Verificação de idade: como adequar seu produto digital ao ECA Digital
A verificação de idade é, provavelmente, a obrigação mais concreta e urgente do ECA Digital (Lei nº 15.211/2025). A lei proíbe que plataformas aceitem a autodeclaração como único método de verificação etária — ou seja, aquele checkbox "declaro ter mais de 18 anos" deixou de ser suficiente.
O problema é que verificar a idade de um usuário na internet é tecnicamente difícil, e fazê-lo sem comprometer a privacidade é ainda mais difícil. Nenhuma solução atual combina 100% de precisão, cobertura universal e proteção total de dados.
Ainda assim, a ANPD já publicou orientações preliminares e um cronograma de implementação. As empresas precisam escolher e implementar métodos compatíveis nos próximos meses. Este artigo apresenta o panorama técnico, os métodos disponíveis e um caminho prático para adequação.
O que a lei exige
O ECA Digital é direto: plataformas devem implementar mecanismos efetivos de verificação de idade, e a mera autodeclaração é vedada. Os decretos regulamentadores de 18 de março de 2026 reforçam essa obrigação e detalham os critérios que os mecanismos devem atender.
As regras variam por faixa etária:
| Faixa etária | Regra para redes sociais |
|---|---|
| Menores de 12 anos | Proibidos de criar contas |
| 12 a 15 anos | Conta vinculada a responsável legal, com controles parentais |
| 16 a 17 anos | Podem criar conta com autonomia, sujeitos a proteções gerais |
Além das redes sociais, qualquer produto digital "de provável acesso" por menores precisa de mecanismos proporcionais de verificação.
A ANPD estabeleceu seis requisitos mínimos para os mecanismos de verificação de idade:
- Proporcionalidade — o nível de verificação deve ser proporcional ao risco do serviço
- Acurácia e confiabilidade — o mecanismo deve funcionar de forma consistente
- Privacidade e proteção de dados — coleta mínima, uso restrito à verificação
- Inclusão e não discriminação — não pode criar barreiras desproporcionais para grupos específicos
- Transparência e auditabilidade — o funcionamento deve ser verificável
- Interoperabilidade — compatibilidade com outros sistemas e padrões
Os métodos disponíveis
Não existe um método único aprovado pela ANPD. A agência reconhece que diferentes contextos exigem diferentes abordagens. Abaixo, os principais métodos disponíveis no mercado, com suas vantagens e limitações.
Autodeclaração (não mais suficiente sozinha)
O usuário informa sua data de nascimento ou marca uma caixa de seleção. É o método mais comum na internet e o mais fácil de burlar — basta digitar uma data falsa.
O ECA Digital descarta esse método como suficiente. A autodeclaração pode ser usada como primeira camada de um sistema de verificação em múltiplos fatores, mas nunca como camada única.
Vinculação parental
A conta do menor é criada e vinculada à conta de um responsável legal. O responsável autoriza o acesso e pode controlar configurações (tempo de uso, conteúdo, contatos).
É o modelo adotado pelo Reddit no Brasil (via Apple Family Sharing e Google Family Link) e expandido pela Meta para Instagram e Facebook.
Vantagens: alta confiabilidade, permite supervisão contínua, compatível com a exigência legal de controles parentais.
Limitações: depende de o responsável ter conta na mesma plataforma ou ecossistema. Não funciona se o menor criar conta sem envolver o responsável.
Estimativa facial por inteligência artificial
Uma câmera captura a imagem do rosto do usuário e um algoritmo estima a faixa etária. Não identifica quem é a pessoa — apenas estima se aparenta ter mais ou menos de determinada idade.
Empresas como Yoti desenvolveram modelos com acurácia reportada acima de 98% para distinguir menores de 18 anos de adultos.
Vantagens: processo rápido (segundos), não exige documento de identidade, não armazena a imagem (em implementações bem feitas, a imagem é descartada após processamento).
Limitações: é dado biométrico (dado sensível sob a LGPD, Art. 5º, II). A precisão diminui em faixas etárias próximas ao limiar (15-19 anos). Pode ter vieses em diferentes etnias e gêneros.
Verificação por documento de identidade
O usuário faz upload de documento oficial (RG, CNH) e uma selfie para comparação. O sistema verifica se o rosto corresponde ao documento e extrai a data de nascimento.
É o método mais seguro em termos de acurácia, mas também o mais invasivo em termos de privacidade. O Reddit adotou essa abordagem para desbloquear conteúdo restrito.
Vantagens: alta acurácia, difícil de burlar.
Limitações: alta fricção (muitos usuários abandonam o processo), requer coleta de dados sensíveis (documento + biometria), levanta preocupações sobre armazenamento e uso indevido dos dados coletados.
