ECA Digital: obrigações, penalidades e o que muda para plataformas digitais no Brasil

O ECA — Estatuto da Criança e do Adolescente — completou 35 anos em 2025. Criado para proteger menores no mundo físico, ele foi pensado muito antes de redes sociais, aplicativos e jogos online existirem. O ambiente digital ficou, por muito tempo, numa espécie de zona cinzenta regulatória.

A Lei nº 15.211/2025, batizada de ECA Digital, veio preencher essa lacuna. Ela não substitui o ECA original nem a LGPD (Lei Geral de Proteção de Dados). Funciona como uma camada adicional: pega princípios que já existiam no ordenamento jurídico brasileiro e os traduz em obrigações concretas para plataformas, aplicativos, jogos online e qualquer serviço digital acessível a crianças e adolescentes no Brasil.

A vigência foi fixada para 17 de março de 2026 — e o prazo para adequação já está sobre a mesa. Para entender o que muda na prática, a Computer Weekly Brasil conversou com Leonardo Braga Moura, sócio do Silveiro Advogados na área de Direito Digital.

Computer Weekly Brasil (CWBr): O ECA Digital cria novas obrigações ou reforça deveres já previstos no Marco Civil da Internet e na LGPD?

Leonardo Braga Moura (LBM): O ECA Digital faz as duas coisas. De um lado, ele reforça princípios que já existiam no ordenamento jurídico brasileiro, como a proteção integral da criança e do adolescente, o tratamento diferenciado de dados pessoais de menores, já previsto na LGPD (Lei Geral de Proteção de Dados), e a responsabilidade de provedores e plataformas estabelecida no Marco Civil da Internet.

De outro lado, a nova lei avança ao transformar esses princípios em obrigações mais concretas para o ambiente digital. Ela passa a exigir, por exemplo, medidas específicas de gestão de risco para crianças e adolescentes, mecanismos de verificação de idade, ferramentas de supervisão parental, adequação de conteúdos por faixa etária e limites ao uso de publicidade comportamental direcionada a menores.

Portanto, não se trata apenas de repetir normas já existentes. O ECA Digital funciona como uma espécie de camada adicional de regulação, voltada especificamente para o ecossistema digital. Ele pega princípios que já estavam na legislação e os traduz em regras operacionais aplicáveis a plataformas, aplicativos, jogos online e serviços digitais.

CWBr: Como a lei define "plataformas digitais"? Essa definição abrange softwares, jogos online, redes sociais, e-commerce e plataformas educacionais de forma ampla?

LBM: A lei não usa apenas a expressão "plataformas digitais" no sentido standard. Ela adota um conceito mais amplo: "produtos ou serviços de tecnologia da informação". Isso inclui aplicações de internet, softwares, sistemas operacionais, lojas de aplicativos, jogos eletrônicos e outros serviços conectados à internet.

Por isso, o alcance da norma é bastante amplo. Dependendo do caso, podem estar dentro desse escopo redes sociais, jogos online, aplicativos, marketplaces, e-commerce e até plataformas educacionais digitais.

Mas o ponto mais importante não é o tipo de serviço em si. O critério central da lei é se o produto é direcionado a crianças e adolescentes ou se há "acesso provável" por esse público. Ou seja, mesmo plataformas que não foram criadas para menores podem entrar no radar da lei se o conteúdo, a dinâmica da plataforma ou o perfil da audiência indicarem que crianças e adolescentes usam aquele serviço com frequência.

CWBr: A lei pode gerar impacto direto para empresas de tecnologia que operam fora do Brasil, mas que oferecem serviços a usuários brasileiros?

LBM: Sim. A lei é clara ao estabelecer que suas regras se aplicam a produtos e serviços direcionados a crianças e adolescentes no Brasil, ou de acesso provável por esse público, independentemente da localização da empresa responsável. Ou seja, a norma pode alcançar serviços desenvolvidos, operados ou hospedados fora do país, desde que estejam disponíveis para usuários brasileiros.

Na prática, isso significa que empresas estrangeiras que oferecem aplicativos, redes sociais, jogos online ou plataformas digitais acessíveis no Brasil podem, sim, estar sujeitas às obrigações do ECA Digital.

Em termos práticos, a mensagem para empresas globais é bastante direta: não basta estar sediado fora do Brasil. Se o serviço alcança usuários brasileiros — especialmente crianças e adolescentes — será importante avaliar o grau de aderência às exigências da nova lei, tanto do ponto de vista regulatório quanto de governança digital.

CWBr: A verificação de idade é o ponto mais sensível da lei? Como ela pode ser implementada sem ampliar riscos de vazamento de dados e violação de privacidade?

LBM: Depende do ponto de vista, mas certamente é um dos aspectos mais desafiadores da nova lei. Esse dilema não é exclusivo do Brasil: diversas jurisdições já enfrentaram a dificuldade de proteger crianças no ambiente digital sem criar sistemas excessivos de coleta e armazenamento de dados pessoais.

No Reino Unido, por exemplo, uma tentativa de implementar verificação obrigatória de idade para acesso a conteúdo adulto — prevista no Digital Economy Act — foi abandonada em 2019, em grande medida por preocupações com privacidade e risco de vazamentos de dados. Mais recentemente, o país passou a adotar uma abordagem mais ampla. Iniciativas como o Age Appropriate Design Code e o Online Safety Act priorizam gestão de risco, design seguro das plataformas e proteção por padrão, reduzindo a dependência de identificação direta do usuário.

