ECA Digital e LGPD: como as duas leis se complementam na proteção de menores
Desde que o ECA Digital (Lei nº 15.211/2025) entrou em vigor em 17 de março de 2026, uma dúvida recorrente entre DPOs e equipes jurídicas é: a nova lei substitui a LGPD no que diz respeito a dados de crianças e adolescentes? A resposta é não. As duas leis coexistem e as obrigações se acumulam.
Entender como LGPD e ECA Digital interagem é fundamental para qualquer organização que trate dados de menores de 18 anos — porque a mesma agência (ANPD) fiscaliza o cumprimento de ambas, e uma única investigação pode gerar sanções pelas duas vias.
Duas leis, escopos diferentes, proteção complementar
A LGPD e o ECA Digital protegem crianças e adolescentes por ângulos distintos:
A LGPD cuida de dados pessoais. Estabelece princípios, bases legais, direitos dos titulares e obrigações dos controladores para qualquer tratamento de dados — com regras especiais para menores no Art. 14.
O ECA Digital vai além dos dados. Impõe deveres sobre conteúdo, design, moderação, publicidade e monetização de produtos e serviços digitais acessíveis por menores. Não se limita ao tratamento de dados: regula a experiência digital como um todo.
Na prática, uma empresa que opera uma plataforma digital acessível por menores precisa cumprir:
- As obrigações da LGPD: base legal para tratamento, consentimento quando aplicável, transparência, minimização, RIPD, nomeação de DPO
- As obrigações do ECA Digital: verificação de idade, ferramentas de supervisão parental, design apropriado, proibição de publicidade comportamental, avaliação de impacto, proibição de técnicas manipulativas
As duas camadas não são alternativas. São cumulativas.
O Art. 14 da LGPD: o que já existia antes do ECA Digital
O Art. 14 da LGPD (Lei nº 13.709/2018) já estabelecia um regime especial para dados de menores:
"O tratamento de dados pessoais de crianças e de adolescentes deverá ser realizado em seu melhor interesse." (Art. 14, caput)
Para crianças (menores de 12 anos), o §1º exige consentimento específico e em destaque de pelo menos um dos pais ou responsável legal.
Para adolescentes (12 a 18 anos), a LGPD não exige explicitamente consentimento parental, mas o princípio do melhor interesse continua aplicável, e a ANPD recomenda cuidados equivalentes em tratamentos de maior risco.
Além disso, o §3º proíbe publicidade direcionada e perfilamento comportamental para crianças.
Essas regras estão em vigor desde 2020. O ECA Digital não as revogou — veio ampliá-las.
O que o ECA Digital acrescenta
O ECA Digital complementa a LGPD em pelo menos seis dimensões que o Art. 14 não cobria:
1. Verificação de idade obrigatória
A LGPD não especifica como verificar a idade do usuário. Menciona apenas "esforços razoáveis" (Art. 14, §5º). O ECA Digital é explícito: a autodeclaração é vedada como mecanismo único. Plataformas devem adotar mecanismos efetivos de verificação.
2. Design apropriado por faixa etária
A LGPD não regula o design de produtos digitais. O ECA Digital proíbe práticas manipulativas — rolagem infinita, autoplay, notificações com apelo emocional — e exige que produtos acessíveis por menores adotem configurações de privacidade e segurança no modo mais protetivo por padrão.
3. Supervisão parental como obrigação da plataforma
A LGPD trata o consentimento parental como requisito para o tratamento de dados. O ECA Digital vai além: obriga as plataformas a oferecer ferramentas de supervisão parental (controle de tempo, restrição de contatos, limitação de recomendações) para contas de menores de 16 anos.
4. Proibição ampliada de publicidade
A LGPD proíbe publicidade direcionada para crianças (menores de 12 anos). O ECA Digital estende essa proibição para toda publicidade comportamental direcionada a menores de 18 anos — incluindo adolescentes.
5. Loot boxes e monetização predatória
A LGPD não trata de mecânicas de monetização. O Art. 20 do ECA Digital proíbe loot boxes em jogos acessíveis por menores, tratando-as como equivalentes a jogos de azar.
