ANPD: empresas devem se adequar ao ECA Digital desde já
A Autoridade Nacional de Proteção de Dados (ANPD) afirmou nesta sexta-feira, 20, que a fiscalização do ECA Digital já está em curso e que a nova fase de atuação da autarquia combinará monitoramento preventivo, orientações técnicas e futura regulamentação sobre sanções e aferição de idade. Em coletiva à imprensa, a diretora Miriam Wimmer e o diretor Iagê Miola concentraram as respostas no que muda, desde já, para plataformas, lojas de aplicativos, sistemas operacionais e outros serviços digitais acessados por crianças e adolescentes.
Fiscalização
“O que a ANPD divulgou hoje não deve ser lido como a mensagem de que a fiscalização ficou para 2027”, afirmou Iagê Miola, diretor da autarquia, rejeitando a interpretação de que a responsabilização só começaria ano que vem. Segundo ele, “a fiscalização já começou no ano passado”, com a abertura de processo de monitoramento de quase 40 empresas para acompanhar o estágio de preparação antes da vigência da lei e as medidas planejadas para adequação.
O diretor explicou que a referência a 2027 no cronograma diz respeito à priorização formal do tema no mapa de fiscalização, não ao início da atuação da autoridade. “Não significa, quando a gente diz que há um tema que será priorizado em um determinado momento, que este tema não será fiscalizado antes deste período”, disse.
Sanções ainda dependem de ajustes
Ao mesmo tempo, a agência reconheceu um limite imediato de sua atuação administrativa: as sanções próprias da ANPD ainda dependem de ajuste regulatório. “O que não vai acontecer imediatamente é a aplicação de sanções por eventual descumprimento do ECA digital”, disse Iagê. Ele explicou que a autarquia precisa atualizar seu regulamento de fiscalização e sanção, com consulta pública, para operacionalizar penalidades já previstas em lei. “O regulamento não vai criar as sanções. O regulamento basicamente cria as ferramentas que a ANPD vai usar para aplicar aquelas sanções previstas em lei”, afirmou.
Mesmo sem aplicação imediata dessas sanções administrativas, a autoridade disse que a fiscalização seguirá por monitoramento e orientação. “Estamos fazendo monitoramento, isso é fiscalização”, resumiu Iagê. Segundo ele, se a agência identificar boa-fé e diligência das empresas, o processo pode resultar em conformidade obtida pela via orientativa. Mas, se houver descumprimento e indisposição para correção, a ANPD poderá retomar esses casos depois que o novo regulamento estiver pronto.
Miriam Wimmer acrescentou que a lei não depende apenas da atuação administrativa da agência. “O ECA digital é uma norma que chama a atuação de vários órgãos públicos”, afirmou. Ela lembrou que há sanções previstas no estatuto que não cabem à autarquia, como suspensão temporária de atividades e proibição de exercício de atividades, passíveis de aplicação pelo Judiciário. “Não é que o ECA digital está em compasso de espera”, frisou.
Aferição de idade sem vigilância
Sobre mecanismos de aferição de idade, a ANPD procurou marcar distância de soluções que transformem controle etário em identificação massiva de usuários. Miriam afirmou que esse é o ponto central da discussão. “Não se pode permitir em hipótese nenhuma a implantação de mecanismos massivos de vigilância genérica, indiscriminada, ou qualquer tipo de mecanismo que comprometa direitos fundamentais”, disse.
A diretora insistiu em distinguir aferição etária de verificação de identidade. “E aqui eu estou falando aferição e não verificação, não é por acaso”, afirmou. Segundo ela, a aferição pode ir “desde uma simples estimativa baseada no comportamento do usuário” até métodos documentais mais fortes, e a escolha depende do risco associado a cada serviço. “A escolha do mecanismo é algo que é muito relevante e não implica necessariamente no fornecimento de documentos e nem na comprovação da identidade daquele indivíduo”, disse.
