ECA Digital: o que muda para empresas e o que fazer agora
A Lei nº 15.211/2025, conhecida como ECA Digital, entrou em vigor em 17 de março de 2026. Com ela, qualquer empresa que ofereça produtos ou serviços digitais no Brasil — e cujo público inclua ou possa incluir crianças e adolescentes — passa a ter obrigações concretas de proteção, transparência e segurança.
Não se trata apenas de redes sociais. A lei alcança aplicativos, jogos, marketplaces, plataformas educacionais, serviços de streaming e qualquer produto digital que seja "direcionado ou de provável acesso" por menores de 18 anos. O alcance é extraterritorial: aplica-se a empresas sediadas no exterior que operem no mercado brasileiro.
Este artigo explica o que a lei determina, quais são os prazos e o que sua empresa precisa fazer nos próximos meses.
O que é o ECA Digital
O ECA Digital originou-se do PL 2.628/2022, de autoria do senador Alessandro Vieira (MDB-SE). A lei foi sancionada pelo presidente Lula em 17 de setembro de 2025. O texto original previa vacatio legis de um ano, mas o presidente vetou esse dispositivo e, por meio da Medida Provisória nº 1.319/2025, estabeleceu prazo de seis meses — o que antecipou a vigência para 17 de março de 2026.
No dia seguinte à entrada em vigor, em 18 de março de 2026, o governo federal assinou três decretos que regulamentam a lei. Esses decretos detalham as proibições de design manipulativo, criam o Centro Nacional de Proteção à Criança e ao Adolescente (vinculado à Polícia Federal) e estruturam a ANPD para exercer a fiscalização.
O Brasil tornou-se o primeiro país da América Latina a incorporar padrões de design apropriado por idade em legislação, seguindo movimento iniciado pelo Reino Unido (Age-Appropriate Design Code), pela União Europeia (Digital Services Act) e pela Austrália.
Quem está sujeito à lei
O critério de aplicação é amplo. A lei se aplica a fornecedores de produtos e serviços de tecnologia da informação que sejam:
- Direcionados a crianças e adolescentes, ou
- De provável acesso por eles
Isso significa que uma empresa não precisa ter crianças como público-alvo declarado para estar sujeita às obrigações. Basta que menores possam, na prática, acessar o serviço. Um marketplace de e-commerce, por exemplo, não é "direcionado" a crianças — mas é de provável acesso por adolescentes que fazem compras online.
Perguntas práticas para avaliar se sua empresa está sujeita:
- O produto permite cadastro de usuários? Menores podem se cadastrar?
- O produto é acessível via navegador ou app sem controle de idade?
- O público real do produto inclui usuários menores de 18 anos?
- O produto coleta dados que podem pertencer a menores (nome, e-mail, localização)?
Se qualquer resposta for sim, a empresa está no escopo do ECA Digital.
As principais obrigações
Verificação de idade
A lei proíbe a autodeclaração como único mecanismo de verificação etária. Plataformas precisam adotar métodos eficazes, proporcionais e que respeitem a privacidade do usuário para confirmar a idade.
Dados coletados exclusivamente para verificação de idade não podem ser usados para outros fins — como personalização de conteúdo ou publicidade.
A ANPD publicou um cronograma escalonado em três fases para implementação da verificação de idade:
| Fase | Período | Foco |
|---|---|---|
| Fase 1 | Até junho de 2026 | Lojas de aplicativos e sistemas operacionais |
| Fase 2 | Agosto a novembro de 2026 | Jogos online, marketplaces e redes sociais |
| Fase 3 | A partir de janeiro de 2027 | Fiscalização efetiva com aplicação de sanções |
Restrições por faixa etária em redes sociais
A lei estabelece regras claras por idade:
- Menores de 12 anos: proibidos de criar contas em redes sociais
- De 12 a 15 anos: contas devem ser vinculadas a um responsável legal, com ferramentas de controle parental
- De 16 a 17 anos: podem criar contas com autonomia, mas ainda sujeitos a proteções gerais (verificação de idade, restrições de conteúdo para menores de 18)
Supervisão parental obrigatória
Plataformas acessíveis por menores de 16 anos devem oferecer ferramentas de supervisão parental com funcionalidades mínimas: limitação de tempo de uso, controle de recomendações algorítmicas e restrição de geolocalização.
Proibição de publicidade comportamental
Toda publicidade direcionada com base em dados comportamentais é proibida para menores de 18 anos. Não é possível usar histórico de navegação, preferências ou perfil de comportamento de um menor para direcionar anúncios — mesmo com consentimento parental.
Proibição de design manipulativo
Os decretos regulamentadores de 18 de março de 2026 detalham as práticas proibidas:
- Rolagem infinita (infinite scroll) para o público infantil
- Autoplay de vídeos direcionados a menores
- Notificações com apelo emocional que incentivem o retorno compulsivo
- Qualquer técnica de design que explore vulnerabilidades cognitivas de crianças e adolescentes para aumentar tempo de tela ou consumo
Proibição de loot boxes
O Art. 20 da Lei 15.211/2025 veda expressamente as "caixas de recompensa" (loot boxes) oferecidas em jogos eletrônicos direcionados a crianças e adolescentes ou de provável acesso por eles. A proibição trata essas mecânicas como equivalentes a jogos de azar.
Avaliação de Impacto obrigatória
Antes de lançar funcionalidades, algoritmos ou serviços que possam ser acessados por menores, empresas devem realizar uma Avaliação de Impacto de Proteção de Dados e Direitos (AIPD) — um relatório técnico que identifique riscos à privacidade, à segurança e ao desenvolvimento de crianças e adolescentes.
