O decreto que regulamenta o ECA Digital não foi assinado nesta terça-feira, 17. O presidente Luiz Inácio Lula da Silva, pediu o adiamento para que pudesse ter mais detalhes sobre o texto e estar a par dele. A assinatura acontece nesta quarta-feira, 18. A informação foi dada por João Brant, secretário de Políticas Digitais da Presidência da República em entrevista para a Globonews.

Além do decreto que regulamenta o Estatuto da Criança e do Adolescente Digital, deverá haver outros dois decretos para Lula assinar que “ajudam a sustentar a estrutura de acompanhamento do tema”, segundo Brant.

O ECA Digital entra em vigor nesta terça-feira.

Caberá à ANPD a função de supervisionar e fiscalizar a implementação entre as plataformas as medidas de proteção para menores de idade no ambiente digital. Caso a lei não seja cumprida, pode haver sanções que vão de R$ 10 por usuário a R$ 50 milhões. “Mas sentimos que boa parte dos atores e o setor privado estão muito engajados e dispostos a cumprir o que o Congresso determinou e o Poder Executivo detalha as regras e sua execução”, disse Brant. “A lei traz uma lógica de mais responsabilização das plataformas. E a sociedade tem clamado por mais ações por parte das plataformas e agora elas terão que fazer mais”, complementou.

O decreto que será assinado nesta quarta apresenta um conjunto de critérios para a aferição de faixa etária – que não somente serve para proteger crianças e adolescentes no ambiente digital como também afeta a privacidade e a proteção de dados de todos os usuários. O texto deverá exigir um processo de implementação “rápida e gradual”, que seja uma coleta minimizada de dados pessoais e que o processo de implementação seja efetivo.

ECA Digital

Renata Mielli, coordenadora do CGI.br. Crédito: divulgação

“A aferição vai impactar não somente crianças e adolescentes, mas o usuário adulto também. Porque quando ele entra em sites desse tipo também vai passar pela aferição de idade. Mas são muitos os mecanismos que podem ser usados para isso. Apesar da lei, há um prazo para que a ANPD inicie um processo de fiscalização para compreender como os setores estão usando e que tipo de técnica estão utilizando. Vai haver uma mudança, mas há um processo de implantação e acomodação natural dessas mudanças”, afirma Renata Mielle, coordenadora do CGI.br em conversa recente com Mobile Time. “Principalmente as sanções, que existe todo um processo de implementação”, complementa.

Brant estima que a aferição de idade deva estar plenamente implantada no Brasil até o final do ano e que, enquanto isso, a ANPD definirá de forma mais granular como será feito esse processo.

A aferição de faixa etária é um dos pontos mais sensíveis, mas o que poderá ser implementado ainda é vago.

Especialistas ouvidos sobre aferição de idade

Mobile Time ouviu recentemente alguns especialistas, que comentam sobre a eficácia ou não de diferentes tecnologias apresentadas na consulta pública apresentada em fevereiro no documento Mecanismos de Aferição de Idade – Análise das Contribuições à Consulta Pública e Subsídios para Regulamentação da Lei nº 15.211/2025.

ECA Digital

Maria Mello, do Instituto Alana. Crédito: divulgação

Duas das formas como são feitas a aferição de idade atualmente na internet estão fora do jogo para os especialistas ouvidos: autodeclaração e envio de documentos. Há um consenso de que ambas devem ser descartadas. A primeira por ser fácil de ser manipulada e a segunda pelo perigo de enviar documentos originais online. Maria Mello, coordenadora de programas do Instituto Alana, espera que a autodeclaração seja expressamente vedada na regulamentação. Mielli, do CGI.br, reforça que esse método não é suficiente para proteger crianças de conteúdos inadequados ou da compra de produtos ilícitos.