Na formulação da ANPD, o objetivo é apenas informar a faixa etária necessária para permitir, bloquear ou modular o acesso. “O que o mecanismo de aferição deve fazer é simplesmente dizer: esse usuário está na seguinte faixa etária, tem mais do que X anos de idade”, afirmou Miriam. Ela acrescentou que existe vedação legal ao uso desses mecanismos para outras finalidades. “É uma vedação legal, inclusive, a que esses mecanismos sejam usados de modo a coletar dados pessoais, inclusive para finalidades diversas de simplesmente aferir a idade.”
Essa posição aparece também no documento preliminar publicado pela ANPD nesta sexta, 20. O texto diz que as orientações refletem, neste momento inicial, a posição institucional da agência e servirão de referência para as atividades de monitoramento, até a edição de regras definitivas após consulta pública. O documento organiza os requisitos em seis eixos: proporcionalidade; acurácia, robustez e confiabilidade; privacidade e proteção de dados pessoais; inclusão e não discriminação; transparência e auditabilidade; e interoperabilidade.
Na parte de proteção de dados, a ANPD reforça que o fornecimento do sinal de idade deve ocorrer por API segura, com privacidade por padrão, observando minimização de dados e vedação ao compartilhamento contínuo, automatizado e irrestrito de dados pessoais. O texto também explicita que dados coletados para aferição de idade só podem ser usados para essa finalidade.
Autodeclaração não basta em casos mais sensíveis
Sobre obrigações já exigíveis, Iagê tratou do uso de autodeclaração. “Quem lida com conteúdos que são proibidos para crianças e adolescentes já não pode mais utilizar a autodeclaração”, afirmou. Segundo ele, empresas nessa situação “precisam demonstrar que estão agindo para se adequar à legislação”. A agência disse que já está monitorando justamente esse tipo de caso.
Na prática, o recado da ANPD é que, embora ainda haja parâmetros técnicos a detalhar, há um piso regulatório já estabelecido. Para a autoridade, serviços que envolvem conteúdos vedados a crianças e adolescentes não podem esperar a regulamentação final para abandonar soluções frágeis.
Foco inicial em app stores e sistemas operacionais
Questionada sobre o que acontecerá com as empresas já monitoradas e se outros setores serão incluídos, Miriam disse que o trabalho continua e que as respostas recebidas estão em análise. “Nós recebemos as respostas das empresas, estão sendo analisadas, e isso enseja um diálogo entre regulador e regulado, no sentido de promover a adequação”, afirmou.
Ela explicou que a estratégia inicial será concentrar a fiscalização em atores com função estrutural no ecossistema digital. “A nossa escolha, anunciada hoje por meio do cronograma, é começar de maneira mais estratégica, focando em lojas e aplicações de internet e sistemas operacionais”, disse. A justificativa é que esses agentes emitem o sinal de idade que poderá ser utilizado por outros serviços. “Tem um impacto sistêmico muito significativo”, afirmou Miriam.
A diretora detalhou a lógica dessa escolha: “Se o sistema operacional e o App Store já estiverem conformes à ANPD, já estiverem emitindo esse sinal de idade, usando parâmetros adequados, isso tem um efeito de desdobramento no ambiente digital que é muito amplo”. Ela acrescentou que a ANPD fará, a partir deste mês, “acompanhamento específico” desses atores e usará esse diálogo para produzir orientações ainda mais detalhadas.
Requisitos técnicos mais claros até agosto
Diante de dúvidas sobre falhas práticas em sistemas de selfie por IA e outros métodos de estimativa etária, Iagê afirmou que a agência espera consolidar até agosto sua posição definitiva inicial sobre os requisitos mínimos de funcionamento desses mecanismos.
Ele afirmou que as orientações preliminares já oferecem parâmetros mínimos de acurácia e robustez. “Serão mecanismos que eles têm que ter um elevado grau de acerto e que eles têm que prever formas de evitar o falseamento ou que alguém consiga ludibriar esse mecanismo”, afirmou. Ao exemplificar, disse que uma solução facilmente burlável não atende ao padrão esperado pela autoridade.
