Em meio à ampliação do alcance dos serviços digitais, a proteção de dados pessoais de menores de idade se tornou uma prioridade no campo regulatório. No Brasil, essa transformação se reflete no Estatuto Digital da Criança e do Adolescente (ECA Digital), em vigor a partir de 17 de março de 2026. A nova lei introduz um marco normativo para o tratamento de dados de crianças e adolescentes no meio on-line.
Junto com a Lei Geral de Proteção de Dados Pessoais do Brasil (LGPD), o ECA Digital estabelece um padrão mais rigoroso para empresas que oferecem produtos e serviços digitais acessados por menores.
Assim como outros desenvolvimentos recentes em privacidade no mundo, a abordagem do Brasil sinaliza uma tendência a medidas protetivas mais fortes e proativas, assim como uma expectativa mais clara de que as empresas incorporem a conformidade ao projeto e à operação dos serviços digitais.
Por que os órgãos reguladores estão priorizando a proteção de dados de crianças
O Brasil já conta com um marco abrangente de proteção de dados na forma da LGPD, aplicada pela Agência Brasileira de Proteção de Dados (ANPD). A LGPD estabelece princípios e bases legais para o tratamento de dados e os direitos dos indivíduos. O ECA Digital reflete a visão regulatória cada vez mais consolidada de que crianças e adolescentes precisam de salvaguardas adicionais em ambientes on-line.
Abordagens semelhantes têm surgido internacionalmente, como o Código de Design Apropriado para a Idade do Reino Unido (Age Appropriate Design Code) e iniciativas em estados americanos como Califórnia, Texas, Vermont e Carolina do Sul. A ideia é clara: quando menores de idade interagem com serviços digitais, os órgãos reguladores esperam uma proteção mais rigorosa e uma responsabilização mais transparente.
ECA Digital: reforço dos marcos de privacidade no Brasil
O ECA Digital não substitui a LGPD. Em vez disso, o estatuto se soma à lei geral de proteção de dados ao introduzir obrigações específicas para o tratamento on-line de informações envolvendo menores de idade.
Essa estrutura em camadas reflete um padrão mais amplo na regulamentação da privacidade: leis gerais estabelecem regras básicas para todos os dados pessoais, enquanto marcos adicionais abordam contextos de maior risco. Neste caso, o contexto é o de crianças e adolescentes que interagem com serviços digitais.
Como o ECA Digital interage com a LGPD
A LGPD continua sendo a principal lei de proteção de dados no Brasil. Ela regula controladores e operadores de dados de diferentes setores e estabelece princípios, mecanismos de aplicação/fiscalização e direitos.
O ECA Digital tem como foco os ambientes on-line e serviços digitais que envolvem menores de idade. Na prática, isso significa que as organizações precisam avaliar se há probabilidade de que suas plataformas digitais sejam acessadas por crianças ou adolescentes e se os dados desses indivíduos são tratados em conformidade com as medidas de proteção mais rigorosas determinadas pelo estatuto.
Por exemplo, se uma plataforma on-line for atraente para menores, facilmente acessível e provavelmente usada por esse público, a empresa não pode recorrer somente aos fluxos de consentimento regulares desenvolvidos para adultos. O ECA Digital exige cuidados adicionais na forma como os dados de menores são processados e divulgados.
Por que o ECA Digital é relevante para profissionais de marketing
O ECA Digital não se aplica somente a serviços explicitamente destinados a crianças ou adolescentes. O estatuto também abrange plataformas digitais em que o acesso por menores é provável, com base em critérios como atratividade, facilidade de acesso e riscos associados.
Como resultado, as empresas que fornecem plataformas on-line, aplicativos ou serviços digitais no Brasil devem analisar, desde a concepção, se menores de idade fazem parte de sua base de usuários e como isso afeta sua postura de conformidade. Uma plataforma de jogos, rede social ou aplicativo móvel que tenha apelo entre crianças e adolescentes pode entrar no escopo da lei, mesmo que não tenha sido originalmente disponibilizado como um serviço para essa faixa etária.
As considerações de conformidade começam na fase de projeto. As empresas devem avaliar se menores de idade fazem parte de sua base de usuários e se suas práticas de coleta de dados, publicidade e criação de perfis estão alinhadas às restrições do ECA Digital. A OneTrust pode ajudar as organizações a adotarem essa postura proativa e incorporarem princípios que assegurem a privacidade por design.
Dados de crianças: elevação dos padrões de conformidade
Embora a LGPD já regulamente o consentimento como base legal para o tratamento de dados pessoais, o ECA Digital vai além ao determinar que os dados de crianças e adolescentes exigem atenção e cuidados adicionais.
Em vez de empregar somente mecanismos gerais de consentimento, as organizações devem alinhar suas práticas aos requisitos de proteção do ECA Digital, assegurando que qualquer tratamento de dados de menores conte com salvaguardas reforçadas e expectativas regulatórias rigorosas.
É importante destacar que o ECA Digital proíbe totalmente o uso de técnicas de criação de perfis para direcionar publicidade comercial a crianças e adolescentes. O estatuto também proíbe o uso de análise emocional e de tecnologias de realidade aumentada, estendida e virtual para fins publicitários.
