Nova lei exige que empresas demonstrem controles reais de segurança, privacidade e governança de produto, não apenas políticas no papel
São Paulo, maio de 2026 — O ECA Digital (Lei nº 15.211/25) chegou para mudar a régua de compliance das empresas digitais no Brasil. A lei não exige apenas uma atualização de termos de uso ou política de privacidade: ela obriga plataformas, aplicativos, jogos, redes sociais e qualquer serviço digital acessível a menores a comprovar, com evidências técnicas, que segurança e privacidade foram incorporadas desde o desenho do produto. Para especialistas em cibersegurança, a maioria das empresas ainda não entendeu a extensão real dessa exigência, e o relógio já está correndo.
O tamanho do mercado afetado explica a urgência. Segundo a Secretaria de Comunicação Social do Governo Federal, com base na TIC Kids Online Brasil, 93% da população brasileira de 9 a 17 anos usa internet, cerca de 25 milhões de pessoas. Dados do Cetic.br/NIC.br mostram que 70% desse público acessa o WhatsApp com alta frequência, 66% acessam o YouTube, 60% o Instagram e 50% o TikTok. Qualquer plataforma que possa ser acessada por esse público está dentro do escopo da lei, inclusive empresas com sede fora do Brasil.
“O ECA Digital não é uma lei sobre conteúdo ou faixa etária. É uma lei sobre governança de produto. As empresas precisarão demonstrar que pensaram nos riscos desde o desenho da plataforma, limitaram dados, configuraram proteção por padrão, revisaram fornecedores, treinaram equipes e criaram mecanismos reais de resposta”, afirma Luiz Claudio, CEO e fundador da LC IT Security (LC SEC), especialista em cibersegurança com mais de 10 anos de atuação e certificações em ISO 27001, ISO 42001, SOC2, PCI DSS, NIST, LGPD, GDPR e DORA.
O que a lei exige na prática
O ECA Digital estabelece três obrigações centrais para serviços digitais: mecanismos confiáveis de verificação de idade em substituição à autodeclaração, configurações de segurança ativadas por padrão para contas de menores, e remoção ágil de conteúdos ilegais. A lei alcança redes sociais, aplicativos, jogos, edtechs, healthtechs e qualquer serviço que possa ser acessado pelo público infantojuvenil, independentemente de onde a empresa está sediada.
Na avaliação da LC SEC, o ponto mais subestimado é a exigência de evidências. Ter uma política de privacidade não é suficiente. “Na primeira fiscalização, o problema não será a ausência de um texto no site. O problema será a falta de provas de que a empresa realmente estruturou controles, quais dados coleta, como valida idade, como protege menores, como configura segurança por padrão e como revisa fornecedores”, diz Luiz Claudio.
Verificação de idade: a armadilha que ninguém está vendo
Um dos pontos mais críticos do ECA Digital é também o mais mal interpretado, e o risco não está apenas em não cumprir a lei, mas em cumpri-la do jeito errado. Para confirmar a idade de um usuário de forma confiável, plataformas precisam coletar alguma informação real: CPF, documento, biometria. Isso significa criar um banco de dados novo, com dado sensível, que antes não existia. Se esse banco for mal gerenciado, vazado ou usado para outra finalidade, a solução vira um problema maior do que o original.
A própria lei estabelece que dados coletados para verificação de idade não podem ser aproveitados comercialmente ou para personalização de conteúdo. Mas demonstrar tecnicamente que essa separação existe, com controles auditáveis e evidências de governança, é exatamente o que a maioria das empresas ainda não sabe fazer.
“A verificação de idade precisa ser proporcional ao risco. Exigir documento ou biometria para qualquer serviço pode gerar coleta excessiva de dados e ampliar riscos de privacidade. O maior erro seria transformar verificação de idade em vigilância, proteger menores não pode significar criar novos bancos de dados sensíveis sem necessidade”, afirma Luiz Claudio.
O caminho indicado pela empresa combina proporcionalidade ao risco, minimização de dados, finalidade limitada, retenção mínima e segurança por padrão, com validação por terceiros especializados apenas quando o contexto justifica, e sempre com controles que possam ser demonstrados em uma eventual fiscalização.
Quanto tempo leva a adequação
A LC SEC estima que uma adequação séria ao ECA Digital passa por diagnóstico técnico e jurídico, mapeamento de dados, avaliação de riscos, revisão de produto, análise de fornecedores, segurança da aplicação, fluxos de atendimento, mecanismos de denúncia e construção de evidências de governança. O diagnóstico inicial leva de três a seis semanas. A implementação completa pode variar de dois a seis meses, dependendo da complexidade da plataforma e das mudanças necessárias em produto, tecnologia, jurídico e compliance.
A empresa oferece serviços de pentest, auditoria, SGSI, threat intelligence com inteligência artificial, conscientização de colaboradores e Plano Diretor de Segurança, soluções voltadas a ajudar empresas digitais a estruturar os controles e as evidências que o ECA Digital vai exigir.
Sobre a LC SEC
A LC SEC é uma consultoria especializada em segurança da informação e compliance, com atuação no Brasil e na Europa há mais de 10 anos. A empresa já executou mais de 150 projetos em cibersegurança e adequação a normas internacionais, incluindo ISO 27001, ISO 42001, SOC2, PCI DSS, NIST, LGPD, GDPR e DORA. Em 2025, ampliou seu portfólio com soluções inovadoras de Threat Intelligence baseadas em IA e auditorias internas.
