LGPD Comentada14 min de leitura

LGPD Comentada #10: Dados de Crianças e Adolescentes — O Melhor Interesse como Regra

Equipe Confidata·
Compartilhar

Este post faz parte da série LGPD Comentada, que analisa todos os artigos da Lei Geral de Proteção de Dados. Veja todos os posts da série.

Crianças e adolescentes não são adultos com estatura menor. São sujeitos em formação, com capacidade de discernimento em desenvolvimento e vulnerabilidade acentuada a práticas comerciais abusivas e manipulação digital. A LGPD reconhece essa condição ao dedicar um artigo inteiro — o Art. 14 — a um regime de proteção reforçado, que gira em torno de um princípio orientador: o melhor interesse.

Este post analisa o Art. 14 da LGPD em profundidade: o que ele exige, como interagem a LGPD e o Estatuto da Criança e do Adolescente, o que a ANPD já definiu via enunciado, como o novo ECA Digital (Lei 15.211/2025) muda o cenário e o que cases internacionais ensinam sobre os riscos de negligenciar a proteção de dados de menores.

Art. 14 — O texto legal

Art. 14. O tratamento de dados pessoais de crianças e de adolescentes deverá ser realizado em seu melhor interesse, nos termos deste artigo e da legislação pertinente.

§1º O tratamento de dados pessoais de crianças deverá ser realizado com o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal.

§2º No tratamento de dados de que trata o §1º deste artigo, os controladores deverão manter pública a informação sobre os tipos de dados coletados, a forma de sua utilização e os procedimentos para o exercício dos direitos a que se refere o art. 18 desta Lei.

§3º Poderão ser coletados dados pessoais de crianças sem o consentimento a que se refere o §1º deste artigo quando a coleta for necessária para contatar os pais ou o responsável legal, utilizados uma única vez e sem armazenamento, ou para sua proteção, e em nenhum caso poderão ser repassados a terceiro sem o consentimento de que trata o §1º deste artigo.

§4º Os controladores não deverão condicionar a participação dos titulares de que trata o §1º deste artigo em jogos, aplicações de internet ou outras atividades ao fornecimento de informações pessoais além das estritamente necessárias à atividade.

§5º O controlador deve realizar todos os esforços razoáveis para verificar que o consentimento a que se refere o §1º deste artigo foi efetivamente dado pelo responsável pela criança, consideradas as tecnologias disponíveis.

§6º As informações sobre o tratamento de dados referidas neste artigo deverão ser fornecidas de maneira simples, clara e acessível, consideradas as características físico-motoras, perceptivas, sensoriais, intelectuais e mentais do usuário, com uso de recursos audiovisuais quando adequado, de forma a proporcionar a informação necessária aos pais ou ao responsável legal e adequada ao entendimento da criança.

Análise: o melhor interesse como filtro

O princípio orientador

O caput do Art. 14 estabelece que todo tratamento de dados de crianças e adolescentes deve ser realizado em seu melhor interesse. Esse não é um adorno retórico — é um critério jurídico vinculante que funciona como filtro para qualquer operação de tratamento.

O conceito de melhor interesse tem raízes no Art. 227 da Constituição Federal (prioridade absoluta aos direitos de crianças e adolescentes) e no Art. 3º do Estatuto da Criança e do Adolescente (Lei 8.069/1990), que assegura proteção integral. No contexto da LGPD, isso significa que mesmo quando há base legal válida para o tratamento, a organização deve avaliar se aquele tratamento específico atende ao melhor interesse do menor — e não apenas ao interesse comercial do controlador.

Criança vs. adolescente: uma distinção que importa

A LGPD usa os dois termos, mas não os define. A definição vem do Art. 2º do ECA:

  • Criança: pessoa até 12 anos de idade incompletos
  • Adolescente: pessoa entre 12 e 18 anos de idade

Essa distinção tem consequência prática direta no Art. 14: o §1º exige consentimento específico e em destaque dos pais ou responsável legal apenas para crianças (até 12 anos). Para adolescentes (12-17 anos), o Art. 14 não impõe essa exigência específica — embora o melhor interesse continue sendo obrigatório.

A lacuna regulatória sobre adolescentes gerou debate: pode um adolescente de 16 anos consentir sozinho com o tratamento de seus dados? A LGPD não responde diretamente. O Código Civil estabelece que menores de 16 anos são absolutamente incapazes e entre 16 e 18 são relativamente incapazes — mas essa classificação diz respeito a atos da vida civil, não necessariamente ao consentimento digital. Na prática, plataformas digitais adotam padrões variados, e a regulamentação dessa zona cinzenta permanece em desenvolvimento.

O Enunciado CD/ANPD nº 1/2023: quais bases legais se aplicam?

