ECA Digital nas Escolas: O Que Muda na Proteção de Dados de Alunos

A Lei nº 15.211/2025, conhecida como ECA Digital ou Estatuto Digital da Criança e do Adolescente, entrou em vigor em 17 de março de 2026. Para escolas, a nova legislação não é apenas mais uma norma a observar — é uma mudança estrutural na forma como a tecnologia pode ser utilizada com crianças e adolescentes no ambiente educacional.

Este guia detalha o que o ECA Digital exige das instituições de ensino, como ele se conecta ao Art. 14 da LGPD, quais são as implicações para plataformas EdTech contratadas pelas escolas e o que fazer para entrar em conformidade.

O que é o ECA Digital e por que ele existe

O ECA Digital (Lei nº 15.211/2025) foi sancionado em 17 de setembro de 2025 pelo presidente da República e teve sua vigência fixada para março de 2026 pela Lei nº 15.352/2026 (que também transformou a ANPD em agência reguladora). A lei acrescenta ao ordenamento jurídico brasileiro um regime próprio de proteção de crianças e adolescentes no ambiente digital, complementando o Estatuto da Criança e do Adolescente original (Lei nº 8.069/1990) e a LGPD (Lei nº 13.709/2018).

A legislação incide sobre provedores de produtos ou serviços de tecnologia da informação direcionados a crianças e adolescentes — ou de acesso provável por eles. Esse critério de "acesso provável" é central: uma plataforma EdTech usada em sala de aula, um ambiente virtual de aprendizagem ou um aplicativo de gestão escolar com login de alunos se enquadram automaticamente.

Estrutura da lei

O ECA Digital é organizado em capítulos temáticos que cobrem desde princípios gerais até sanções:

Capítulo IV — Mecanismos de aferição de idade
Capítulo V — Supervisão parental
Capítulo IX — Redes sociais
Capítulo XII — Transparência e prestação de contas

Cada um desses capítulos traz obrigações diretas para quem opera tecnologia acessada por menores — incluindo escolas e seus fornecedores de tecnologia.

Novas obrigações para escolas: os quatro pilares

O ECA Digital impõe obrigações que podem ser organizadas em quatro grandes pilares. Nenhum deles é opcional.

1. Verificação de idade confiável

O Art. 12 da Lei nº 15.211/2025 determina que provedores de lojas de aplicativos e de sistemas operacionais devem adotar medidas proporcionais, auditáveis e tecnicamente seguras para verificar a idade ou faixa etária dos usuários. Mas a obrigação não para nos provedores de tecnologia.

Para as escolas, a implicação prática é direta: qualquer plataforma digital utilizada com alunos precisa ter mecanismos de verificação de idade implementados. A simples autodeclaração — em que o aluno marca que "tem mais de 18 anos" — é expressamente vedada pelo ECA Digital.

O Art. 13 complementa: os dados coletados para verificação de idade só podem ser usados para esse fim. É proibido criar perfis comportamentais de crianças e adolescentes a partir dos dados coletados na aferição etária.

O que isso significa na prática escolar:

O cadastro de alunos em plataformas EdTech deve incluir a data de nascimento verificada — e não apenas uma caixa de confirmação de idade
Contas de alunos menores de 16 anos devem estar vinculadas à conta de um responsável legal
A escola deve exigir contratualmente que seus fornecedores de tecnologia implementem esses mecanismos

2. Design adequado à idade (safety by design)

O Art. 5º da Lei nº 15.211/2025 estabelece que produtos ou serviços de tecnologia direcionados a crianças e adolescentes devem observar deveres de prevenção, proteção, informação e segurança, em conformidade com o princípio do melhor interesse da criança e do adolescente.

Na prática, isso significa que as plataformas usadas em escolas devem vir configuradas, por padrão, com o nível mais alto de proteção de privacidade e segurança. A escola não pode aceitar que o aluno precise "desativar" funcionalidades invasivas — o padrão deve ser o mais protetivo.

Obrigações concretas de design adequado:

Filtros de conteúdo ativados por padrão
Bloqueio de contato com desconhecidos em ambientes de comunicação
Controles de tempo de uso disponíveis para responsáveis
Prevenção de geolocalização de menores
Notificações push limitadas ou desativadas por padrão para menores

O Art. 10 reforça: fornecedores devem adotar mecanismos para proporcionar experiências adequadas à idade, respeitando a autonomia progressiva e a diversidade dos contextos socioeconômicos brasileiros.

3. Avaliação de impacto sobre crianças (AIPD)

O Art. 8º da Lei nº 15.211/2025 exige que fornecedores de produtos e serviços de tecnologia direcionados a crianças e adolescentes realizem gestão de riscos de seus recursos, funcionalidades e sistemas e avaliem seus impactos sobre a segurança e saúde de crianças e adolescentes.

