ECA Digital: o que muda para empresas com a entrada em vigor da Lei nº 15.211/2025

O Estatuto Digital da Criança e do Adolescente (ECA Digital) entrou em vigor em 17 de março de 2026. Com isso, as empresas que atuam no ambiente digital passaram a conviver com novas exigências de produto, governança e operação no Brasil. 

A nova lei atualiza, para o ambiente digital, a lógica de proteção já presente no Estatuto da Criança e do Adolescente. O foco passa a ser incorporar a prevenção de riscos, privacidade e segurança desde a concepção dos produtos e serviços digitais, sempre à luz do melhor interesse de crianças e adolescentes. 

A norma também amplia significativamente a responsabilidade de fornecedores de produtos e serviços digitais, que passam a assumir papel ativo na mitigação de riscos e na proteção de usuários menores de 18 anos. 

A quem o ECA Digital se aplica 

O ECA Digital aplica-se a fornecedores de produtos ou serviços de tecnologia da informação voltados a crianças e adolescentes ou com provável acesso por esse público no Brasil.  

A noção de “acesso provável” é central para o enquadramento e abrange serviços que, embora não sejam voltados a menores, provavelmente serão usados por esse público. Para avaliar esse critério, consideram-se: (i) a atratividade do serviço para o público infantojuvenil; (ii) a facilidade de acesso e uso; e (iii) a possibilidade de exposição a riscos de privacidade, segurança ou desenvolvimento biopsicossocial.  

Empresas estrangeiras também estão sujeitas à lei sempre que seus serviços estiverem disponíveis no território nacional. 

Parte das obrigações varia conforme as características e funcionalidades do serviço, o grau de interferência do fornecedor sobre o conteúdo, o número de usuários e o porte do agente econômico. 

O alcance da lei vai além de big techs e redes sociais. Na prática, ela pode afetar fornecedores de: 

• aplicações de internet; 
• sistemas operacionais; 
• lojas de aplicativos; 
• jogos eletrônicos; 
• apps de educação; 
• plataformas de vídeo e streaming; 
• marketplaces com áreas de interação ou publicidade; 
• plataformas com conteúdo gerado por usuário; 
• fabricantes ou importadores de dispositivos com acesso à internet; e 
• serviços com IA conversacional acessíveis a menores.  

Principais obrigações do ECA Digital para plataformas e serviços digitais 

Para as empresas, o ECA Digital afeta decisões concretas sobre cadastros, publicidade, sistemas de recomendação, controles parentais, moderação e o desenho de interface. A seguir, resumimos os pontos que tendem a exigir mais atenção: 

• Verificação de idade: A lei exige mecanismos confiáveis de verificação de idade, sendo vedada a autodeclaração. Para conteúdos, produtos ou serviços impróprios, inadequados ou proibidos para menores, devem ser adotadas medidas eficazes para impedir o acesso, com uso de dados limitado à verificação da idade. Para lojas de aplicativos e sistemas operacionais, a norma também prevê medidas proporcionais, auditáveis e tecnicamente seguras de aferição de idade ou faixa etária.  A implementação ocorrerá em duas etapas, conforme cronograma divulgado pela ANPD em março de 2026. A primeira fase será voltada ao monitoramento imediato de lojas de aplicativos e sistemas operacionais. A segunda, prevista para agosto de 2026, estenderá as diretrizes aos demais setores após a consolidação das orientações preliminares da Autoridade. 
• Supervisão parental: A lei exige a disponibilização de ferramentas acessíveis a pais e responsáveis, como controle de tempo de uso, restrição de geolocalização, limitação de interações com outros usuários, limitação de transações financeiras e gestão de privacidade. Ao menos em redes sociais, contas de crianças e adolescentes de até 16 anos devem estar vinculadas à conta de um dos responsáveis legais. 
• Configurações padrão protetivas e prevenção de uso compulsivo: A lei exige configuração padrão no nível mais protetivo de privacidade e proteção de dados, em linha com a faixa etária e os riscos envolvidos. Também exige, desde a concepção, medidas que evitem uso excessivo ou compulsivo, incluindo práticas manipulativas de interface, como autoplay, rolagem contínua sem pontos naturais de parada, recompensas por tempo de uso e notificações excessivas.  
• Proibição de caixas de recompensa (loot boxes) e salvaguardas em jogos eletrônicos: A lei proíbe a disponibilização de caixas de recompensa (loot boxes) em jogos direcionados, ou com acesso provável, a crianças e adolescentes. Além disso, plataformas de jogos com interação entre usuários devem adotar camadas adicionais de segurança, como moderação ativa de conteúdo, proteção contra contatos potencialmente nocivos e ferramentas de consentimento dos responsáveis para funcionalidades de comunicação. 
• Moderação e remoção de conteúdo: A lei impõe deveres reforçados de detecção, tratamento e resposta a conteúdos que violem direitos de crianças e adolescentes. Em relação a conteúdos de aparente exploração ou abuso sexual, sequestro e aliciamento, os provedores devem adotar medidas de remoção imediata e comunicação às autoridades competentes. Já para outras violações de direitos de crianças e adolescentes, a norma prevê tratamento prioritário das notificações apresentadas por legitimados, com célere avaliação e adoção das medidas cabíveis. 
• Publicidade e monetização: A lei veda o uso de técnicas de perfilamento para direcionar publicidade comercial a crianças e adolescentes, bem como o uso de análise emocional e de tecnologias imersivas para esse fim. 
• Classificação indicativa e transparência: É obrigatório informar de forma clara a classificação indicativa, isto é, a faixa etária adequada ou recomendada, e garantir compatibilidade entre conteúdo e classificação. 
• Relatórios de transparência: Provedores com mais de 1 milhão de usuários menores de 18 anos registrados devem publicar relatórios semestrais com dados sobre moderação, denúncias, riscos e medidas adotadas. 
• Representação legal no Brasil: Empresas estrangeiras sujeitas à lei devem manter representante legal no Brasil com poderes para receber citações, intimações e notificações em processos judiciais e administrativos. 

