Lei Felca, ECA Digital e LGPD: o que a Lei nº 15.211/2025 muda para empresas que operam produtos, serviços e dados de menores e quais os impactos para escolas
A discussão sobre proteção de crianças e adolescentes no ambiente digital já não pode ser tratada apenas como tendência regulatória. A Lei nº 15.211/2025, que instituiu o Estatuto Digital da Criança e do Adolescente (o chamado ECA Digital, popularmente associado à expressão “Lei Felca”) entrou em vigor em 17 de março de 2026 e foi regulamentada pelo Decreto nº 12.880/2026. Em paralelo, a ANPD já publicou orientações preliminares para mecanismos de aferição de idade e divulgou cronograma inicial de monitoramento regulatório.
Esse ponto importa porque altera a forma de leitura do tema. Não se trata mais de acompanhar um projeto em tramitação ou um movimento político difuso. Trata-se de entender como uma nova camada normativa passa a reconfigurar deveres empresariais em produtos, serviços e ambientes digitais acessados por crianças e adolescentes, especialmente quando essas operações envolvem coleta de dados, desenho de experiência, publicidade, recomendação algorítmica, mediação de conteúdo e controles parentais.
Para o setor privado, o erro mais comum neste momento é enquadrar o assunto como se ele dissesse respeito apenas à LGPD ou apenas às grandes plataformas. A lei tem foco evidente em fornecedores de tecnologia e serviços digitais, mas a sua lógica regulatória projeta efeitos sobre qualquer organização que opere jornadas digitais com menores, monetize essa audiência, dependa de ferramentas terceirizadas usadas por esse público ou esteja inserida em cadeias contratuais que tocam essa experiência. Essa última afirmação é uma inferência prática a partir do escopo direto da lei e das obrigações impostas aos agentes centrais.
O que o ECA Digital acrescenta ao regime já existente
A base jurídica da proteção infantil no Brasil não começou agora. O Estatuto da Criança e do Adolescente já consagra a lógica da proteção integral, e a LGPD já exige que o tratamento de dados de crianças e adolescentes observe seu melhor interesse. No caso de crianças, a LGPD prevê, no art. 14, § 1º, consentimento específico e em destaque dado por pelo menos um dos pais ou responsável legal.
Mas reduzir o tema a esse ponto seria um equívoco. A própria ANPD já fixou entendimento de que o tratamento de dados pessoais de crianças e adolescentes pode se apoiar em diferentes hipóteses legais da LGPD, e não apenas em consentimento, desde que o melhor interesse prevaleça e que o controlador faça avaliação cautelosa da operação. Em outras palavras: a discussão regulatória não pode ser resolvida por um raciocínio automático de “obter consentimento e seguir”.
O ECA Digital amplia esse quadro ao deslocar parte do foco para o desenho e a governança do ambiente digital. Pelas sínteses oficiais divulgadas pelo Senado e pela ANPD, a nova lei envolve, entre outros pontos, deveres de remoção imediata de conteúdos relacionados a abuso ou exploração infantil com comunicação às autoridades, mecanismos de supervisão parental, verificação ou aferição confiável de idade, restrições a funcionalidades que incentivem uso compulsivo, proibição de loot boxes em jogos eletrônicos e vedação ao perfilamento de crianças e adolescentes para publicidade comercial.
Essa mudança é estrutural. O centro da análise deixa de ser apenas “qual base legal sustenta o tratamento?” e passa a incluir também “como o produto foi concebido?”, “que riscos ele cria?”, “como verifica idade?”, “como limita exposição indevida?”, “como documenta medidas de proteção?” e “como articula responsabilidade entre empresa, família e Estado?”. É isso que torna o novo marco mais exigente e mais sofisticado.
Quais empresas estão mais expostas
A incidência regulatória mais direta recai sobre empresas de tecnologia da informação, plataformas, serviços digitais, lojas de aplicativos e sistemas operacionais com acesso provável ou direcionado a crianças e adolescentes. A própria ANPD informou que a primeira etapa de monitoramento, no tema de aferição de idade, prioriza lojas de aplicativos e sistemas operacionais proprietários, justamente por seu papel estruturante na experiência digital.
Isso não significa, porém, que outras empresas possam tratar o assunto como irrelevante. Organizações dos setores educacional, healthtech, games, conteúdo, varejo digital, marketing e serviços online precisam avaliar se suas jornadas digitais alcançam menores, se coletam dados desse público, se usam recursos de perfilamento, se dependem de SDKs, analytics, login social, adtechs ou fornecedores que interfiram na experiência do usuário menor de idade. Aqui, o risco jurídico nem sempre estará na atividade principal da empresa, mas na arquitetura operacional que ela terceiriza ou incorpora sem revisão suficiente. Essa é uma inferência jurídica e contratual a partir das obrigações centrais já positivadas.
