Entenda como o ECA Digital redefine a responsabilidade das plataformas

A internet não foi projetada para crianças. Ela foi construída por adultos, para adultos, com uma arquitetura de incentivos voltada ao engajamento máximo e à coleta ilimitada de dados. Durante décadas, o ordenamento jurídico brasileiro assistiu a essa expansão com instrumentos reativos, intervindo apenas quando o dano já estava consumado. A Lei nº 15.211/2025 — batizada como ECA Digital — representa uma virada histórica: pela primeira vez, o Estado brasileiro impõe às plataformas digitais o dever de proteger crianças e adolescentes não depois que o mal está feito, mas antes que ele ocorra.

O impacto dessa mudança vai muito além do compliance técnico. Ela reconfigura a lógica de responsabilidade corporativa, obriga setores inteiros a repensarem seus modelos de negócio e coloca os departamentos jurídicos no centro de uma transformação estrutural que se aproxima em ritmo acelerado. Com vigência prevista para 17 de março de 2026 e regulamentação ainda incompleta, a lei já exige posicionamento imediato.

O Marco Civil da Internet, em vigor desde 2014, consolidou um modelo que, em essência, protegia as plataformas. A responsabilização era condicionada ao descumprimento de ordem judicial de remoção, e o dever geral de monitoramento não existia. A LGPD avançou no tratamento de dados, mas manteve seu escopo restrito à privacidade. Com o ECA Digital, esse equilíbrio se desfaz — e a mudança é estrutural.

João Pedro Drummond, criminalista e sócio do Drummond & Nogueira Advocacia Penal, sintetiza a ruptura: "O ECA Digital não é uma mera extensão do Marco Civil da Internet ou da LGPD; ele instaura uma verdadeira ruptura no paradigma de responsabilização das empresas de tecnologia." Enquanto o Marco Civil consagrou um modelo essencialmente reativo, o ECA Digital, segundo Drummond, "impõe o dever de prevenção ativa", com base na exigência do Safety by Design.

Na prática, portanto, o jurídico das empresas precisa deixar a atuação estritamente contenciosa para assumir um papel preventivo. Aline Perazzo do Amaral Veroneze Silva, advogada do Arruda Alvim & Thereza Alvim Advocacia e Consultoria Jurídica, aponta que o novo modelo se caracteriza "pela adoção de medidas proativas com um regime de responsabilidade preventiva, estrutural e orientado ao risco, fundado no dever de cuidado reforçado". Assim, as sanções independem de provocação judicial prévia e podem decorrer de falhas estruturais de prevenção.

Um dos pontos mais sensíveis do ECA Digital é o critério de enquadramento. A lei não se limita a plataformas declaradamente voltadas ao público infantil — ela incide sobre qualquer serviço ou produto digital com "acesso provável" por menores. Esse conceito tem alcance amplo e pode surpreender empresas que jamais se pensaram nessa categoria, especialmente aquelas com grandes bases de usuários generalistas.

Para Alan Campos Thomaz, especialista em direito digital e sócio do Campos Thomaz Advogados, essa é uma das questões de maior atenção jurídica da lei. Thomaz adverte que "a análise deve ser constante e probabilística: se há risco potencial de acesso por menores, a plataforma já pode estar sujeita à regulamentação, independentemente do seu público declarado." Além disso, ele recomenda a postura mais conservadora: "Presumir apenas o não acesso não é uma boa estratégia."

Laura Nanini Batista, advogada de direito digital e compliance na Lopes & Castelo Sociedade de Advogados, reforça esse raciocínio ao destacar que o conceito "não depende somente de uma intenção declarada do fornecedor quanto ao público-alvo, mas da suficiente probabilidade de uso e atratividade". Diante disso, ela recomenda o monitoramento contínuo do perfil etário da base de usuários e a documentação das providências adotadas. O enquadramento involuntário é, portanto, um risco concreto e imediato para empresas de todos os segmentos.

A territorialidade nunca foi um escudo eficaz no direito digital brasileiro, e o ECA Digital consolida essa lógica com clareza. A lei incide sobre produtos e serviços oferecidos ou acessíveis no Brasil, independentemente da localização da sede. Para grupos econômicos com estruturas internacionais, isso significa que a filial brasileira responde diretamente perante as autoridades nacionais — e não está sozinha nessa exposição.

Drummond esclarece que "a filial estabelecida no Brasil responde integralmente pelas infrações e sanções aplicadas em decorrência das operações da matriz estrangeira no ambiente digital nacional". Mesmo que a operação da filial seja formalmente restrita a atividades acessórias, ela funciona como "garantidora do cumprimento da legislação protetiva", com seu patrimônio respondendo de forma direta pelas violações da plataforma global.