O descumprimento dessas obrigações pode gerar sanções relevantes, como advertência e multa simples de até 10% do faturamento do grupo econômico no Brasil no último exercício, até o limite de R$ 50 milhões por infração. Não havendo faturamento, a multa pode variar de R$ 10 a R$ 1.000 por usuário cadastrado, observado o mesmo limite máximo. Também pode haver suspensão temporária das atividades e proibição do exercício das atividades. 

Na prática, o ECA Digital exige uma abordagem mais ampla de conformidade. Para muitas empresas, a adequação irá além da revisão documental e demandará ajustes no produto, nos fluxos de uso, nos mecanismos de controle e nos processos operacionais. 

No plano operacional, será necessário implementar ou aprimorar mecanismos de verificação de idade, supervisão parental, moderação de conteúdo e gestão de riscos com avaliação de impacto. A avaliação deve considerar a exposição a conteúdo inadequado, uso compulsivo, coleta excessiva de dados, sistemas de recomendação e interações entre usuários. Em soluções de IA que geram conteúdo ou interagem por linguagem natural, também ganha relevância a transparência sobre automação, a análise de risco algorítmico e as salvaguardas contra manipulação comportamental. 

O que fazer para assegurar conformidade com o ECA Digital 

A adequação ao ECA Digital exige incorporar a proteção de crianças e adolescentes a produtos e serviços desde a sua concepção. Em geral, os temas mais sensíveis aparecem em cadastros, publicidade, recomendação de conteúdo, controles parentais, moderação e interface. 

Para assegurar a adequação, as seguintes ações são recomendadas:  

1. Mapear os produtos e serviços ofertados ou acessíveis no Brasil, bem como suas funcionalidades, e documentar seu enquadramento no escopo do ECA Digital. 
2. Analisar as jornadas de uso, características e funcionalidades desses produtos e serviços, incluindo acesso, cadastro, login, conteúdo, interação, publicidade, sistemas de recomendação, transações, geolocalização e IA. 
3. Documentar as lacunas identificadas, os riscos relevantes, os controles existentes e os que ainda precisam ser implementados. 
4. Estruturar um plano de ação, com responsáveis, prazos, dependências e fases de implementação. 
5. Elaborar ou atualizar políticas, matrizes, procedimentos operacionais, critérios de classificação e regras de controle. 
6. Implementar as medidas técnicas e operacionais priorizadas, com foco em verificação etária, configurações protetivas por padrão, supervisão parental, moderação, publicidade, design, jogos e IA. 
7. Registrar e organizar evidências das medidas adotadas, preservando testes, logs, aprovações, relatórios e registros de implementação. 
8. Estabelecer e manter monitoramento contínuo e revisão periódica, com indicadores, critérios para reavaliação e atualização dos controles. 

Antecipar esse trabalho ajuda a reduzir exposição regulatória e, ao mesmo tempo, torna a implementação mais organizada e eficiente.