A Agência Nacional de Proteção de Dados (ANPD) divulgou nesta sexta-feira orientações preliminares para as empresas de tecnologia se adequarem às obrigações de verificar a idade dos usuários, uma das novas obrigações impostas pelo Estatuto Digital da Criança e do Adolescente (ECA Digital). Nesse contexto, a autarquia listou seis requisitos mínimos para a adoção desse controle etário: proporcionalidade; acurácia/robustez/confiabilidade; proteção de dados pessoais; inclusão/não discriminação; transparência/auditabilidade; e interoperabilidade (veja detalhes de cada, abaixo).

Aferição etária, veto à rolagem infinita e influenciador mirim:

'Na teoria, tem mais bônus':

O ECA Digital criou regras para reforçar a proteção de menores de idade na internet. Os agentes regulamentados terão alguns meses para se adaptarem às normas — a fiscalização sobre o cumprimento delas, especialmente no que diz respeito à aferição etária, conforme o cronograma divulgado pela ANPD também nesta sexta.

Como O GLOBO mostrou esta semana, o novo conjunto de regras de proteção a menores na internet foi formulado a partir de preocupações direcionadas principalmente às redes sociais, mas abrange, como aplicativos de banco e entrega, plataformas de ensino e ambientes de venda, os chamados marketplaces, além dos jogos on-line.

Em linhas gerais, a nova lei exige que as empresas de tecnologia adotem sistemas capazes de identificar, pelo comportamento de uso, se quem acessar uma conta é adulto ou criança, e, em caso de suspeita, solicitar comprovação adicional. Entenda abaixo os seis requisitos mínimos para o cumprimento dessas obrigações, segundo a ANPD:

Proporcionalidade

A ANPD recomenda às empresas que identifiquem e avaliem os riscos associados ao seu produto ou serviço digital, especialmente quanto aos potenciais efeitos adversos sobre a privacidade, a segurança e a saúde de crianças e adolescentes. Isso envolve analisar inclusive os riscos decorrentes do próprio mecanismo de aferição de idade a ser implementado, especialmente no caso de dados biométricos.

A empresa de tecnologia deve definir uma solução técnica mais adequada depois de identificar e avaliar esses riscos, em especial quando houver o tratamento de dados biométricos. Nesse contexto, a elaboração de um Relatório de Impacto à Proteção de Dados Pessoais (RIPD) pode ser um instrumento relevante.

“A escolha do método mais adequado, portanto, não deve ser orientada apenas pela precisão do mecanismo de aferição de idade, mas também pela sua compatibilidade com os direitos dos usuários e com a exigência de proteção de dados pessoais”, recomenda a agência.

Citado entre as orientações preliminares, um relatório do Ministério da Justiça e Pública (MJSP) destaca a convergência de vários setores quanto à preferência por soluções que "minimizam a exposição de dados" e preconiza cautela com métodos baseados em biometria facial em razão de "riscos de vigilância, vieses algorítmicos e coleta de segurança excessiva de dados sensíveis".

Acurácia, robustez e confiabilidade

A ANPD recomenda que as empresas de tecnologia mensurem e documentem a precisão dos mecanismos de aferição de idade empregados, por meio de detalhes claros e específicos e reavaliações periódicas. Isso deve levar em conta “o estado da arte da tecnologia”, com o objetivo de identificar o que ficou ultrapassado e potencial de aprimoramento.

Esse requisito mínimo envolve a realização de testes e avaliações de robustez antes e ao longo do uso do mecanismo. A ANPD recomenda a adoção de medidas para identificar e mitigar riscos de burla e fraude "conhecidos ou razoavelmente previsíveis", com atenção às formas pelas quais crianças e adolescentes possam contornar esses limites.

Outra recomendação é que as empresas, antes de adotarem um mecanismo, avaliem a confiabilidade das fontes de dados que utilizarão no processo e documentem eventuais falhas e correções feitas.

criação de dados pessoais

A ANPD recomenda às empresas que incorporem no próprio desenho o mecanismo de aferição de idade a lógica de privacidade e proteção de dados. Apenas o dado ou atributo e necessário deve ser tratado na solução escolhida, sem que essa sirva de pretexto para uma coleta massiva de dados ou usos incompatíveis com a finalidade específica da verificação de idade.

“Implementar salvaguardas técnicas e organizacionais para prevenir usos e tratamentos indevidos de dados, incluindo medidas capazes de atender às vedações de rastreabilidade, uso secundário e compartilhamento contínuo e automatizado de dados pessoais”, indica a agência.

