Dados de Crianças e Adolescentes na LGPD: Regras Especiais
O tratamento de dados pessoais de crianças e adolescentes é, na LGPD, a hipótese com as exigências mais rígidas — e, a partir de março de 2026, com o início da vigência do ECA Digital (Lei nº 15.211/2025), esse regime se torna ainda mais restritivo. Organizações que tratam dados de menores — direta ou indiretamente — precisam conhecer essas regras com profundidade.
O regime especial do Art. 14 da LGPD
O Art. 14 da LGPD dedica um regime especial ao tratamento de dados pessoais de crianças (menores de 12 anos) e adolescentes (de 12 a 18 anos). As definições etárias seguem o Estatuto da Criança e do Adolescente (ECA — Lei nº 8.069/1990).
Para crianças (menores de 12 anos)
O tratamento de dados pessoais de crianças somente pode ocorrer mediante consentimento específico e em destaque de pelo menos um dos pais ou do responsável legal (Art. 14, §1º).
Este consentimento deve cumprir todos os requisitos gerais do Art. 8º (livre, informado, inequívoco, para finalidade determinada) com o acréscimo de dois requisitos específicos:
Específico: deve se referir a uma finalidade determinada — não é possível obter um consentimento genérico "para qualquer uso de dados do meu filho".
Em destaque: deve ser visualmente separado e evidenciado, não enterrado em bloco de texto de termos e condições.
Para adolescentes (12 a 18 anos)
A LGPD não exige, explicitamente, consentimento parental para dados de adolescentes. No entanto:
- O padrão de cuidado recomendado pela ANPD é equivalente ao de crianças para tratamentos de maior risco
- O adolescente pode consentir em seu próprio nome, mas a validade do consentimento depende de capacidade de compreensão (análise caso a caso)
- Para dados sensíveis de adolescentes, os requisitos do Art. 11 (consentimento específico e destacado) se aplicam integralmente
As bases legais permitidas para dados de crianças
O Art. 14, §3º da LGPD restringe significativamente as bases legais aplicáveis ao tratamento de dados de crianças. O controlador pode se basear em:
Com consentimento dos pais ou responsável:
- Consentimento expresso (Art. 7º, I) — mas do responsável, não da criança
Sem consentimento, apenas nas seguintes hipóteses:
- Contato com os pais ou responsável — com a finalidade única de obter o consentimento deles, tratando o mínimo de dados necessário e sem repassar a terceiros
- Proteção da criança — quando indispensável para proteger a vida ou incolumidade física da própria criança
Isso significa que bases como "legítimo interesse", "execução de contrato" e "obrigação legal" não podem ser invocadas livremente para justificar o tratamento de dados de crianças na maioria dos contextos comerciais.
Publicidade direcionada: proibição expressa
O Art. 14, §3º da LGPD proíbe expressamente o tratamento de dados pessoais de crianças para fins de publicidade direcionada e de perfilamento (profiling) baseado em comportamento.
Esta proibição é absoluta — não pode ser superada por consentimento parental. Mesmo que os pais autorizem o cadastro do filho em uma plataforma, a proibição de direcionar publicidade baseada em dados dessa criança permanece.
Na prática, isso se aplica a:
- Algoritmos de recomendação baseados em histórico de comportamento da criança
- Publicidade segmentada por interesses, localização ou histórico de compras de crianças
- Criação de perfis de menores para fins de marketing ou revenda de dados
A obrigação de verificação do responsável
O Art. 14, §5º impõe ao controlador o dever de realizar esforços razoáveis para verificar que o consentimento foi efetivamente dado por um responsável legal — e não pela própria criança declarando falsamente ser um adulto.
O que a ANPD considera "esforços razoáveis" ainda está em desenvolvimento regulatório, mas boas práticas incluem:
- Perguntar a data de nascimento antes do cadastro (sem aceitar mera declaração de maioridade)
- Exigir confirmação do cadastro por e-mail do responsável cadastrado
- Não redirecionar dados de menores para finalidades não autorizadas pelo responsável
- Ter um processo documentado de verificação de idade
A responsabilidade civil por dano causado pela ausência de verificação adequada é do controlador (Arts. 42 e 43 da LGPD).
ECA Digital: o novo marco regulatório (Lei nº 15.211/2025)
A Lei nº 15.211/2025, conhecida como ECA Digital, entrou em vigor em 17 de março de 2026. Ela inaugura um novo patamar de proteção de crianças e adolescentes no ambiente digital, com impacto direto para qualquer organização que ofereça produtos ou serviços de tecnologia da informação voltados a esse público no Brasil — independentemente do local de desenvolvimento, fabricação ou operação.
