ECA Digital: Como checar a idade dos usuários?

Escrito por Amanda Santos, advogada especializada em proteção de dados para empresas de tecnologia e fintechs na NDM Advogados.

Desde 2014 oferecemos assessoria jurídica completa para empresas tech crescerem com segurança e poderem focar no que importa.

Atualizado em 23/03/2026

Com as novas regras do ECA Digital, quais formas de checar a idade dos usuários podem ser usadas? Nesse guia prático, te mostramos o que mudou, como adequar sua operação segundo a ANPD e evitar prejuízos com um dos grupos de maior risco  

1. O Fim da autodeclaração: “Tenho mais de 18 anos” não é mais suficiente

Para quem opera uma plataforma digital no Brasil, março de 2026 marca uma virada irreversível. O clássico botão “Tenho mais de 18 anos” não funciona mais, isoladamente. como garantia ou prova de maioridade.

O Estatuto Digital da Criança e do Adolescente (ECA Digital) exige que plataformas digitais adotem, a partir de março de 2026, mecanismos confiáveis de confirmação de idade, sob pena de sanções administrativas que vão de advertências a multas de até 2% do faturamento bruto no Brasil, limitadas a R$ 50 milhões por infração.

Logo após, em 18 de março de 2026, o Decreto nº 12.880 regulamentou a lei, definindo os requisitos mínimos dos mecanismos. E no mesmo período, a Agência Nacional de Proteção de Dados (ANPD) publicou suas Orientações Preliminares sobre mecanismos confiáveis de aferição de idade, documento que é referência imediata para o monitoramento regulatório.

Este artigo traduz esse novo arcabouço regulatório em linguagem de negócios, ajudando CEOs, CPOs, DPOs e outras lideranças a tomarem decisões informadas sobre implementação, fornecedores e governança. 

A adequação ao ECA Digital é uma oportunidade de diferenciação. Plataformas que demonstram proteção proativa de crianças e adolescentes ganham confiança de famílias, escolas e parceiros institucionais. 

2. Quais plataformas precisam se adequar ao ECA Digital?

O ECA Digital aplica-se a produtos ou serviços digitais dirigidos a crianças e adolescentes ou de acesso provável por esse público. Na prática, isso inclui:

• Redes sociais e aplicativos de mensagens
• Plataformas de streaming de vídeo, música e podcasts
• Jogos eletrônicos e plataformas de distribuição de games
• E-commerce e marketplaces
• Aplicativos de produtividade, educação e entretenimento
• Qualquer serviço com conteúdo ou funcionalidade de alto risco

Acesso provável é definido com base em três critérios: (i) probabilidade de uso por crianças e adolescentes; (ii) facilidade de acesso por esse público; e (iii) risco significativo à privacidade, segurança ou desenvolvimento do menor. Se sua plataforma atende a qualquer um desses critérios, ela está no escopo da lei.

3. Os 6 requisitos mínimos da ANPD para confirmação de idade

As Orientações Preliminares da ANPD organizam seis conjuntos de requisitos como o ponto de partida para qualquer plano de implementação.

4. Como medir o risco da sua plataforma para o ECA Digital?

A ANPD e o Decreto consagram uma abordagem baseada em risco: quanto maior o risco do serviço, mais robusto deve ser o mecanismo de aferição de idade. Isso significa que a solução técnica exigida varia conforme o design e o conteúdo da plataforma.

Na prática, vemos que plataformas com scroll infinito, notificações de reengajamento, algoritmos de recomendação personalizados e funcionalidades de interação social são automaticamente classificadas em nível de risco mais elevado, mesmo que o conteúdo, em si, não seja adulto. O critério não é só o que a plataforma oferece, mas como ela engaja o usuário.

5. Quais as formas válidas de checar a idade dos Usuários para a ANPD?

Existem diferentes tecnologias para validação de idade, cada uma com um perfil de risco e um custo distinto. A ANPD demonstra preferência por soluções que minimizam a exposição de dados, com cautela especial em relação à biometria facial.

