Desde 17 de março de 2026, o Brasil passou a operar sob um novo marco regulatório para a proteção de crianças e adolescentes no ambiente digital. A Lei nº 15.211/2025, conhecida como ECA Digital, deixou de ser tese e virou rotina de compliance. E o conceito que está no centro dela, o Privacy by Design, se tornou exigência.
Quem desenvolve produto digital no Brasil precisa entender o que isso significa na prática.
Continue a leitura para entender mais.
O ECA Digital aplica-se a qualquer serviço online com "acesso provável" por crianças e adolescentes, independentemente da localização da empresa, replicando a extraterritorialidade já presente na LGPD e no Marco Civil da Internet.
"Acesso provável" não é uma autodeclaração da empresa. A ANPD definiu três critérios cumulativos para caracterizá-lo:
Na prática, o escopo é amplo: apps, jogos, redes sociais, sistemas operacionais, lojas de aplicativos e até repositórios de código podem estar enquadrados. A fiscalização cabe à ANPD, que passou a atuar como agência reguladora independente, com autonomia técnica, administrativa e financeira.
A LGPD já mencionava implicitamente o conceito no artigo 46. O ECA Digital o torna explícito e obrigatório. Empresas com presença significativa entre usuários menores precisam internalizar tanto Privacy by Design quanto Security by Design como componente integral do desenvolvimento desde a concepção.
Isso inclui revisar algoritmos de recomendação, políticas de moderação, parâmetros de coleta de dados e práticas de design que possam encorajar comportamentos compulsivos.
💡Gestão do consentimento: o novo pilar da confiança digital
O conceito foi criado nos anos 90 pela Dra. Ann Cavoukian, então comissária de Informação e Privacidade de Ontário, no Canadá. Em 2009, ela formalizou os sete princípios que hoje são referência mundial, adotados oficialmente pela International Assembly of Privacy Commissioners no ano seguinte.
1. Proativo, não reativo; preventivo, não corretivo. Antecipe riscos antes que se materializem. Não espere o incidente para agir.
2. Privacidade como configuração padrão. Se o usuário não fizer nada, sua privacidade permanece intacta. O padrão é o nível máximo de proteção, não o mínimo.
3. Privacidade incorporada ao design. Não é opcional, é parte da arquitetura do produto.
4. Funcionalidade total — soma positiva, não soma zero. Privacidade e funcionalidade convivem. Ter que escolher entre um ou outro não é uma opção.
5. Segurança fim a fim. Proteção em todo o ciclo de vida do dado, da coleta ao descarte de dados.
6. Visibilidade e transparência. "Confie, mas verifique." Operações precisam ser auditáveis por usuários e reguladores.
7. Respeito pela privacidade do usuário. O sistema é desenhado a partir do interesse de quem usa, não de quem opera.
A ANPD organizou as obrigações do ECA Digital em quatro eixos práticos: prevenção, proteção, informação e segurança. As empresas precisam adotar medidas em todo o ciclo de vida do produto, do design à operação.
Cada dimensão conversa diretamente com os princípios do PbD. Privacidade por padrão atende ao dever de proteção; visibilidade e transparência atendem ao dever de informação; segurança fim a fim atende ao dever de segurança e proatividade está no coração do dever de prevenção.
O ECA Digital exige que plataformas adotem métodos eficazes de confirmação de idade, pois autodeclaração não basta mais. Mas a lei também é explícita ao dizer que os mecanismos de aferição não podem comprometer a privacidade nem instituir vigilância massiva.
É justamente nesse paradoxo aparente que o Privacy by Design mostra seu valor. É possível verificar idade sem expor identidade completa: tecnologias como divulgação seletiva de atributos (selective disclosure), biometria com liveness sem retenção de imagens e credenciais verificáveis emitidas por terceiros confiáveis permitem confirmar que "este usuário tem mais de 18 anos" sem entregar nome, CPF ou data de nascimento.
A solução não é menos verificação, e sim processos de verificação mais bem projetados.
O regime sancionatório é severo. As penalidades vão de advertência a multas que podem chegar a R$ 50 milhões por infração ou até 10% do faturamento do grupo econômico no Brasil. Casos graves podem resultar em suspensão ou proibição da atividade no país.
A fiscalização efetiva está prevista para janeiro de 2027, mas a ANPD já monitora 37 empresas que operam produtos ou serviços com acesso provável por menores.
Para começar a adequação:
Ann Cavoukian definiu Privacy by Design como uma abordagem de soma positiva: privacidade e funcionalidade andam juntas. O ECA Digital incorpora essa lógica à legislação brasileira.
Para empresas que enxergam privacidade só como custo, a lei será fricção. Para quem entende identidade digital e proteção de dados como infraestrutura de confiança, é vantagem competitiva, principalmente em um mercado onde fraude, deepfakes e desconfiança custam caro.
Na Valid, estruturamos jornadas de identificação digital exatamente nessa lógica: verificação forte com privacidade preservada, biometria com liveness sem retenção desnecessária, e onboarding fluido sem renunciar a conformidade.
Entre em contato para conhecer nossa Plataforma de Segurança Digital.
