ECA Digital: o que muda para o comércio, a indústria e os serviços
A partir de 17 de março de 2026, passou a vigorar a Lei nº 15.211/2025, o Estatuto Digital da Criança e do Adolescente, conhecido como “ECA Digital”. A lei impõe obrigações a empresas que operam, fabricam, comercializam, ofertam ou disponibilizam produtos e serviços digitais acessíveis a crianças e adolescentes e representa a resposta do ordenamento jurídico brasileiro a uma realidade que já existia há anos: crianças e adolescentes inseridos no ambiente digital, sem a proteção legal adequada.
Vale destacar que o ECA Digital não opera sozinho. Seu artigo 3º estabelece expressamente que ele deve ser aplicado em conjunto com a Lei Geral de Proteção de Dados, a LGPD. Quem já se adequou à LGPD está com parte do caminho percorrido, mas precisará revisar processos e documentos para incorporar as exigências específicas do ECA Digital. Quem ainda não iniciou essa adequação enfrenta uma dupla exposição, pois as sanções das duas leis são independentes, cumulativas e fiscalizadas pela mesma autoridade, a ANPD (Agência Nacional de Proteção de Dados).
Quem está obrigado a cumprir a lei?
A resposta é mais ampla do que a maioria dos empresários imagina. A lei se aplica a todo produto ou serviço de tecnologia da informação direcionado a crianças e adolescentes no Brasil ou que possa ser por eles acessado. Isso está expresso no artigo 1º da Lei e é o critério central que define o alcance da norma.
O conceito de acesso provável é um dos pontos mais polêmicos da nova legislação. Ele significa que não importa para quem a empresa direciona seus produtos e serviços, mas sim quem consegue efetivamente acessar o que ela oferece. Se um menor de dezoito anos consegue entrar num site, baixar um aplicativo, criar uma conta ou realizar uma compra sem encontrar nenhuma barreira, a empresa poderá estar descumprindo a lei, independentemente de seu produto ou serviço ser voltado ao público adulto.
Como isso se aplica na prática
No setor do comércio, uma loja virtual que vende roupas, calçados ou qualquer outro produto permite que pessoas se cadastrem e comprem sem verificação de idade. Se menores acessam essa plataforma e têm seus dados pessoais coletados, a empresa precisa adequar sua política de privacidade e garantir que esses dados sejam tratados com as salvaguardas que a lei exige. Isso porque o ECA Digital não se preocupa apenas com o conteúdo oferecido. Mesmo que o produto seja adequado para qualquer faixa etária, o simples fato de um menor se cadastrar na plataforma já gera uma relação de tratamento (uso) de dados pessoais que exige proteção específica, pois nome, endereço, e-mail, comportamento de navegação e histórico de compras de uma criança ou adolescente são informações que exigem tratamento diferenciado e mais cuidadoso do que os dados de um adulto.
É importante ter base legal adequada e políticas claras sobre como esses dados são coletados, usados e armazenados. Se esse mesmo e-commerce vende bebidas alcoólicas, cigarros ou qualquer produto com restrição etária, a obrigação vai além: a lei exige mecanismos confiáveis e auditáveis de verificação de idade a cada acesso ao conteúdo restrito, sendo expressamente vedada a autodeclaração da idade, ou seja, não tem validade legal aquele campo onde o usuário digita a data de nascimento ou marca uma caixinha confirmando ser maior de dezoito anos (art. 9º, §1º).
Um supermercado com aplicativo de delivery que entrega bebidas alcoólicas é outro exemplo relevante. Se um adolescente consegue abrir o aplicativo, adicionar uma garrafa ao carrinho e finalizar a compra sem encontrar nenhuma barreira de verificação, a empresa estará descumprindo a nova lei. A verificação precisa acontecer dentro do próprio canal digital, de forma confiável e rastreável. A lei veda expressamente a autodeclaração, mas não especifica a tecnologia a ser utilizada, cabendo às empresas adotar mecanismos proporcionais ao risco do seu serviço e auditáveis em caso de fiscalizações ou ações judiciais.
Na indústria, uma fábrica que opera um portal de vendas online de peças ou insumos acessível ao público geral, sem restrição de cadastro, pode ter menores entre seus usuários. O mesmo vale para quem opera aplicativos de suporte técnico ou canais digitais de relacionamento com clientes. Em todos esses casos, será preciso avaliar se o ECA Digital alcança o seu negócio e adotar as medidas cabíveis.
Nos serviços, o impacto é também abrangente. Plataformas de agendamento médico, academias com aplicativos de treino, escolas com portais online, clínicas com sistemas de cadastro digital e agências de viagem com sites de reserva são exemplos de serviços que podem ter menores como usuários. Ainda que o serviço seja adequado para qualquer faixa etária, o simples fato de um menor se cadastrar já gera obrigações legais: a empresa precisa ter base legal adequada para tratar esses dados, manter política de privacidade clara sobre como as informações de menores são coletadas, usadas e armazenadas, e garantir configurações de privacidade ativas por padrão, tudo em cumprimento conjunto do ECA Digital e da LGPD.
O que a lei exige de quem não é big tech, mas opera no digital
O ECA Digital impõe obrigações a empresas de todos os portes e setores que ofereçam, vendam ou disponibilizem produtos e serviços digitais. As principais são a adoção de configurações de privacidade protetivas por padrão desde a concepção do produto ou serviço (art. 7º, caput), a implementação de mecanismos confiáveis de verificação de idade para conteúdos restritos a menores de dezoito anos (art. 10), a proibição de perfilamento de dados para publicidade direcionada a menores (art. 22) e a adequação das políticas de privacidade para dar transparência ao tratamento de dados pessoais desse público (art. 7º, §1º).
Por onde começar
O primeiro passo é fazer uma pergunta básica: existe alguma "porta" digital no meu negócio pela qual um menor de dezoito anos conseguiria entrar? Se a resposta for sim, ou se houver dúvida, o caminho começa com a análise dos pontos de exposição, a revisão das políticas de privacidade e a documentação de todo esse processo, para que a empresa possa demonstrar, a qualquer momento, em caso de fiscalizações ou defesas em ações judiciais, que conhece seus riscos, tomou decisões fundamentadas e agiu com responsabilidade sobre eles. Na prática, a ANPD leva em conta a boa-fé: quem analisou, documentou e tomou as medidas cabíveis está em terreno mais seguro do que quem ignorou.
Considerações finais
A lei está em vigor, não diz respeito somente às redes sociais e gigantes da tecnologia e afeta empresas de todos os portes e segmentos. A escolha entre adequar-se ou ignorá-la é uma decisão empresarial. E tem consequências.
Por fim, vale registrar que o ECA Digital traz muitas outras questões relevantes que não puderam ser abordadas nos limites deste artigo, como os mecanismos de supervisão parental, as obrigações específicas para jogos eletrônicos e as regras para redes sociais, dentre outras. O tema é vasto e está em plena evolução regulatória. Vamos acompanhar!
Izabela Lehn
Vice-presidente Jurídica da ACI
Izabela Lehn Advocacia
