ECA Digital e mecanismos de aferição de idade: por que o aviso ‘18+’ já não basta

Por Antonielle Freitas

A exigência de aferição de idade em produtos e serviços digitais deixou de ser detalhe de UX para virar ponto central de conformidade regulatória. Com o chamado “ECA Digital” e as diretrizes da Agência Nacional de Proteção de Dados (ANPD), a mensagem é clara: não basta perguntar se o usuário tem mais de 18 anos. Plataformas precisam adotar mecanismos “confiáveis” de aferição de idade, proporcionais ao risco da sua operação e ao potencial de acesso por crianças e adolescentes.

O problema é que, fora do discurso, quase ninguém sabe o que isso significa na prática.

De um lado, vemos empresas confiando em soluções manifestamente frágeis, como a simples autodeclaração de idade, sem qualquer camada adicional para serviços que lidam com conteúdo adulto, apostas ou produtos restritos. De outro, surgem iniciativas hiper-invasivas, baseadas em coleta de documentos, biometria facial ou dados financeiros, muitas vezes desproporcionais ao risco envolvido e com impacto significativo em privacidade, experiência do usuário e inclusão de públicos vulneráveis.

Entre esses dois extremos, a solução que “não segura” e a que “segura, mas espanta o usuário”, está exatamente o espaço em que o ECA Digital e a ANPD estão colocando o debate: qual é o mecanismo de aferição de idade adequado para cada contexto?

Não existe mecanismo “padrão-ouro”

Um ponto importante das diretrizes da ANPD é a recusa a indicar um mecanismo “padrão-ouro” ou universalmente adequado. A escolha deve ser contextual, com base em análise de riscos: tipo de produto ou serviço, sensibilidade do conteúdo, perfil do público, jornada do usuário, dados tratados, modelo de negócio, entre outros elementos.

Quando mergulhamos nas opções técnicas disponíveis hoje, o cenário é bem mais diverso do que costuma aparecer no debate público. Indo de soluções extremamente simples até tecnologias emergentes, temos, por exemplo:

• Autodeclaração de idade: mínima intrusividade, mas confiabilidade muito frágil. Sozinha, tende a ser aceitável apenas em contextos de risco baixo, como uma camada de aviso em páginas informativas ou de marketing.
• Verificação por documentos oficiais: muito intrusiva e, em geral, muito robusta. Faz sentido para serviços com risco alto (conteúdo adulto, apostas, determinados produtos restritos), mas dificilmente será proporcional para qualquer ambiente que “pode eventualmente ser acessado por menores”.
• Verificação via cartão de crédito ou dados bancários/Open Finance: pode parecer elegante (“se paga com cartão, deve ser adulto”), mas a confiabilidade, na prática, é limitada, e o nível de sensibilidade dos dados é alto. É uma solução que precisa ser usada com bastante cautela, sob pena de ser excludente e pouco efetiva.
• Estimativa etária via biometria facial ou de voz: tecnologias que analisam imagem ou voz do usuário para estimar a idade. Podem oferecer maior robustez do que a autodeclaração, mas trazem desafios significativos de privacidade, acurácia (especialmente em determinados grupos) e aceitação social.
• Perfilamento comportamental: inferência de idade a partir de padrões de navegação e uso. Funciona melhor como camada complementar, em serviços com uso recorrente e muitos sinais de comportamento, mas não resolve sozinha a obrigação de aferir idade.
• Soluções via terceiros especializados (VaaS): plataformas que “terceirizam” a aferição a providers de age assurance, recebendo apenas o resultado (“18+”, faixa etária etc.), o que reduz a exposição direta de dados pela própria empresa, mas concentra risco e tratamento em um terceiro.
• Credenciais verificáveis e provas de conhecimento zero (ZKP): talvez o caminho mais promissor no médio prazo. A ideia é que um emissor confiável (por exemplo, infraestrutura pública de identidade digital, app store, sistema operacional ou outro ator de confiança) faça a verificação prévia e emita uma credencial que prova apenas o atributo etário (“18+”), sem expor dados como nome, CPF ou data de nascimento para cada novo serviço acessado.

Essa diversidade deixa clara uma coisa: a pergunta “qual é o melhor mecanismo de aferição de idade?” não tem resposta única. A pergunta certa é: “qual combinação de mecanismos é proporcional ao risco e tecnicamente viável no meu contexto?”

