O Brasil tem, desde 17 de março, o arcabouço legal mais detalhado da América Latina para a proteção de crianças e adolescentes no ambiente digital. A Lei nº 15.211/2025 — o chamado ECA Digital — e seu decreto regulamentador, o Decreto nº 12.880/2026, representam um salto civilizatório real. Merecem ser saudados sem ironia.

A lei impõe obrigações estruturais a plataformas digitais, que nunca foram construídas para saber quem as usa. Veda a autodeclaração de idade para acesso a conteúdos proibidos. Proíbe loot boxes em jogos acessíveis a menores e o perfilamento de crianças para fins publicitários. Exige que contas de menores de 16 anos sejam vinculadas a um responsável legal. Obriga fornecedores a remover conteúdos de exploração sexual detectados em seus serviços independentemente de ordem judicial,. Estabelece multas de até 10% do faturamento nacional por infração. São 41 artigos de lei e 54 de decreto que, juntos, criam um novo patamar de responsabilidade para quem opera no ecossistema digital com presença no mercado brasileiro.

O decreto é igualmente sofisticado no plano técnico: distingue quatro conceitos que a legislação comparada costuma confundir — aferição de idade, verificação de idade, sinal de idade e autodeclaração —, estabelece onze princípios para os sistemas de aferição, determina que lojas de aplicativos e sistemas operacionais transmitam às plataformas apenas o sinal mínimo necessário (vedado o envio de data de nascimento exata ou dados de perfilamento), e aponta as credenciais verificáveis como o instrumento tecnicamente preferencial do marco.

Logo depois da publicação do decreto, no dia 20 de março, a própria Agência Nacional de Proteção de Dados (ANPD) divulgou a primeira versão de um documento de orientações preliminares sobre mecanismos confiáveis de aferição de idade, destinado a guiar os agentes regulados até que as orientações definitivas sejam editadas, conforme previsto na Agenda Regulatória 2025–2026. O documento é tecnicamente denso e politicamente relevante. Ele também confirma — involuntariamente — a dimensão do problema que este artigo trata.

Tudo isso é motivo de comemoração. Mas há um problema sério na conversa pública sobre o ECA Digital — e esse problema, se não for corrigido, pode transformar um avanço em retrocesso.

Seis requisitos, seis tensões

As orientações preliminares da ANPD organizam os requisitos mínimos do art. 24 do decreto em seis agrupamentos: proporcionalidade; acurácia, robustez e confiabilidade; privacidade e proteção de dados pessoais; inclusão e não discriminação; transparência e auditabilidade; e interoperabilidade.

A estrutura é boa. E o documento contém passagens que vão diretamente ao coração do problema que o debate público tem ignorado.

Na seção sobre proporcionalidade, a ANPD estabelece que a escolha do método mais adequado não deve ser orientada apenas pela precisão do mecanismo de aferição de idade, “mas também pela sua compatibilidade com os direitos de usuários e com as exigências de proteção de dados pessoais”. O documento cita explicitamente o relatório do Ministério da Justiça e Segurança Pública que registrou convergência multissetorial pela preferência por soluções que “minimizam a exposição de dados”, e registra cautela específica em relação a métodos baseados em biometria facial — em razão de “riscos de vigilância, vieses algorítmicos e coleta excessiva de dados sensíveis”.

Na seção sobre privacidade, a ANPD é direta: o Poder Executivo não poderá, em nenhuma hipótese, “impor, autorizar ou resultar na implantação de mecanismos de vigilância massiva, genérica ou indiscriminada, nem em práticas que comprometam os direitos fundamentais à liberdade de expressão, à privacidade, à proteção integral e ao tratamento diferenciado dos dados pessoais de crianças e adolescentes”. O documento elenca seis garantias mínimas relacionadas à privacidade que devem estar presentes em qualquer solução: minimização de dados; proteção da privacidade; segurança de dados; vedação ao uso secundário; vedação à rastreabilidade; e vedação ao compartilhamento contínuo, automatizado e irrestrito de dados pessoais.

Vale pausar aqui. Estas não são meras recomendações de boas práticas. São requisitos mínimos que a ANPD afirma serem constitutivos do conceito de mecanismo confiável. Uma solução que não atenda às seis garantias — que colete mais do que o necessário, que permita uso secundário, que gere rastreabilidade entre serviços?—?não é uma solução confiável nos termos do marco regulatório. Seria uma solução sobre um mecanismo não confiável.