Inclusão e não discriminação

A agência destaca que as empresas devem avaliar previamente se o método adotado pode gerar barreiras desproporcionais de acesso ao produto ou ao serviço e também pode produzir efeitos discriminatórios para determinados grupos. É indicado considerar a adoção de meios alternativos ou complementares de aferição de idade quando a solução principal impactar o acesso ou o uso de pessoas ligadas a grupos vulneráveis.

"Soluções baseadas exclusivamente na avaliação de documentos oficiais, por exemplo, podem impor barreiras de acesso a refugiados ou outras pessoas em situação de vulnerabilidade social que não possuam tais documentos. Da mesma forma, fatores como limitações motoras ou cognitivas, bem como dificuldades de acesso à internet por meio de dispositivos próprios, também devem ser considerados no design dessas soluções", exemplifica a ANPD.

Transparência e auditabilidade

As empresas devem informar de forma clara, precisa e acessível especificamente o mecanismo de aferição, quais serão usados ​​para isso, quem são os agentes envolvidos e as consequências dessa verificação etária. A ANPD orienta a disponibilização de canais e procedimentos para que os usuários contestem e retifiquem a idade ou faixa etária aferida.

Além disso, a recomendação envolve a manutenção do registro das ações, decisões e garantias de integridade, rastreabilidade e possibilidade de auditoria independente do mecanismo.

“Evite o armazenamento de dados pessoais biométricos, imagens ou dados extraídos de documentos de identidade para fins de auditabilidade”, acrescenta a ANPD.

Interoperabilidade

A interoperabilidade é a capacidade de sistemas tecnológicos se comunicarem entre si por meio de formatos e padrões comuns. A ideia é reduzir, quando possível, a necessidade de repetir procedimentos, o que poderia ampliar a exposição de dados pessoais do usuário, gerar fricções desnecessárias na experiência de uso e multiplicar os pontos de coleta e tratamento de dados.

Isso é importante no caso da aferição de idade para a “coordenação do ecossistema tecnológico, inclusive entre sistemas e soluções públicas e privadas”, explica a agência.

Segundo as orientações preliminares da ANPD, as empresas devem estruturar soluções interoperáveis ​​"de modo a permitir apenas a comunicação do atributo e contribuição necessário para a finalidade pretendida". Isso significa evitar a circulação do conjunto ampliado de dados pessoais contratados para produzir a confirmação dessa idade.

Entre os exemplos de tecnologias que podem contribuir para esse objetivo estão soluções baseadas em intermediários confiáveis, credenciais verificáveis ​​ou tokens criptográficos. Nestes casos, o provedor do serviço recebe apenas a confirmação da idade, mas não acessa os dados utilizados para aferição etária.

Os limites dos fluxos de dados devem ser definidos previamente, incluindo os agentes autorizados, salvaguardas de segurança e mecanismos para impedir o compartilhamento contínuo, automatizado e irrestrito de dados pessoais.

Cronograma de implantação

Segundo o cronograma, a partir deste mês, se desenvolve a Etapa I do processo, com a divulgação de orientações preliminares para adoção de mecanismos confiáveis ​​de aferição de idade; a criação de página virtual dedicada à divulgação de esclarecimentos sobre o ECA Digital; e o monitoramento da implantação de soluções de aferição de idade em lojas de aplicações de internet e sistemas operacionais.

Os objetivos desta primeira etapa, de acordo com o despacho decisório do Conselho Diretor da ANPD, são estabelecer disposições preliminares para conferir segurança jurídica e previsibilidade àqueles que foram afetados pela nova lei. Além disso, visa à divulgação informações essenciais do texto à sociedade e ao acompanhamento da implementação adequada do sinal de idade, até para levantar informações que subsidiem a elaboração de orientações gerais da agência.

A Etapa I é complementada pela submissão à concessão de subsídios do Guia de "Fornecedores de produtos ou serviços de tecnologia da informação: escopo e obrigações gerais do ECA Digital", prevista para começar em abril. A ideia, neste caso, é contribuições técnicas da sociedade e aprimorar a colher de interpretação e aplicação da lei.