6. Avaliação de impacto específica
A LGPD prevê o RIPD como instrumento geral. O ECA Digital exige uma Avaliação de Impacto específica (AIPD) que considere riscos à privacidade, à segurança e ao desenvolvimento biopsicossocial de crianças e adolescentes — antes de lançar funcionalidades, algoritmos ou serviços.
Bases legais para dados de menores: o que mudou (e o que não mudou)
Uma das questões mais debatidas antes do ECA Digital era: quais bases legais podem ser usadas para tratar dados de crianças? Apenas o consentimento parental (Art. 14, §1º) ou também outras bases do Art. 7º da LGPD?
O Enunciado CD/ANPD nº 01/2023
Em maio de 2023, a ANPD encerrou essa controvérsia com o Enunciado CD/ANPD nº 01:
"O tratamento de dados pessoais de crianças e de adolescentes poderá ser realizado com base nas hipóteses legais previstas no art. 7º ou no art. 11 da LGPD, desde que observado e prevalecente o melhor interesse, a ser avaliado no caso concreto, nos termos do art. 14 da Lei."
Na prática, isso significa que:
- Consentimento parental (Art. 7º, I) continua sendo a base mais segura para crianças
- Obrigação legal (Art. 7º, II) é válida — escolas que coletam dados para o Censo Escolar, por exemplo, têm base legal própria
- Legítimo interesse (Art. 7º, IX) pode ser invocado, mas o melhor interesse da criança deve prevalecer no teste de balanceamento
- Tutela da saúde (Art. 11, II, f) é aplicável para tratamentos assistenciais de dados de saúde de menores
O que o ECA Digital muda nas bases legais
O ECA Digital não altera as bases legais da LGPD. Não criou novas bases nem revogou as existentes. O que ele faz é acrescentar obrigações adicionais que se aplicam independentemente da base legal escolhida.
Por exemplo: um hospital que trata dados de saúde de um paciente de 15 anos com base na tutela da saúde (Art. 11, II, f da LGPD) continua usando essa base legal. Mas se o hospital oferece um aplicativo de acompanhamento ao paciente, agora precisa também verificar a idade do usuário, adotar design apropriado e oferecer ferramentas de supervisão parental — obrigações do ECA Digital que existem acima e além da base legal da LGPD.
ANPD: uma agência, duas leis, sanções cumulativas
A ANPD é a autoridade central de fiscalização tanto da LGPD quanto do ECA Digital. Isso tem consequências práticas relevantes.
Fiscalização integrada
Quando a ANPD investiga uma empresa, pode avaliar simultaneamente o cumprimento da LGPD e do ECA Digital. Não são processos necessariamente separados. Uma única diligência pode identificar infrações a ambas as leis.
Sanções que se somam
As penalidades são independentes:
| Lei | Multa máxima |
|---|---|
| LGPD | Até 2% do faturamento, limitada a R$ 50 milhões por infração |
| ECA Digital | Até 10% do faturamento, limitada a R$ 50 milhões por infração |
Isso significa que, teoricamente, uma empresa pode receber sanções por ambas as leis pelo mesmo conjunto de fatos — se os fatos configurarem infrações distintas em cada regime.
Além disso, a Senacon (Secretaria Nacional do Consumidor) mantém atuação autônoma pelo Código de Defesa do Consumidor, o que adiciona uma terceira via de responsabilização para práticas que afetem consumidores menores de idade.
Prioridade da ANPD
A proteção de crianças e adolescentes no ambiente digital é um dos quatro temas prioritários do Mapa de Temas Prioritários da ANPD para o biênio 2026-2027. A agência já notificou 37 empresas e publicou orientações preliminares sobre verificação de idade. A mensagem é inequívoca: esse tema será fiscalizado com vigor.
O que muda na prática para cada tipo de organização
Empresas de tecnologia (plataformas, apps, jogos)
Impacto máximo. Precisam cumprir integralmente as obrigações da LGPD (bases legais, RIPD, DPO) e do ECA Digital (verificação de idade, design apropriado, supervisão parental, proibição de loot boxes e publicidade comportamental). A camada do ECA Digital é significativamente mais onerosa.
