17/4/2026
O ECA Digital (Lei nº 15.211/2025) entrou em vigor em 17 de março de 2026 e trouxe uma mudança estrutural para qualquer empresa que ofereça produtos ou serviços digitais acessíveis a crianças e adolescentes. A autodeclaração de idade, aquele clássico “confirmo que tenho mais de 18 anos”, deixou de ser um mecanismo válido.
Para orientar o mercado nessa transição, a Agência Nacional de Proteção de Dados (ANPD) publicou, em 20 de março de 2026, as Orientações Preliminares sobre Mecanismos Confiáveis de Aferição de Idade. O documento não é uma norma definitiva, pois as orientações definitivas, com consulta pública, ainda estão previstas para a Agenda Regulatória 2025-2026, mas já reflete a posição institucional da ANPD e servirá de referência para programas de monitoramento e fiscalização.
O desafio que a ANPD coloca no centro do debate
Verificar a idade de um usuário exige tratar dados pessoais. E dependendo do método escolhido (verificação documental, biometria facial, análise de padrões de uso) esses dados pessoais podem ser sensíveis, sujeitos às regras mais rigorosas da LGPD.
A ANPD organiza os requisitos mínimos para os mecanismos de aferição de idade em seis eixos: (i) proporcionalidade; (ii) acurácia, robustez e confiabilidade; (iii) privacidade e proteção de dados; (iv) inclusão e não discriminação; (v) transparência e auditabilidade; e (vi) interoperabilidade. O ponto de partida e o mais relevante para o empresário neste momento é o primeiro deles: a proporcionalidade.
A lógica da proporcionalidade
As Orientações Preliminares estabelecem que a escolha do mecanismo de aferição de idade deve ser precedida de uma avaliação dupla de riscos: (i) os riscos do próprio produto ou serviço sobre a privacidade, a segurança e a saúde de crianças e adolescentes e (ii) os riscos do mecanismo de aferição de idade a ser adotado, especialmente quando envolver dados biométricos, ampliação de compartilhamento de dados pessoais ou exposição a incidentes de segurança. Ou seja, uma solução de aferição de idade que coleta e processa dados biométricos de todos os usuários de um serviço de risco moderado pode ser, ela própria, desproporcional e ilegal.
O RIPD e a avaliação de impacto de saúde: instrumentos que a ANPD indica
Nesse contexto de avaliação de proporcionalidade que as Orientações Preliminares trazem dois instrumentos relevantes e que merecem atenção especial das empresas.
O primeiro é o Relatório de Impacto à Proteção de Dados Pessoais (RIPD), previsto no art. 38 da LGPD. As Orientações indicam o RIPD como ferramenta adequada para identificar e avaliar os riscos associados à aferição de idade do ponto de vista da privacidade, notadamente quando o tratamento puder acarretar alto risco às liberdades civis e aos direitos fundamentais dos titulares. ECA Digital vai na mesma direção, ao referenciar expressamente o RIPD em seu art. 16, parágrafo único.
O segundo instrumento, complementar ao RIPD, é a avaliação de impacto de riscos à segurança e à saúde de crianças, prevista no art. 47 do Decreto regulamentador (Decreto nº 12.880/2026). Trata-se de uma camada adicional de análise, distinta do RIPD, mas igualmente necessária em contextos de maior risco.
Um ponto de atenção importante: o RIPD ainda não tem regulamento específico aprovado pela ANPD. As Orientações Preliminares de março/2026 são, hoje, o principal parâmetro disponível. A regulamentação definitiva, com consulta pública, segue prevista para o segundo semestre de 2026. Isso não afasta a obrigação, apenas significa que as empresas que já estruturam o RIPD saem na frente, tanto regulatória quanto reputacionalmente.
O cronograma de fiscalização já começou
A ANPD anunciou um cronograma de fiscalização em duas etapas. A primeira, já iniciada, foca em lojas de aplicativos e sistemas operacionais, agentes com papel estruturante na cadeia digital, onde a atuação sobre um grupo reduzido de empresas produz efeitos amplos. A segunda etapa, prevista para agosto de 2026, ampliará o monitoramento para outros setores, com foco no nível de risco de cada produto ou serviço.
O que isso significa para as empresas
Se o negócio oferece aplicativos, plataformas, e-commerce, jogos, conteúdo educacional ou qualquer serviço digital que possa ser acessado por menores, este é o momento de responder a perguntas concretas:
- O produto pode ser acessado por crianças ou adolescentes?
- Há algum mecanismo de verificação de faixa etária? Ele é confiável e proporcional?
- Os dados pessoais coletados para essa verificação têm base legal e são usados exclusivamente para essa finalidade?
- Já foi feita uma avaliação de impacto sobre os riscos que o produto e o mecanismo de aferição representam?
A aferição de idade deixou de ser uma questão técnica e tornou-se um ponto central de governança e conformidade.
Próximo passo
A equipe de Privacidade e Proteção de Dados do L.O. Baptista está disponível para apoiar empresas na avaliação dos seus processos de verificação etária, na elaboração do RIPD e na adequação às exigências do ECA Digital.
Este material possui caráter informativo e não substitui análise jurídica específica.
Autoria de: Denise de Araujo Berzin Reupke
