Entre a reação e a regulação, o ECA Digital tem o desafio de transformar avanços normativos em efetividade prática
A trajetória do Direito Digital no Brasil revela um padrão recorrente: legisla-se em resposta a crises. Grandes marcos surgiram não por planejamento estratégico, mas por comoção pública. A Lei Carolina Dieckmann nasceu após o vazamento de fotos íntimas da atriz; o Marco Civil da Internet ganhou tração com as denúncias de vigilância global de Edward Snowden; e a LGPD só avançou de fato depois do escândalo Cambridge Analytica. O ECA Digital segue essa mesma lógica. Sua aprovação foi impulsionada pelo “Caso Felca”, que expôs a exploração, a adultização e a vulnerabilidade de menores em plataformas digitais.
O crescimento das interações em redes sociais intensificou externalidades negativas que afetam diretamente o desenvolvimento biopsicossocial de crianças e adolescentes. Diante desse cenário, o legislador adotou uma postura mais intervencionista, impondo às plataformas deveres de prevenção, proteção e segurança desde a concepção — princípios de Safety e Privacy by Design — para reduzir a exposição de menores a conteúdos ilícitos, exploração comercial e riscos de aliciamento. A responsabilidade pela fiscalização dessas obrigações recaiu sobre a Agência Nacional de Proteção de Dados (ANPD), que agora enfrenta o desafio de supervisionar um ecossistema digital vasto, dinâmico e profundamente assimétrico.
A promulgação do ECA Digital acelerou uma mudança institucional relevante: a transformação da ANPD em Agência Reguladora, com autonomia técnica, administrativa e financeira. Esse passo era indispensável para elevar o grau de maturidade digital do país. Não basta ter uma lei de proteção de dados; é preciso uma autoridade independente, capaz de regular, fiscalizar e sancionar.
Esse fortalecimento institucional foi determinante para uma conquista histórica: a decisão de adequação recíproca entre Brasil e União Europeia para transferência internacional de dados. O reconhecimento europeu de que o país oferece um nível de proteção compatível simplifica fluxos de dados, reduz burocracias e aumenta a confiança no ambiente digital brasileiro.
A comparação regional evidencia o atraso brasileiro. A Argentina possui decisão de adequação desde 2003, baseada na Lei 25.326/2000, e o Uruguai desde 2012, com fundamento na Lei nº 18.331/2008. Ambos consolidaram cedo seus padrões de proteção de dados. O Brasil, embora tenha avançado significativamente nos últimos anos, só agora alcança esse patamar, revelando um processo mais lento de alinhamento às exigências internacionais.
A transformação da ANPD e o déficit estrutural
A implementação do ECA Digital exigiu uma mudança institucional profunda. Para dar conta das novas atribuições, o Governo Federal converteu a ANPD em Agência Reguladora por meio da Medida Provisória nº 1.317/2025, conferindo-lhe autonomia técnica, administrativa e financeira — condição essencial para qualquer país que aspire a um ecossistema digital maduro e confiável.
A MP também autorizou a criação de 200 cargos de Especialista em Regulação de Proteção de Dados, destinados a fortalecer a capacidade fiscalizatória da autarquia. Mas o avanço normativo contrasta com a realidade operacional: nenhum desses servidores tomou posse até agora. O resultado é um déficit de capital humano que compromete diretamente a capacidade de enforcement da agência justamente quando suas responsabilidades se expandem de forma acelerada.
Esse descompasso fica ainda mais evidente quando se observa o histórico sancionador da ANPD. Embora a LGPD permita multas de até 2% do faturamento, limitadas a R$ 50 milhões, a agência aplicou até hoje apenas uma multa pecuniária — de R$ 14.400,00 — contra uma pequena empresa de telemarketing. As demais sanções foram advertências ou publicizações. Esse histórico levanta dúvidas sobre a capacidade da ANPD, agora com status de Agência Reguladora, de aplicar as penalidades muito mais severas previstas no ECA Digital, que podem chegar a 10% do faturamento.
A situação se agrava porque a ANPD continua acumulando novas atribuições, seja pelo próprio ECA Digital, seja pelas previsões do PL 2.338/2023, que trata do Marco Legal da Inteligência Artificial. Mais responsabilidades, porém, não vieram acompanhadas de aumento proporcional de orçamento, equipe ou infraestrutura. Sem reforço institucional imediato, há o risco concreto de que a fiscalização ativa e a aplicação de penalidades se tornem inócuas — e que o ECA Digital se transforme em mais uma lei avançada no papel, mas frágil na prática.
Mecanismos de aferição de idade propostos pela ANPD
O ECA Digital inaugura uma mudança estrutural no controle de acesso de menores em plataformas digitais ao exigir mecanismos eficazes de verificação de idade e ao proibir a autodeclaração, considerada facilmente burlável.
Nas Orientações Preliminares e no Radar Tecnológico nº 5, a ANPD apresenta as principais tecnologias para esse fim. A verificação documental, baseada no escaneamento de documentos oficiais, é precisa, mas pode excluir usuários sem documentação formal. A estimativa por biometria ou padrões comportamentais, que utiliza inteligência artificial para analisar características faciais ou de uso, oferece eficiência, mas envolve riscos de vieses, vigilância excessiva e tratamento ampliado de dados sensíveis.
A agência também aponta a inferência de idade por sinais contextuais, menos invasiva, porém menos precisa. Já as soluções mais avançadas — credenciais verificáveis e tokens criptográficos — aplicam princípios de privacy by design e permitem comprovar apenas atributos necessários, como ser maior de 18 anos, sem revelar identidade ou data de nascimento. Técnicas como Zero-Knowledge Proof reduzem significativamente a coleta de dados e tendem a se tornar referência para quem busca equilibrar segurança, privacidade e conformidade.