Essa avaliação vai além do RIPD (Relatório de Impacto à Proteção de Dados Pessoais) previsto na LGPD. A lei exige um relatório de impacto, monitoramento e avaliação que deve:

Detalhar os métodos utilizados na avaliação
Apresentar os resultados da análise de riscos
Identificar riscos à saúde mental, privacidade e segurança física dos menores
Ser compartilhado com a autoridade competente quando solicitado

Para escolas que já elaboram o RIPD conforme a LGPD, a recomendação é integrar a análise de impacto sobre crianças ao relatório existente, criando uma seção específica para os riscos digitais identificados pelo ECA Digital.

4. Supervisão parental e vinculação de contas

O Art. 24 do ECA Digital estabelece que contas de crianças e adolescentes de até 16 anos devem estar vinculadas ao usuário ou à conta de um de seus responsáveis legais. Isso vale para redes sociais, mas também para qualquer plataforma digital de acesso provável por menores.

No contexto escolar, isso significa que:

Plataformas de aprendizagem devem oferecer acesso supervisionado ao responsável
O responsável deve poder visualizar a atividade digital do aluno na plataforma
Ferramentas de supervisão parental devem ser disponibilizadas de forma acessível e gratuita

A interseção com o Art. 14 da LGPD

O ECA Digital não substitui a LGPD — ele a complementa. O Art. 14 da Lei nº 13.709/2018 continua sendo a base normativa para o tratamento de dados pessoais de crianças e adolescentes, e suas exigências se somam às do ECA Digital.

O que o Art. 14 da LGPD já exige

Art. 14, §1º: tratamento de dados de crianças (menores de 12 anos) somente com consentimento específico e em destaque de pelo menos um dos pais ou responsável legal
Art. 14, §3º: proibição de publicidade direcionada e perfilamento comportamental de crianças
Art. 14, §5º: dever de realizar esforços razoáveis para verificar que o consentimento foi dado pelo responsável legal

O que o ECA Digital acrescenta

Aspecto	LGPD (Art. 14)	ECA Digital (Lei nº 15.211/2025)
Verificação de idade	"Esforços razoáveis"	Mecanismos confiáveis, auditáveis e proporcionais; autodeclaração vedada
Design	Sem exigência específica	Privacy by design e proteção por padrão obrigatórios
Avaliação de impacto	RIPD quando solicitado pela ANPD	Relatório de impacto, monitoramento e avaliação obrigatório
Supervisão parental	Consentimento do responsável	Vinculação de contas e ferramentas de supervisão obrigatórias
Sanções	Multa de até 2% do faturamento (limitada a R$ 50 mi)	Multa de até 10% do faturamento ou R$ 50 mi por infração
Fiscalização	ANPD	ANPD (designada como autoridade competente)

Na prática, a escola precisa cumprir ambas as legislações simultaneamente. O ECA Digital eleva significativamente o padrão de proteção exigido.

Impacto em plataformas EdTech usadas pelas escolas

Este é, possivelmente, o ponto de maior atenção para gestores escolares. A escola não é apenas responsável por suas próprias práticas — ela responde solidariamente pelas práticas dos fornecedores de tecnologia que contrata e disponibiliza aos alunos.

O que auditar nos contratos com EdTechs

A adequação ao ECA Digital exige que as instituições de ensino auditem seus contratos com todos os fornecedores de tecnologia educacional. As cláusulas devem contemplar:

Verificação de idade: o fornecedor implementa mecanismos de aferição de idade conforme Arts. 12 e 13 da Lei nº 15.211/2025? A autodeclaração foi eliminada?

Uso de dados: os dados coletados são utilizados exclusivamente para a finalidade educacional? Há compartilhamento com terceiros para fins publicitários?

Design adequado: a plataforma vem configurada por padrão com o nível mais alto de proteção? Ou o aluno precisa "desativar" recursos invasivos?

Transparência: o fornecedor disponibiliza informações claras, em linguagem acessível, sobre como trata os dados dos alunos?

Gestão de riscos: o fornecedor elaborou o relatório de impacto, monitoramento e avaliação exigido pelo Art. 8º?

Os quatro pilares de risco em plataformas educacionais

Para gerir o uso de tecnologia de forma segura, é útil avaliar cada plataforma sob quatro perspectivas de risco:

Conteúdo — a plataforma expõe alunos a materiais inadequados para a faixa etária?
Contato — há risco de interação com desconhecidos dentro da plataforma?
Conduta — existem mecanismos de prevenção ao cyberbullying?
Contrato — as cláusulas de proteção de dados e responsabilidade estão alinhadas ao ECA Digital e à LGPD no setor educacional?

