🧒🏻 ECA Digital: O Firewall Brasileiro nas Redes Sociais das Crianças

E as Big Techs têm 6 meses para aceitar os termos de serviço, ou será o fim do seu vício nos Reels. 😅

Imagineque a internet é um shopping center gigante. Tem loja de brinquedo, cinema, praça de alimentação, academia, barzinho, depilação a lazer, boliche e um corredor macabro onde ninguém deveria entrar. Agora imagine que, até ontem, a porta de entrada desse shopping não tinha nenhum controle de acesso. Qualquer criança de 7 anos podia entrar sozinha, virar à esquerda e acabar se depilando antes de passar pela loja de brinquedos.

Pois bem. O Brasil acabou de instalar uma catraca. 🎰

Em 17 de setembro de 2025, a presidência sancionou a Lei nº 15.211 — o chamado ECA Digital, ou Estatuto Digital da Criança e do Adolescente. E em 17 de março de 2026, ela entrou em vigor. Não é exagero dizer que é a legislação mais importante para a proteção infantil no ambiente digital desde que o ECA original foi criado, em 1990, quando a internet no Brasil era um rumor de laboratório universitário. 🖥️

📊 Antes de falar da lei, vamos falar dos dados (porque eles assustam)

93% das crianças e adolescentes de 9 a 17 anos são usuários de internet no Brasil — isso representa 24,5 milhões de pessoas;

83% delas têm perfil em pelo menos uma rede social incluindo 60% das crianças de 9 a 10 anos, mesmo que as plataformas digam que não aceitam menores de 13;

70% acessam o WhatsApp várias vezes ao dia. O TikTok aparece com 50% de acesso diário nessa faixa etária;

29% relataram ter passado por situações ofensivas na internet e 13% não contaram para ninguém.

Traduzindo para o idioma da TI: temos 24,5 milhões de endpoints vulneráveis, sem patch de segurança, conectados 24/7 a uma rede sem firewall. O CISO de qualquer empresa entraria em colapso. 😰

🔐 O que é o ECA Digital, afinal?

Se o ECA de 1990 foi o sistema operacional base para a proteção da infância, o ECA Digital é o service pack que ninguém instalou por 35 anos — e que finalmente chegou.

A lei se aplica a qualquer produto ou serviço de tecnologia da informação que seja direcionado a crianças e adolescentes ou que possa ser acessado por eles. Isso inclui redes sociais, jogos, aplicativos, sistemas operacionais, lojas de apps e plataformas de streaming.

E o melhor: não importa onde a empresa está sediada. Se ela quer operar no Brasil, precisa respeitar as regras brasileiras. É o que os juristas chamam de extraterritorialidade da lei — e o que as Big Techs chamam de "problema no roadmap". 🌎

🧱 Os 5 Pilares da Lei — ou: O Que Mudou no Código-Fonte
1
🔍 Verificação de Idade — Fim da Era do "Clique Aqui se Você Tem 18 Anos"

Acabou a autodeclaração. Aquele checkbox de "confirmo que tenho mais de 18 anos" que todo mundo clicava sem ler? Inválido por lei.

As plataformas precisam adotar mecanismos confiáveis, auditáveis e tecnicamente seguros para verificar a idade dos usuários. Algumas soluções que ganham força:

  • Integração com o GOV.BR (identidade digital nacional);
  • Estimativa de idade por IA análise de padrões sem identificar a pessoa;
  • Verificação via documento do responsável legal.

E os dados coletados para verificação de idade? Só podem ser usados para isso. Nada de transformar o CPF da criança em insumo para algoritmo de publicidade. Isso se chama minimização de dados — e agora é lei.

2
👧 Supervisão Parental — O Painel de Controle que os Pais Sempre Pediram

Contas de crianças e adolescentes até 16 anos precisam ser vinculadas à conta de um responsável legal. As plataformas são obrigadas a oferecer ferramentas que permitam:

  • Visualizar e limitar o tempo de uso;
  • Restringir compras e transações financeiras;
  • Identificar adultos com quem a criança se comunica;
  • Controlar sistemas de recomendação personalizados inclusive com opção de desativação.