Tokens de idade reutilizáveis (prova de conhecimento zero)
O usuário verifica sua idade uma vez com um provedor confiável (banco, governo, operadora de telefonia) e recebe um token criptográfico que responde apenas "sim" ou "não" à pergunta "este usuário tem 14 anos ou mais?" — sem revelar nome, documento ou idade exata.
Esse token pode ser reutilizado em múltiplas plataformas. A arquitetura "double blind" garante que a plataforma não aprende a identidade do usuário, e o emissor do token não sabe quais plataformas o usuário acessou.
A ANPD indicou a tecnologia de prova de conhecimento zero (ZKP) como referência para verificação de idade que preserva a privacidade. Na Europa, o projeto euCONSENT desenvolveu o sistema AgeAware com essa arquitetura.
Vantagens: máxima proteção de privacidade, reutilizável, interoperável, sem coleta de dados sensíveis pela plataforma.
Limitações: infraestrutura ainda em fase inicial no Brasil. Depende de emissores confiáveis de tokens. Adoção de mercado ainda limitada.
Verificação via conta bancária (open banking)
A idade do usuário é verificada através de uma consulta ao sistema bancário, que confirma se o titular da conta tem idade superior a determinado limiar. O banco já possui a identidade verificada do cliente.
Vantagens: alta confiabilidade (bancos verificam identidade no cadastro), não requer novo upload de documentos.
Limitações: pressupõe que o usuário tenha conta bancária. Parcela da população menor de idade não tem. Requer integração com APIs bancárias.
Controles em nível de sistema operacional
Apple e Google oferecem APIs que permitem a aplicativos verificar a faixa etária do usuário com base nos controles parentais configurados no dispositivo. A Declared Age Range API da Apple retorna uma faixa etária sem expor a data de nascimento exata.
Vantagens: não requer nova coleta de dados, integrada ao ecossistema do dispositivo, boa experiência de usuário.
Limitações: funciona apenas em dispositivos onde os controles parentais foram configurados. Não cobre acessos via navegador. Depende de cooperação das big techs.
Qual método escolher
A escolha depende do perfil de risco do serviço e do público. A ANPD exige proporcionalidade: um jogo casual com chat não precisa do mesmo nível de verificação que uma rede social com conteúdo sensível.
Um modelo prático de decisão:
| Nível de risco | Exemplo | Método recomendado |
|---|---|---|
| Baixo | Site institucional com formulário de cadastro | Autodeclaração + validação de e-mail do responsável |
| Médio | E-commerce, aplicativo educacional | Vinculação parental ou verificação por sistema operacional |
| Alto | Rede social, jogo com chat e compras | Estimativa facial + vinculação parental, ou verificação por documento |
| Muito alto | Conteúdo adulto, apostas | Verificação por documento ou open banking |
A abordagem ideal é de múltiplas camadas: autodeclaração como triagem inicial, seguida de método mais robusto para confirmar. Se o usuário declara ter menos de 16 anos, o fluxo direciona para vinculação parental. Se declara ter 18+, mas o perfil comportamental sugere o contrário, uma segunda verificação é acionada.
O cronograma da ANPD
A ANPD publicou um cronograma escalonado que dá às empresas um horizonte claro de adequação:
Fase 1 (março a agosto de 2026): monitoramento inicial com foco em lojas de aplicativos e sistemas operacionais. A ANPD divulga orientações preliminares e abre Tomada de Subsídios para guia técnico. Este é o período para planejar e iniciar implementação.
Fase 2 (agosto a novembro de 2026): publicação de orientações definitivas e parâmetros normativos. As empresas devem estar em processo de implementação. A ANPD monitora a adoção de soluções.
Fase 3 (a partir de janeiro de 2027): fiscalização efetiva. A ANPD verifica o cumprimento das obrigações e pode aplicar sanções — incluindo multas de até 10% do faturamento, limitadas a R$ 50 milhões por infração.
O cronograma não significa que as empresas podem esperar até 2027. A obrigação legal já está em vigor desde 17 de março de 2026. O cronograma define quando a ANPD vai intensificar a fiscalização, não quando a lei começa a valer. Empresas que demonstrarem progresso e boa-fé terão tratamento diferente das que não fizeram nada.
A tensão entre verificação e privacidade
Verificar a idade de um usuário requer, por definição, coletar alguma informação sobre ele. Essa tensão é reconhecida pela própria ANPD e por reguladores internacionais.
Princípios para navegar essa tensão:
Minimização: coletar apenas o dado necessário para a verificação. Se basta saber que o usuário tem 14 anos ou mais, não há razão para coletar a data de nascimento completa, nome ou documento.
