O cenário jurídico brasileiro para o setor de tecnologia passou por uma transformação tectônica em setembro de 2025 com a sanção da Lei nº 15.211/2025, o chamado ECA Digital. Para as empresas essa lei não é uma norma isolada, mas o elo que faltava para fechar o cerco de responsabilidade civil e administrativa iniciado pela LGPD (Lei Geral de Proteção de Dados) e reforçado pela PNCiber (Política Nacional de Cibersegurança).
Esta nova arquitetura normativa exige que a Governança de TI saia do campo da “conformidade documental” e entre na “engenharia de valores”, onde a proteção da criança e do adolescente passa a ser um requisito não funcional obrigatório de qualquer sistema.
O fim da “Autodeclaração”
O ECA Digital ataca o coração do modelo de negócios das grandes plataformas: o engajamento e a coleta massiva de dados. A lei introduz obrigações que forçam as empresas de tecnologia a redesenhar seus algoritmos e interfaces.
Mecanismos Técnicos de Verificação (Art. 12)
Diferente da prática comum de apenas perguntar a idade, o Art. 12 exige que provedores de sistemas operacionais e lojas de aplicativos (Apple, Google) habilitem mecanismos de “sinais de idade” (age signals).
Na prática empresas como Google e Apple devem agora fornecer APIs seguras para que terceiros verifiquem se um usuário é menor, sem necessariamente compartilhar a identidade completa do indivíduo, respeitando o princípio da minimização.
Restrição Crítica à Monetização e Algoritmos (Arts. 22 e 26)
A lei veda o perfilamento comportamental para fins de publicidade direcionada a menores.
Enquanto a LGPD (Art. 14) já exigia o “melhor interesse do menor”, o ECA Digital torna essa exigência operacionalmente absoluta, proibindo o uso de análise emocional ou realidade aumentada para induzir o consumo.
Para empresas como Meta e ByteDance (TikTok), isso significa uma perda direta de receita em segmentos específicos e a necessidade de “limpar” as bases de dados de menores de qualquer tag de marketing.
A Correlação Sistêmica: ECA Digital, LGPD e PNCiber
A Governança de TI deve visualizar essas três leis como engrenagens de um mesmo motor de segurança nacional e individual.
I. A LGPD como Base de Dados e Direitos
A LGPD (Lei nº 13.709/2018) fornece os princípios (finalidade, necessidade, transparência). O ECA Digital atua como uma “especialização” da LGPD.
O DPIA (Relatório de Impacto à Proteção de Dados). Com a MP 1.317/2025, a ANPD tornou-se a agência reguladora central. Agora, um vazamento de dados de menores não é apenas um incidente de privacidade (LGPD), mas uma violação do dever de cuidado integral (ECA Digital), o que dobra o peso das sanções e a urgência de resposta.
II. O ECA Digital como Regulador de Conduta e Design
Se a LGPD cuida do “dado”, o ECA Digital cuida da “experiência”.
A lei obriga que a segurança seja configurada “por padrão” (default). Se um adolescente cria uma conta, ela deve ser privada, sem geolocalização e com filtros de busca ativados, sem que ele precise solicitar isso.
III. A PNCiber como Infraestrutura de Resiliência
A PNCiber (Decreto nº 11.856/2023) estabelece que a cibersegurança é um dever de todos para garantir a soberania nacional e a proteção dos cidadãos.
O ECA Digital exige a Remoção Expressa de conteúdos de abuso e exploração (Art. 34) sem ordem judicial em casos críticos. A PNCiber entra aqui como o arcabouço que obriga as empresas a terem SOCs (Security Operations Centers) capazes de detectar e reportar esses incidentes em tempo real às autoridades, integrando a inteligência das Big Techs com o Centro Integrado de Cibernetica Nacional.
Impactos Operacionais para Departamentos de TI
Para empresas reguladas (Anatel, Anvisa) e gigantes da tecnologia, o compliance exige quatro pilares técnicos:
- Interoperabilidade de Identidade: Implementação de soluções de Age Assurance que não violem a privacidade (como o uso de provas de conhecimento zero – Zero-Knowledge Proofs).
- Auditabilidade Algorítmica: As Big Techs deverão abrir seus “buracos negros” algorítmicos para auditorias da ANPD, provando que não estão entregando conteúdo nocivo ou viciante para menores (combate ao uso compulsivo).
- Supervisão Parental Nativa: Ferramentas de controle de tempo e gastos (combate às Loot Boxes, Art. 20) integradas ao núcleo do sistema operacional.
- SLA de Segurança: O prazo para remoção de conteúdos sensíveis passa a ser contado em horas, exigindo times de moderação (humana e IA) 24/7.
Conclusão e Sanções
O descumprimento do ECA Digital pode levar a multas de até R$ 50 milhões ou 10% do faturamento (Art. 35). Contudo, para as Big Techs, o risco reputacional e o risco de suspensão das atividades no Brasil (Art. 35, IV) são as ameaças mais potentes.
A integração entre LGPD (Privacidade), ECA Digital (Proteção Integral) e PNCiber (Segurança de Infraestrutura) cria um novo padrão de soberania digital brasileira, onde a tecnologia deve, obrigatoriamente, servir ao desenvolvimento humano e não à exploração de vulnerabilidades.
