ECA Digital: como as leis de proteção à criança de outros países inspiraram o marco brasileiro

A proteção de crianças e adolescentes no ambiente digital se tornou uma das prioridades legislativas mais urgentes do século XXI. Em setembro de 2025, o Brasil sancionou a Lei nº 15.211/2025, conhecida como ECA Digital — o Estatuto Digital da Criança e do Adolescente —, que entrou em vigor em março de 2026. A lei estabelece regras inéditas para plataformas digitais, redes sociais, jogos eletrônicos e aplicativos que tenham crianças e adolescentes entre seus usuários.

Mas o Brasil não partiu do zero. A construção do ECA Digital dialogou com experiências internacionais consolidadas: o Children's Code do Reino Unido, o Digital Services Act (DSA) da União Europeia e o Kids Online Safety Act (KOSA) dos Estados Unidos. Cada uma dessas legislações trouxe contribuições distintas para o debate global sobre segurança infantil online, e o legislador brasileiro soube absorver elementos de todas elas para criar um texto com identidade própria — e, em muitos aspectos, mais abrangente.

Neste artigo, vamos analisar os pontos centrais de cada uma dessas três referências internacionais e mostrar como o ECA Digital se apropriou, adaptou ou superou essas iniciativas na formulação da regulamentação digital brasileira.

• Leia mais: ECA Digital - 10 perguntas e respostas para entender melhor a nova lei que protege crianças e adolescentes

Children's Code (Reino Unido): privacidade por design como ponto de partida

O Age-Appropriate Design Code, mais conhecido como Children's Code, foi publicado pelo Information Commissioner's Office (ICO) do Reino Unido em 2020 e passou a ser aplicado em setembro de 2021. Trata-se do primeiro código estatutário do mundo voltado especificamente à proteção de dados de crianças em serviços digitais.

O Children's Code não é uma lei autônoma, mas um conjunto de 15 padrões de design que orientam como o GDPR (o regulamento europeu de proteção de dados, ainda aplicado no Reino Unido via legislação própria) deve ser interpretado quando serviços digitais são acessados por menores de 18 anos. Seus princípios centrais incluem:

• Privacidade alta por padrão: todas as configurações de privacidade devem estar no nível máximo de proteção automaticamente, sem exigir que a criança ou seu responsável altere qualquer opção.
• Minimização de dados: as plataformas devem coletar apenas os dados estritamente necessários para a prestação do serviço, evitando coletas excessivas.
• Proibição de técnicas de nudge: é vedado o uso de padrões manipulativos de design (os chamados dark patterns) que induzam crianças a fornecer mais dados pessoais ou a reduzir suas configurações de privacidade.
• Geolocalização desativada por padrão: o rastreamento de localização de menores não pode estar ativado como configuração inicial.
• Interesse superior da criança: toda decisão de design deve colocar o bem-estar da criança como consideração primária, em alinhamento com a Convenção das Nações Unidas sobre os Direitos da Criança.

O impacto do Children's Code foi concreto e mensurável. Plataformas como Instagram passaram a configurar contas de menores de 18 anos como privadas por padrão, e o TikTok deixou de enviar notificações push para crianças em horários noturnos. O código britânico também inspirou diretamente a legislação da Califórnia, nos Estados Unidos, que aprovou seu próprio Age-Appropriate Design Code em 2022.

Influência sobre o ECA Digital

O ECA Digital incorporou de forma clara o conceito de privacy by design e safety by default presente no Children's Code. O artigo 7º da lei brasileira determina que os produtos e serviços digitais acessados por crianças e adolescentes devem ter suas configurações de proteção da privacidade e dados pessoais no nível máximo por padrão. A proibição de dark patterns também aparece no texto brasileiro, que veda interfaces manipulativas que comprometam as escolhas do usuário ou enfraqueçam salvaguardas de proteção.

A adoção do critério de "acesso provável" — ou seja, a lei se aplica não apenas a serviços direcionados a crianças, mas a qualquer serviço que provavelmente seja acessado por elas — é outro ponto de convergência direta com o modelo britânico, que foi pioneiro nessa abordagem ampla.

Digital Services Act (União Europeia): transparência, fiscalização e proteção sistêmica

O Digital Services Act (DSA), em vigor desde fevereiro de 2024, é o regulamento europeu que estabelece obrigações de diligência e transparência para plataformas digitais que operam na União Europeia. Embora não seja uma lei exclusivamente voltada à proteção de menores, o DSA trouxe disposições relevantes nesse campo, especialmente em seu Artigo 28, dedicado à proteção online de menores.

