Hoje, 17/03/2026, o ECA Digital entra em vigor. Mas a pergunta mais importante não é o que muda. A pergunta real é outra: quantas empresas perceberam que seus produtos, do jeito que estão hoje, podem simplesmente se tornar ilegais a partir de agora?
E mais: quantas organizações ainda tratam proteção de crianças como um item de política, quando ela acaba de se transformar em um problema de arquitetura de produto?
O Estatuto Digital da Criança e do Adolescente (Lei nº 15.211/2025, com vigência definida pela Lei nº 15.352/2026) não cria apenas uma obrigação legal. Ele desloca o centro de gravidade da responsabilidade.
Sua maior inovação talvez seja esta:
a proteção infantojuvenil deixou de ser apenas tema jurídico e passou a ser tema de produto, dados, design, governança e monetização.
Em outras palavras: o debate saiu do PDF e entrou no código.
No enforcement, a ANPD ocupa posição central. O decreto regulamentador a designa como autoridade administrativa autônoma do ECA Digital e disciplina a execução de ordens judiciais de bloqueio, com participação da Anatel na distribuição e do CGI.br em ordens relacionadas à resolução “.br”. Mais do que isso: a própria ANPD já vinha monitorando medidas adotadas por empresas, em clara sinalização de fiscalização responsiva.
E existe um dado que desmonta qualquer tentativa de dizer “isso não é comigo”: 93% da população de 9 a 17 anos usa internet no Brasil. Ou seja: a infância e a adolescência já estão dentro do ecossistema digital. A dúvida não é mais se elas acessam, mas se as empresas estão preparadas para responder por isso.
O ECA Digital puxa o fio da economia da atenção e expõe uma contradição incômoda: quando a plataforma otimiza para tempo, impulsiona para alcance e monetiza por perfil, crianças e adolescentes se tornam o alvo perfeito.
É justamente por isso que a lei não fica na superfície. Ela entra onde dói: produto, dados, publicidade, governança e modelo de negócio.
O ECA Digital é menos uma “lei de internet” e mais uma lei de engenharia de risco.
Seu escopo é amplo e, na prática, extraterritorial. Ele se aplica a produtos e serviços direcionados a crianças e adolescentes no Brasil, ou de acesso provável por eles, independentemente de onde estejam localizados, desenvolvidos, fabricados, ofertados ou operados.
E “acesso provável” abrange atratividade, facilidade de acesso e risco relevante ao desenvolvimento, à privacidade e à segurança, especialmente em serviços com interação e compartilhamento em larga escala.
Esse ponto é decisivo porque derruba uma defesa clássica do mercado: não basta dizer que o produto não foi feito para crianças. Se crianças entram, interagem, consomem e se expõem ali, o problema regulatório já começou.
A lei exige medidas razoáveis desde a concepção e durante a operação para prevenir e mitigar exposição, recomendação ou facilitação de contato com conteúdo e práticas como exploração e abuso sexual, violência, assédio, indução à automutilação ou ao suicídio, promoção de apostas, álcool, tabaco, pornografia e publicidade predatória.
É o dever de prevenção e mitigação de riscos por design. É o que chamarei aqui de proteção da infância por design ou children’s rights by design.
Além disso, os serviços devem oferecer, por padrão, a configuração mais protetiva disponível. Se houver alternativa menos protetiva, a escolha precisa ser informada de forma clara e acessível.
Não é exatamente uma ruptura conceitual. Mas é a aplicação concreta de algo que muita empresa adora citar e pouca empresa realmente implementa: proteção e privacidade por padrão.
Há ainda uma obrigação expressa de desenvolver e adotar configurações que evitem o uso compulsivo por crianças e adolescentes.
Traduzindo sem eufemismo: o uso excessivo deixou de ser estratégia de crescimento das plataformas e passou a ser risco jurídico.
Outro ponto central é a vedação ao acesso de menores a conteúdo ou serviço impróprio, inadequado ou proibido, com exigência de mecanismos confiáveis de verificação de idade e rejeição da mera autodeclaração, sobretudo em fluxos de acesso a conteúdo restritos.
Aqui reside uma das maiores tensões do novo regime.
A obrigação legal já existe. A solução tecnológica ideal, ainda não. E isso importa muito.
Porque o mercado inteiro fala em verificação etária com uma segurança que não possui. Há enormes dúvidas práticas sobre como plataformas implementarão isso de forma eficaz, proporcional e compatível com minimização de dados. O problema normativo veio antes da resposta técnica madura. E talvez esse seja um dos temas mais litigiosos dos próximos meses.
Mais do que exigir controles das plataformas, a lei distribui responsabilidade pelo ecossistema. Lojas de aplicativos e sistemas operacionais devem adotar medidas proporcionais, auditáveis e tecnicamente seguras para aferir idade ou faixa etária e fornecer sinal de idade via API, com minimização de dados e vedação de compartilhamento contínuo e irrestrito. Já os apps e serviços precisam implementar seus próprios mecanismos e medidas organizacionais para usar essas informações e impedir acesso indevido.
Além disso, os dados coletados para verificação de idade só podem ser utilizados para essa finalidade. Aqui aparece um dos paradoxos mais sofisticados do ECA Digital: a empresa precisa saber a idade sem transformar isso em novo pretexto para coletar dados em excesso.
A lei também exige controles parentais reais: configurações acessíveis, informações claras, funcionalidades de limitação e monitoramento de tempo, restrição de compras e identificação de perfis adultos com quem o menor se comunica.