A finalidade da regra é legítima, mas sua implementação precisa ser calibrada. O caminho mais seguro tende a envolver soluções baseadas em minimização de dados e privacy by design — conceito já importado pela LGPD — validando apenas a informação necessária — por exemplo, se o usuário está acima ou abaixo de determinada faixa etária — sem coletar ou armazenar dados além do estritamente indispensável.

CWBr: Quais são as penalidades previstas para as plataformas que descumprirem a norma?

LBM: A lei estabelece um conjunto relevante de sanções administrativas e judiciais. No plano administrativo, podem ser aplicadas advertências e multas que chegam a até 10% do faturamento do grupo econômico no Brasil, limitadas a R$ 50 milhões por infração. Em situações mais graves, também há previsão de suspensão temporária das atividades e até proibição do exercício das atividades, medidas que dependem de decisão judicial.

Mas é importante observar que o impacto do descumprimento não se limita às multas ou às sanções formais previstas na lei. Em muitos casos, o risco reputacional pode ser ainda mais relevante do que a própria penalidade jurídica. Violações envolvendo proteção de crianças e adolescentes tendem a gerar forte repercussão pública, pressão de investidores, questionamentos regulatórios e impacto direto na confiança de usuários, parceiros comerciais e anunciantes.

CWBr: Qual será, na prática, o papel da ANPD na fiscalização? A estrutura atual do órgão é suficiente para esse novo desafio?

LBM: A Agência Nacional de Proteção de Dados (ANPD) foi designada como a autoridade responsável pela implementação e fiscalização do ECA Digital, o que a coloca no centro da governança desse novo regime regulatório. Na prática, seu papel será orientar o mercado, estabelecer parâmetros técnicos e acompanhar a forma como plataformas e demais agentes do ecossistema digital lidam com a proteção de crianças e adolescentes online.

Essa atuação tende a ocorrer em três dimensões. A primeira é regulatória, com a elaboração de diretrizes e normas complementares sobre temas como verificação de idade, tratamento de dados de menores e padrões de segurança digital. A segunda é supervisória, acompanhando a adoção dessas medidas pelas plataformas. E a terceira é sancionatória, nos casos em que houver descumprimento relevante das obrigações previstas na lei.

A escolha da ANPD é coerente, porque o ECA Digital dialoga diretamente com a proteção de dados de crianças e adolescentes, tema já tratado pela LGPD e pelo princípio do melhor interesse da criança. Ao mesmo tempo, como ocorre em qualquer nova regulação tecnológica, a efetividade do modelo dependerá da regulamentação complementar, do fortalecimento técnico da autoridade e da coordenação com outros órgãos públicos e com o próprio ecossistema digital. O marco institucional está definido; o desafio agora é consolidar uma aplicação equilibrada e efetiva dessas regras na prática.

CWBr: Existe um risco de insegurança jurídica para as empresas nos primeiros meses de vigência da lei?

LBM: É natural que exista algum grau de incerteza inicial, especialmente porque diversos pontos da lei ainda dependem de regulamentação complementar e de parâmetros técnicos mais detalhados. Conceitos como "acesso provável" por crianças e adolescentes, "mecanismos confiáveis" de verificação de idade, "medidas razoáveis" de proteção e critérios de proporcionalidade ainda precisarão ser interpretadas e operacionalizadas na prática.

Isso não significa que a lei seja inconsistente, mas que haverá um período inicial de maturação regulatória. Nos primeiros meses, é esperado que ocorram ajustes, construção de entendimentos e maior diálogo entre reguladores e empresas, especialmente nos setores mais expostos, como plataformas digitais, aplicativos e jogos online.

Nesse contexto, a melhor estratégia para as empresas é adotar uma postura proativa de governança e gestão de risco, demonstrando diligência na avaliação de impactos e na implementação de medidas de proteção. Em geral, nos primeiros ciclos de aplicação de uma nova regulação, reguladores tendem a considerar não apenas o resultado, mas também o esforço real de adequação e a boa-fé regulatória das empresas.

CWBr: Que passos práticos e imediatos você recomendaria para as empresas de tecnologia brasileiras e estrangeiras se adequarem ao ECA Digital?

LBM: O primeiro passo é realizar um diagnóstico regulatório estruturado, para entender se o serviço é direcionado a crianças e adolescentes ou se há o chamado "acesso provável" por esse público, conceito central da lei. Esse ponto é crucial porque muitas plataformas não foram originalmente projetadas para menores, mas podem acabar sendo enquadradas pela facilidade de acesso ou pela atratividade do serviço.

A partir daí, a adequação costuma se concentrar em quatro frentes: governança de dados de menores, mecanismos de verificação de idade, revisão de políticas de conteúdo e sistemas de recomendação e ferramentas de supervisão parental. Também é recomendável revisar termos de uso, políticas de privacidade, fluxos de consentimento parental e modelos de publicidade digital, já que a lei impõe restrições importantes ao uso de perfilamento e à exploração comercial direcionada a menores. Para empresas com maior exposição — especialmente redes sociais, plataformas de conteúdo, jogos online e marketplaces digitais — faz sentido desenvolver uma avaliação de impacto regulatório e de risco, documentando as medidas adotadas.

A experiência internacional mostra que essa abordagem preventiva é fundamental. No Reino Unido, por exemplo, após a entrada em vigor do Age Appropriate Design Code, muitas empresas tiveram de revisar profundamente suas interfaces, configurações de privacidade padrão e sistemas de recomendação. O aprendizado regulatório foi claro: a conformidade não é apenas jurídica, mas também de design e arquitetura tecnológica.