Os principais aspectos do DSA em relação à segurança infantil incluem:

• Medidas proporcionais de proteção: as plataformas acessíveis a menores devem adotar medidas adequadas e proporcionais para garantir altos níveis de privacidade, segurança e proteção.
• Proibição de publicidade baseada em perfilamento: plataformas não podem exibir anúncios segmentados por perfilamento quando há certeza razoável de que o destinatário é menor de idade.
• Avaliação de riscos sistêmicos: as chamadas Very Large Online Platforms (VLOPs) — plataformas com mais de 45 milhões de usuários na UE — devem realizar avaliações periódicas de riscos que seus serviços representam para menores, incluindo riscos à saúde mental.
• Relatórios de transparência: as grandes plataformas são obrigadas a publicar relatórios periódicos detalhando suas práticas de moderação de conteúdo, remoção de material e medidas de proteção adotadas.
• Diretrizes da Comissão Europeia: em julho de 2025, a Comissão publicou diretrizes específicas para a proteção de menores sob o DSA, cobrindo riscos como aliciamento, conteúdo nocivo, comportamentos aditivos, cyberbullying e práticas comerciais abusivas.

O DSA também se destaca pelo regime sancionatório robusto: multas podem chegar a 6% do faturamento global da empresa infratora, um patamar que confere real poder de dissuasão.

Influência sobre o ECA Digital

A influência do DSA sobre o ECA Digital traz diversos pontos de convergência: o regime de transparência do ECA Digital, que exige que empresas com mais de um milhão de usuários menores de 18 anos publiquem relatórios periódicos, segue a lógica dos relatórios obrigatórios do DSA. A proibição de publicidade direcionada com base em perfilamento comportamental de crianças e adolescentes, presente no artigo 22 do ECA Digital, espelha diretamente o disposto no Artigo 28 do DSA.

O modelo de fiscalização centralizada por uma autoridade reguladora: no caso brasileiro, a ANPD (Agência Nacional de Proteção de Dados) também dialoga com a estrutura europeia, onde os Digital Services Coordinators de cada Estado-membro e a própria Comissão Europeia exercem esse papel. O regime de multas do ECA Digital, que pode chegar a 10% do faturamento no Brasil (limitado a R$ 50 milhões por infração), sinaliza uma abordagem igualmente dissuasória.

A exigência de relatórios de risco e a obrigação de adoção de medidas preventivas proporcionais — em vez de apenas reativas — são elementos que aproximam o texto brasileiro da filosofia regulatória europeia.

Kids Online Safety Act — KOSA (Estados Unidos): dever de cuidado e o combate ao design aditivo

O Kids Online Safety Act (KOSA) é um projeto de lei norte-americano apresentado originalmente em 2022 pelos senadores Richard Blumenthal e Marsha Blackburn. Embora tenha sido aprovado pelo Senado em julho de 2024 com ampla maioria bipartidária, o KOSA não foi votado pela Câmara dos Representantes a tempo e precisou ser reintroduzido em 2025 no novo Congresso. Até o momento, o KOSA ainda não foi aprovado como lei federal nos Estados Unidos — o que torna sua influência sobre o ECA Digital mais conceitual do que normativa.

Ainda assim, os conceitos centrais do KOSA alimentaram o debate global e, por consequência, influenciaram o texto brasileiro. Os pontos-chave do projeto incluem:

• Dever de cuidado (duty of care): o KOSA propõe que as plataformas tenham o dever legal de prevenir e mitigar danos a menores causados por seus próprios recursos de design, incluindo algoritmos de recomendação e funcionalidades aditivas.
• Combate ao design aditivo: o projeto prevê que menores possam desativar funcionalidades como autoplay, rolagem infinita, notificações persistentes e compras dentro de aplicativos — mecanismos reconhecidamente projetados para maximizar o tempo de tela.
• Ferramentas de controle parental: as plataformas devem oferecer aos pais instrumentos para gerenciar privacidade, tempo de uso e comunicações dos filhos.
• Configurações de segurança por padrão: as configurações de privacidade mais restritivas devem ser ativadas automaticamente para menores.
• Proibição de publicidade de produtos ilegais para menores: o projeto veda a exibição de anúncios de bebidas alcoólicas, tabaco e substâncias controladas para usuários menores de idade.
• Transparência e pesquisa: o KOSA determina que as plataformas forneçam dados a pesquisadores independentes para que os impactos de seus serviços sobre a saúde mental de jovens possam ser avaliados.