Ao mesmo tempo, o documento é honesto sobre os limites do momento já que trata-se de orientações preliminares, sujeitas à atualização conforme novas regulamentações sejam publicadas. A ANPD está construindo o avião enquanto voa. Regulamentação definitiva ainda está por vir, e a versão 1.0 das orientações não fecha todas as questões práticas que o mercado vai levantar nos próximos meses. Esse espaço de indeterminação — necessário do ponto de vista institucional — é também o espaço onde o lobby das empresas de verificação de identidade irá operar.

O colapso de dois conceitos distintos

Dados os elementos que são de domínio público, imprensa, juristas e comentadores técnicos têm cometido o mesmo erro com uma consistência desconcertante. Falam que sites com conteúdo sensível precisam do “método mais seguro” de verificação de idade e implicam, quase invariavelmente, que pornografia, apostas e bebidas alcoólicas devem exigir biometria facial combinada com documento de identidade. A conclusão é errada.

Mais do que errada, é perigosa. O equívoco nasce do colapso de dois conceitos que precisam permanecer separados: verificação de idade e verificação de identidade. São coisas radicalmente distintas, com implicações de privacidade igualmente distintas.

Verificar a identidade de alguém é saber quem essa pessoa é — nome, CPF, data de nascimento, biometria. É o que bancos fazem no processo de KYC (Know Your Customer). É o que o Estado faz na emissão de documentos. É o que precisa acontecer quando há uma relação jurídica que exige identificação plena da parte.

Verificar a idade de alguém é responder a uma pergunta estritamente booleana: essa pessoa tem ou não tem 18 anos? A resposta é sim ou não. Nada mais precisa transitar entre o usuário e o serviço.

Toda pessoa com direito legal de acessar conteúdos adultos deveria poder fazê-lo com o máximo de anonimato possível. A biometria facial combinada com documento não é o “método mais seguro” de verificação de idade? —? é o método mais invasivo, mais suscetível a vazamentos e o que mais se aproxima de um sistema de vigilância em massa de adultos. Chamar isso de “proteção de crianças” é uma inversão: protege-se a criança criando uma base de dados biométrica de toda a população adulta. E esse erro não é inocente. Como queremos demonstrar aqui, ele tem um endereço econômico muito preciso.

As próprias orientações preliminares da ANPD, ao alertarem para os riscos específicos da biometria facial? —? vigilância, viés algorítmico, coleta excessiva? —?, confirmam que o regulador está ciente da distinção. O que falta é que o debate público a incorpore.

A economia política do dado de verificação

Para entender por que o debate público escorregou nessa direção, é preciso reconstruir o modelo de negócios subjacente — aquele que ninguém nomeia quando fala em “conformidade” e “segurança”.

A receita das grandes plataformas de conteúdo, redes sociais e serviços de aposta online não vem primariamente do conteúdo em si. Vem da precisão com que conseguem segmentar comportamentos, intenções e vulnerabilidades dos usuários para vendê-los ao mercado publicitário ou para otimizar mecanismos de retenção e monetização interna. O ativo central desse modelo não é o conteúdo — é o perfil. E perfis são construídos com dados. Quanto mais ricos, mais granulares, mais identificáveis, mais valiosos.

Um sistema de verificação de idade que transmite apenas um sinal booleano (+18 / menor) é um pesadelo para esse modelo: o usuário passa pela porta sem deixar rastro identificável. O serviço sabe que ali há um adulto, e nada mais. Não sabe o nome, não sabe o CPF, não sabe a data de nascimento exata, nem o e-mail, não pode correlacionar aquela sessão com histórico de comportamento em outros serviços.

Um sistema que exige upload de documento ou captura biométrica, por outro lado, cria exatamente o que o modelo de negócios precisa: um ponto de coleta de dados de identificação plena, vinculado a uma sessão de acesso a conteúdo sensível, com timestamp, IP e padrão de comportamento subsequente. Esse dado não tem preço apenas para a plataforma que o coleta diretamente?—?tem preço para o mercado de dados de terceiros, para corretores de dados (data brokers), para seguradoras, para empregadores e, potencialmente, para aparatos de segurança pública.

