A partir de 17 de março de 2026, o Brasil passou a contar com uma das regulações mais abrangentes do mundo voltadas à proteção de crianças e adolescentes no ambiente digital. A Lei nº 15.211/2025, conhecida como ECA Digital ou Lei FELCA, entrou em vigor após seis meses de vacatio legis e inaugura um novo regime jurídico que impõe obrigações estruturais a empresas que operam produtos ou serviços digitais acessíveis por menores de idade no território nacional.
O tema, embora associado no imaginário popular às grandes plataformas de tecnologia, tem alcance significativamente mais amplo do que aparenta. Marketplaces, plataformas de streaming, aplicativos de gestão com acesso por funcionários menores de idade, sistemas de e-commerce, jogos digitais corporativos e qualquer produto ou serviço de tecnologia da informação com acesso provável por crianças e adolescentes podem estar no escopo da norma. Para o empresário, compreender os contornos dessa legislação e avaliar o grau de exposição da sua empresa é uma medida de gestão jurídica preventiva inadiável.
O contexto e a origem da lei
A Lei nº 15.211/2025 foi sancionada em 17 de setembro de 2025 e teve sua vigência antecipada para 17 de março de 2026 por meio da Lei nº 15.352/2026, que também transformou a Agência Nacional de Proteção de Dados (ANPD) em agência reguladora, ampliando significativamente sua autonomia institucional, seus poderes normativos e sua capacidade de fiscalização e sancionamento.
A aprovação da lei foi impulsionada por um amplo debate público sobre a adultização de crianças nas redes sociais e sobre os riscos do ambiente digital para o desenvolvimento biopsicossocial do público infantojuvenil. O resultado foi uma legislação que não se limita a atualizar o Estatuto da Criança e do Adolescente de 1990 para o contexto digital, mas que cria um regime próprio de proteção, com obrigações robustas, mecanismos efetivos de fiscalização e sanções de expressiva magnitude.
Quem está sujeito à lei
A norma aplica-se a qualquer produto ou serviço de tecnologia da informação que seja direcionado a crianças e adolescentes ou de acesso provável por esse público, independentemente do local de desenvolvimento, fabricação, oferta, comercialização ou operação da empresa. Esse critério territorial amplo significa que empresas estrangeiras que oferecem serviços no Brasil também estão sujeitas às suas disposições.
A lei estabelece três critérios para identificar o chamado “acesso provável” por menores: o produto ou serviço ser direcionado ao público infantojuvenil; a existência de evidências de que crianças e adolescentes o utilizam de forma relevante; e o produto ou serviço apresentar significativo grau de risco à privacidade, à segurança ou ao desenvolvimento biopsicossocial desse público. A Agência Nacional de Proteção de Dados deverá editar regulamentação complementar estabelecendo critérios objetivos para a aferição desses parâmetros, mas enquanto essa regulamentação não é publicada, a orientação jurídica prevalente é pela adoção de postura conservadora: se qualquer um dos três critérios estiver presente, a empresa deve considerar-se potencialmente enquadrada e iniciar o processo de adequação.
Importante observar que o ECA Digital não atinge apenas redes sociais e jogos. Plataformas de vídeo, serviços de assinatura digital, lojas de aplicativos, sistemas de apostas online e qualquer ambiente digital com interação entre usuários e com acesso provável por menores podem estar no radar da fiscalização.
As principais obrigações impostas pela lei
A lei estrutura suas obrigações em torno de cinco eixos principais, que impõem mudanças concretas nos produtos, nos processos internos e na governança das empresas sujeitas à norma.
O primeiro eixo é o da verificação de idade. As empresas devem implementar mecanismos confiáveis de verificação da faixa etária dos usuários, superando o modelo atual de autodeclaração, que a lei reconhece como insuficiente. A ANPD deverá estabelecer padrões técnicos nacionais para essa verificação, incluindo soluções baseadas em CPF e em reconhecimento facial, conforme regulamentação em elaboração.
O segundo eixo é o da proteção por design e por padrão. As configurações de privacidade e de proteção de dados dos produtos e serviços devem vir ativadas no nível máximo por padrão, sem necessidade de ação do usuário para habilitá-las. Esse princípio, conhecido como privacy by design e safety by default, exige revisão da arquitetura dos produtos e dos fluxos de experiência do usuário.
