Proteção de Dados

06/05/2026

6 minutos para ler

Verificar idade sem violar a LGPD: a contradição que o ECA Digital criou e como resolvê-lo

O ECA Digital foi implementado com o objetivo primordial de assegurar a proteção de crianças e adolescentes no ambiente digital, o que justamente inclui garantir que elas não sejam expostas aos riscos decorrentes do uso de seus dados pessoais pelas empresas e plataformas.

Mas é justamente aí que temos um paradoxo. Como verificar a idade de um usuário sem coletar mais dados do que a LGPD permite? A Lei que protege crianças dos dados criou por si um problema de dados.

Esse é um dos pontos centrais no debate público que emergiu com a publicação e regulamentação da Lei pelo Decreto nº 12.880/2026. Verificar que alguém tem mais de 18 anos não exige saber quem essa pessoa é, mas exige apenas uma prova booleana de maior ou menor (> ou <).

Qualquer solução que vá além da informação pura da faixa etária do indivíduo não está sendo eficiente, além de estar criando passivos de exposição de dados e privacidade absolutamente desnecessários.

Diferenças entre Aferição, Verificação e Sinal de Idade no Decreto nº 12.880/2026

O Decreto que regulamentou o ECA Digital, em seu art. 24, § 3º estabelece que quando a verificação envolver coleta de documentos, os dados devem ser eliminados de forma imediata e irreversível após a captura da informação necessária. Portanto, a plataforma pode conhecer o resultado, mas não armazenar a prova, seja imagem, cópia de documento ou informação.

Mas o decreto foi além de proibir o armazenamento. Ele estabeleceu uma hierarquia conceitual que o mercado precisa internalizar, considerando que a aferição de idade é o gênero (qualquer método para estimar ou inferir a faixa etária) e verificação de idade é a subespécie de alto grau de confiabilidade, capaz de comprovar a exatidão da idade declarada ou a faixa etária, mediante o emprego de mecanismos técnicos ou documentais.

Já o sinal de idade é a credencial emitida por lojas de aplicativos ou sistemas operacionais ao aplicativo, transmitindo apenas a informação necessária, sem revelar dados adicionais.

Essas distinções conceituais serão primordiais, considerando que quanto maior o risco do serviço para crianças e adolescentes, mais robusta precisa ser a solução de aferição.

Para qualquer empresa que precise traduzir esses conceitos em decisões de produto, o caminho começa pela correta compreensão do que a lei exige de cada um.

Requisitos da ANPD para Soluções de Verificação de Idade

As orientações preliminares publicadas pela ANPD estabelecem seis requisitos mínimos para qualquer solução de aferição de idade. Lidos em conjunto com o decreto, eles formam um padrão técnico que o mercado precisará seguir.

1. Proporcionalidade. A solução deve ser calibrada ao risco do serviço. Um portal de fantasy games e de esportes não precisa do mesmo mecanismo que uma plataforma de conteúdo adulto. Quem implementar verificação robusta onde aferição básica bastaria está criando exposição de dados sem contrapartida legal.

2. Acurácia, robustez e confiabilidade. Autodeclaração não passa nesse critério, é exatamente o que a lei veda. Os métodos precisam resistir a fraudes e funcionar em condições reais, não apenas em ambientes controlados.

3. Privacidade e proteção de dados pessoais. É o Privacy by Design implementado na prática. A ANPD sinaliza preferência explícita por mecanismos baseados em credenciais verificáveis e técnicas criptográficas de prova de conhecimento zero (Zero-Knowledge Proofs – ZKP), tecnologia que confirma a faixa etária sem revelar o dado subjacente. O Google lançou bibliotecas ZKP integradas à Google Wallet em março de 2026. O gov.br, considerando o art. 28 do Decreto regulamentador, é um potencial emissor de credenciais etárias, já que o Ministério da Gestão e Inovação pode oferecer soluções públicas para verificação de idade.

4. Inclusão e não discriminação. Soluções que dependem exclusivamente de documentos oficiais deixam de fora refugiados, pessoas sem acesso estável à internet e usuários com limitações motoras ou cognitivas.