Sanções e fiscalização

Quem fiscaliza

A ANPD (Autoridade Nacional de Proteção de Dados) foi designada como autoridade responsável pela supervisão e implementação do ECA Digital. A ANPD já incluiu a proteção de crianças e adolescentes no ambiente digital como tema prioritário em seu Mapa de Temas Prioritários para o biênio 2026-2027, publicado em dezembro de 2025.

Entre as ações de fiscalização previstas pela ANPD estão:

Monitoramento do uso secundário de dados pessoais para publicidade direcionada a menores
Verificação da adoção de privacy by design e proteção por padrão
Fiscalização da implementação de medidas de verificação de idade
Elaboração de regulamento específico sobre aferição de idade

Escala de sanções

As penalidades previstas no ECA Digital são severas:

Sanção	Detalhamento
Advertência	Com prazo de até 30 dias para adoção de medidas corretivas
Multa simples	Até 10% do faturamento do grupo econômico no Brasil no último exercício, ou de R$ 10 a R$ 1.000 por usuário cadastrado, limitada a R$ 50 milhões por infração
Suspensão temporária	Suspensão parcial ou total das atividades no território nacional
Proibição	Proibição de exercício das atividades — mediante decisão judicial

Para escolas, o risco mais provável não é a multa direta, mas a responsabilidade solidária com fornecedores que descumpram a lei e a exposição reputacional perante pais e comunidade escolar.

Checklist de conformidade para escolas

Use esta lista como ponto de partida para avaliar o nível de adequação da sua instituição ao ECA Digital:

Governança e documentação

Designar responsável interno (DPO ou encarregado) para coordenar a adequação ao ECA Digital
Mapear todas as plataformas, aplicativos e ferramentas digitais utilizados por alunos — incluindo as usadas informalmente por professores
Classificar cada ferramenta pelo critério de "acesso provável" por crianças e adolescentes
Elaborar ou atualizar o RIPD com seção específica sobre riscos digitais para menores (Art. 8º da Lei nº 15.211/2025)

Verificação de idade e supervisão parental

Garantir que todas as plataformas utilizadas implementam verificação de idade confiável — sem autodeclaração
Verificar que contas de alunos menores de 16 anos estão vinculadas a responsáveis legais
Disponibilizar ferramentas de supervisão parental acessíveis e gratuitas aos responsáveis
Obter consentimento específico e em destaque dos responsáveis para tratamento de dados de alunos menores de 12 anos (Art. 14, §1º da LGPD)

Contratos com fornecedores de tecnologia

Auditar contratos com todas as EdTechs, verificando cláusulas de proteção de dados, verificação de idade e proibição de uso secundário de dados
Exigir contratualmente que fornecedores implementem privacy by design e proteção por padrão
Incluir cláusula proibindo o compartilhamento de dados de alunos com terceiros para fins publicitários ou de perfilamento
Exigir que fornecedores apresentem relatório de impacto, monitoramento e avaliação conforme Art. 8º

Cultura e capacitação

Capacitar professores e equipe pedagógica sobre as novas obrigações do ECA Digital
Integrar a educação digital ao projeto pedagógico — a lei reconhece o papel estratégico da escola na formação de cidadãos digitais
Comunicar aos pais e responsáveis as medidas adotadas pela escola para proteção digital dos alunos

O papel da escola na formação digital

O ECA Digital não trata a escola apenas como sujeito de obrigações. O Art. 5º da Lei nº 15.211/2025 reconhece a promoção da educação digital como um dos fundamentos para a utilização de tecnologia por crianças e adolescentes. A escola tem, portanto, um papel estratégico na formação de cidadãos digitais conscientes e críticos.

Isso significa que a adequação ao ECA Digital não é apenas um projeto jurídico ou de TI — é um projeto pedagógico. Instituições que integrarem a proteção digital ao seu projeto educativo estarão não apenas em conformidade, mas oferecendo um diferencial real às famílias.

Próximos passos: o que esperar da ANPD

A ANPD já sinalizou que a regulamentação complementar do ECA Digital é prioridade. Entre os temas em pauta para 2026-2027 estão:

Regulamento sobre aferição de idade — detalhamento técnico dos mecanismos aceitáveis
Participação de crianças e adolescentes — procedimentos para incluir menores no processo de construção normativa
Fiscalização ativa — monitoramento de publicidade direcionada, verificação de privacy by design e controle de acesso a conteúdos impróprios

Isso significa que as exigências tendem a se tornar mais específicas e detalhadas ao longo do tempo. Escolas que iniciarem a adequação agora terão mais facilidade para absorver os requisitos adicionais.

A conformidade com o ECA Digital exige uma visão integrada de governança de dados, gestão de contratos e projeto pedagógico. O Confidata ajuda instituições de ensino a mapear suas atividades de tratamento de dados, elaborar relatórios de impacto e gerenciar a conformidade com a LGPD e o ECA Digital em uma plataforma única — com controles específicos para dados de crianças e adolescentes. Conheça a plataforma.