Na sequência, na Etapa II, iniciada a partir de agosto, orientações e parâmetros normativos sobre os mecanismos de aferição de idade devem ser detalhados para orientar a interpretação e a aplicação pelas empresas. O período de adaptação, em si, para que os agentes se adaptem às novas determinações vai se estender de agosto a novembro, quando então será publicada a versão atualizada dos Regulamentos de Fiscalização e Aplicação de Sanções Administrativas.

A partir de janeiro/2027, começam as ações de fiscalização. Segundo a ANPD, o objetivo é “garantir a eficácia dos agentes regulados às disposições do ECA Digital, especialmente no que diz respeito às obrigações relativas à aferição de idade, observadas as disposições previstas no Decreto e as orientações e atos normativos da ANPD”.

Veja abaixo o cronograma completo:

ETAPA I

A partir de março/2026

Divulgação de orientações preliminares para adoção de mecanismos confiáveis ​​de aferição de idade

Criação de página virtual dedicada à divulgação de esclarecimentos sobre o ECA Digital

Monitoramento da implantação de soluções de aferição de idade: lojas de aplicações de internet e sistemas operacionais

A partir de abril/2026

Submeter à Tomada de Subsídios o Guia de "Fornecedores de produtos ou serviços de tecnologia da informação: escopo e obrigações gerais da ECA Digital".

ETAPA II

A partir de 2026

Publicação de Orientações e parâmetros normativos sobre mecanismos de aferição de idade e divulgação das prioridades de monitoramento da etapa II;

Entre agosto e novembro/2026

Período de adaptação e monitoramento de implantação de soluções de aferição de idade

A partir de novembro/2026

Atualização dos Regulamentos de Fiscalização e Aplicação de Sanções Administrativas

ETAPA III

A partir de janeiro/2027

Ações de fiscalização, conforme previsto no Mapa de Temas Prioritários

Entenda a verificação de idade

Em entrevista à Voz do Brasil, o ministro dos Direitos Humanos e da Cidadania, Macaé Evaristo, afirmou que há mecanismos de percepção de sinais de identificação nas redes sociais, para identificar, por meio do padrão de uso, se quem está acessando é uma criança ou um adulto.

— No geral, se perguntava só idade. Qual é a sua idade? Você é maior de 18 anos? E aí, qualquer um pode ir lá e responder sim. Não basta só dizer sim. É preciso que ele tenha mecanismos de percepção de sinais de identificação. Se o padrão de consumo de internet é de um adulto ou se o padrão de consumo é de uma criança. Se ele vê que é de uma criança ele vai pedir mais uma forma de comprovação de que ali não é uma criança que está usando — afirmou.

O ECA Digital foi elaborado com a participação da sociedade civil, especialistas e das próprias empresas de tecnologia e é tratado pelo governo como um marco regulatório inédito para o ambiente online. A busca pela legislação adaptar princípios já previstos no Estatuto da Criança e do Adolescente ao mundo digital, onde, segundo dados relatados pelo ministério, 93% dos brasileiros entre 9 e 17 anos estão presentes.

A nova norma estabelece uma série de obrigações para as plataformas, incluindo a remoção ágil de conteúdos ilegais, a proteção de dados pessoais de menores e a oferta de ferramentas de controle parental. Também prevê a criação de uma autoridade independente para fiscalizar o cumprimento das regras.

Outro ponto central é o chamado “dever de cuidado” das empresas. Antes da lei, a retirada de conteúdos considera violações frequentemente dependentes de decisões judiciais. Agora, as plataformas passam a ser responsáveis ​​por agir diretamente após denúncias ou identificação de material ilegal, como casos de exploração sexual infantil ou violência.

A ministra destacou que a responsabilidade pela proteção de crianças e adolescentes passa a ser compartilhada entre famílias, empresas e Estado. “Em alguns casos, as empresas têm mais capacidade de controle do que a própria família”, afirmou.

Além das medidas externas à regulação das plataformas, o governo prevê o reforço na atuação estatal, com a criação de estruturas de monitoramento e triagem de denúncias, incluindo núcleos especializados na Polícia Federal para crimes cibernéticos.

Entre os principais riscos identificados pelo ministério estão o acesso indevido a dados pessoais, o assédio online e o uso de plataformas digitais para aliciamento e exploração de menores, problemas que a nova legislação tenta coibir tanto por meio de prevenção quanto de resposta mais rápida.

A lei também aposta na educação digital como eixo estratégico. A ideia é ampliar a conscientização de famílias e usuários sobre os riscos da internet, além de incentivo ao uso de ferramentas de controle e acompanhamento.