5. Transparência e auditabilidade. O usuário deve entender como sua idade é aferida, e o processo precisa ser auditável por terceiros independentes, portanto, não será possível usar Black Box IA (sistemas de inteligência artificial e aprendizado de máquina cujos processos de tomada de decisão não são visíveis ou compreensíveis para os usuários) para essa finalidade.

6. Interoperabilidade. Os sistemas precisam se comunicar via APIs seguras para evitar que o usuário repita o processo de verificação em cada serviço, o que multiplicaria desnecessariamente a exposição de dados.

Leia também: ECA Digital: o que é e a quem se aplica?

Boas Práticas de Proteção de Dados e Privacy by Design

Uma solução que respeite simultaneamente o ECA Digital e a LGPD precisa, no mínimo não ser o mesmo serviço que faz o tradicional processo de verificação de identidade e legitimidade de Conheça seu Cliente (KYC) ou uma coleta logs vinculados diretamente aos usuários. A arquitetura de verificação de idade e a de cadastro de identidade não devem se misturar, mesmo com promessas de isolamento, o risco de perfilamento cruzado é estrutural.

Por isso, é recomendado:

1. Transmitir apenas informação booleana, sem nome, CPF, IP ou qualquer dado que possa identificar ou reverter a anonimização do usuário;

2. Deletar imagens de rosto e documentos imediatamente após a aferição;

3. Deletar templates biométricos e identificadores únicos após o uso;

4. Jamais guardar logs de atividade vinculados ao processo de verificação; e

5. Idealmente, oferecer uma credencial vinculada a chave criptográfica no enclave seguro do dispositivo, de forma que a prova fica no aparelho, não no servidor.

O Futuro da Regulação: Orientações da ANPD e Riscos de Compliance

Qualquer empresa que não ofereça esse padrão mínimo para serviços de verificação de conteúdo inapropriado para menores deve ser avaliada com cautela. O risco não é só regulatório, uma vez que uma arquitetura mal desenhada expõe usuários antes mesmo de a ANPD bater à porta, e o custo disso costuma ser reputacional muito antes de ser financeiro.

A ANPD ainda publicará orientações definitivas em agosto de 2026, até lá, empresas que precisam decidir agora estão apostando numa interpretação que o regulador pode confirmar ou ajustar. O custo de errar é duplo está tanto no desperdiço de investimento em uma solução inadequada, quanto na exposição à autuação por não fazer nada.

O caminho mais seguro hoje é investir em soluções que respeitem os seis requisitos da ANPD e os princípios de minimização da LGPD, além de produzir evidências ao documentar cada decisão tomada nesse sentido. Conformidade sem documentação é conformidade que não pode ser provada.

Verificar idade sem violar a LGPD: a contradição que o ECA Digital criou e como resolvê-lo

Diferenças entre Aferição, Verificação e Sinal de Idade no Decreto nº 12.880/2026

Requisitos da ANPD para Soluções de Verificação de Idade

Boas Práticas de Proteção de Dados e Privacy by Design

O Futuro da Regulação: Orientações da ANPD e Riscos de Compliance

Planejamento tributário empresarial: como reduzir custos, evitar riscos e ganhar competitividade

Reforma Tributária do Consumo e Hospitais: IBS, CBS, imunidade, créditos e impactos práticos

Reforma Tributária e DRE: o que muda na leitura dos indicadores financeiros

Fale o que você pensa Cancelar resposta

Artigos populares

Anonimização de dados: o que é e qual sua importância na LGPD?

Direito Autoral no Mundo Digital: como proteger criações digitais?

LGPD para agências de comunicação: o que muda na prática?

Últimos Artigos

Verificar idade sem violar a LGPD: a contradição que o ECA Digital criou e como resolvê-lo

Planejamento tributário empresarial: como reduzir custos, evitar riscos e ganhar competitividade

Inteligência Artificial e Excesso de Trabalho: Por que a Governança de IA Corporativa evita o surgimento de passivos ocultos