Em 22 de maio de 2023, a ANPD publicou o Enunciado CD/ANPD nº 1, que pacificou uma das controvérsias mais relevantes sobre o Art. 14: se o consentimento dos pais era a única base legal para tratar dados de crianças ou se as demais bases dos Arts. 7 e 11 também eram aplicáveis.

O que o Enunciado definiu

O entendimento da ANPD é claro: o tratamento de dados pessoais de crianças e adolescentes pode ser realizado com base nas hipóteses legais previstas nos Arts. 7º ou 11 da LGPD, desde que observado e prevalecente o melhor interesse da criança e do adolescente, a ser avaliado no caso concreto.

Impacto prático

Antes do Enunciado, uma interpretação restritiva do Art. 14 sustentava que apenas o consentimento parental autorizava o tratamento de dados de crianças. Isso criava problemas operacionais graves: uma escola pública não poderia manter registros de alunos sem consentimento de cada pai? Um hospital não poderia tratar dados de saúde de uma criança em emergência sem localizar o responsável legal?

O Enunciado resolve essa tensão ao permitir que bases como obrigação legal (Art. 7, II), proteção da vida (Art. 7, VII), tutela da saúde (Art. 7, VIII) e execução de políticas públicas (Art. 7, III) sejam invocadas — desde que o melhor interesse prevaleça. O consentimento parental do §1º deixa de ser a única porta de entrada e passa a ser uma das hipóteses, ainda que com destaque especial.

O filtro do melhor interesse, contudo, permanece como requisito adicional e inafastável em todas as hipóteses — algo que não se aplica ao tratamento de dados de adultos.

Os parágrafos em detalhe

§1º — Consentimento parental para crianças

Quando a base legal for o consentimento, ele deve ser:

  • Específico: para finalidades determinadas, não genérico
  • Em destaque: visualmente separado das demais cláusulas
  • Dado por pelo menos um dos pais ou responsável legal: não pelo próprio menor

Na prática digital, isso significa que uma plataforma direcionada a crianças deve implementar um fluxo de verificação parental antes de coletar dados. O desafio está em como verificar que quem está consentindo é de fato o responsável legal — tema tratado no §5º.

§2º — Transparência obrigatória

Os controladores devem manter públicas as informações sobre tipos de dados coletados, forma de utilização e procedimentos para exercício de direitos. Não basta uma política de privacidade genérica — as informações devem ser específicas para o tratamento de dados de crianças e acessíveis a pais e responsáveis.

§3º — Exceções ao consentimento

Dados de crianças podem ser coletados sem consentimento parental em duas situações:

  1. Para contatar pais ou responsável legal — utilizados uma única vez e sem armazenamento
  2. Para proteção da criança — quando o tratamento visa proteger a integridade do menor

Em ambos os casos, os dados não podem ser repassados a terceiros sem o consentimento do §1º. Um aplicativo educacional que coleta o e-mail dos pais para enviar confirmação de cadastro pode fazê-lo sem consentimento prévio — mas não pode compartilhar esse e-mail com parceiros comerciais.

§4º — Vedação de coleta condicionada

Controladores não podem condicionar o acesso a jogos, aplicativos ou atividades ao fornecimento de dados além dos estritamente necessários. Essa é uma aplicação direta do princípio da necessidade (Art. 6º, III) adaptada ao contexto infantil.

O exemplo clássico: um jogo infantil que exige nome completo, endereço, escola e dados dos pais apenas para criar um perfil de jogo está violando o §4º. Os dados necessários para jogar são, no máximo, um apelido e a faixa etária.

§5º — Verificação razoável de identidade parental

O controlador deve fazer "todos os esforços razoáveis" para verificar que o consentimento foi dado pelo responsável — "consideradas as tecnologias disponíveis". A expressão "esforços razoáveis" cria uma obrigação de meio, não de resultado, mas exige que a organização demonstre que adotou medidas compatíveis com o estado da arte tecnológico.

Métodos comuns incluem:

  • Verificação por e-mail dos pais com confirmação
  • Solicitação de documento do responsável
  • Validação por cartão de crédito (comprovação indireta de maioridade)
  • Verificação por vídeo ou reconhecimento facial (mais invasivo, mais seguro)

Nenhum método é à prova de fraude. Um adolescente pode usar o e-mail dos pais sem autorização. Mas o §5º exige que o controlador demonstre que tentou — e que o método adotado é compatível com a tecnologia disponível e o risco envolvido.

§6º — Linguagem acessível e adequada

As informações devem ser fornecidas de forma simples, clara e acessível, com uso de recursos audiovisuais quando adequado. A lei reconhece a diversidade de características dos usuários menores — incluindo aspectos físico-motores, perceptivos, sensoriais e intelectuais.