Esses mecanismos representam não só uma obrigação legal, mas um novo campo de inovação, que definirá como plataformas conciliam proteção infantil, experiência do usuário e responsabilidade regulatória.
O cronograma de fiscalização da ANPD
Mesmo após sua transformação em Agência Reguladora, a ANPD adotou uma estratégia regulatória responsiva e gradual. O cronograma de fiscalização da aferição de idade foi dividido em três fases, com implementação completa apenas em 2027.
A primeira etapa, de aplicação imediata, concentra-se no monitoramento inicial e na verificação do cumprimento das regras, priorizando a adoção do “sinal de idade” por sistemas operacionais como Android e iOS e pelas principais lojas de aplicativos, de modo a gerar um impacto sistêmico no ecossistema digital.
A segunda fase, prevista para começar em agosto de 2026, envolve a publicação de orientações técnicas definitivas e regulamentos sobre métodos aceitáveis de verificação de idade, ampliando o acompanhamento para outros setores conforme o nível de risco dos serviços.
Já a terceira etapa, a partir de janeiro de 2027, marca o início da fiscalização efetiva, com aplicação de sanções mais severas para o descumprimento das obrigações, especialmente no que diz respeito aos mecanismos de aferição de idade e ao uso secundário de dados, como o perfilamento publicitário.
A inflação normativa do Decreto nº 12.880/2026 e o gargalo da Avaliação de Impacto Algorítmico
A densificação das obrigações do ECA Digital ocorreu com a edição do Decreto nº 12.880, de 18 de março de 2026. O regulamento avança de forma rigorosa ao vedar expressamente o design viciante, proibindo arquiteturas de escolha que explorem vulnerabilidades cognitivas, como a ocultação de pausas naturais ou recompensas pelo tempo de tela. Além disso, estrutura o Centro Nacional de Triagem de Notificações na Polícia Federal para o combate de crimes graves.
Contudo, o ponto de maior tensão regulatória do novo decreto reside no seu artigo 47. O dispositivo exige que as plataformas elaborem e apresentem relatórios de avaliação de impacto à segurança e à saúde de crianças, identificando riscos, mitigação e efetividade das medidas. Trata-se, na prática, da exigência de uma autêntica Avaliação de Impacto Algorítmico (AIA).
A ironia normativa deste cenário é evidente. A AIA é o núcleo duro preventivo do Projeto de Lei nº 2.338/2023 (Marco Legal da IA), cuja tramitação se arrasta justamente pelas dúvidas acerca de como o Estado brasileiro auditará sistemas autônomos complexos. Ao antecipar essa exigência via decreto para o escopo do ECA Digital, o Poder Executivo ignora a realidade material e o crônico déficit de capital humano da Agência Nacional de Proteção de Dados.
Como a ANPD ainda aguarda a posse de seus 200 novos Especialistas e segue consolidando a sua capacidade de enforcement da LGPD, a exigência de escrutinar relatórios de impacto algorítmico formulados pelas maiores corporações de tecnologia do planeta representa um desafio institucional desproporcional no curto prazo. O risco inerente a essa sobrecarga é a transformação da AIA em um mero formulário de conformidade. Diante de um quadro ainda restrito de auditores e cientistas de dados, a ANPD enfrentará dificuldades operacionais para validá-los ou contestá-los criticamente. Desse modo, corre-se o risco de promulgar uma proteção avançada no plano normativo, mas de difícil efetividade prática em virtude das atuais limitações administrativas do Estado.
Entre a comoção social e o desafio da fiscalização
A gênese do ECA Digital expõe novamente a tendência brasileira de legislar sob forte pressão social. A Lei nº 15.211/2025 surgiu após a repercussão do “Algoritmo P”, rede de exploração infantil revelada pelo vídeo do youtuber Felca. Em menos de dois meses, o Congresso aprovou a chamada “Lei Felca”, repetindo o padrão de respostas legislativas rápidas diante de escândalos midiáticos.
Essa velocidade trouxe desafios imediatos. As plataformas tiveram apenas seis meses para se adequar, enquanto a ANPD — recém-transformada em Agência Reguladora — precisa estruturar uma fiscalização robusta sem que seus novos servidores tenham tomado posse. É uma tarefa complexa para qualquer órgão regulador, especialmente em um ambiente digital marcado por assimetrias tecnológicas e grande escala operacional.
No campo regulatório, é amplamente reconhecido que normas só produzem efeitos concretos quando acompanhadas de mecanismos de fiscalização consistentes. A decisão de iniciar a aplicação de sanções mais severas apenas em 2027, somada ao histórico sancionador ainda limitado da ANPD, pode transmitir ao mercado a percepção de baixa probabilidade de punição. Isso evidencia que o país ainda está em processo de consolidação de uma cultura de privacidade e proteção de dados.
Para que o ECA Digital alcance seu potencial e contribua de forma efetiva para a proteção de crianças e adolescentes no ambiente digital, será fundamental fortalecer a capacidade institucional da ANPD e aprimorar continuamente seus instrumentos de supervisão. O avanço regulatório já está em curso; o desafio agora é garantir que sua implementação seja sustentável, equilibrada e capaz de promover segurança, inovação e responsabilidade no ecossistema digital brasileiro.
As ideias e opiniões expressas no artigo são de exclusiva responsabilidade do autor, não refletindo, necessariamente, as opiniões do Portal CSC.
