ECA Digital entra em vigor: o que muda para empresas de serviços digitais e jogos eletrônicos
Em 17 de março de 2026, entrou em vigor o Estatuto Digital da Criança e do Adolescente (Lei nº 15.211/2025, o “ECA Digital”). No dia seguinte, o governo federal publicou o Decreto nº 12.880/2026, que regulamenta a lei, estabelece as diretrizes de implementação e institui o Centro Nacional de Proteção à Criança e ao Adolescente, operado pela Polícia Federal. Além disso, foram publicados os decretos nº 12.881/2026 e 12.882/2026 que criam o Centro da Polícia Federal para receber denúncias de potenciais crimes contra crianças e adolescentes provenientes das plataformas e a nova estrutura da Agência Nacional de Proteção de Dados (“ANPD”).
A ANPD é a agência responsável pela fiscalização e pela regulamentação complementar, com orientações preliminares previstas para 20 de março de 2026 e diretrizes definitivas esperadas para o segundo semestre do ano. Ainda assim, o Decreto é expresso a não excluir a competência de outros órgãos.
A lei aplica-se a todo produto ou serviço digital direcionado a menores de 18 anos ou de acesso provável por esse público, independentemente do país de origem do fornecedor, abrangendo jogos eletrônicos, redes sociais, aplicativos, marketplaces e plataformas de streaming que operem no Brasil. Além disso, foram definidas obrigações para os serviços considerados proibidos para menores de idade, por exemplo, que possam gerar risco à privacidade, segurança, desenvolvimento psicossocial e bem-estar de crianças e adolescentes, que sejam legalmente vedados a menores, como bebidas e apostas, conteúdo pornográfico, além de aplicativos de relacionamento.
O que muda?
O ECA Digital é uma lei de responsabilidade compartilhada: distribui obrigações entre empresas de tecnologia, família, sociedade e Estado. Para o setor privado, o ponto central é a lógica de privacidade e segurança by design e by default, ou seja, produtos e serviços devem ser configurados, desde a concepção, com o mais alto nível de proteção, e não apenas adaptados após reclamações ou incidentes.
A autodeclaração de idade é expressamente vedada. As empresas passam a ser obrigadas a implementar mecanismos de verificação a cada acesso a conteúdo inadequado para menores, com integração a lojas de aplicativos e sistemas operacionais por meio de API de “sinal de idade”. Os dados coletados para essa finalidade não podem ser reaproveitados para outros usos. Sobre esse ponto, inclusive, o Decreto é expresso ao determinar a exclusão imediata dos documentos e das informações coletadas para tal verificação (art. 24, §3º).
As plataformas devem oferecer ferramentas acessíveis de supervisão parental, incluindo controles de tempo de uso, compras, geolocalização, comunicação e sistemas de recomendação, e é vedado o uso de dark patterns que dificultem o acesso a essas configurações ou enfraqueçam as salvaguardas de proteção infantil.
No campo da publicidade, fica proibido o perfilamento comportamental de crianças e adolescentes para fins comerciais, inclusive por meio de análise emocional e de tecnologias de realidade aumentada e virtual. A monetização habitual de conteúdos que explorem a imagem de menores (influenciadores mirins) passa a exigir autorização judicial, com prazo de adaptação de três meses a partir da publicação do Decreto.
Para o setor de jogos eletrônicos, a lei traz vedações específicas: as caixas de recompensa (loot boxes) são proibidas em jogos direcionados a menores ou de acesso provável por eles, conforme a classificação indicativa; e a interação entre usuários deve ser limitada por padrão, condicionada ao consentimento dos responsáveis e acompanhada de mecanismos de moderação de conteúdo.
Na moderação de conteúdo, as empresas passam a ter obrigação legal de remover imediatamente e reportar ao Centro Nacional conteúdos de exploração ou abuso sexual e de aliciamento de menores. O Decreto também estrutura um sistema de notice-and-takedown para outros tipos de violação, com due process interno e salvaguardas contra o uso abusivo dos canais de denúncia.
Transparência e governança
Provedores com mais de um milhão de usuários menores de 18 anos no Brasil deverão elaborar relatórios semestrais de transparência. Toda empresa de serviços digitais que opere no país passa a ser obrigada a manter representante legal no Brasil para recebimento de comunicações das autoridades. A abordagem regulatória será proporcional ao risco e ao porte da empresa.
Somado a isso, foi criado o Centro Nacional de Triagem de Notificações, sob o comando da Polícia Federal, que atuará no recebimento e encaminhamento de denúncias envolvendo riscos ou violações no ambiente digital. Os fornecedores de produtos e serviços de tecnologia da informação deverão comunicar ao Centro materiais criminosos relacionados a menores.
Sanções
O descumprimento da lei sujeita as empresas a multas de até 10% do faturamento do grupo econômico no Brasil ou até R$ 50 milhões por infração, além de suspensão temporária ou proibição de atividades. As sanções são independentes e cumuláveis com as penalidades da LGPD em caso de infração autônoma relativa ao tratamento de dados pessoais.
Próximos passos
Diversas obrigações, em especial os mecanismos de aferição de idade e os requisitos detalhados de transparência, aguardam regulamentação complementar da ANPD. Empresas que desenvolvem ou distribuem produtos e serviços digitais acessíveis por crianças e adolescentes no Brasil devem, desde já, mapear lacunas de conformidade, revisar fluxos de consentimento e estruturas de supervisão parental e acompanhar de perto os próximos atos regulatórios.
As equipes de Consumidor & Product Liability, Jogos & Apostas e Proteção de Dados & Cibersegurança do Souto Correa Advogados estão à disposição para esclarecer dúvidas sobre o ECA Digital e seus desdobramentos regulatórios.