A arquitetura de dados que emerge de um sistema de verificação de identidade disfarçado de verificação de idade tem três características que as plataformas e as empresas de KYC adoram e que raramente aparecem no debate público. Primeira: cria um banco de dados de adultos verificados que pode ser cruzado com o comportamento de navegação, produzindo perfis de uma precisão sem precedente — o que Shoshana Zuboff chamaria de excedente comportamental de alta resolução. Segunda: gera um ativo que pode ser compartilhado com parceiros comerciais sob os mais variados pretextos legais, inclusive aqueles legitimados pela própria regulação de compliance. Terceira: torna o usuário rastreável entre serviços, eliminando o anonimato que hoje ainda existe em partes da web adulta.

compliance com o ECA Digital, portanto, não é neutro. Há uma tensão estrutural entre o que a lei e as próprias orientações da ANPD exigem — proporcionalidade, minimização de dados, vedação de uso secundário, vedação à rastreabilidade — e o que as plataformas têm como incentivos estruturais para implementar. E o debate público, ao colapsar verificação de idade em verificação de identidade, está, inadvertidamente ou não, fazendo o lobby dessas plataformas de graça.

O oligopólio silencioso

Há outro eixo do modelo de negócios que o debate sobre o ECA Digital mal arranha que é a concentração de mercado nas lojas de aplicativos.

A arquitetura central escolhida pelo decreto — e tecnicamente correta por razões de privacidade — é o sinal de idade transmitido por lojas de aplicativos e sistemas operacionais via API. Lojas e SOs aferem a idade no momento do cadastro e transmitem às plataformas apenas o sinal mínimo necessário. A plataforma não precisa coletar dado algum pois recebe um booleano e segue adiante.

O problema é que esse modelo coloca Apple, Google e Microsoft em uma posição de poder regulatório sem precedente sobre o ecossistema digital brasileiro. São elas que, na prática, deterão a chave de acesso de toda a população infantojuvenil — e, por extensão, de toda a população adulta que precisar demonstrar maioridade — ao ambiente digital. O art. 25 do decreto torna suas obrigações legalmente exigíveis. Mas a capacidade do Estado brasileiro de fiscalizar e sancionar essas empresas por eventuais descumprimentos ainda depende de um amadurecimento institucional da ANPD que está no horizonte, não na prateleira.

Mais do que isso, traz uma cenoura comercial. Apple e Google já cobram entre 15% e 30% de comissão sobre toda transação realizada dentro de seus ecossistemas. Elas determinam quais apps existem, quais são removidos, quais funcionalidades são permitidas e quais são bloqueadas. O modelo do sinal de idade via API transforma esse duopólio, que já é o maior gatekeeper da economia digital global, também na regulação privada da identidade etária de toda a população conectada brasileira.

Não é uma razão para rejeitar o modelo — que continua sendo superior em termos de privacidade — mas é uma razão para não romantizá-lo e para levar muito a sério a previsão do art. 28 do decreto, que incumbe o Ministério da Gestão e da Inovação em Serviços Públicos de desenvolver uma solução pública gratuita de verificação de idade. O art. 49 do decreto reforça essa diretriz ao incumbir a ANPD de estimular o desenvolvimento de um ecossistema de soluções públicas e privadas interoperáveis que “preservem a liberdade de escolha do usuário” — linguagem claramente orientada a evitar o lock-in em soluções estrangeiras. As orientações preliminares, por sua vez, repetem essa preocupação ao tratar a interoperabilidade como um dos seis requisitos mínimos: um sistema de aferição de idade que só funciona dentro do ecossistema de três big techs é, por definição, um sistema que cria dependência de infraestrutura privada estrangeira para o exercício de direitos no Brasil.

Se o MGI construir uma infraestrutura pública de credenciais verificáveis — integrada ao CPF, à Carteira de Identidade Nacional, ao Gov.br, com arquitetura de zero-knowledge proof —, o Brasil poderia reduzir essa dependência e tornar-se referência global em soberania digital aplicada à proteção infantil. Se não construir, o que acontecerá é previsível: principalmente Apple e Google preencherão o vácuo com seus próprios sistemas proprietários e a concentração econômica e de poder se aprofundará.