Isso significa que a política de privacidade de um aplicativo infantil não pode ser um documento jurídico de 15 páginas em linguagem técnica. Deve ser adaptada: ícones, ilustrações, vídeos explicativos, linguagem simplificada. A obrigação é dupla — informar os pais com profundidade e informar a criança com adequação.

Interação com o ECA e o novo ECA Digital

O Estatuto da Criança e do Adolescente (Lei 8.069/1990)

O Art. 14 da LGPD não opera isoladamente. O ECA, promulgado em 1990, já estabelecia um arcabouço de proteção integral que inclui o princípio do melhor interesse, a prioridade absoluta e a proteção contra exploração comercial. A LGPD se soma a esse arcabouço, adicionando a dimensão da proteção de dados pessoais.

Artigos relevantes do ECA que interagem com o Art. 14 da LGPD:

  • Art. 3º: assegura os direitos fundamentais da pessoa humana, com proteção integral
  • Art. 4º: prioridade absoluta na efetivação dos direitos
  • Art. 71: direito a informação, cultura, lazer e diversão compatíveis com a condição de pessoa em desenvolvimento
  • Art. 100, parágrafo único, IV: melhor interesse da criança e do adolescente

O ECA Digital (Lei 15.211/2025)

Em 17 de setembro de 2025, foi sancionada a Lei 15.211/2025 (ECA Digital), originada do PL 2.628/2022, que instituiu o Marco Legal para a proteção de crianças e adolescentes no ambiente digital. A lei entrou em vigor em março de 2026 e trouxe obrigações concretas para plataformas digitais:

Verificação de idade obrigatória: plataformas devem implementar mecanismos de verificação de idade para identificar usuários menores de 16 anos e vinculá-los aos seus responsáveis legais.

Controles parentais: ferramentas de supervisão parental devem ser disponibilizadas por padrão, permitindo aos pais monitorar e limitar o uso de plataformas por seus filhos.

Proteção por design: produtos e serviços de tecnologia da informação direcionados a crianças e adolescentes — ou com provável acesso por eles — devem garantir proteção prioritária, incluindo medidas adequadas e proporcionais para assegurar alto nível de privacidade e proteção de dados.

Restrições a publicidade: limitações específicas para publicidade direcionada a menores.

Fiscalização pela ANPD: a ANPD foi designada como órgão responsável pela fiscalização do cumprimento da lei, reforçando o papel da autoridade na proteção de dados de menores.

A Lei 15.211/2025 não substitui o Art. 14 da LGPD — complementa-o. Enquanto o Art. 14 define os princípios gerais de tratamento de dados de menores, o ECA Digital detalha obrigações operacionais específicas para plataformas digitais.

Cases internacionais: o custo de negligenciar dados de menores

TikTok — €345 milhões (UE, setembro de 2023)

A Comissão de Proteção de Dados da Irlanda (DPC) multou o TikTok em €345 milhões por violações do GDPR relacionadas ao tratamento de dados de menores entre 13 e 17 anos. As violações incluíam: contas de menores configuradas como públicas por padrão, comentários abertos por padrão, e funcionalidades como "Dueto" e "Costurar" habilitadas por padrão — expondo conteúdos de adolescentes a qualquer usuário da plataforma, mesmo não registrado.

O caso demonstra que configurações padrão importam. Não basta oferecer a opção de tornar a conta privada — o padrão deve proteger o menor, não expô-lo.

Instagram — €405 milhões (UE, setembro de 2022)

A DPC irlandesa impôs à Meta uma multa de €405 milhões por expor dados de contato (telefone e e-mail) de menores em contas comerciais do Instagram. A decisão, confirmada em setembro de 2022, apontou que o Instagram permitia que usuários entre 13 e 17 anos operassem contas comerciais com dados de contato visíveis publicamente, e que as configurações padrão das contas de menores eram públicas.

O valor da multa — recorde à época para violações envolvendo dados de menores — reflete a gravidade que reguladores europeus atribuem à falta de proteção por design para menores.

YouTube/Google — US$ 170 milhões (EUA, 2019)

A FTC (Federal Trade Commission) e o Procurador-Geral do Estado de Nova York multaram o Google em US$ 170 milhões por violações à COPPA (Children's Online Privacy Protection Act), a lei federal americana de proteção de dados de menores. O YouTube coletava dados de crianças (cookies e identificadores persistentes) sem consentimento parental para direcionar publicidade comportamental. O acordo incluiu a criação de mecanismos de identificação de conteúdo infantil e a eliminação de publicidade direcionada em vídeos para crianças.

Desafios práticos: EdTech, games e redes sociais

EdTech e escolas

Plataformas educacionais coletam dados sensíveis de alunos diariamente: notas, frequência, comportamento, dados de saúde, laudos psicológicos. A base legal mais adequada varia: obrigação legal para registros acadêmicos exigidos por lei, execução de políticas públicas para escolas da rede pública, e consentimento parental para funcionalidades opcionais como gamificação ou perfis de aprendizado.