Principais novidades do ECA Digital
Proibição de autodeclaração de idade: plataformas restritas a maiores de 18 anos não podem aceitar mera autodeclaração do usuário. Mecanismos de verificação efetiva de idade são obrigatórios.
Obrigações setoriais específicas: a lei prevê requisitos específicos para:
- Jogos eletrônicos com mecânicas de recompensa (loot boxes)
- Plataformas de streaming
- Mecanismos de busca
- Redes sociais
ANPD como autoridade central: o Decreto nº 12.622/2025 designou a ANPD como autoridade regulatória autônoma responsável pela proteção de dados de crianças e adolescentes no ambiente digital, com poderes ampliados de fiscalização e sanção.
Tema prioritário da ANPD 2026-2027: a proteção de crianças e adolescentes no ambiente digital é um dos quatro eixos do Mapa de Temas Prioritários da ANPD para o biênio 2026-2027 (Resoluções CD/ANPD Nº 30 e 31/2025). A ANPD planejou 30 ações de fiscalização específicas para este eixo ao longo do biênio.
Riscos específicos e como mitigá-los
Risco 1: Coleta indireta de dados de menores
Muitas organizações coletam dados de crianças sem perceber — quando um responsável cadastra um filho em formulário ("nome do dependente", "data de nascimento dos filhos"), quando um serviço de saúde armazena prontuários de pacientes menores, ou quando uma escola mantém dados de alunos.
Mitigação: identificar no inventário (ROPA) todas as atividades que envolvem dados de menores, ainda que incidentalmente. Aplicar as proteções do Art. 14 a todas essas atividades.
Risco 2: Ausência de verificação de consentimento parental em plataformas digitais
Plataformas digitais que permitem cadastro por autodeclaração de maioridade e cujo público real inclui menores estão em risco regulatório significativo.
Mitigação: implementar verificação de idade efetiva (baseada em data de nascimento + confirmação por e-mail de responsável adulto, no mínimo). Auditar o perfil demográfico real dos usuários.
Risco 3: Cookies de rastreamento em sites frequentados por crianças
O rastreamento comportamental de crianças via cookies, mesmo em sites não direcionados exclusivamente a elas, pode configurar tratamento de dados de menores sem base legal adequada.
Mitigação: implementar mecanismo de verificação de idade no momento da coleta do consentimento de cookies. Para sites com público misto, considerar perfil conservador (sem cookies de publicidade comportamental).
Risco 4: Compartilhamento de dados de menores com terceiros
A transferência de dados de crianças para terceiros (parceiros de marketing, plataformas de analytics, redes de publicidade) exige base legal específica — e na maioria dos casos não há base legal válida além do consentimento parental explicitamente dado para esse compartilhamento.
Mitigação: revisar todos os contratos com operadores que podem ter acesso a dados de menores. Garantir que o consentimento parental cobriu explicitamente o compartilhamento com esses terceiros.
Checklist para organizações que tratam dados de menores
- O inventário (ROPA) identifica todas as atividades com dados de crianças e adolescentes?
- O consentimento parental é coletado de forma específica e em destaque para dados de crianças?
- Há mecanismo de verificação de que o consentimento veio de um responsável legal (não da própria criança)?
- Dados de crianças não são usados para publicidade direcionada ou perfilamento?
- Dados de crianças não são compartilhados com terceiros sem base legal específica?
- O site verifica a idade dos usuários antes de cadastrá-los em atividades sujeitas a restrições de idade?
- O RIPD foi elaborado para atividades de tratamento de dados de crianças (exigência da ANPD para tratamentos de alto risco)?
- Os contratos com operadores que têm acesso a dados de menores estão formalizados (DPAs)?
- A equipe conhece as obrigações do ECA Digital a partir de março de 2026?
Conclusão
O tratamento de dados de crianças e adolescentes é, na LGPD, a hipótese de maior restrição: bases legais limitadas, consentimento parental obrigatório para crianças, proibição de publicidade direcionada e responsabilidade direta pelo dano causado por falhas de verificação.
Com o ECA Digital em vigor desde março de 2026, o cenário ficou ainda mais exigente. Plataformas digitais que atingem o público menor — direta ou indiretamente — precisam de revisão imediata de suas práticas, especialmente no que diz respeito à verificação de idade, ao controle de cookies e à ausência de publicidade comportamental.
A proteção de dados de crianças não é apenas uma obrigação legal. É uma responsabilidade que a ANPD vai fiscalizar de forma prioritária nos próximos anos.
A Confidata ajuda sua organização a identificar e classificar corretamente todas as atividades de tratamento que envolvem dados de crianças e adolescentes, com controles específicos e trilha de auditoria para demonstrar conformidade com o Art. 14 da LGPD e o ECA Digital.
Artigos relacionados
Quer ir além? Conheça o Confidata
Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.