Verificando o verificador

Outro tema que precisa ser muito refletido é o debate sobre certificação e auditabilidade dos sistemas que executarão a verificação de idade online. A norma ISO/IEC 27566–1 estabelece requisitos para esta funcionalidade, enfatizando que organismos acreditados para garantir conformidade e transparência precisam servir de referência para esta atividade. Tal como está no ECA Digital, no Brasil isso implica no fato de que plataformas digitais não podem se limitar a autodeclarações ou soluções proprietárias não verificáveis; elas devem adotar mecanismos confiáveis de aferição etária sujeitos a auditorias independentes, sob pena de sanções da ANPD a partir de 2027. A agência também ficará com a competência de normatizar esta certificação nos moldes do que a Agência Nacional de Telecomunicações faz com dispositivos de telecomunicações e outros equipamentos.

A intenção do governo é promover governança robusta e accountability no ecossistema tecnológico. Essa exigência deve sofrer bastante resistência porque eleva o risco regulatório para big techs e startups locais, demandando investimentos em tecnologias certificáveis (como as da ISO 27566–1), relatórios de impacto e adaptação contínua, alinhando o Brasil a padrões globais de proteção infantil digital enquanto fomenta inovação responsável e evita overcompliance desnecessário.

O custo concreto do compliance equivocado

O debate público sobre o ECA Digital tem sido dominado, quase exclusivamente, pela perspectiva das grandes plataformas — o que elas precisarão fazer, como reagirão, se bloquearão conteúdo ou implementarão verificação. Há uma dimensão inteiramente ausente dessa conversa: o custo de compliance para as 27 milhões de pequenas e médias empresas brasileiras que operam no ambiente digital e que também estão sujeitas à lei. A análise econômica é reveladora. Pela via do modelo biométrico convencional — que combina verificação documental com estimativa facial de IA e é o produto-padrão das empresas de KYC que dominam o mercado global —, os custos de implementação para uma plataforma de porte médio giram em torno de R$ 50 mil a R$ 200 mil de integração inicial, mais entre R$ 0,50 e R$ 2,00 por verificação realizada, além de taxas anuais de manutenção que variam de R$ 20 mil a R$ 100 mil.

Para uma micro-empresa ou startup com dezenas de milhares de usuários, esses números representam entre três meses e um ano de margem operacional inteira consumida apenas pelo custo de compliance com a verificação de idade. Uma plataforma edtech de porte pequeno, com 50 mil usuários, pagaria em torno de R$ 120 mil no primeiro ano — para resolver um problema que, do ponto de vista técnico, exige apenas transmitir um sinal de sim ou não (maior de 18). Esse custo não é neutro na estrutura de mercado. Quando o compliance é caro, quem sobrevive são as empresas que podem pagar — as grandes. Quando o compliance é barato, o mercado se abre.

É exatamente o mecanismo que o Pix demonstrou em outra direção. Ao eliminar as taxas de transação via infraestrutura pública, o Banco Central não apenas modernizou pagamentos como democratizou a participação no sistema financeiro digital, incorporando 8 milhões de novos participantes em três anos e movimentando R$ 17 trilhões. A analogia não é forçada. É estrutural.

O modelo alternativo — infraestrutura pública de credenciais verificáveis vinculada ao Gov.br, com arquitetura de zero-knowledge proof — reduziria os custos de integração para a faixa de R$ 10 mil a R$ 25 mil (redução de 75% a 85%), eliminaria completamente o custo por verificação (hoje subsidiado pelo governo, como na emissão de qualquer documento público) e zeraria a necessidade de infraestrutura de armazenamento, uma vez que a prova criptográfica reside no dispositivo do usuário, não em servidor algum. Para a mesma plataforma edtech com 50 mil usuários, o custo de primeiro ano cairia para cerca de R$ 17 mil — uma redução de 86%.

Projetado para a escala da economia brasileira, o impacto é expressivo. Estimativas de análise de impacto regulatório apontam para a possibilidade de 275 mil a 325 mil novas PMEs se tornarem capazes de operar em conformidade com o marco legal, desbloqueando entre R$ 10,5 bilhões e R$ 12 bilhões por ano em atividade econômica hoje represada pelo custo proibitivo do compliance com o modelo biométrico tradicional. Em termos de emprego, o multiplicador é comparável ao de grandes obras de infraestrutura — mas com payback em semanas, não em anos.