Empresas que tratam dados de menores incidentalmente
Hospitais, escolas, clubes, seguradoras com planos familiares, e-commerces. A LGPD já as obrigava a tratar dados de menores no melhor interesse. O ECA Digital adiciona obrigações se a empresa oferece produtos ou serviços digitais acessíveis por menores — site com cadastro, aplicativo, portal do paciente, plataforma de ensino.
Empresas B2B sem contato com menores
Impacto limitado. Se a empresa não oferece produtos ou serviços que sejam acessíveis por menores, e não trata dados de crianças ou adolescentes, as obrigações adicionais do ECA Digital não se aplicam. Mas atenção: o critério não é apenas "direcionado a menores" — é "de provável acesso". Um marketplace B2C que vende apenas para empresas, mas que permite cadastro aberto, pode estar no escopo.
Checklist de conformidade dupla: LGPD + ECA Digital
Para organizações que tratam dados de menores ou oferecem serviços digitais acessíveis por eles:
Obrigações da LGPD (já vigentes desde 2020):
- Base legal identificada e documentada para cada tratamento de dados de menores
- Consentimento parental coletado de forma específica e em destaque para dados de crianças
- Princípio do melhor interesse aplicado e documentado
- RIPD elaborado para tratamentos de alto risco envolvendo menores
- DPO nomeado e acessível
- Política de privacidade clara, com seção específica sobre dados de menores
Obrigações do ECA Digital (vigentes desde 17/03/2026):
- Verificação de idade implementada (autodeclaração não é suficiente)
- Ferramentas de supervisão parental disponíveis para contas de menores de 16 anos
- Publicidade comportamental desativada para menores de 18 anos
- Design revisado: sem rolagem infinita, autoplay ou notificações manipulativas para menores
- Loot boxes removidas de jogos acessíveis por menores
- Avaliação de Impacto (AIPD) específica para riscos a crianças e adolescentes
- Configurações de privacidade no modo mais protetivo por padrão
Os próximos passos regulatórios
O cenário regulatório para dados de menores não está estabilizado. A ANPD tem na agenda:
- Tomada de Subsídios para guia técnico sobre verificação de idade (prevista para abril de 2026)
- Orientações definitivas sobre métodos de verificação (previstas para agosto de 2026)
- Guia Orientativo sobre Legítimo Interesse, com seção específica sobre dados de crianças e adolescentes (em elaboração)
- Fiscalização efetiva com aplicação de sanções a partir de janeiro de 2027
Para os profissionais de privacidade, isso significa que o regime de proteção de menores continuará se expandindo nos próximos meses. Acompanhar as publicações da ANPD e participar das consultas públicas é essencial para antecipar obrigações e influenciar os parâmetros regulatórios.
Conclusão
LGPD e ECA Digital não são leis concorrentes — são complementares. A LGPD estabelece o regime de proteção de dados pessoais. O ECA Digital amplia a proteção para a experiência digital como um todo: design, conteúdo, publicidade, monetização e verificação de idade.
Para as empresas, a consequência prática é que as obrigações se somam. Cumprir a LGPD não é suficiente para estar em conformidade com o ECA Digital, e vice-versa. A mesma autoridade (ANPD) fiscaliza ambas, e as sanções podem ser cumulativas.
A boa notícia é que o esforço de adequação é integrado. Uma empresa que já tem um programa de privacidade robusto — com inventário de dados, bases legais documentadas e RIPD elaborado — precisa apenas acrescentar as camadas do ECA Digital. Não é recomeçar do zero. É complementar o que já existe.
O Confidata ajuda organizações a documentar o cumprimento simultâneo da LGPD e do ECA Digital: inventário de atividades com dados de menores, bases legais do Art. 14, Avaliação de Impacto (AIPD) e trilha de auditoria. Conheça a plataforma.
Artigos relacionados
Quer ir além? Conheça o Confidata
Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.