Helena Secaf, advogada e pesquisadora com experiência em privacidade, proteção de dados e regulação digital do InternetLab, salienta que a sociedade civil sabe o que não quer como técnica de aferição. E o consenso é que verificação etária não é a mesma coisa que verificação de identidade. “Quando queremos saber mais ou menos uma determinada faixa etária, a gente só precisa e deveria saber se aquela pessoa tem mais ou menos daquela faixa etária. Quando pensamos em soluções invasivas não é um caminho que faça sentido. E é preciso respeitar a Lei Geral de Proteção de Dados, sendo que um dos pontos é a minimização de dados”, diz. A especialista aponta que a exigência de upload de documentos fere o princípio da minimização de dados da LGPD e é muito invasiva; Mello e Rafael Zanatta, codiretor do Data Privacy Brasil, concordam, classificando a prática como “completamente inadequada”.

ECA Digital

Joelson Vellozo, diretor de políticas públicas da Unico. Crédito: divulgação

Como representante das empresas, a Unico, acredita que a biometria facial possui pontos positivos, por sua segurança e por ser uma tecnologia bastante usada no ambiente financeiro, por exemplo. Ou seja, muitos usuários estão habituados. Joelson Vellozo Júnior, diretor de políticas públicas da Unico, propõe usar a biometria apenas para validar se há um adulto (18+) do outro lado da tela, retornando apenas um “sim” ou “não” para a plataforma, sem repassar os dados sensíveis. Como a empresa aplica camadas de identificação em plataformas voltadas para verificar que o usuário é um adulto, como as bets, é preciso saber com mais precisão se a pessoa do outro lado é ou não maior de idade. Por isso, a biometria é a tecnologia defendida pela empresa, por ser exata. Neste caso, é preciso aferir a idade e não somente a faixa etária.

“Biometria é uma tecnologia supersegura. Acreditamos que vai ter espaço para soluções que envolvam a biometria. Aliás, várias redes sociais estão adotando esse mecanismo de aferição”, comenta Vellozo.

Este, no entanto, é o método que mais gera preocupação entre os representantes da sociedade civil. Secaf alerta que a biometria é um dado sensível e exige proteção robusta. Mello afirma que a biometria pode falhar com adolescentes (que mudam de feição rapidamente) e é facilmente burlável (como crianças usando barbas falsas, no caso do Roblox).

Zanatta alerta para o risco de vigilância comercial, onde empresas poderiam acumular biometria de menores de idade para treinar algoritmos de detecção de emoções e explorar isso financeiramente. E o próprio Vallozo reforça que a biometria falha na estimativa exata de idade para adolescentes (ex: diferenciar 17 de 19 anos), sendo mais útil para validações estritas de maiores de idade.

Mello, do Instituto Alana, também vai na mesma toada de que a sociedade brasileira não está preparada para cravar qual a solução ideal de aferição. “Estamos tateando soluções, mas partimos de algumas premissas que são consensuadas dentro da sociedade civil. A gente sabe mais dos nãos e tem um pouco mais de proximidade do que podem vir a ser soluções ideais”, comenta.

No momento, a solução mais próxima do chamado “padrão ouro” para os representantes da sociedade civil é a Prova de Conhecimento Zero (Zero-Knowledge Proof) e a Inferência por Sinais. Esse sistema usa dupla confidencialidade: um emissor certifica a idade e gera um “token” (uma prova binária, que responde “sim” ou “não”), garantindo que o site não saiba quem é o usuário e o certificador não saiba qual site está sendo acessado.

Zanatta complementa que o ideal é usar métodos computacionais que analisam o comportamento e o dispositivo (sinais temporários) para inferir a idade, anonimizando e excluindo os dados logo em seguida, sem criar bases de vigilância.

Proibição ás redes sociais de menores de 16 anos; ECA Digital

Rafael Zanatta é codiretor da Data Privacy Brasil. Crédito: divulgação

Entre os problemas encontrados para o uso desta solução está a complexidade de sua infraestrutura e por ser cara. Os dois acreditam que dificilmente haverá uma solução pública que possa ser usada por pequenas e médias empresas que necessitem aferir a idade de seus usuários.