Há ainda uma dimensão de soberania econômica e tecnológica que precisa ser explicitada. O mercado de verificação de identidade digital no Brasil opera de forma híbrida. Embora exista um ecossistema relevante de provedores nacionais, uma parte substantiva das capacidades críticas, como a biometria facial de alta acurácia, a detecção de vivacidade ou até mecanismos antifraude baseados em aprendizado de máquina, depende de tecnologias desenvolvidas no exterior. Essa dependência nem sempre é visível, pois frequentemente se materializa por meio de SDKs, APIs e integrações embarcadas em soluções locais, o que desloca o controle técnico para fora do país, mesmo quando a interface comercial permanece doméstica.

Esse arranjo cria uma forma de dependência estrutural em camadas profundas da stack de identidade: enquanto empresas brasileiras operam a orquestração, o onboarding e a experiência do usuário, os componentes mais sensíveis, aqueles que concentram capacidade de decisão, evolução e aprendizado, tendem a estar sob controle estrangeiro. Trata-se não apenas de uma questão de fluxo de divisas, mas de assimetria no acúmulo de conhecimento: sistemas que processam grandes volumes de dados são também aqueles que mais aprendem, e esse aprendizado, quando processado no exterior, limita o desenvolvimento de capacidades locais no longo prazo.

A construção de uma solução pública nacional interoperável poderia reequilibrar esse cenário, não apenas retendo parte do valor econômico gerado, mas também internalizando competências estratégicas. Ao fazê-lo, o Brasil não apenas reduziria sua dependência em infraestrutura crítica de confiança digital, como também se posicionaria como exportador de modelos institucionais e tecnológicos, replicando, no campo da identidade digital, um movimento semelhante ao observado com o Pix, cujo desenho vem sendo estudado e adaptado por diversos países em desenvolvimento.

O ponto central é que a escolha entre o modelo biométrico invasivo e o modelo de credencial verificável não é apenas uma escolha técnica sobre privacidade. É uma escolha sobre quem pode participar da economia digital brasileira, quem extrai valor do compliance regulatório e quem detém a infraestrutura que media o acesso de cidadãos a serviços legítimos. Quando se enquadra a discussão exclusivamente em termos de “proteção de crianças” versus “privacidade de adultos”, obscurece-se o terceiro eixo — e, talvez, o mais determinante para o futuro do ecossistema digital brasileiro. Insisto em tratar a estrutura de poder e distribuição de renda que cada modelo de implementação consolida.

Indo além do problema, uma solução plausível para apoiar as pequenas e micro empresas neste processo seria criar um fundo que ajudasse a subsidiar as previsões de conformidade. Os recursos poderiam vir da contribuição das grandes empresas e serem complementados com financiamento público do governo federal e dos estaduais. Este é um debate que proponho de forma aberta e transparente para incluir big techs e grandes empresas de KYC no pagamento da conta para garantir a proteção sem inviabilizar os negócios das PMEs brasileiras.

Quem lucra com o debate errado

Há um terceiro ator nessa história que quase nunca aparece nas análises sobre o ECA Digital. Falo das empresas especializadas em verificação de identidade que estão tentando conquistar o mercado de “verificação de idade” como extensão natural de seus serviços de KYC.

O mercado global de age assurance deve dobrar até 2029, passando de US$ 5,7 bilhões para US$ 10,4 bilhões. Esse crescimento é diretamente alimentado pela onda regulatória global: cada novo país que aprova uma lei exigindo verificação de idade online é um mercado a ser conquistado. Empresas como Yoti, Veriff, Ondato, ScreenlyyID e AgeID estão ativamente fazendo lobby em reguladores e pressionando o debate público para que “verificação de idade confiável” seja definida como equivalente aos seus produtos — que, na maioria dos casos, são variações de IDV (Identity Document Verification) com ou sem estimativa facial de IA.

O interesse dessas empresas está em que a ANPD, quando for regular a certificação de soluções privadas prevista no art. 30 do decreto, defina “alto grau de confiabilidade” de uma forma que seus produtos já atendam. Um padrão que exigisse transmissão de informação booleana exclusiva, sem retenção de template biométrico, sem log de atividade e com prova criptográfica no dispositivo do usuário seria incompatível com o modelo de negócios da maioria dessas empresas — porque tornaria o dado inacessível para qualquer uso secundário.

As orientações preliminares da ANPD tentam fechar essa brecha ao estabelecer que quando a solução de aferição de idade envolver dados biométricos, “sua utilização tende a exigir fundamentação mais robusta quanto à adequação e necessidade da medida no contexto específico, especialmente quando existirem alternativas menos intrusivas à privacidade capazes de alcançar resultado equivalente”. Na prática, é dizer que biometria só é justificável se não houver alternativa menos invasiva com resultado comparável. Dada a maturidade das credenciais verificáveis e das zero-knowledge proofs, essa alternativa existe. Mas a ANPD precisará ter a firmeza de aplicar esse critério quando os lobistas chegarem com suas demonstrações de produto.