Proporcionalidade, intrusividade e risco: o triângulo que importa

O ECA Digital e a ANPD colocam a proporcionalidade no centro do debate. Aferir idade não pode ser um jogo de tudo ou nada em que, para evitar qualquer risco, passamos a exigir documentos e biometria facial de todo e qualquer usuário que eventualmente possa ser menor.

Na prática, isso implica equilibrar três dimensões:

1. Risco da operação

Qual é o dano potencial associado ao acesso de crianças e adolescentes ao seu produto ou serviço? Estamos falando de conteúdo definitivamente impróprio (pornografia, apostas, drogas, armas)? De riscos moderados (conteúdo violento, jogos com compras in-app, exposição a interações com adultos)? Ou de riscos relativamente baixos?

2. Intrusividade do mecanismo

Quão invasiva é a solução, em termos de dados coletados e fricção na jornada? Exigir documento e selfie para acessar uma comunidade online ou um jogo casual tende a ser desproporcional. Para um serviço de apostas com alto risco de dano e obrigações regulatórias rígidas, a conversa muda de figura.

3. Confiabilidade na prática

Não adianta uma solução ser “bonita no papel” se, operacionalmente, ainda permite fácil burla, ou se é tão agressiva que empurra usuários legítimos para fora da plataforma, incentivando o uso de serviços menos seguros. Aferir idade é, também, um problema de desenho de experiência e de incentivos.

O resultado é que, para cumprir o ECA Digital de forma séria, as empresas precisam sair da lógica do “checkbox” (“temos um pop-up de 18+, então estamos protegidos”) e entrar em uma lógica de análise de risco + desenho de combinação de mecanismos, com justificativa documentada.

E o que isso significa para o mercado?

Do ponto de vista de negócios e estratégia digital, o tema é menos um “novo formulário” e mais uma oportunidade (ou risco) de redesenhar jornadas.

Alguns movimentos que devem ganhar força:

• Modelos “por camadas”: start com mecanismos menos intrusivos (como autodeclaração e sinal etário do sistema operacional ou app store) e intensificar a checagem conforme aumenta o risco do conteúdo ou a profundidade da interação.
• Aproveitamento de sinais já existentes: ao invés de sempre coletar novos dados, aproveitar sinais etários de contas-mãe, sistemas operacionais, app stores, instituições financeiras e outros atores que já fizeram parte dessa verificação.
• Transparência com usuários e responsáveis: explicar por que determinados dados são pedidos, qual a base legal e como isso protege crianças e adolescentes, em vez de simplesmente impor barreiras opacas.
• Parcerias tecnológicas: poucas empresas terão, sozinhas, capacidade de desenvolver todas as soluções de aferição de idade que possam ser adequadas ao seu contexto. A tendência é de ecossistemas com providers especializados, integrados às plataformas.

Conclusão: do discurso à prática

O ECA Digital marca uma mudança de fase: aferição de idade deixa de ser uma formalidade. Ao mesmo tempo, a ANPD sinaliza que não existe “bala de prata” tecnológica. Isso obriga empresas a fazerem justamente aquilo que o mercado mais reluta em fazer: analisar riscos com profundidade, entender as opções técnicas disponíveis e documentar por que determinado arranjo foi considerado proporcional.

Ignorar o tema é, hoje, um risco real de não conformidade, inclusive para operações que já funcionam há anos, mas nunca revisitaram seus mecanismos de idade à luz das novas obrigações.

Por outro lado, quem conseguir conectar direito digital, experiência do usuário e capacidades tecnológicas tende a transformar um problema regulatório em vantagem competitiva: oferecer ambientes mais seguros para crianças e adolescentes, sem sacrificar, desnecessariamente, privacidade e usabilidade.

Antonielle Freitas
Advogada pós-graduada em Direito Processual Civil, Digital, Compliance e Proteção de Dados, com 22 anos de experiência em compliance, contratual, cível, trabalhista e tributária. Especialista em proteção de dados e DPO certificada pelo EXIN, com ampla experiência em empresas nacionais e multinacionais. Líder em implementação de áreas jurídicas e compliance, gestão de equipes e resolução de conflitos.

https://itshow.com.br/afericao-idade-eca-digital-anpd/