Sanções: o custo de não se adequar
O Art. 35 da Lei 15.211/2025 estabelece sanções administrativas que variam de advertência a multa e suspensão de atividades:
| Sanção | Detalhamento |
|---|---|
| Advertência | Com prazo corretivo de 30 dias |
| Multa | Até 10% do faturamento do grupo econômico no Brasil, limitada a R$ 50 milhões por infração |
| Multa alternativa | Para empresas sem faturamento declarado: R$ 10 a R$ 1.000 por usuário cadastrado, limitada a R$ 50 milhões |
| Suspensão | Suspensão temporária ou proibição de atividades |
Para efeito de comparação: a multa máxima da LGPD é de R$ 50 milhões por infração ou 2% do faturamento. O ECA Digital eleva o percentual para 10% do faturamento, mantendo o teto de R$ 50 milhões. Para grandes empresas de tecnologia que operam no Brasil, o impacto financeiro potencial é significativamente maior.
O que já está acontecendo
A ANPD não está esperando 2027 para agir. A agência já notificou 37 empresas que oferecem produtos e serviços digitais de provável acesso por menores no Brasil, solicitando informações sobre suas práticas e planos de adequação.
As reações das empresas variaram:
- Reddit: suspendeu contas de menores de 16 anos no Brasil no dia da entrada em vigor. Para reativar, é necessário vincular a conta a um responsável legal via Apple Family Sharing ou Google Family Link.
- Meta (Instagram, Facebook, WhatsApp): expandiu controles parentais — pais agora podem ativar supervisão sem necessidade de aprovação do adolescente.
- TikTok e Kwai: tiveram a classificação indicativa elevada pelo governo de 14 para 16 anos.
- WhatsApp: classificação elevada de 12 para 14 anos.
O governo reclassificou a idade mínima de oito redes sociais como parte da regulamentação.
O que sua empresa precisa fazer nos próximos 90 dias
1. Mapeamento de produtos e serviços
Identifique todos os produtos digitais da empresa — sites, aplicativos, plataformas, jogos — e avalie se são direcionados a menores ou de provável acesso por eles. Documente essa análise.
2. Diagnóstico de verificação de idade
Avalie como sua empresa verifica a idade dos usuários hoje. Se depende exclusivamente de autodeclaração (checkbox "tenho mais de 18 anos"), esse mecanismo não é mais suficiente. Planeje a migração para métodos compatíveis com a Fase 1 da ANPD (até junho de 2026).
3. Revisão de práticas de publicidade
Se sua empresa direciona publicidade com base em dados comportamentais e o público inclui menores de 18 anos, essa prática precisa ser interrompida ou segregada. Menores não podem receber publicidade comportamental — independentemente de consentimento.
4. Revisão de design e experiência do usuário
Verifique se seu produto utiliza técnicas de design que podem ser consideradas manipulativas: rolagem infinita, autoplay, notificações emocionais, mecânicas de recompensa variável. Se o produto é acessível por menores, essas práticas precisam ser desativadas ou reconfiguradas para esse público.
5. Ferramentas de supervisão parental
Se menores de 16 anos podem acessar seu produto, avalie a necessidade de implementar ferramentas de supervisão parental — com controle de tempo, conteúdo e recomendações.
6. Avaliação de Impacto (AIPD)
Elabore uma Avaliação de Impacto que contemple os riscos específicos para crianças e adolescentes. Esse documento será fundamental em caso de fiscalização pela ANPD.
7. Revisão de contratos com operadores
Operadores (fornecedores de tecnologia) que tratam dados de menores em nome da sua empresa devem ter contratos atualizados com cláusulas de proteção compatíveis com o ECA Digital e a LGPD.
8. Treinamento das equipes
Equipes de produto, tecnologia, marketing e jurídico precisam conhecer as novas obrigações. O ECA Digital não é apenas um problema jurídico — afeta design de produto, engenharia, publicidade e atendimento ao cliente.
ECA Digital e LGPD: obrigações que se somam
O ECA Digital não substitui a LGPD. As duas leis são complementares e as obrigações se acumulam. Uma empresa que trata dados de menores precisa cumprir simultaneamente:
- O Art. 14 da LGPD, que exige consentimento parental para dados de crianças e proíbe publicidade direcionada
- O ECA Digital, que amplia essas proteções com verificação de idade obrigatória, design apropriado, ferramentas parentais e avaliação de impacto
A ANPD é a autoridade responsável pela fiscalização de ambas as leis. Isso significa que uma única investigação pode gerar sanções tanto pela LGPD quanto pelo ECA Digital.
Conclusão
O ECA Digital não é uma lei para o futuro. Entrou em vigor, está sendo regulamentada e a ANPD já está monitorando dezenas de empresas. O cronograma de fiscalização escalonada até 2027 não significa que há tempo sobrando — significa que as empresas que começarem agora terão condições de demonstrar boa-fé e progresso quando a fiscalização efetiva chegar.
A adequação ao ECA Digital passa por múltiplas áreas da empresa: jurídico, produto, tecnologia, marketing e compliance. Não é um projeto que se resolve com um parecer legal. É uma mudança de cultura digital que exige mapeamento, planejamento e execução coordenada.
As empresas que tratarem essa mudança como prioridade terão vantagem competitiva. As que ignorarem estarão expostas a multas de até R$ 50 milhões, suspensão de atividades e — talvez o mais relevante — dano reputacional perante um público cada vez mais atento à proteção de crianças no ambiente digital.
O Confidata ajuda sua organização a mapear atividades de tratamento que envolvem dados de crianças e adolescentes, elaborar Avaliações de Impacto (AIPD) e manter trilha de auditoria para demonstrar conformidade com a LGPD e o ECA Digital. Conheça a plataforma.
Artigos relacionados
Quer ir além? Conheça o Confidata
Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.