A questão do engajamento monetizado

E há o segmento das plataformas de apostas esportivas online, as chamadas bets, que merece uma análise separada porque expõe com clareza incomum a tensão entre o modelo de negócios e a proteção de vulneráveis.

O modelo de negócios das bets não é apenas dependente de dados — é dependente de vulnerabilidades comportamentais. Toda a engenharia de produto dessas plataformas é orientada para maximizar o tempo de permanência, a frequência de apostas e o tamanho médio das apostas. Os dark patterns que o art. 9º do decreto veda expressamente — ocultação de pontos naturais de parada (rolagem infinita), autoplay, recompensas por tempo de uso, notificações excessivas — são, no caso das bets, funcionalidades centrais do produto. São o produto.

Quando uma plataforma de apostas implementa verificação de idade, o que está em jogo não é apenas a conformidade com o ECA Digital. É a decisão sobre se o sistema de verificação vai criar ou não um identificador persistente que permita cruzar o comportamento de apostas com dados demográficos e psicográficos do usuário — para tornar a manipulação ainda mais precisa. Um sistema de KYC disfarçado de verificação de idade entrega exatamente isso: nome, CPF, data de nascimento exata e, nos modelos mais invasivos, biometria facial vinculada a um histórico de apostas. Aqui cabe destacar que há uma decisão do governo que exige destas empresas os dados de identidade.

Não é coincidência que as maiores plataformas de apostas do mundo já operem com sistemas de verificação de identidade muito além do que qualquer regulação de proteção infantil exigiria. Esses sistemas não existem para proteger crianças. Existem porque conhecer a identidade do apostador é valioso para o modelo de negócios pois permite personalização do risco, segmentação de ofertas e, nos piores casos, identificação dos usuários mais vulneráveis para aplicação de táticas de retenção mais agressivas. A “verificação de idade” serve como cobertura regulatória para uma coleta de dados com objetivos muito mais amplos.

As orientações da ANPD são pertinentes aqui. As orientações preliminares exigem que os fornecedores avaliem não apenas os riscos do produto ou serviço, mas também “os riscos decorrentes do próprio mecanismo de aferição de idade a ser implementado, com atenção aos seus impactos na privacidade e proteção de dados pessoais”. Para uma plataforma de apostas que combina mecanismo de verificação invasivo com dark patterns de engajamento compulsivo, esse duplo risco é precisamente o ponto — e a ANPD precisará fiscalizar ambas as camadas, não apenas a conformidade formal com a verificação de idade.

Seis requisitos

As orientações preliminares da ANPD, lidas em conjunto com o decreto, confirmam e reforçam os requisitos que qualquer sistema de verificação de idade para serviços adultos precisa atender.

O primeiro é a separação estrutural entre o verificador de idade e o serviço de KYC. A ANPD é explícita neste ponto ao definir que um sistema de aferição de idade não pode servir a finalidades além da verificação etária. De forma complementar, o art. 13 da lei estabelece que os dados coletados para verificação de idade “só poderão ser utilizados para essa finalidade”. A separação precisa ser técnica, não apenas contratual.

O segundo é a transmissão de informação booleana exclusivamente. O art. 25, §1º, do decreto veda o envio de data de nascimento exata e de dados de perfilamento. As orientações reforçam a minimização de dados como garantia mínima inegociável para que o sistema transmita apenas o atributo etário necessário — nada mais.

O terceiro requisito é o apagamento imediato de imagens faciais e cópias de documentos após a aferição. O art. 24, §3º, do decreto já estabelece essa vedação. As orientações a confirmam ao incluir a segurança de dados entre as seis garantias mínimas de privacidade — segurança que não existe enquanto dados sensíveis desnecessários permanecerem armazenados.

O quarto é o apagamento do template biométrico e de qualquer identificador único após o uso. Templates biométricos são irrevogáveis. As orientações reconhecem explicitamente que dados biométricos se qualificam como dado pessoal sensível nos termos do art. 5º, II, da Lei Geral de Proteção de Dados Pessoais (LGPD), e exigem que sua utilização seja acompanhada de “salvaguardas compatíveis com a natureza e a sensibilidade dos dados envolvidos”. A retenção de template biométrico após a aferição é incompatível com essas salvaguardas.

