O limite entre o controle de acesso e a coleta excessiva de dados de menores: um desafio de todos

O limite entre o controle de acesso e a coleta excessiva de dados de menores: um desafio de todos
Texto por: Hanna Wurman

A sanção da Lei nº 15.211/2025, o ECA Digital, inaugurou uma nova era de responsabilidades para todas as empresas que atuam no ambiente online brasileiro. Em continuidade ao tema, o Radar Tecnológico nº 5 da ANPD, traz um debate estratégico complexo: como implementar barreiras de acesso eficazes para proteger crianças e adolescentes sem cruzar a linha da coleta excessiva de dados e violar os princípios da Lei Geral de Proteção de Dados (LGPD)?

Este dilema não se restringe a aplicativos infantis ou plataformas educacionais. Pelo contrário, ele atinge em cheio o modelo de negócio de redes sociais, jogos, serviços de streaming e, especialmente, plataformas com conteúdo restrito para menores de 18 anos. O rótulo “18+” deixou de ser um escudo protetor; agora, é um convite à fiscalização.

A autodeclaração de idade, prática comum baseada em um simples clique, foi expressamente vedada para acesso a conteúdo de cunho adulto. Agora, se exige a adoção de “mecanismos confiáveis e auditáveis de verificação de idade”.

Os pilares dessa nova regulação são claros:

Aferição de Idade Proporcional ao Risco: A robustez do método de verificação deve ser compatível com o risco que o serviço oferece;

Privacidade e Segurança por Padrão (By Design/Default): A proteção de dados de menores deve ser a configuração inicial de qualquer produto ou serviço, com minimização da coleta e restrições a funcionalidades como geolocalização;

Supervisão Parental Efetiva: Contas de usuários menores de 16 anos devem, por lei, estar vinculadas a um responsável legal, exigindo um processo de verificação duplo.

Assim, o ECA Digital é claro ao mirar serviços de “acesso provável” por menores, independentemente do público-alvo declarado. Se uma plataforma 18+ possui um “gate etário” frágil e permite a entrada de crianças ou adolescentes, ela não apenas falha em seu dever de controle, mas passa a ser integralmente submetida às regras mais rígidas da lei, como a proibição de publicidade direcionada e restrições a mecânicas de monetização.

A ANPD, em seu relatório, detalha um espectro de tecnologias, cada uma com suas próprias vantagens e, principalmente, seus perigos. A empresa precisa encontrar o equilíbrio entre eficácia e conformidade com a LGPD.

Tipo de Mecanismo	Como Funciona	Análise de Risco
Verificação Documental	Solicitação de documento oficial (RG, CNH) com análise via OCR e comparação facial (selfie).	Alta Acurácia. Coleta de dados pessoais e sensíveis em massa. Alto risco de segurança cibernética e responsabilidade em caso de vazamento. Pode violar o princípio da minimização.
Estimativa Biométrica	Análise de rosto ou voz por meio de Inteligência Artificial para estimar a idade.	Experiência de usuário fluida. Coleta de dados biométricos (sensíveis). Riscos de vieses discriminatórios, baixa precisão em idades limítrofes e questionamentos sobre proporcionalidade.
Estimativa por Análise de Comportamento Online	Análise de padrões de navegação, interações e outros “sinais” digitais para inferir a idade do usuário por meio de IA.	Menos intrusivo que a biometria. Risco altíssimo de perfilamento massivo e vigilância. Pode violar a finalidade do tratamento de dados e ser facilmente burlado.
Estimativa por Teste de Capacidade	Aplicação de perguntas-desafio (conhecimentos gerais, matemática) para agrupar o usuário em uma faixa etária provável.	Não coleta dados pessoais. Baixa precisão, alto risco de vieses culturais e socioeconômicos e pode excluir usuários com deficiência ou neurodivergentes.
Verificação por Terceiros	Uso de dados de instituições financeiras, operadoras de telefonia ou plataformas governamentais (como Gov.br).	Reduz a coleta direta. Dependência de parceiros, riscos de rastreamento de atividades e criação de super perfis de usuários se não implementado com protocolos de privacidade.
Tokens Criptográficos (ZKP)	Tecnologias que provam um atributo (ex: “maior de 18”) sem revelar o dado original (data de nascimento).	Máxima privacidade e minimização de dados. Tecnologia emergente, ainda em fase de adoção e padronização no mercado. Requer infraestrutura mais sofisticada.

A escolha incompatível ao modelo de negócio, pode levar a sanções por duas vias: uma por falhar na proteção do menor (ECA Digital) e outra por coletar dados em excesso (LGPD). A multa, que pode chegar a 10% do faturamento do grupo econômico, evidencia a seriedade do tema.

A teoria já se tornou prática. Em um processo de fiscalização emblemático contra uma grande plataforma de vídeos, a ANPD considerou a autodeclaração de idade um mecanismo frágil e insuficiente. A autoridade não apenas instaurou um processo sancionador, mas determinou a suspensão de funcionalidades até a implementação de um método de verificação adequado. Este caso serve como um alerta claro: a ANPD está ativamente fiscalizando o tema, e a inação pode resultar em sanções severas e na interrupção de serviços.

O prazo de adequação de seis meses é curto para as mudanças estruturais necessárias. Empresas que se anteciparem não apenas mitigarão riscos, mas transformarão a conformidade em um diferencial de confiança perante usuários, famílias e investidores.

Sugestão de um plano de ação imediato:

1. Mapeamento de Escopo e Risco: Identifique todos os produtos, funcionalidades e públicos com “acesso provável” por menores. Classifique os cenários de risco (chats, lives, economia in-app, etc.).

2. Avaliações de Impacto (AIPD/DPIA): Conduza avaliações de impacto à proteção de dados focadas nos processos de verificação de idade, com um plano claro de mitigação de riscos.

3. Definição de Métodos Proporcionais: Escolha e implemente mecanismos de age assurance que sejam escaláveis e proporcionais ao risco, evitando a supercoleta de dados. Para plataformas 18+, isso significa investir em um “gate” robusto e auditável.

4. Revisão da Cadeia de Parceiros (Adtech): Desative o perfilamento de menores para publicidade. Atualize contratos com redes de anúncios, afiliados e criadores de conteúdo para incluir cláusulas de conformidade com o ECA Digital e bloqueios etários.

5. Governança de Confiança e Segurança (Trust & Safety): Estruture processos ágeis para remoção de conteúdo ilícito, reporte às autoridades e canais de recurso, com SLAs e registros para demonstrar diligência.

6. Transparência e Treinamento: Prepare-se para os relatórios semestrais de transparência e treine as equipes de produto, engenharia, marketing e atendimento sobre as novas obrigações.

Diante desse novo cenário regulatório, nossa equipe esta preparada para desenvolver soluções jurídicas eficazes e seguras frente aos desafios trazidos pelo ECA Digital.

IMAGENS DE APOIO

Figura 1 Principais áreas críticas de compliance introduzidas pelo ECA Digital e seus desafios de implementação.

Figura 2 Etapas sugeridas para a implementação de um programa estratégico de conformidade ao ECA Digital.

Fontes consultadas:

ANPD. Mecanismos de aferição de idade. Brasília, DF: ANPD, 2025. (Radar Tecnológico, n. 5).

IN BCB nº 713/2026: novas obrigações de reporte para prestadores de serviços de ativos virtuais

LC 227/2026 O Novo Cenário do Planejamento Patrimonial e Sucessório

Ponte para Investimentos: como estruturas jurídicas e governança influenciam a captação de recursos