5.1 Autodeclaração

O mecanismo mais simples: o próprio usuário informa a idade. As Orientações Preliminares da ANPD são explícitas: soluções baseadas exclusivamente em autodeclaração possuem baixo grau de confiabilidade, pois dependem de informações facilmente manipuláveis. Data de nascimento não é considerada dado único o suficiente para impedir fraudes.

Adequado para: Apenas serviços de risco muito baixo, sempre combinada com outras medidas.

5.2 Sinal de Idade via Loja de Aplicativos (App Store / Google Play)

O ECA Digital exige que lojas de aplicativos disponibilizem, por meio de API segura, um sinal de idade aos provedores de aplicações. Esse mecanismo é baseado em interoperabilidade: a loja já realizou a aferição da idade do usuário no cadastro e repassa apenas o resultado (maior/menor de 18 anos) para o app, sem compartilhar dados pessoais.

Vantagem: Alta confiabilidade, baixo atrito para o usuário e alinhamento direto com o modelo de interoperabilidade previsto na lei.

Atenção: O app não pode usar esse sinal para fins além da aferição de idade.

5.3 Estimativa de Idade por IA (Biometria Facial)

Tecnologia que infere a faixa etária do usuário por análise da imagem facial. Apresenta baixo atrito, mas exige atenção redobrada.

As Orientações Preliminares da ANPD registram cautela expressa em relação a métodos de biometria facial por riscos de vigilância, vieses algorítmicos e coleta excessiva de dados sensíveis. Dados biométricos são dados pessoais sensíveis, o que exige fundamentação mais robusta para uso e salvaguardas técnicas específicas.

Adequado para: Serviços de risco elevado, desde que acompanhado de auditoria de viés e RIPD.

5.4 Verificação Documental

O usuário apresenta um documento de identidade (RG, CNH, passaporte) para confirmar a idade. Alta confiabilidade, mas maior atrito e riscos de exclusão para grupos sem documentação formal.

Adequado para: Serviços de risco crítico. Deve ser combinado com métodos alternativos para garantir inclusão.

5.5 Provas de Conhecimento Zero (Zero-Knowledge Proofs – ZKP)

Considerada o “padrão ouro” pela ANPD e a abordagem mais alinhada com os princípios do ECA Digital e da LGPD. O nome pode assustar, mas o conceito é simples e merece atenção especial de qualquer empresa que busca compliance sólido.

O que é a Prova de Conhecimento Zero?

A Prova de Conhecimento Zero é uma forma de validação de idade em que o aplicativo no celular do usuário consulta uma fonte oficial (como a carteira digital do governo ou a conta da loja de aplicativos), e envia para a plataforma apenas a resposta “sim, é maior de idade”, sem transmitir nenhum dado pessoal. A plataforma não vê, não recebe e não armazena nada além dessa confirmação binária.

Quem já usa isso no mundo real?

A tecnologia deixou de ser teórica e já está sendo implantada por grandes players globais:

• Google Wallet: Em março de 2026, o Google tornou públicas suas bibliotecas de ZKP para verificação de idade e anunciou a integração direta na Google Wallet. Para empresas brasileiras, isso significa que o mecanismo “padrão ouro” pela ANPD já existe e está disponível via API.
• Apple: Em fevereiro de 2025, a Apple atualizou suas políticas de classificação etária permitindo que pais compartilhem a faixa etária do filho com desenvolvedores de apps, também por meio de padrões ZKP alinhados com o W3C. O sinal chega ao app sem revelar a identidade do menor.
• E o Gov.br? O ECA Digital atribui ao poder público o papel de promover soluções técnicas de aferição de idade, e o Decreto nº 12.880/2026 prevê explicitamente a articulação entre sistemas públicos e privados. O Gov.br, como plataforma de identidade digital oficial do cidadão brasileiro, é um candidato natural a atuar como emissor de credenciais etárias. Embora a regulamentação específica ainda esteja sendo desenvolvida, plataformas que já integram o login com Gov.br estarão bem posicionadas para aproveitar esse mecanismo quando ele for oficializado.