Thomaz acrescenta que a sistemática adotada "segue o mesmo modelo já consolidado no Marco Civil da Internet, na LGPD e em outras legislações similares: a filial brasileira é o alvo principal da fiscalização, mas a base de cálculo das sanções considera o grupo econômico como um todo". Consequentemente, a matriz estrangeira precisará estar alinhada às políticas de conformidade brasileiras, sob pena de expor todo o conglomerado a responsabilizações no país.

A regulamentação que definirá quais mecanismos de verificação de idade serão aceitos ainda não foi publicada, mas o prazo de adequação já está em curso. Essa assimetria entre a vigência da lei e a ausência de norma técnica específica cria um dilema jurídico real para as empresas: como cumprir uma obrigação cujos contornos ainda não foram plenamente definidos? A resposta dos especialistas converge em uma direção.

Drummond é direto: "A inércia regulatória não suspende a eficácia da lei nem exime as plataformas de responsabilidade." A orientação é pautar o posicionamento corporativo pelo "princípio do melhor esforço e pela adoção do estado da arte disponível no mercado", com base em diretrizes internacionais já consolidadas, como as da União Europeia e do Reino Unido.

Laura Nanini Batista defende a postura preventiva e destaca a centralidade da documentação: "A empresa deve adotar postura preventiva, implementando modelo provisório de verificação etária que seja proporcional, auditável e seguro." Além disso, ela deve estar preparada para se adequar rapidamente quando a regulamentação definitiva for publicada. Thomaz complementa o argumento ao alertar que "empresas que aguardaram a regulamentação para agir estarão em posição mais vulnerável do que aquelas que demonstrarem esforço proativo de adequação".

A verificação de idade implica, necessariamente, algum grau de tratamento de dados pessoais. Isso levanta uma pergunta inevitável para os jurídicos das plataformas: como conciliar essa nova obrigação com os princípios de minimização de dados impostos pela LGPD? A tensão aparente, porém, tem solução jurídica clara e está endereçada na própria letra da lei.

Veroneze Silva esclarece que "não há que se falar em conflito normativo", pois "a própria Lei nº 15.211/2025 determina expressamente que os mecanismos para aferição de idade devem observar os princípios da LGPD, inclusive da minimização de dados". Além disso, o artigo 13 do ECA Digital "veda a utilização dos dados coletados para qualquer outra finalidade que não seja a verificação da idade".

Drummond propõe caminhos técnicos concretos para esse equilíbrio. Segundo ele, as plataformas devem "priorizar tecnologias de estimativa de idade em detrimento da verificação de identidade completa", adotando arquiteturas em que "a análise do dado ocorre localmente no dispositivo do usuário e é imediatamente descartada após a validação". Thomaz aponta na mesma direção, destacando que "o princípio da privacidade por padrão aponta para soluções técnicas que verificam sem acumular dados desnecessários".

Durante anos, a autodeclaração de maioridade foi o padrão do mercado. Bastava marcar uma caixa, concordar com os termos de uso, e a plataforma estava formalmente coberta. O ECA Digital encerra essa era — mas sem punir o passado. Para as empresas que operam com contas de usuários já cadastradas, porém, o alívio com a irretroatividade deve ser lido com cautela.

Veroneze Silva esclarece que "a prática da autodeclaração anterior à vigência do ECA Digital era considerada lícita", portanto "não há que se falar em ilicitude retroativa". Thomaz confirma: "Condutas anteriores a essa data não são abrangidas pela nova legislação." O risco, portanto, não é retroativo — mas é prospectivo e imediato.

Drummond, contudo, faz um alerta decisivo sobre as bases de dados existentes: "A manutenção de usuários em perfis ativos, cuja idade foi validada unicamente pela autodeclaração prévia, passará a configurar uma infração continuada a partir do momento em que a nova lei entrar em vigor." Assim, as empresas precisarão realizar campanhas obrigatórias de reverificação de suas bases legadas. Ignorar esse ponto pode transformar uma conta histórica em um passivo regulatório ativo — e de alto custo.

O ECA Digital não criou um único fiscal. Enquanto a ANPD concentra a competência central sobre a aplicação da lei, a SENACON mantém sua atuação autônoma com base no Código de Defesa do Consumidor. Essa sobreposição de jurisdições não é meramente teórica — ela configura um dos riscos mais complexos e subestimados do novo regime regulatório.

Drummond alerta que "o risco de dupla autuação administrativa pelo mesmo fato é uma realidade concreta no cenário regulatório brasileiro". Na prática, os dois órgãos "frequentemente invocam bens jurídicos distintos — a privacidade de um lado e a segurança e saúde do consumidor do outro — para justificar processos punitivos paralelos".

