O ECA Digital (Lei 15.211/2025) mudou as regras para qualquer plataforma digital que possa ser acessada por crianças e adolescentes no Brasil. Em vigor desde março de 2026, a lei vai além da verificação de idade: ela exige mudanças na arquitetura do produto, nas práticas de publicidade, nos sistemas de monetização e nos mecanismos de controle parental. Ignorar qualquer um desses pontos pode custar até R$ 50 milhões por infração.
Verificação de idade: o fim da autodeclaração
A mudança mais imediata e que afeta praticamente todas as plataformas com conteúdo restrito é a proibição da autodeclaração de idade. O simples clique em "tenho 18 anos" ou a digitação de uma data de nascimento não têm mais validade legal.
O ECA Digital exige métodos confiáveis, auditáveis e proporcionais ao risco do conteúdo. Os métodos aceitos incluem a consulta do CPF via API (que retorna a data de nascimento do titular), verificação por biometria facial, verificação documental e Zero Knowledge Proof. O critério de proporcionalidade permite que plataformas comecem pelo método menos invasivo e só avancem se necessário — o que preserva a experiência do usuário sem abrir mão da conformidade.
Safety by design: segurança no produto desde o início
Safety by design é um dos conceitos centrais da lei. Ele significa que a segurança de menores precisa fazer parte do produto desde a concepção — não ser adicionada depois como uma camada de conformidade.
Na prática, isso se traduz em obrigações concretas:
- Reprodução automática desativada por padrão para usuários menores de 18 anos
- Sistemas de recompensa por tempo limitados — mecanismos que incentivam uso prolongado (como sequências de login diário com recompensas) devem ser restritos para menores
- Configurações de privacidade no nível mais alto por padrão para contas de menores
- Classificação indicativa explícita para conteúdos, funcionalidades ou seções da plataforma
Para equipes de produto, isso significa revisar fluxos de onboarding, sistemas de gamificação, notificações e qualquer feature de engajamento que possa afetar menores.
Controle parental: obrigação, não opcional
Plataformas que permitem o cadastro de menores de 16 anos têm uma obrigação específica: as contas desses usuários devem ser vinculadas ao perfil de um responsável legal, e a plataforma precisa oferecer ferramentas de supervisão parental acessíveis e fáceis de usar.
"Acessíveis e fáceis de usar" tem um critério implícito na lei: ferramentas escondidas em menus de configuração ou que exigem conhecimento técnico para serem ativadas não atendem ao espírito da norma. O controle parental precisa estar disponível de forma clara e funcional.
Publicidade direcionada: vedada para menores
Plataformas não podem usar algoritmos, cookies ou qualquer forma de perfilamento para direcionar publicidade a crianças e adolescentes. Isso impacta diretamente modelos de negócio baseados em publicidade personalizada.
A restrição se aplica ao direcionamento — não necessariamente à publicidade em si. Uma plataforma ainda pode exibir anúncios contextuais (baseados no conteúdo, não no perfil do usuário) para menores, mas o uso de dados comportamentais para personalizar esses anúncios está vedado.
Loot boxes e compras dentro de apps
Caixas de recompensa pagas — os chamados loot boxes — foram equiparadas pela lei a mecanismos de aposta. Para menores de idade, elas estão proibidas. Plataformas que oferecem esse tipo de mecânica têm duas opções: bloquear o acesso de menores a essa funcionalidade ou oferecer uma versão alternativa do produto sem loot boxes.
Isso afeta principalmente jogos mobile e PC com modelos de monetização baseados em itens aleatórios. A simples remoção da funcionalidade para usuários não verificados — sem uma verificação real de idade — não é suficiente, porque sem verificação qualquer menor pode se declarar adulto.
Notificação obrigatória de conteúdo ilegal
Quando uma plataforma identifica ou recebe denúncia de conteúdo relacionado a abuso sexual, aliciamento, sequestro ou exploração de menores, ela tem duas obrigações simultâneas: remover o conteúdo imediatamente e notificar as autoridades competentes.
Essa obrigação exige que plataformas tenham processos claros de moderação e canais de denúncia que funcionem de verdade — não apenas uma política de termos de uso que proíbe o conteúdo.
Perguntas frequentes
Plataformas que não têm conteúdo adulto também precisam se adequar?
Depende. Se a plataforma não tem nenhum conteúdo, produto ou serviço que seja impróprio para menores, as obrigações de verificação de idade podem não se aplicar diretamente. Mas safety by design, proteção de dados de menores e as restrições de publicidade se aplicam a qualquer serviço que possa ser acessado por crianças — o que na prática inclui a maioria das plataformas B2C.
Como provar para a ANPD que implementei safety by design?
A documentação é a chave. Registre as decisões de design que foram tomadas com proteção de menores em mente: quando a funcionalidade foi implementada, qual era a alternativa considerada, por que a solução escolhida foi considerada mais segura. PDD (Product Design Documents) e registros de reuniões de produto com esse foco ajudam a construir um histórico defensável.
O ECA Digital obriga minha plataforma a saber quantos usuários são menores de 18?
A lei exige que a plataforma seja capaz de identificar menores para aplicar as proteções cabíveis — o que pressupõe algum mecanismo de verificação de idade. Não há uma obrigação explícita de manter um registro estatístico de quantos usuários são menores, mas a capacidade de identificá-los é condição para cumprir as demais obrigações.
Preciso verificar a idade de todos os usuários ou apenas dos que acessam conteúdo restrito?
A lei não exige verificação universal. Você pode implementar a verificação apenas nos pontos de acesso a conteúdo, produto ou serviço que seja impróprio para menores — o que frequentemente é a abordagem mais proporcional e com menor impacto na experiência de usuários adultos.
Conclusão
O ECA Digital muda o produto, não apenas a política de privacidade. Verificação de idade, safety by design, controle parental e restrições de publicidade são mudanças que precisam entrar no roadmap agora para ficar prontas antes de janeiro de 2027. O ponto de partida mais rápido e com menor fricção técnica é a verificação de idade via CPF: uma chamada de API já existente que a maioria das plataformas pode integrar em minutos. A CPFHub.io oferece essa verificação de forma rápida, simples e inteligente. Comece em cpfhub.io.
CPFHub.io
Pronto para integrar a API?
50 consultas gratuitas para testar agora. Sem cartão de crédito. Acesso imediato à documentação.
Sobre a redação
Redação CPFHub.io
Time editorial especializado em APIs de CPF, identidade digital e compliance no mercado brasileiro. Produzimos guias técnicos, análises regulatórias e tutoriais sobre LGPD e KYC para desenvolvedores e líderes de produto.