O Enunciado CD/ANPD nº 1/2023 foi particularmente relevante para o setor educacional, ao confirmar que o consentimento parental não é a única base legal — permitindo que escolas mantenham registros obrigatórios sem depender da anuência de cada família.

Games e aplicativos infantis

O §4º do Art. 14 é o dispositivo mais relevante para desenvolvedores de jogos: não condicionar o acesso ao fornecimento de dados além do necessário. Mas o que é "estritamente necessário" para um jogo? O debate envolve:

  • Dados para funcionamento: apelido, faixa etária, preferências de jogo — necessários
  • Dados para monetização: localização, contatos, histórico de navegação — não necessários para jogar
  • Dados sociais: lista de amigos, chat, compartilhamento — necessários para a funcionalidade social, mas exigem avaliação de melhor interesse

Redes sociais e verificação de idade

A verificação de idade é o calcanhar de Aquiles da proteção digital de menores. Autodeclaração de data de nascimento — o método mais comum — é trivialmente fraudável. Métodos mais robustos (verificação por documento, biometria facial) levantam preocupações próprias de privacidade: coletar biometria de um menor para protegê-lo cria um paradoxo regulatório.

O ECA Digital (Lei 15.211/2025) avança nesse ponto ao exigir mecanismos de verificação obrigatórios para menores de 16 anos, mas deixa às plataformas a escolha do método — reconhecendo que a tecnologia disponível ainda não oferece solução perfeita.

Erros comuns e como evitá-los

ErroRiscoCorreção
Tratar consentimento parental como única base legal para dados de criançasInviabiliza operações legítimas (educação, saúde, proteção)Aplicar Enunciado CD/ANPD nº 1/2023: usar Arts. 7 ou 11, com melhor interesse como filtro
Não distinguir entre criança e adolescenteExigências de consentimento parental aplicadas incorretamenteCriança (< 12): consentimento parental obrigatório. Adolescente (12-17): melhor interesse, sem exigência expressa de consentimento parental
Configurar contas de menores como públicas por padrãoExposição de dados e conteúdos a qualquer pessoaPadrão deve ser a privacidade máxima (privacy by default)
Condicionar acesso a jogo ou app ao fornecimento de dados desnecessáriosViolação do §4º do Art. 14Coletar apenas o estritamente necessário para a funcionalidade
Política de privacidade em linguagem jurídica para público infantilViolação do §6º — falta de acessibilidadeAdaptar linguagem, usar recursos visuais, versões separadas para pais e crianças
Não implementar verificação de consentimento parentalViolação do §5º — ausência de esforço razoávelAdotar método de verificação compatível com tecnologias disponíveis

Conclusão

O Art. 14 da LGPD não é um artigo isolado — é a expressão, no campo da proteção de dados, de um princípio constitucional brasileiro: a prioridade absoluta dos direitos de crianças e adolescentes. Combinado com o Enunciado CD/ANPD nº 1/2023 e com o ECA Digital (Lei 15.211/2025), forma um arcabouço que exige das organizações algo além da mera conformidade formal: a avaliação ativa e documentada de que cada tratamento de dados atende ao melhor interesse do menor.

As multas internacionais — €405 milhões para o Instagram, €345 milhões para o TikTok, US$ 170 milhões para o YouTube — demonstram que a proteção de dados de menores é uma das áreas de maior risco regulatório global. No Brasil, com a ANPD incluindo dados de crianças e adolescentes entre suas ações prioritárias de fiscalização e o ECA Digital em vigor, organizações que tratam dados de menores devem priorizar: avaliação de melhor interesse documentada, verificação de consentimento parental quando aplicável, privacy by default e transparência adaptada ao público infantil.

A Confidata permite classificar atividades de tratamento que envolvem dados de menores com alertas automáticos para avaliação de melhor interesse, rastreabilidade de consentimento parental e indicadores de conformidade com o Art. 14. Conheça nossa plataforma.

Compartilhar
#lgpd-comentada#LGPD#Art. 14#crianças#adolescentes#consentimento parental#melhor interesse#ECA

Artigos relacionados

LGPD Comentada #28: Vigência, transição e o futuro da proteção de dados no BrasilLGPD Comentada · 13 minLGPD Comentada #27: O Conselho Nacional de Proteção de Dados e da PrivacidadeLGPD Comentada · 12 minANPD: Competências, Estrutura e Poderes de FiscalizaçãoLGPD Comentada · 16 minLGPD Comentada #25: Sanções administrativas — da advertência à multa de R$ 50 milhõesLGPD Comentada · 16 min

Quer ir além? Conheça o Confidata

Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.

© 2026 Confidata — Todos os direitos reservados|Privacidade|Cookies
Falar com especialista