Onde estão as principais implicações práticas
1. Proteção de menores passa a ser tema de arquitetura de produto, e não apenas de documento jurídico
O mercado brasileiro ainda tende a responder a esse tipo de agenda com ajustes em política de privacidade, consentimento e termos de uso. Isso será insuficiente em muitos casos. O ECA Digital projeta exigências sobre experiência do usuário, mecanismos de supervisão, controles técnicos, adequação etária e mitigação de funcionalidades que estimulem uso compulsivo. A discussão, portanto, sai do campo exclusivamente documental e entra no núcleo do product design, da UX, da moderação e da governança tecnológica.
2. A agenda de dados continua central, mas com leitura menos simplista
No plano da LGPD, continua sendo indispensável avaliar melhor interesse, transparência, proporcionalidade e adequação do tratamento. Mas a revisão jurídica madura precisa ir além da pergunta sobre consentimento parental. É necessário mapear finalidades, bases legais, retenção, compartilhamentos, perfilamento, mecanismos de prova do consentimento quando cabível e linguagem adequada ao público. O enunciado da ANPD é decisivo aqui porque afasta leituras automáticas e exige análise mais qualificada da operação.
3. Publicidade e monetização passam a exigir revisão séria
Um dos pontos mais sensíveis do novo marco é a proibição de perfilamento de crianças e adolescentes para fins de publicidade comercial, além do reforço sobre proteção contra conteúdos e dinâmicas nocivas. Para modelos de negócio intensivos em dados, engajamento e recomendação, isso muda premissas econômicas, métricas e práticas de growth. Não se trata apenas de risco reputacional: trata-se de reavaliar compatibilidade jurídica do próprio desenho de monetização quando a audiência menor de idade é relevante.
4. Cadeia contratual e due diligence de fornecedores entram no radar
Sempre que a experiência digital com menores depender de parceiros tecnológicos, autenticação, analytics, cloud, adtech, conteúdo, moderação, edtech, telemedicina, gamificação ou meios de pagamento, o risco deixa de ser só interno. Passa a existir também um problema de cadeia de tratamento, cadeia tecnológica e alocação contratual de responsabilidades. Na prática, isso exige revisão de contratos, anexos de proteção de dados, obrigações de cooperação regulatória, fluxos de incidentes e critérios mínimos de compliance infantil-digital. Esse desdobramento é uma consequência jurídica razoável do conjunto de deveres já atribuídos aos agentes centrais pela nova lei e pela LGPD.
5. Governança regulatória precisará ser demonstrável
A ANPD já informou que suas orientações preliminares sobre aferição de idade buscam assegurar implementação compatível com privacidade e proteção de dados, e o material técnico já destaca eixos como acurácia, confiabilidade, proteção de dados, transparência e auditabilidade. Isso indica um padrão regulatório que valoriza não apenas a adoção de mecanismos, mas sua justificativa técnica, documentação e supervisão contínua. Para empresas, isso significa que “ter uma solução” tende a ser menos importante do que conseguir demonstrar por que aquela solução é adequada, proporcional e controlada.
6. Impactos para escolas: fotos de alunos, redes sociais e dever de supervisão sobre fornecedores de tecnologia
Para escolas, o ponto mais sensível não é apenas o “ECA Digital” em abstrato, mas perguntas muito concretas que diretores realmente enfrentam: a escola pode postar foto de aluno no Instagram?, é preciso autorização dos pais para publicar imagens de crianças?, como tratar uso de imagem em eventos, campanhas, site e redes sociais da escola? Nesses casos, o fundamento jurídico mais imediato continua sendo o ECA “tradicional”, porque ele protege a dignidade, o respeito e a preservação da imagem de crianças e adolescentes; somado à LGPD, isso exige base jurídica adequada, finalidade legítima, transparência e cautela reforçada no tratamento de dados e imagens de menores. O erro de muitas instituições é tratar a publicação de fotos como simples prática de comunicação escolar, quando, na verdade, ela envolve direitos da personalidade, proteção integral e governança de dados.