Isso significa que práticas como a criação de perfis de comportamento para exibir anúncios personalizados para menores não são permitidas. Ferramentas avançadas de publicidade imersiva ou baseada em emoções não podem ser usadas para direcionamento comercial quando crianças e adolescentes estão envolvidos.
As organizações devem ainda assegurar que a divulgação de informações sobre como os dados pessoais de menores são usados seja feita de forma compreensível para esses indivíduos, previamente ou no momento em que os serviços são oferecidos.
Em que as organizações devem se concentrar
Primeiramente, as empresas que atuam no Brasil devem identificar se seus serviços digitais processam dados pessoais de crianças ou adolescentes. Essa avaliação não deve se limitar ao público-alvo declarado, levando em conta também os padrões reais de uso e o projeto do produto.
Os programas existentes de conformidade com a LGPD devem ser revisados para verificar se a abordagem aos dados pessoais de menores é adequada. Mecanismos de consentimento desenvolvidos para adultos podem não atender às exigências do ECA digital.
Algumas das principais ações a serem tomadas:
- Verificar se os produtos ou serviços digitais processam dados pessoais de crianças ou adolescentes.
- Avaliar como os programas existentes de conformidade com a LGPD abordam dados pessoais de menores.
- Monitorar as atividades de orientação e fiscalização da ANPD relativas à proteção de dados de menores.
- Garantir que a divulgação de informações sobre o uso de dados pessoais de menores seja feita de forma compreensível para esse público, antes ou no momento em que os serviços forem oferecidos.
- Impedir o tratamento de dados pessoais de menores para publicidade direcionada, criação de perfis e outras finalidades proibidas.
Apoio ao consentimento dos responsáveis e à verificação de identidade
A plataforma OneTrust ajuda a operacionalizar as relações de identidade entre pais e filhos nos pontos de coleta de dados. Com a configuração de formulários on-line hospedados na plataforma ou de pontos de coleta baseados em APIs para capturar identificadores dos responsáveis, as empresas podem combinar identidades de pais/guardiões legais e dependentes em um único grupo de titulares de dados, administrando essas relações de forma centralizada. O consentimento é atribuído de forma precisa, e comunicações referentes a dupla confirmação (double opt-in) e preferências podem ser direcionadas ao identificador do responsável, possibilitando uma gestão de consentimento consistente e auditável.
Além da coleta de consentimento, a plataforma OneTrust oferece suporte à verificação de identidade via integração com provedores externos, usando o protocolo OpenID Connect (OIDC) e a API de verificação de identidade da OneTrust. Essas opções permitem que as organizações verifiquem identidades por meio de abordagens como a autenticação baseada em pontuação e códigos de uso único, mantendo o controle sobre os fluxos de trabalho e minimizando a exposição desnecessária dos dados.
Essas capacidades ajudam os profissionais de marketing e provedores de serviços digitais a coletar dados de menores de forma responsável, verificar identidades e gerenciar o consentimento dos pais em conformidade com a regulamentação.
Preparação para uma fiscalização mais rigorosa
O ECA Digital reflete uma tendência global em direção a uma proteção mais robusta de crianças e adolescentes em ambientes digitais. Ao reforçar e expandir as disposições da LGPD, o estatuto deixa claro que a proteção de dados de menores de idade é uma prioridade central de conformidade.
Para organizações que atuam no Brasil, o cumprimento da lei requer uma avaliação estruturada, a atualização das práticas de consentimento e publicidade e o monitoramento contínuo do cenário regulatório. O alinhamento global em torno da proteção de dados de crianças e adolescentes continua a evoluir, e as expectativas nesse campo não permanecerão estáticas.
Perguntas e respostas sobre o ECA Digital
O que é o ECA Digital e quando ele entra em vigor?
O Estatuto Digital da Criança e do Adolescente introduz regras específicas para o tratamento on-line de dados de crianças e adolescentes no Brasil. Em vigor a partir de 17 de março de 2026, a lei complementa a LGPD ao adicionar salvaguardas mais rigorosas para menores de idade em ambientes digitais.
O ECA Digital se aplica somente a serviços concebidos para crianças e adolescentes?
Não. O estatuto também se aplica a serviços digitais nos quais o acesso por menores é provável, levando em conta a probabilidade de uso, a atratividade para esse público, a facilidade de acesso e os riscos associados. As organizações devem avaliar o comportamento real dos usuários e o projeto do produto ou serviço, e não somente o público-alvo original.
Que práticas de publicidade são proibidas pelo ECA Digital?
O estatuto proíbe técnicas de criação de perfis usadas para direcionar publicidade comercial a crianças e adolescentes. Proíbe também o uso de análise emocional e de tecnologias de realidade aumentada, estendida e virtual para fins publicitários envolvendo menores de idade.
Como as empresas podem ajustar suas práticas de consentimento e divulgação para menores de idade?
As organizações devem assegurar que as divulgações sobre o uso de dados pessoais de menores sejam compreensíveis e disponibilizadas antes ou no momento em que os serviços forem oferecidos. Os mecanismos de consentimento devem contar com medidas protetivas reforçadas, e os fluxos de trabalho para consentimento parental e verificação de identidade devem permitir registros precisos e auditáveis.
