O ECA Digital entrou em vigor. A sua verificação de idade ainda é um checkbox

A autodeclaração foi explicitamente proibida. Aquele campo "Tenho mais de 18 anos" que todo mundo clica sem ler não serve mais.

A Lei 15.211/2025, conhecida como ECA Digital, é a maior atualização do Estatuto da Criança e do Adolescente desde 1990. Três decretos regulamentadores foram assinados no dia seguinte à vigência. A ANPD foi designada como órgão fiscalizador, com poder sancionatório espelhado na LGPD: advertência, multa, suspensão de serviço. O escopo é amplo: vale pra qualquer serviço digital acessado por menores no Brasil, independente de onde a empresa está sediada. Plataformas com mais de 1 milhão de usuários menores precisam publicar relatórios de transparência. Conteúdo monetizado envolvendo menores exige autorização judicial prévia.

Até aqui, parece arrumado. Existe uma lei, existe um órgão fiscalizador, existem sanções claras.

O problema começa quando você desce pro nível de quem precisa implementar.

A lei proíbe autodeclaração. Mas não define qual método de verificação de idade é aceitável. Verificação por documento? Estimativa por IA facial? Validação via base de dados de terceiro? Cada uma dessas abordagens carrega implicações técnicas, de custo e, ironicamente, de privacidade.

Pra cumprir uma lei de proteção de menores, você precisa coletar mais dados sobre os seus usuários. Dados biométricos, dados documentais ou dados comportamentais que alimentem um modelo de estimativa de idade. Qualquer um desses caminhos gera uma nova obrigação sob a LGPD, porque agora você tem um tratamento de dados pessoais que antes não existia no seu fluxo. E se o usuário for menor, o dado é sensível por definição.

É um paradoxo de conformidade que vai cair direto no backlog de engenharia.

O que muda pra quem opera

Se você tem um SaaS, um marketplace, um app com base de usuários no Brasil, a pergunta prática não é "a lei se aplica a mim?" mas "qual é o meu risco se eu não fizer nada?".

A ANPD já mostrou que não espera regulamentação perfeita pra agir. O caso Grok é o exemplo mais recente: a plataforma X foi notificada por permitir geração de conteúdo sexual sintético envolvendo pessoas identificáveis. A resposta da empresa foi considerada insuficiente. E a Nota Técnica nº 1/2026 da ANPD estabeleceu um precedente que muda o jogo: conteúdo gerado por IA que referencia pessoa identificável constitui dado pessoal sob a LGPD. Se for sexual e envolver menor, é dado pessoal sensível.

Traduzindo pra quem monta produto: se a sua plataforma tem qualquer funcionalidade de IA generativa e pode ser acessada por menores, você tem duas camadas de conformidade sobrepostas. Uma vem do ECA Digital, com verificação de idade, moderação de conteúdo e relatórios de transparência. A outra vem da LGPD, com base legal, minimização e finalidade. As duas são fiscalizadas pelo mesmo órgão.

A verificação de idade não é mais um problema de front-end. É um componente de arquitetura. Precisa ser auditável, precisa gerar logs, precisa ter fallback quando o método principal falha, e precisa não violar a própria lei que está tentando cumprir. Coleta desproporcional de dados de menores é sancionável.

A zona cinzenta

A implementação "correta" não existe ainda. Os padrões técnicos estão sendo definidos. A ANPD tem um sandbox regulatório ativo desde fevereiro com três empresas selecionadas, mas os resultados vão levar meses. A Europa está enfrentando exatamente o mesmo impasse com o AI Act e adiou parte das obrigações de alto risco pra 2027 e 2028 justamente pela dificuldade de operacionalizar o que a legislação exige.

O risco pra quem opera no Brasil é o de sempre: a lei entra em vigor antes da regulamentação técnica amadurecer, e a fiscalização não espera. Só em 2026, a ANPD já atuou contra o Grok, publicou nota técnica sobre IA e dados pessoais, e articulou com MPF e Senacon ações conjuntas. O ritmo acelerou.

A decisão de cada CTO vai depender do perfil de risco da empresa. Mas ignorar o ECA Digital contando que a regulamentação técnica ainda não está pronta é apostar que a ANPD vai esperar. Os últimos seis meses sugerem que não vai.

O checkbox de idade morreu. O que vai no lugar dele ainda está sendo negociado. Mas a obrigação de colocar alguma coisa já está valendo.