O ECA Digital amplia essa conversa, mas não substitui o regime que já se aplica às escolas. Ele reforça a lógica de proteção em ambientes digitais e pressiona organizações a repensarem exposição de menores, desenho de jornadas online, controles e supervisão, mas a rotina escolar de publicação de fotos, vídeos e conteúdos institucionais continua exigindo, antes de tudo, leitura séria do ECA e da LGPD. Em termos práticos, isso significa que a escola deve revisar formulários de autorização, políticas de uso de imagem, critérios internos para captação e postagem de conteúdo, limites para divulgação em redes sociais da escola e procedimentos para retirada célere de publicações quando houver oposição dos responsáveis ou risco à criança ou ao adolescente.
O ponto que mais está passando despercebido é de que a escola precisa fiscalizar seus fornecedores de tecnologia, mesmo quando não entrega diretamente uma plataforma própria aos alunos. Sistemas acadêmicos, apps de comunicação com famílias, ferramentas de monitoramento, bibliotecas digitais, plataformas de tarefas, ERPs educacionais, serviços de nuvem, marketing e analytics podem tratar dados de menores ou sustentar fluxos críticos da operação escolar. Por isso, a diligência não pode parar na contratação: é necessário avaliar contratos, práticas de segurança, fluxos de dados, compartilhamentos, incidentes e aderência de terceiros à LGPD e, quando aplicável, às novas exigências do ECA Digital. Para escolas, o risco não está só no post do Instagram; muitas vezes está no fornecedor invisível que coleta, processa ou expõe dados de alunos sem governança suficiente.
O que empresas deveriam fazer agora
O primeiro passo é abandonar a leitura binária segundo a qual o tema só importaria para redes sociais ou, no extremo oposto, para qualquer negócio indistintamente. O correto é fazer um recorte de exposição, por exemplo: a empresa desenvolve ou opera ambiente digital acessado por menores? coleta dados desse público? usa publicidade comportamental? terceiriza componentes críticos da jornada? monetiza audiência jovem? Se a resposta for positiva em algum desses pontos, o tema já deixou de ser periférico.
O segundo passo é separar o que já é obrigação vigente do que ainda depende de densificação regulatória. Já há deveres materiais em vigor no ECA Digital, e já há orientação preliminar da ANPD sobre aferição de idade; ao mesmo tempo, parte da implementação ainda passará por regulamentação mais detalhada e por monitoramento progressivo. A postura adequada, portanto, não é esperar “regra final” para só então reagir, mas estruturar adaptação gradual, documentada e baseada em risco.
O terceiro passo é integrar jurídico, produto, tecnologia, marketing e compras. Se a empresa tratar esse tema como um checklist de privacidade, chegará tarde. A adaptação real depende de revisão de fluxos, experiência, contratos, governança interna, métricas de negócio e critérios de desenho de funcionalidades. É nessa convergência que o assunto deixa de ser apenas regulatório e passa a ser estratégico.
Opinião Calaza Doreto
O ponto que mais merece atenção agora é que o mercado ainda está lendo esse tema pelo ângulo errado. Há quem enxergue o ECA Digital como reação simbólica a um problema social grave, há quem o trate como uma “LGPD para crianças”, e há quem suponha que a questão diz respeito apenas a big techs. As três leituras são insuficientes.
O que realmente está em jogo é uma mudança de paradigma: ambientes digitais que alcançam menores passam a ser avaliados não só pelo que declaram, mas pelo que induzem, permitem, extraem e escalam. O risco oculto não está apenas na ausência de consentimento ou na falta de política bonita. Está na funcionalidade desenhada sem freio, no fornecedor contratado sem diligência, no marketing que depende de perfilamento, na jornada que presume idade sem verificar, na governança que não sabe explicar por que o produto opera como opera. Isso é mais profundo, e mais trabalhoso, do que uma revisão documental.
Na nossa leitura, empresas maduras precisarão abandonar uma visão defensiva e começar a tratar proteção de menores como variável de desenho de negócio. Não porque isso “soa bem” institucionalmente, mas porque a combinação entre proteção integral, LGPD, ECA Digital e atuação regulatória da ANPD aponta para um ambiente em que improviso será cada vez menos tolerado. O mercado ainda não entendeu por completo isso. E justamente por isso este tema merece atenção agora.
Para empresas, a pergunta relevante deixou de ser “isso se aplica a mim de forma abstrata?” e passou a ser “onde, exatamente, minha operação cria contato regulatório com menores e como isso precisa ser redesenhado?”. Quem fizer essa leitura cedo terá mais espaço para ajustar produto e governança com racionalidade. Quem insistir em tratar o tema apenas como ruído reputacional ou burocracia de privacidade provavelmente subestimará um movimento regulatório que já começou a reorganizar responsabilidades no ambiente digital brasileiro.