Descarte imediato: dados usados exclusivamente para verificação devem ser descartados após o processo. Se o sistema captura uma selfie para estimativa facial, a imagem deve ser eliminada após a análise — não armazenada.
Finalidade restrita: o ECA Digital é explícito: dados coletados para verificação de idade não podem ser usados para outros fins, como personalização de conteúdo ou publicidade.
Transparência: informar claramente ao usuário qual método é utilizado, quais dados são coletados, por quanto tempo são mantidos e com quem são compartilhados.
Provas de conhecimento zero (ZKP) são, por enquanto, a melhor resposta técnica a essa tensão. Permitem verificar a idade sem que a plataforma conheça a identidade do usuário, e sem que o verificador saiba quais plataformas foram acessadas. A infraestrutura ainda é nascente, mas a direção regulatória — no Brasil e na Europa — aponta claramente para esse modelo.
Como começar: roteiro prático
Passo 1: Classificar o risco
Avalie todos os produtos digitais da empresa e classifique cada um pelo nível de risco para menores. Um aplicativo financeiro para empresas tem risco diferente de um jogo mobile gratuito.
Passo 2: Auditar os mecanismos atuais
Documente como a verificação de idade funciona hoje. Se é apenas autodeclaração, registre isso como lacuna a ser corrigida.
Passo 3: Escolher métodos proporcionais
Para cada produto, selecione o(s) método(s) de verificação adequado(s) ao nível de risco, considerando os seis critérios da ANPD. Documente a justificativa da escolha.
Passo 4: Implementar controles parentais
Se o produto é acessível por menores de 16 anos, implemente ferramentas de supervisão parental — no mínimo: limitação de tempo de uso, controle de recomendações e restrição de contatos.
Passo 5: Atualizar política de privacidade
A política de privacidade deve informar claramente quais mecanismos de verificação de idade são usados, quais dados são coletados para esse fim e por quanto tempo são mantidos.
Passo 6: Elaborar a Avaliação de Impacto
Inclua a verificação de idade na Avaliação de Impacto de Proteção de Dados (AIPD), documentando os riscos da tecnologia escolhida e as medidas de mitigação adotadas.
Passo 7: Monitorar orientações da ANPD
Acompanhe a Tomada de Subsídios prevista para abril de 2026 e as orientações definitivas previstas para agosto. Ajuste a implementação conforme as diretrizes publicadas.
O que outros países estão fazendo
O Brasil não está sozinho nesse desafio. A comparação internacional ajuda a entender para onde a regulação está caminhando.
Reino Unido: a Ofcom, regulador de comunicações, publicou os Protection of Children Codes of Practice com mais de 40 medidas práticas. A autodeclaração foi explicitamente descartada como mecanismo eficaz. Os métodos considerados "altamente eficazes" incluem verificação bancária, comparação com documento de identidade, estimativa facial e carteiras digitais de identidade. As penalidades podem chegar a 10% da receita global.
Estados Unidos: a FTC atualizou as regras do COPPA (Children's Online Privacy Protection Act) em 2025. Os métodos aceitos de consentimento parental verificável incluem autenticação por conhecimento, videochamada, assinatura digital e comparação facial com documento. A atualização adicionou suporte a face-match e métodos baseados em mensagem de texto.
França: a CNIL publicou padrão técnico para verificação de idade em provedores de conteúdo adulto. A multa por descumprimento pode chegar a 150.000 euros ou 2% do faturamento global na primeira infração.
União Europeia: o projeto euCONSENT desenvolveu o sistema AgeAware, baseado em tokens anônimos reutilizáveis com prova de conhecimento zero. O sistema entrou em operação em novembro de 2025 e representa a direção que a regulação europeia está seguindo.
A tendência global é clara: autodeclaração não é mais aceita, métodos baseados em privacidade (ZKP, tokens) são o futuro, e a fiscalização está se intensificando em todas as jurisdições.
Conclusão
A verificação de idade é um problema técnico sem solução perfeita — mas a ausência de solução perfeita não é justificativa para não agir. A ANPD sabe disso e por isso estabeleceu um cronograma escalonado: o que ela espera agora não é perfeição, mas progresso demonstrável.
As empresas que documentarem sua análise de risco, escolherem métodos proporcionais e implementarem controles parentais estarão em posição muito mais favorável do que as que simplesmente mantiverem o checkbox de autodeclaração e esperarem a fiscalização chegar.
O prazo para começar não é 2027. É agora.
O Confidata ajuda sua organização a documentar mecanismos de verificação de idade na Avaliação de Impacto (AIPD) e a manter evidências de conformidade com o ECA Digital e a LGPD. Conheça a plataforma.
Artigos relacionados
Quer ir além? Conheça o Confidata
Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.