Desde 17 de março de 2026, o Brasil passou a operar sob um novo marco regulatório para a proteção de crianças e adolescentes no ambiente digital. A Lei nº 15.211/2025, conhecida como ECA Digital, deixou de ser tese e virou rotina de compliance. E o conceito que está no centro dela, o Privacy by Design, se tornou exigência.
Quem desenvolve produto digital no Brasil precisa entender o que isso significa na prática. Continue a leitura para entender mais.
O que é o ECA Digital e quem está no escopo
O ECA Digital aplica-se a qualquer serviço online com "acesso provável" por crianças e adolescentes, independentemente da localização da empresa, replicando a extraterritorialidade já presente na LGPD e no Marco Civil da Internet.
"Acesso provável" não é uma autodeclaração da empresa. A ANPD definiu três critérios cumulativos para caracterizá-lo:
- atratividade para esse público;
- facilidade de uso;
- existência de riscos relevantes à privacidade, segurança ou desenvolvimento biopsicossocial.
Na prática, o escopo é amplo: apps, jogos, redes sociais, sistemas operacionais, lojas de aplicativos e até repositórios de código podem estar enquadrados. A fiscalização cabe à ANPD, que passou a atuar como agência reguladora independente, com autonomia técnica, administrativa e financeira.
Por que Privacy by Design torna-se indispensável?
A LGPD já mencionava implicitamente o conceito no artigo 46. O ECA Digital o torna explícito e obrigatório. Empresas com presença significativa entre usuários menores precisam internalizar tanto Privacy by Design quanto Security by Design como componente integral do desenvolvimento desde a concepção.
Isso inclui revisar algoritmos de recomendação, políticas de moderação, parâmetros de coleta de dados e práticas de design que possam encorajar comportamentos compulsivos.
Os 7 princípios do Privacy by Design
O conceito foi criado nos anos 90 pela Dra. Ann Cavoukian, então comissária de Informação e Privacidade de Ontário, no Canadá. Em 2009, ela formalizou os sete princípios que hoje são referência mundial, adotados oficialmente pela International Assembly of Privacy Commissioners no ano seguinte.
- Proativo, não reativo; preventivo, não corretivo. Antecipe riscos antes que se materializem. Não espere o incidente para agir.
- Privacidade como configuração padrão. Se o usuário não fizer nada, sua privacidade permanece intacta. O padrão é o nível máximo de proteção, não o mínimo.
- Privacidade incorporada ao design. Não é opcional, é parte da arquitetura do produto.
- Funcionalidade total — soma positiva, não soma zero. Privacidade e funcionalidade convivem. Ter que escolher entre um ou outro não é uma opção.
- Segurança fim a fim. Proteção em todo o ciclo de vida do dado, da coleta ao descarte de dados.
- Visibilidade e transparência. "Confie, mas verifique." Operações precisam ser auditáveis por usuários e reguladores.
- Respeito pela privacidade do usuário. O sistema é desenhado a partir do interesse de quem usa, não de quem opera.
A ANPD organizou as obrigações do ECA Digital em quatro eixos práticos: prevenção, proteção, informação e segurança. As empresas precisam adotar medidas em todo o ciclo de vida do produto, do design à operação.
Cada dimensão conversa diretamente com os princípios do PbD. Privacidade por padrão atende ao dever de proteção; visibilidade e transparência atendem ao dever de informação; segurança fim a fim atende ao dever de segurança; e proatividade está no coração do dever de prevenção.
Verificação de idade: o ponto mais sensível
O ECA Digital exige que plataformas adotem métodos eficazes de confirmação de idade, pois autodeclaração não basta mais. Mas a lei também é explícita ao dizer que os mecanismos de aferição não podem comprometer a privacidade nem instituir vigilância massiva.
É justamente nesse paradoxo aparente que o Privacy by Design mostra seu valor. É possível verificar idade sem expor identidade completa: tecnologias como divulgação seletiva de atributos (selective disclosure), biometria com liveness sem retenção de imagens e credenciais verificáveis emitidas por terceiros confiáveis permitem confirmar que "este usuário tem mais de 18 anos" sem entregar nome, CPF ou data de nascimento.
A solução não é menos verificação, e sim processos de verificação mais bem projetados.
Sanções: o que está em jogo
O regime sancionatório é severo. As penalidades vão de advertência a multas que podem chegar a R$ 50 milhões por infração ou até 10% do faturamento do grupo econômico no Brasil. Casos graves podem resultar em suspensão ou proibição da atividade no país.
A fiscalização efetiva está prevista para janeiro de 2027, mas a ANPD já monitora 37 empresas que operam produtos ou serviços com acesso provável por menores.
Checklist prático
Para começar a adequação:
- Mapear se sua plataforma tem "acesso provável" por crianças e adolescentes
- Revisar configurações de privacidade por padrão em todos os fluxos
- Reformular onboarding para verificação de idade segura e proporcional (a Valid pode te ajudar nessa!)
- Conduzir avaliações de impacto à proteção de dados (DPIA) específicas para menores
- Revisar algoritmos de recomendação e práticas de design que estimulem uso compulsivo
- Para plataformas com mais de 1 milhão de menores cadastrados: estruturar relatórios de transparência
- Acompanhar as consultas públicas da ANPD, que detalharão guias técnicos infralegais
A oportunidade dentro da exigência
Ann Cavoukian definiu Privacy by Design como uma abordagem de soma positiva: privacidade e funcionalidade andam juntas. O ECA Digital incorpora essa lógica à legislação brasileira.
Para empresas que enxergam privacidade só como custo, a lei será fricção. Para quem entende identidade digital e proteção de dados como infraestrutura de confiança, é vantagem competitiva, principalmente em um mercado onde fraude, deepfakes e desconfiança custam caro.
Na Valid, estruturamos jornadas de identificação digital exatamente nessa lógica: verificação forte com privacidade preservada, biometria com liveness sem retenção desnecessária, e onboarding fluido sem renunciar a conformidade.
Entre em contato para conhecer nossa Plataforma de Segurança Digital.


