O Decreto 12.880/2026 foi publicado em 18 de março de 2026 — um dia depois da Lei 15.211/2025 entrar em vigor — e detalha como as obrigações do ECA Digital devem ser cumpridas na prática. Ele não cria novas obrigações: regulamenta as que já existem, definindo os conceitos técnicos de verificação de idade, os métodos aceitos e as responsabilidades de cada ator na cadeia digital.
O que o decreto regulamenta
A Lei 15.211/2025 estabeleceu as obrigações gerais. O decreto vem para responder a pergunta que o mercado fazia desde a sanção: "mas como, exatamente?".
Os pontos centrais que o Decreto 12.880/2026 detalha:
- Definição técnica dos métodos de verificação de idade — distingue aferição de verificação e lista os métodos aceitos para cada nível de risco
- Responsabilidades das lojas de aplicativos — detalha a obrigação de fornecer sinal de idade por API segura para desenvolvedores de apps
- Uso restrito dos dados de verificação — reforça que os dados coletados para confirmar a idade não podem ser usados para outras finalidades
- Relação com a LGPD — esclarece como as obrigações de minimização de dados e finalidade se aplicam no contexto da verificação de idade
- Processo de fiscalização — define como a ANPD conduzirá monitoramentos e auditorias
Aferição x verificação de idade: a distinção do decreto
Um dos pontos mais importantes do decreto é a distinção entre dois conceitos que a lei usava de forma mais genérica:
Aferição de idade — procedimentos para verificar, estimar ou inferir a idade por análise de documentos, métodos biométricos, análise de padrões de uso ou outros meios tecnicamente confiáveis. É o conceito mais amplo, que inclui métodos que confirmam a faixa etária sem necessariamente atestar a data de nascimento exata.
Verificação de idade — método mais robusto para confirmar com precisão a veracidade da idade por mecanismos técnicos ou documentais. Exige confirmação junto a uma fonte externa confiável.
Na prática, o nível exigido — aferição ou verificação — depende da proporcionalidade com o risco do conteúdo ou serviço. Plataformas com conteúdo de alto risco precisam de verificação. Para riscos menores, a aferição pode ser suficiente.
Métodos aceitos pelo decreto
O decreto reconhece os seguintes métodos como tecnicamente válidos:
| Método | Classificação | Quando é suficiente |
|---|---|---|
| CPF → data de nascimento via API | Verificação | Maioria dos casos de e-commerce, delivery e plataformas gerais |
| Selfie com análise por IA | Aferição/Verificação | Casos onde CPF não retorna dados suficientes |
| Verificação documental (RG/CNH) | Verificação | Conteúdo de alto risco; caso selfie não seja suficiente |
| ZKP (Zero Knowledge Proof) | Verificação | Alternativa que confirma maioridade sem expor dados pessoais |
| Sinal de idade da loja de apps | Aferição | Apps distribuídos via App Store ou Google Play |
O princípio que rege a escolha do método é o da proporcionalidade: o método mais invasivo deve ser usado apenas quando o menos invasivo não for suficiente para garantir a conformidade com o nível de risco do serviço.
O que o decreto diz sobre dados de verificação
Esta é uma das partes mais relevantes para compliance com a LGPD: os dados coletados no processo de verificação de idade têm finalidade única e não podem ser reaproveitados.
Proibições explícitas:
- Usar dados de verificação para personalização de conteúdo
- Usar para publicidade direcionada ou perfilamento comercial
- Compartilhar com terceiros para finalidades diferentes da verificação
- Armazenar por prazo superior ao necessário para a verificação
Isso significa que um fornecedor de solução de verificação de idade também está sujeito a essas restrições — não apenas a plataforma que o contrata. A escolha do fornecedor é, portanto, uma decisão de compliance, não apenas técnica.
Impacto nas lojas de aplicativos
O decreto detalha uma obrigação específica para App Store e Google Play: fornecer sinal de idade via API segura para desenvolvedores de aplicativos, com observância dos princípios de minimização de dados e finalidade.
Na prática, isso significa que apps distribuídos via lojas podem receber do sistema operacional um sinal confirmando que o usuário é maior de 18 — sem precisar coletar e processar dados de verificação por conta própria. Esse mecanismo ainda está em processo de implementação pelas lojas, mas o decreto criou a obrigação formal.
Perguntas frequentes
O decreto 12.880/2026 substitui a Lei 15.211/2025?
Não. O decreto regulamenta a lei — detalha como cumprir as obrigações sem criar novas. A lei é a norma principal; o decreto é o instrumento que traduz suas exigências em procedimentos práticos. Em caso de conflito, a lei prevalece sobre o decreto.
Minha empresa precisa guardar registro dos dados usados na verificação de idade?
O decreto não impõe uma obrigação explícita de logging, mas a ANPD pode solicitar evidências de que o processo de verificação foi conduzido corretamente em caso de auditoria. Na prática, registrar logs anonimizados (sem armazenar o CPF completo ou dados biométricos) do processo de verificação é uma boa prática defensável.
O decreto define por quanto tempo os dados de verificação devem ser guardados?
O decreto determina que os dados devem ser armazenados apenas pelo prazo estritamente necessário para a verificação. Não há um número de dias fixado — o critério é a finalidade: assim que a verificação estiver concluída e o resultado registrado, os dados do processo (documentos, selfies) devem ser descartados. O resultado da verificação (maior/menor) pode ser mantido pelo prazo de vida da sessão ou conta.
O decreto se aplica a plataformas que já tinham algum mecanismo de verificação de idade antes de março de 2026?
Sim. Qualquer mecanismo anterior precisa ser avaliado à luz dos critérios do decreto — confiabilidade, auditabilidade, proporcionalidade e uso restrito dos dados. Se o mecanismo anterior não atende a esses critérios, precisa ser adequado independentemente de já existir.
Conclusão
O Decreto 12.880/2026 transformou obrigações genéricas em critérios técnicos concretos. Para o mercado, isso é bom: há clareza sobre o que é aceito e o que não é. Para quem ainda está implementando, o caminho mais direto começa pela consulta do CPF via API — o método com menor fricção para o usuário e que atende à definição de verificação para a maioria dos casos. A CPFHub.io oferece exatamente essa integração: rápida, simples e em conformidade com o decreto. Conheça em cpfhub.io.
CPFHub.io
Pronto para integrar a API?
50 consultas gratuitas para testar agora. Sem cartão de crédito. Acesso imediato à documentação.
Sobre a redação
Redação CPFHub.io
Time editorial especializado em APIs de CPF, identidade digital e compliance no mercado brasileiro. Produzimos guias técnicos, análises regulatórias e tutoriais sobre LGPD e KYC para desenvolvedores e líderes de produto.