O terceiro eixo é o da publicidade e do tratamento de dados. A lei proíbe o uso de dados pessoais de crianças e adolescentes para fins de perfilamento e direcionamento de publicidade comercial. Essa vedação tem impacto direto sobre modelos de negócio baseados em publicidade segmentada e exige revisão das políticas de monetização e dos contratos com parceiros de publicidade.
O quarto eixo é o da moderação de conteúdo e da supervisão parental. As empresas devem disponibilizar ferramentas de supervisão parental, adotar medidas para prevenir e remover conteúdos ilícitos ou prejudiciais ao desenvolvimento infantojuvenil e comunicar às autoridades competentes conteúdos relacionados à exploração ou ao abuso sexual de menores identificados em suas plataformas.
O quinto eixo é o da transparência e da prestação de contas. Empresas com base expressiva de usuários menores de idade devem elaborar relatórios semestrais sobre suas práticas de moderação, governança de riscos e adequação à lei, a serem disponibilizados à ANPD e, em alguns casos, ao público.
O regime sancionatório
As sanções previstas no ECA Digital são significativas e devem ser consideradas seriamente no processo de avaliação de risco pelas empresas. O descumprimento das obrigações pode resultar em advertência, multa de até 10% do faturamento do grupo econômico no Brasil no último exercício ou multa por usuário afetado, sendo que as multas estão limitadas a R$ 50 milhões por infração. Em casos mais graves, a lei também prevê medidas como a suspensão parcial ou total do funcionamento do serviço.
As sanções do ECA Digital podem ser aplicadas de forma autônoma ou cumulativamente com as penalidades previstas na Lei Geral de Proteção de Dados Pessoais (LGPD), quando houver infrações autônomas relacionadas ao tratamento de dados pessoais de crianças e adolescentes, observados o devido processo legal e os limites à dupla punição pelo mesmo fato.
A ANPD já demonstrou postura proativa na implementação da lei: em janeiro de 2026, a agência iniciou processo formal de monitoramento junto a 37 empresas selecionadas pela sua relevância e influência sobre o público infantojuvenil no mercado brasileiro, solicitando informações sobre as medidas de adequação em implementação. Esse movimento sinaliza que a fiscalização se dará de forma ativa desde os primeiros meses de vigência da norma.
O que as empresas devem fazer agora
A entrada em vigor do ECA Digital não admite postergação. As empresas que ainda não iniciaram o processo de adequação estão, a partir de 17 de março de 2026, tecnicamente sujeitas às sanções previstas na lei. O processo de conformidade envolve etapas que demandam tempo, investimento e coordenação entre áreas jurídica, de tecnologia, de produto e de comunicação.
As medidas prioritárias incluem: a realização de diagnóstico de enquadramento para identificar quais produtos e serviços da empresa estão sujeitos à norma; o mapeamento dos riscos associados a cada produto e a avaliação das obrigações regulatórias aplicáveis; a implementação ou contratação de soluções tecnológicas para verificação de idade; a revisão de termos de uso, políticas de privacidade e políticas de moderação de conteúdo; a estruturação de processos internos de governança de dados e de resposta a incidentes envolvendo menores; e a elaboração de programa de treinamento para as equipes envolvidas na operação dos produtos e serviços digitais.
Para empresas estrangeiras que operam no Brasil, há ainda a obrigação de designar representante legal no território nacional para fins de cumprimento da lei e de interlocução com a ANPD.
Considerações finais
O ECA Digital representa uma mudança estrutural no ambiente regulatório digital brasileiro, com reflexos diretos sobre o modelo de negócio, a arquitetura de produtos e a governança de dados de um número expressivo de empresas. Ao contrário do que uma leitura superficial poderia sugerir, a lei não se destina apenas às grandes plataformas de tecnologia: qualquer empresa com presença digital relevante deve avaliar cuidadosamente seu enquadramento e adotar as medidas de adequação necessárias.
A assessoria jurídica especializada em Direito Empresarial e em proteção de dados é indispensável nesse processo, tanto para o diagnóstico preciso do grau de exposição da empresa quanto para a estruturação de um programa de conformidade eficaz e proporcional ao porte e às características do negócio.
Este artigo tem caráter exclusivamente informativo e não constitui consultoria jurídica individualizada. Para análise dos impactos específicos do ECA Digital sobre o seu negócio, recomenda-se a consulta a advogado especializado em Direito Empresarial e proteção de dados.
Matheus de Francisco Lazarim
Advogado Especialista em Direito Empresarial
Sócio do Escritório Lazarim & Assunção Advogados Associados