isso inclui desde bloqueio de contatos não autorizados e limitação de recursos de para aumentar, sustentar ou estender artificialmente o uso do produto ou serviço pela criança ou pelo adolescente (como autoplay e notificações). Outras configurações envolvem o fornecimento de opções de controle de tempo para responsáveis,  controle sobre sistemas de recomendação personalizados e até recursos de suporte emocional para situações de risco psicossocial.

O art. 18 completa o quadro garantindo aos pais e responsáveis o direito de gerenciar contas, restringir compras, visualizar contatos e tempo de uso, tudo em língua portuguesa e de forma transparente. O artigo também proíbe o uso de designs manipulativos, os famosos dark patterns, que reduzem a autonomia e induzam crianças ou responsáveis a desativar ou enfraquecer as ferramentas de supervisão parental ou de salvaguardas

5. Jogos eletrônicos

Em jogos eletrônicos, a lei proíbe o uso de caixas de recompensa (loot boxes) (art. 20). As caixas oferecem itens virtuais aleatórios em troca de pagamento, uma prática que se tornou comum em jogos gratuitos, mas que se aproxima do modelo de jogos de azar.

Jogos que permitem comunicação síncrona ou assíncrona entre usuários (com recursos de mensagens, voz ou vídeo) devem  limitar as funcionalidades de interação a usuários por padrão (art. 21 P.U.).  

Além disso, jogos com essas características precisam observar as salvaguardas previstas no  art. 16 do Marco legal da indústria de jogos eletrônicos (Lei nº 14852/24), que envolvem: 

1. Mecanismos de denúncia e processamento de abusos ou irregularidades e retorno ao usuário denunciante sobre o resultado das denúncias;
   
   

2. Direito de revisão de decisões e penalidades;
   
   

3. Transparência pública sobre denúncias, métodos de moderação, sanções, ações educativas e medidas de mitigação de risco ;
   
   

4. Proibição, nos termos de uso, de práticas e interações que violem direitos de crianças e adolescentes ;
   
   

5. Ferramentas de supervisão e moderação parental atualizadas, adequadas à idade e que respeitem a autonomia progressiva da criança ou adolescente;
   
   

6. Mecanismos de proteção contra riscos de contato com outros usuários, com opção de desativar interações ;
   
   

7. Informações claras e em português, com linguagem acessível a crianças, adolescentes e responsáveis .

3. O que ainda precisa ser discutido? 

Ainda que a lei tenha estabelecido importantes parâmetros para a proteção de crianças e adolescentes no ambiente online, ainda existem elementos elementos que dependem de regulamentação, são eles: 

• requisitos mínimos de transparência, de segurança e de interoperabilidade para os mecanismos de aferição de idade e de supervisão parental (art. 12§ 3°)

• padrões mínimos de supervisão parental ( art.17 §1°) e 

• Critérios objetivos para aplicação proporcional das obrigações a fornecedores (art. 39, §3º)

Caso queira entender melhor os pressupostos, contexto e principais principais mudanças promovidas pela lei, recomendamos a última edição do Clube Data Convida em que recebemos Emanuella Halfeld (Instituto Alana) e Marina Pita (Secretaria de Comunicação Social da Presidência da República – SECOM) para a aula  "O que há de novo no ECA Digital?”. Também recomendamos o blog sobre o  Relatório e substitutivo do Projeto de Lei 2628/2022: o que há de novo no ECA Digital? 

Bons estudos!