Zanatta pensa que o governo deveria fazer uma análise da viabilidade da prova de conhecimento zero. “Deveria envolver uma análise de impacto regulatório e o governo também tem condições e tem a expertise para avaliar o quanto que a imposição de uma regra vai produzir efeitos econômicos”, diz.

O representante do Data Privacy aponta que todas as soluções de mercado a serem construídas devem seguir uma orientação de captura de dados de modo que sejam estritamente necessários para executar as funções de aferição de idade e somente isso. “E modelos de validação sucessiva, que preveem uma camada de ciclo de vida de dados, anonimização, exclusão de dados temporários e a não retenção são importantes para não se criar uma malha de vigilância ou estoque de dados que possam virar outras oportunidade de negócios para as empresas. Você pode aumentar o apetite comercial”, conta. “Tem que delimitar o uso do dado para a finalidade e a necessidade específica e tem que partir para cima de quem descumprir isso. Tem que haver um sinal de que isso não será tolerado”, resume.

Desafios

Mello aponta alguns desafios na implementação do ECA Digital pelas empresas. Entre eles está a pouca comunicação das empresas em expressar suas movimentações para se adequarem à lei. Até então, as atitudes das empresas, ou a ausência de atitudes, sugerem falta de posicionamento. Outro ponto é o risco de soluções que afetam a privacidade e que podem implicar em vazamentos de dados sensíveis de crianças e adolescentes para exploração comercial por terceiros.

O terceiro receio é que as soluções sejam onerosas demais para pequenas e médias empresas.

“Seria interessante a gente pensar em soluções que tenham facilidade em termos de custos. Deveríamos pensar como a Austrália fez, com processos e foram acumulando conhecimento a partir de experiências internacionais e fizeram sandboxes e testes em contextos diversos para entender se aquelas soluções paravam de pé”, explica Mello, que defende ainda uma solução baseada em riscos, ou seja, quanto mais riscos mais acurácia a solução deve ter.

O Brasil também deveria utilizar o parâmetro de classificação indicativa para parametrizar os graus de risco e fazer a distinção do que é inapropriado, inadequado e ilegal. “E produzir relatórios. Não existe uma solução única ideal. Falamos do Zero-Knowledge Proof, que tem se colocado como o método menos invasivo, mas que não poderá ser colocado em todos os casos. Deve ser um conjunto de métodos que se adequem a cada produto e serviço”, resume.

O ECA Digital

O escopo de aplicação do Estatuto é voltado para provedores de aplicação direcionados para crianças e adolescentes ou aqueles de acesso provável e que podem representar riscos e violar direitos de crianças e adolescentes. Esses, portanto, precisarão de mecanismos de aferição etária para que elas não acessem serviços inadequados.

A aferição, de acordo com o decreto que será publicado, deverá seguir alguns princípios. O primeiro deles é que a coleta de dados é mínima necessária para garantir a confirmação de que o usuário é ou não uma criança ou adolescente. Além da coleta mínima é desejável que esses dados sejam descartados logo após o uso. E não podem ser usados para outros fins.

Aferição de idade não é identificação de usuário. “São coisas bem diferentes. Portanto, não será necessário dar o seu documento, data de nascimento, CPF, RG, coisas que, infelizmente, fazemos banalmente na internet”, afirma Renata Mielli, coordenadora do CGI.br. “A grande verdade é que a nossa experiência como usuário digital é dar sem questionar esse tipo de informação”, comenta.

 

 

*********************************

Receba gratuitamente a newsletter do Mobile Time e fique bem informado sobre tecnologia móvel e negócios. Cadastre-se aqui!

Siga o canal do Mobile Time no WhatsApp!

As ilustrações das matérias são produzidas por Mobile Time com IA