E vai além: proíbe interfaces desenhadas para enfraquecer esses controles. Em linguagem simples: dark pattern aplicado à supervisão parental entrou na zona de risco jurídico.
No universo dos jogos eletrônicos, o impacto é particularmente sensível. Loot boxes são vedadas em jogos direcionados a menores ou de acesso provável por eles. Em jogos com interação por texto, áudio, vídeo ou troca de conteúdo, há exigência reforçada de salvaguardas e limitação por padrão para assegurar consentimento parental.
Na publicidade, a virada também é profunda. É vedado o uso de técnicas de perfilamento para direcionar publicidade comercial a crianças e adolescentes, assim como o uso de análise emocional e tecnologias imersivas para esse fim. No caso das redes sociais, a vedação alcança inclusive a criação de perfis comportamentais para direcionamento publicitário com base em dados obtidos na verificação de idade.
Isso é redirecionamento de modelo de negócios. Na prática, parte do mercado terá de migrar de publicidade comportamental para publicidade contextual, segmentação etária minimizada e governança muito mais rigorosa.
Também é vedado monetizar ou impulsionar conteúdos que retratem crianças e adolescentes de forma erotizada, sexualmente sugestiva ou inserida em contexto sexual adulto.
Na moderação, a lógica é “retira e explica”. Conteúdo violador deve ser removido quando comunicado por vítima, representantes, Ministério Público ou entidades legitimadas, sem necessidade de ordem judicial, respeitados requisitos formais e a exceção para conteúdo jornalístico submetido a controle editorial.
Ao mesmo tempo, deve haver possibilidade de contestação e recurso, com motivação da decisão e indicação se houve análise humana ou automatizada.
Isso significa que o modelo de moderação não pode mais ser apenas rápido. Ele precisa ser rápido, justificável e auditável.
Para grandes plataformas, há ainda obrigação de relatório semestral em português, com dados sobre denúncias, moderação, medidas de identificação de contas infantis e resultados de avaliações de impacto e gestão de riscos.
Ou seja: quem tem escala não precisará apenas cumprir. Precisará demonstrar que cumpre. É compliance digital por meio de accountability.
Outro ponto fundamental é não cair no erro de ler o ECA Digital como se fosse uma lei voltada apenas a redes sociais. Essa é, talvez, a leitura mais perigosa de todas.
Ele atinge plataformas e redes, sim. Mas também alcança apps e serviços digitais “não sociais”, como fintechs, e-commerce, delivery, educação, saúde e atendimento, sempre que houver acesso provável por menores.
Na prática, isso significa que marketplaces e deliverys de álcool, cigarros e produtos eróticos precisam verificar idade no cadastro ou na compra e bloquear automaticamente fluxos incompatíveis. Plataformas de apostas devem impedir cadastro e acesso. Conteúdo pornográfico demanda verificação robusta e remoção de contas de menores. Buscadores devem ocultar ou sinalizar conteúdos sexualmente explícitos e exigir verificação para desbloqueio. Serviços de streaming precisam observar classificação indicativa e oferecer mecanismos de bloqueio e supervisão parental.
Nos jogos, a leitura também precisa ser adulta. Chat aberto por default, interação irrestrita e monetização baseada em vulnerabilidade ficaram muito mais difíceis de sustentar juridicamente.
Até o varejo físico entra na conversa. Equipamentos com acesso à internet passam a demandar adesivo informativo em português sobre proteção de menores contra acesso a sites impróprios, conforme regulamentação.
Para pequenas empresas, a lógica central será escopo e risco. É preciso mapear acesso provável e implementar o mínimo defensável: verificação etária nos fluxos críticos, padrões protetivos por default, canal de denúncia, trilhas de registro.
Para grandes empresas, o problema é outro: escala, prova e auditabilidade. Não bastará ter controles. Será necessário demonstrar consistência, governança e números que fechem.
No campo sancionatório, multa é só a camada mais visível. O ECA Digital prevê advertência, multa relevante, suspensão e proibição de atividades. E a execução de certas medidas judiciais pode alcançar a própria infraestrutura, com ordens dirigidas a operadoras, IXPs, resolvedores de domínio e agentes de conexão.
Nos bastidores, há ainda um ingrediente importante de litigiosidade: o descompasso entre o veto legal relacionado à competência da Anatel para encaminhar ordens de bloqueio e o papel operacional que o decreto regulamentador lhe atribui. Esse ponto tem tudo para gerar disputa institucional e judicial em casos sensíveis.
No fim, vale voltar às perguntas do início. Poucas empresas perceberam o que está acontecendo.
Não por falta de inteligência.
Mas por erro de leitura estratégica.
O mercado ainda opera sob a ilusão de que regulação digital se resolve apenas com documentos e um jurídico reativo, mas o ECA Digital encerra essa fase. Ele exige que o produto e não apenas o documento seja compatível com a lei.
Mais do que isso: ele testa a maturidade do ecossistema digital brasileiro.
A partir de agora, há uma linha clara: de um lado, empresas que constroem produtos responsáveis. Do outro, empresas que ainda dependem de vulnerabilidade, assimetria informacional e design persuasivo para crescer.
Essa diferença vai aparecer: Na fiscalização. No contencioso. Na reputação. Ou no caixa.
Se há uma síntese possível, é esta: não basta cumprir a lei. é preciso codificá-la no produto.
Quem entender isso agora, ajusta arquitetura, dados e modelo de negócio com inteligência.
Quem não entender…vai descobrir, da pior forma possível, que no novo ambiente regulatório brasileiro não é o jurídico que salva o produto. É o produto que precisa salvar o jurídico.