O KOSA, porém, também foi alvo de críticas significativas. Organizações como a Electronic Frontier Foundation (EFF) e a ACLU argumentam que suas disposições podem levar à censura de conteúdo legítimo, inclusive recursos voltados à saúde mental e à comunidade LGBTQ+. A principal preocupação gira em torno da amplitude do conceito de "dano" e da possibilidade de que procuradores estaduais interpretem a lei de forma restritiva.

Influência sobre o ECA Digital

A ideia de dever de cuidado — ou responsabilidade ativa das plataformas em prevenir danos, não apenas reagir a eles — encontra eco direto no ECA Digital, que impõe obrigações de prevenção, proteção, transparência e segurança (artigo 5º). A abordagem brasileira segue a mesma lógica do KOSA ao responsabilizar as plataformas não pelo conteúdo em si, mas pelos recursos de design que amplificam riscos.

O controle parental obrigatório é outro ponto de forte convergência. O ECA Digital exige que todas as plataformas ofereçam ferramentas de supervisão parental acessíveis, claras e sem custo, permitindo que responsáveis bloqueiem comunicações com adultos desconhecidos, limitem funcionalidades que incentivem o uso excessivo e restrinjam o compartilhamento de geolocalização.

A preocupação com o design aditivo também foi incorporada pelo legislador brasileiro. A lei veda, por padrão, funcionalidades que criem loops de recompensa contínua — como notificações push, recompensas diárias e mecanismos de "jogue por agendamento" — para contas de menores, em clara sintonia com o espírito do KOSA.

O que o ECA Digital trouxe de original

Se o ECA Digital bebeu dessas três fontes internacionais, é importante reconhecer que o texto brasileiro também inovou em diversos aspectos, criando uma legislação que, em alguns pontos, vai além de suas referências.

A abrangência setorial é talvez a principal inovação. Enquanto o Children's Code foca em design e privacidade, o DSA trata de plataformas digitais de forma geral e o KOSA mira especificamente redes sociais, o ECA Digital engloba todo o ecossistema digital — de redes sociais e jogos eletrônicos a lojas de aplicativos, sistemas operacionais e até casas de apostas online.

A regulamentação de influenciadores mirins é outro ponto inédito. O ECA Digital exige que plataformas que monetizem ou impulsionem conteúdos envolvendo crianças cobrem autorização específica dos responsáveis — uma resposta direta ao fenômeno que motivou a aprovação acelerada da lei.

A proibição expressa de loot boxes em jogos acessíveis a crianças também coloca o Brasil à frente de muitos países no debate sobre mecânicas de jogo semelhantes a apostas direcionadas ao público infantil.

Por fim, a verificação de idade ganhou contornos mais rígidos no texto brasileiro. A lei determina o fim da simples autodeclaração ("tenho 18 anos") como mecanismo aceito, exigindo métodos mais confiáveis — embora os detalhes técnicos ainda dependam de regulamentação da ANPD.

Conclusão: um marco com DNA global e identidade brasileira

O ECA Digital não é uma cópia de nenhuma lei estrangeira. É um texto que soube aproveitar o que havia de melhor nas experiências internacionais — a ênfase em privacidade por design do Children's Code, a transparência e fiscalização robusta do Digital Services Act e o conceito de dever de cuidado e combate ao design aditivo do Kids Online Safety Act — e adaptou esses elementos à realidade brasileira, com inovações próprias que posicionam o país como referência na proteção digital de crianças e adolescentes.

Como afirmaram pesquisadores e especialistas ouvidos durante a tramitação, o Brasil não reinventou a roda — mas construiu uma que gira de forma mais eficiente para o contexto local, abarcando setores que outras legislações deixaram de fora e criando mecanismos de fiscalização e verificação de idade com ambição de efetividade concreta.

O sucesso da lei, porém, dependerá de sua implementação. A atuação da ANPD, a cooperação das plataformas e o engajamento das famílias serão determinantes para que o ECA Digital passe de promessa legislativa a proteção real.

Sua plataforma está pronta para o Novo ECA Digital?

A conformidade não é mais uma opção, é a nova regra do jogo. Na Legitimuz, acreditamos que a proteção de crianças e adolescentes é uma prioridade absoluta. Por isso, estamos prontos para ajudar sua empresa a se adaptar com agilidade e precisão.

Não deixe sua operação vulnerável a multas ou fraudes de identidade. Oferecemos a melhor solução de KYC (Know Your Customer) do mercado: um sistema robusto de verificação de idade e identidade que combate fraudadores, protege menores e garante total segurança jurídica para o seu negócio.

Agende uma demonstração da Legitimuz e esteja à frente da regulamentação com tecnologia de ponta.