Pense nisso como um dashboard de monitoramento para pais. Não é vigilância total é visibilidade mínima. A diferença entre um SOC que monitora e um ambiente completamente às cegas.

3
🎮 Loot Boxes — Game Over para as Caixinhas do Vício

As famosas loot boxes aquelas caixinhas misteriosas dos jogos que você paga sem saber o que vai receber estão proibidas em jogos acessíveis a menores.

Por quê? Porque funcionam exatamente como uma máquina caça-níqueis: recompensa variável, incerteza, dopamina. O mesmo mecanismo que mantém adultos em cassinos mantém crianças comprando "skins raras" às 2h da manhã com o cartão de crédito dos pais.

A lei foi taxativa: se a empresa quer vender itens dentro do jogo, que venda com preço definido e conteúdo conhecido. Transparência não é opcional é requisito de compliance. 🎰🚫

4
📵 Publicidade — Proibido Usar o Algoritmo Contra Crianças

Acabou o perfilamento comportamental para fins publicitários direcionados a menores. Isso significa que:

  • Anúncios não podem ser baseados no histórico de navegação da criança;
  • Dados de localização não podem ser usados para ofertas comerciais;
  • É vedado o uso de análise emocional, realidade aumentada e realidade virtual para fins publicitários;
  • Proibida a monetização e o impulsionamento de conteúdos que retratem crianças de forma erotizada.

Em linguagem de cibersegurança: o data broker infantil foi desligado. As crianças deixam de ser matéria-prima para o modelo de negócio baseado em atenção. 📊

5
🚨 Combate a Conteúdos Perigosos — Remoção Sem Precisar de Ordem Judicial

As plataformas são obrigadas a remover conteúdos que violem direitos de crianças assim que forem notificadas — sem precisar de ordem judicial — quando a solicitação vier da vítima, de seus responsáveis, do Ministério Público ou de entidades de proteção.

Além disso, devem detectar, remover e reportar às autoridades conteúdos de exploração sexual, abuso, sequestro e aliciamento. E guardar os dados associados por pelo menos 6 meses para fins de investigação.

É o equivalente a um SIEM com regras de correlação obrigatórias e com obrigação de notificar o CERT quando um incidente grave for detectado. 🔔

💰 E quem não cumprir? Multa de até R$ 50 milhões por infração

A lei tem dentes. As sanções vão de advertência até proibição de funcionamento no Brasil, passando por multas de até 10% do faturamento do grupo econômico no país limitadas a R$ 50 milhões por infração.

Para empresas estrangeiras, a filial ou escritório no Brasil responde solidariamente. Ou seja: não adianta a sede ficar em Dublin ou nas Ilhas Cayman. Se opera no Brasil, responde no Brasil.

A fiscalização ficará a cargo da Agência Nacional de Proteção de Dados (ANPD) que agora acumula também a função de guardiã digital da infância brasileira. 🏛️

🌐 O Contexto que Explodiu Tudo: O Caso Felca

A lei não nasceu no vácuo. Em agosto de 2025, o influenciador Felipe Bressanin (vulgo Felca) viralizou ao denunciar a crescente adultização de crianças e adolescentes em plataformas digitais conteúdos onde meninas e meninos eram retratados com comportamentos, roupas e linguagens tipicamente adultos, muitas vezes com incentivo dos próprios algoritmos e monetização das plataformas.

A repercussão foi imediata. O Congresso acelerou a votação. O presidente sancionou. E as Big Techs tiveram 6 meses para se adaptar.

É o tipo de situação que a área de segurança conhece bem: às vezes, é preciso um incidente de grande visibilidade para que a organização finalmente aprove o orçamento de segurança que estava na gaveta há anos. 📋

🤔 Mas e a Inovação? A Lei Não Vai Travar o Setor?