Por que isso importa para o seu negócio

Do ponto de vista jurídico: como sua empresa não recebe nem armazena dados pessoais no processo, ela automaticamente cumpre as vedações de uso secundário, rastreabilidade e compartilhamento contínuo previstas no ECA Digital e na LGPD. Não há dado para vazar, e, portanto, não há passivo de incidente de segurança.

Do ponto de vista de experiência do usuário: como a verificação acontece no próprio dispositivo, sem redirecionamentos ou formulários extensos, o atrito é mínimo. O usuário confirma a idade com um toque na carteira digital e pronto.

Um ponto de atenção: ZKP não é uma solução mágica. Sua segurança depende da qualidade da implementação e da confiabilidade da fonte emissora da credencial. Além disso, por se tratar de uma tecnologia em amadurecimento no Brasil, a interoperabilidade com plataformas públicas como o Gov.br ainda está sendo definida. Por isso, empresas que adotarem ZKP por meio das APIs do Google ou da Apple hoje já estão em patamar avançado de compliance, mas devem acompanhar a evolução da regulamentação da ANPD prevista para agosto de 2026.

Adequado para: Qualquer nível de risco. É a abordagem que melhor equilibra confiabilidade, proteção de privacidade e atendimento integral aos requisitos do ECA Digital e da LGPD.

6. Privacidade: O que não pode ser feito com os dados da validação de idade

O ECA Digital e as Orientações Preliminares da ANPD são diretos na vedação de práticas que comprometem os direitos dos usuários. Empresários precisam ter ciência dos seguintes limites:

• Vedado o uso secundário: Dados coletados para aferição de idade não podem ser usados para publicidade comportamental, perfilamento ou treinamento de IA.
• Vedada a rastreabilidade: O mecanismo não pode vincular a identidade do usuário ao seu histórico de navegação.
• Vedado o compartilhamento contínuo e a vigilância massiva: Não é permitido fluxo permanente e irrestrito de dados pessoais entre múltiplos agentes ou mecanismos de vigilância genérica ou indiscriminada. 

7. Checklist de ações imediatas para o ECA Digital

Com base nas Orientações Preliminares da ANPD e no Decreto regulamentador, as seguintes ações são prioritárias para plataformas digitais que ainda não iniciaram a adequação:

FAQ – Perguntas Frequentes

1. A lei já está em vigor? Minha empresa precisa agir agora?

Sim. O ECA Digital entrou em vigor em 17 de março de 2026. A ANPD já publicou suas Orientações Preliminares, que servem como referência imediata para monitoramento. Aguardar as orientações definitivas sem tomar qualquer medida representa risco regulatório.

2. Qual é o prazo para implementação dos mecanismos de aferição de idade?

A lei já é vigente e não prevê período de implementação específico para os mecanismos de aferição. As Orientações Preliminares da ANPD têm caráter imediato. A recomendação é iniciar o processo de adequação o quanto antes, com prioridade para as ações de mais alto impacto: avaliação de risco, escolha do mecanismo e documentação.

3. Pequenas e médias empresas também precisam se adequar?

Sim, o escopo da lei não faz distinção por porte. No entanto, o critério de proporcionalidade é central: o nível de exigência técnica é calibrado ao risco do serviço. Uma PME com aplicativo educacional de baixo risco terá obrigações bem menores do que uma grande rede social com algoritmos de recomendação personalizados.

4. Posso usar o Google Play ou a App Store como mecanismo de aferição?

Sim, e essa é uma das soluções mais alinhadas com o modelo previsto no ECA Digital. O art. 12 da lei determina que as lojas de aplicativos disponibilizem, por API segura, o sinal de idade dos usuários para as aplicações. Isso é exatamente o mecanismo de interoperabilidade que a ANPD recomenda como boa prática.

5. Quais são as penalidades por descumprimento?

O ECA Digital prevê sanções que incluem advertência, multa de até 2% do faturamento bruto no Brasil (limitada a R$ 50 milhões por infração), suspensão temporária das atividades e, em casos graves, proibição de funcionamento. A responsabilidade recai tanto sobre a loja de aplicativos quanto sobre o provedor da aplicação.