O quinto requisito é a ausência completa de logs de atividade do usuário. A vedação à rastreabilidade também é uma das seis garantias mínimas de privacidade listadas pelas orientações. Um sistema que registra quais serviços um usuário acessou, quando e com qual dispositivo, viola diretamente essa vedação — independentemente de estar formalmente rotulado como sistema de “verificação de idade”.

O sexto — e mais sofisticado — é a oferta de uma carteira de credencial vinculada à chave criptográfica no enclave seguro do dispositivo do usuário. As orientações da ANPD confirmam que o decreto privilegia esse modelo ao apontar as credenciais verificáveis como método preferencial do art. 25, §2º, II. Nesse modelo, a prova de maioridade fica no aparelho, não no servidor. O usuário gera uma prova criptográfica local — baseada em zero-knowledge proofs* — e a apresenta ao serviço. O serviço verifica a prova sem saber quem é o usuário. Não há nada para vazar. Não há nada para cruzar. Não há nada, e aí que está o nó górdio, para monetizar.

A janela que está se fechando

O ECA Digital e o Decreto nº 12.880/2026 chegaram com uma janela de oportunidade incomum resultado de um marco técnico sofisticado, uma preferência explícita pelo modelo mais alinhado à privacidade e uma previsão de solução pública que poderia reduzir a dependência das big techs estrangeiras. As orientações preliminares da ANPD, publicadas há alguns dias, adicionam como terceiro elemento o regulador que, ao menos neste documento inicial, demonstra compreender a distinção entre verificação de idade e verificação de identidade, e que enquadra a biometria não como solução padrão, mas como recurso de última instância, sujeito a escrutínio de proporcionalidade.

Mas janelas se fecham. A regulamentação técnica definitiva da ANPD está por vir. O processo de certificação de soluções privadas de aferição de idade — art. 30 do decreto — será o campo de batalha real. As empresas de KYC já estão no lobby. As plataformas de conteúdo adulto e de apostas já têm consultores jurídicos mapeando como transformar a conformidade em oportunidade de coleta. E o debate público, ao confundir sistematicamente verificação de idade com verificação de identidade, está entregando de graça o argumento de que “mais dados é mais seguro”.

A ANPD precisará resistir a esse argumento com a mesma clareza que demonstrou nas orientações preliminares. Precisará definir “alto grau de confiabilidade” como sendo sobre a certeza da informação booleana transmitida — e não sobre a riqueza dos dados coletados no processo. E o MGI precisará, de fato, construir a infraestrutura pública de credenciais verificáveis que o decreto prevê — porque sem ela, a preferência legal vira promessa vazia, e o duopólio Apple-Google consolida seu papel de regulador de fato da identidade etária de toda a população brasileira conectada. Por fim, os usuários e a comunidade técnica precisarão apoiar este caminho para ajudar na manutenção dos preceitos legais e monitorar o lobby que já se avizinha.

Verificar idade não exige saber quem você é. Exige apenas provar que você tem 18 anos. Qualquer empresa que não ofereça os seis requisitos descritos acima deve ser descartada — não importa quão convincente seja sua apresentação sobre “segurança” e “conformidade”. E qualquer regulamentação técnica que não os incorpore deve ser lida pelo que é, ou seja, uma concessão ao modelo de negócios das plataformas, embrulhada na linguagem da proteção infantil.

O ECA Digital chegou. As orientações preliminares da ANPD apontam o caminho correto. A batalha pela preservação de sua essência começa agora.

* Essas tecnologias são maduras: VCs com SD-JWT, assinaturas BBS+, provas de faixa etária em zero-knowledge, credenciais vinculadas ao dispositivo no padrão ISO 18013–7. O decreto e as orientações preliminares da ANPD estão alinhados com o que há de mais avançado no mundo ??a EU Digital Identity Wallet do eIDAS 2.0, o Australian Digital ID Act de 2024, a norma ISO/IEC 27566–1:2025.

A imagem no alto foi gerada pelo autor com IA

 

*********************************

Receba gratuitamente a newsletter do Mobile Time e fique bem informado sobre tecnologia móvel e negócios. Cadastre-se aqui!

E siga o canal do Mobile Time no WhatsApp!