Essa é a pergunta que as Big Techs adoram fazer e que merece uma resposta honesta.

A lei foi cuidadosamente calibrada para não ser censura. Ela proíbe o monitoramento massivo e indiscriminado, define critérios transparentes para remoção de conteúdos e limita quem pode solicitar retiradas. Não é o Estado controlando o que se fala é o Estado exigindo que as plataformas não usem crianças como produto.

Há também uma lógica de proporcionalidade: as obrigações são moduladas pelo porte da empresa, número de usuários e grau de interferência sobre os conteúdos. Uma startup com 10 mil usuários não tem as mesmas obrigações que uma plataforma com 50 milhões.

E para quem trabalha com inovação: Privacy by Design e Security by Default não são obstáculos à inovação são o novo padrão de qualidade. As empresas que já operam assim não precisam mudar nada. As que não operam... bem, esse é exatamente o ponto. 🏗️

🌎 O Brasil no Contexto Global

O ECA Digital coloca o Brasil em companhia seleta. O DSA europeu (Digital Services Act), o Online Safety Act britânico e as regulações australianas que baniram redes sociais para menores de 16 anos são referências globais nessa direção.

A diferença é que o Brasil tem uma escala única: 24,5 milhões de crianças e adolescentes conectados, em um país continental, com profundas desigualdades de acesso e letramento digital. Regulamentar aqui é mais complexo e mais urgente.

🎯 O Que Muda na Prática — Para Cada Ator
🛰️ Para as empresas de tecnologia:
  • Revisão completa de políticas de privacidade e termos de uso;
  • Implementação de mecanismos de verificação de idade;
  • Redesenho de interfaces para eliminar dark patterns voltados a menores;
  • Relatórios semestrais de transparência (para quem tem +1 milhão de usuários menores).
👨🏻 Para os pais e responsáveis:
  • Ferramentas reais de supervisão não mais promessas de "configurações de privacidade" escondidas em 14 menus;
  • Vinculação obrigatória de contas de menores de 16 anos;
  • Informações claras sobre riscos, em português.
🧒🏽 Para as crianças e adolescentes:
  • Menos algoritmo predatório, mais autonomia progressiva;
  • Proteção de dados como direito não como favor;
  • Um ambiente digital que, pela primeira vez, foi projetado pensando neles.
🔮 O Desafio que Vem Pela Frente

A lei é um avanço real. Mas leis são como políticas de segurança: valem o quanto são implementadas e fiscalizadas.

🚸 Os desafios são conhecidos:

Verificação de idade sem comprometer privacidade o eterno dilema entre autenticação e anonimato;

Capacidade da ANPD para fiscalizar dezenas de plataformas globais;

Educação digital das famílias porque a melhor ferramenta de controle parental ainda é o diálogo.

Como costumo dizer: "Tecnologia resolve parte do problema. Cultura resolve o resto."

O ECA Digital instalou o antivírus. Agora precisamos ensinar as pessoas a não clicar em links suspeitos. 🖱️


A Lei nº 15.211/2025 está disponível na íntegra no Portal do Planalto. A regulamentação foi publicada em março de 2026 pelo Governo Federal.

✍🏼 Assine o minutonews

WhatsApp.com

minutocyber 🔐 minutonews 🗞️

Faça parte da Comunidade e dos Grupos no WhatsApp da minutocyber!

Google Docs

Cadastre-se para receber o digest semanal da minutonews

Mantenha-se à frente das ameaças digitais com inteligência estratégica semanal. Tenha acesso exclusivo a uma coleção abrangente de relatórios semanais de cibersegurança que mapeiam o cenário de ameaças no Brasil, América Latina e cenário global. Cada edição oferece relatos cronológicos detalhados, identificados por códigos de versão e datas precisas, construídos a partir de mais de 90 fontes de pesquisa especializadas e confiáveis. O que você receberá: 📊 Análises aprofundadas de incidentes e vu


minutonews © 2025 por Julio Signorini está licenciado sob CC BY-NC-SA 4.0