O documento preliminar publicado pela ANPD reforça essa lógica ao recomendar que as empresas avaliem previamente a confiabilidade das fontes de dados, monitorem falhas e documentem medidas corretivas. Também orienta que as decisões sobre os mecanismos escolhidos sejam registradas para permitir auditabilidade.
Solução pública e IA entram no radar
Sobre a possibilidade de uma solução pública para aferição de idade, Miriam afirmou que essa hipótese está prevista na própria legislação. “Existe sim a possibilidade estabelecida por lei de que o poder público atue também como fornecedor desse tipo de solução”, disse. Ela mencionou o Ministério da Gestão e da Inovação em Serviços Públicos como ator que poderá disponibilizar tecnologia para confirmar a vinculação de crianças e adolescentes a seus responsáveis legais.
A diretora também respondeu que sistemas de IA usados por crianças e adolescentes ou com acesso provável por esse público entrarão na agenda regulatória da ANPD. Segundo ela, o decreto impõe a esses fornecedores obrigações de transparência, prevenção de manipulação comportamental, avaliação de risco algorítmico e salvaguardas ao desenvolvimento físico, mental e psicológico. “É um tema que certamente exigirá uma atuação nossa”, afirmou.
Cronograma ANPD
Etapas de implantação para soluções de aferição de idade
Etapa I | Data | Objetivo | ||
Divulgação de orientações preliminares para adoção de mecanismos confiáveis de aferição de idade | A partir de março/2026 | Estabelecer parâmetros preliminares a fim de conferir maior segurança jurídica e previsibilidade para os agentes regulados. | ||
Criação de página virtual dedicada à divulgação de esclarecimentos sobre o ECA Digital | A partir de março/2026 | Divulgar informações essenciais sobre o ECA Digital para toda a sociedade, incluindo perguntas e respostas, entre outras iniciativas de comunicação | ||
Monitoramento da implantação de soluções de aferição de idade: lojas de aplicações de internet e sistemas operacionais | A partir de março/2026 | Realizar acompanhamento específico para assegurar a adequada implementação do sinal de idade. Levantar informações relevantes que subsidiem a elaboração de orientações gerais pela ANPD. | ||
Submeter à Tomada de Subsídios o Guia de “Fornecedores de produtos ou serviços de tecnologia da informação: escopo e obrigações gerais do ECA Digital”. | A partir de abril/2026 | Realizar Tomada de Subsídios com vistas a colher contribuições técnicas da sociedade e aprimorar a interpretação e aplicação da Lei. | ||
Etapa II | Data | Objetivo | ||
Publicação de Orientações e parâmetros normativos sobre mecanismos de aferição de idade e divulgação das prioridades de monitoramento da etapa II; | A partir de agosto/2026 | Detalhar os princípios previstos no Decreto e orientar os agentes regulados quanto a sua interpretação e aplicação, por meio de regulamento ou Guia, conforme previsto na Agenda Regulatória da ANPD. | ||
Período de adaptação e monitoramento de implantação de soluções de aferição de idade | Agosto – novembro/2026 | Conferir prazo de transição para que os regulados possam se adaptar às determinações da ANPD e acompanhar e avaliar a implementação de soluções de verificação de idade. | ||
Atualização dos Regulamentos de Fiscalização e Aplicação de Sanções Administrativas | A partir de novembro/2026 | Publicação dos Regulamentos atualizados, conforme previsto na Agenda Regulatória da ANPD. | ||
Etapa III | Data | Objetivo | ||
Ações de fiscalização, conforme previsto no Mapa de Temas Prioritários | A partir de janeiro/2027 | Assegurar a efetiva adequação dos agentes regulados às disposições do ECA Digital, especialmente quanto às obrigações relativas à aferição de idade, observadas as disposições previstas no Decreto e as orientações e atos normativos da ANPD. | ||