Thomaz reconhece o risco, mas identifica sinais positivos de coordenação institucional: "A ANPD aparenta estar fazendo bem esse trabalho de coordenação." Ainda assim, a hipótese de autuações paralelas não pode ser descartada. Batista recomenda, por isso, "um programa de compliance integrado voltado à proteção de dados pessoais no contexto do ECA Digital e à proteção do consumidor, com mapeamento de riscos, documentos comprobatórios e estratégia de defesa coordenada". A governança unificada, portanto, deixou de ser um diferencial para se tornar uma necessidade operacional.

A sanção máxima prevista pelo ECA Digital — multa de até 10% do faturamento do grupo econômico no Brasil, limitada a R$ 50 milhões por infração — não é automática. Sua graduação segue critérios legais que, ao mesmo tempo, indicam o caminho mais eficaz da defesa preventiva. Entender essa dosimetria é, portanto, uma vantagem estratégica concreta.

Veroneze Silva lista os critérios estabelecidos pela lei: "gravidade da infração, a natureza dos direitos afetados da criança e do adolescente, a vantagem auferida ou pretendida pelo infrator, a condição econômica do grupo econômico, a reincidência, o grau de cooperação do infrator, a adoção de mecanismos e procedimentos internos de prevenção e mitigação de riscos e a boa-fé e diligência demonstradas no cumprimento da lei."

Drummond destaca que "a ausência de mecanismos preventivos atua como um fator de agravamento, enquanto a comprovação de boa-fé objetiva, a cooperação com as autoridades e a pronta adoção de medidas corretivas operam como atenuantes diretos na gradação da penalidade". Dessa forma, a melhor defesa jurídica é, também, a mais estratégica: documentar exaustivamente a arquitetura de conformidade, implementar auditorias técnicas independentes e manter registros sobre a eficácia das ferramentas adotadas.

Nem todos os setores chegam ao ECA Digital em igual nível de preparação. A lei impacta de forma distinta cada modelo de negócio, e a avaliação dos especialistas revela um cenário diferenciado — com riscos específicos para cada segmento. Três setores concentram a maior atenção: jogos eletrônicos, apostas online e streaming.

Drummond e Veroneze Silva apontam o setor de jogos eletrônicos como o mais vulnerável. Drummond justifica: "O epicentro do risco para o setor de jogos reside na colisão frontal da nova lei com o seu modelo central de monetização." As restrições às loot boxes e a proibição de publicidade comportamental "demandam uma reengenharia profunda no design dos produtos e na lógica algorítmica de faturamento".

Thomaz, por sua vez, aponta o setor de apostas online como o mais preocupante, pela combinação de "modelo de negócio baseado em risco financeiro, histórico recente de expansão acelerada sem maturidade regulatória e público reconhecidamente vulnerável". Batista confirma: "O setor de apostas online pode estar mais exposto, tendo em vista a vedação ao acesso por menores, o que eleva o risco de fiscalização rigorosa e sanções severas." Já o streaming, para os quatro especialistas, encontra-se em posição relativamente mais confortável — mas não isenta de desafios relacionados a algoritmos de recomendação e publicidade direcionada.

O ECA Digital não surgiu no vácuo. Ele integra uma tendência global de regulação das plataformas com foco na proteção de menores, ao lado do Digital Services Act europeu e do Online Safety Act britânico. Para empresas que operam em múltiplas jurisdições, esse alinhamento conceitual representa, ao mesmo tempo, uma vantagem operacional e uma armadilha específica do modelo brasileiro.

Veroneze Silva reconhece a convergência normativa, mas aponta uma diferença importante: "O legislador brasileiro adotou uma versão mais assertiva e prescritiva da regulação de plataformas com foco em menores." Para empresas globais que já operam em conformidade com o DSA e o OSA, isso pode "funcionar como catalisador de harmonização regulatória e permitir a consolidação de modelos globais de compliance by design".

Thomaz, contudo, levanta um alerta que vai além do compliance imediato: "Novos produtos e serviços tendem a ser lançados primeiro em jurisdições de regulação mais flexível, chegando ao Brasil apenas em momento posterior, quando as soluções já estiverem validadas comercialmente." Esse movimento, segundo ele, "afeta diretamente a inovação e o acesso a novos serviços no país" — um efeito colateral que legisladores e reguladores deverão monitorar. O desafio do ECA Digital, portanto, não é apenas proteger crianças e adolescentes: é fazê-lo sem transformar a proteção em isolamento tecnológico progressivo.