Após um intenso movimento global de enfrentamento à exploração infantil no ambiente digital, o Brasil passou a contar, em setembro de 2025, com um marco regulatório específico voltado à proteção de crianças e adolescentes em ambientes digitais: o Estatuto Digital da Criança e do Adolescente.
Com vigência iniciada em março de 2026, o chamado ECA Digital inaugura um novo patamar regulatório aplicável a redes sociais, aplicativos, jogos eletrônicos, plataformas de streaming e demais serviços digitais direcionados, ou, o que é inovador e merece atenção, potencialmente acessados pelo público infantojuvenil.
Para profissionais que atuam com privacidade, proteção de dados e governança digital, a entrada em vigor do ECA Digital representa mais do que a ampliação do arcabouço normativo brasileiro. Trata-se, na prática, de uma reconfiguração relevante do escopo de atuação dos programas de privacidade corporativos e, consequentemente, da própria função desempenhada pelo encarregado pelo tratamento de dados pessoais.
A figura do DPO ainda costuma ser associada, no cenário brasileiro, à gestão do canal de comunicação entre titulares, agentes de tratamento e Agência Nacional de Proteção de Dados. Embora essa atribuição permaneça central, ela não esgota a dimensão estratégica da função. Há uma responsabilidade igualmente relevante relacionada à supervisão contínua da conformidade regulatória das atividades empresariais frente às normas de proteção de dados pessoais e às demais regulamentações que impactam o ambiente digital.
Em organizações nas quais coexistem DPO e Compliance Officer, inclusive, nem sempre é clara a divisão de competências quanto ao monitoramento da atualização regulatória e à implementação prática de novas exigências legais. Essa discussão ganha relevância diante da velocidade com que o ecossistema regulatório brasileiro vem sendo transformado.
Um programa de governança em privacidade não deve ser compreendido como iniciativa pontual, limitada à implementação inicial de políticas internas ou ao mapeamento de dados. Trata-se de estrutura dinâmica, permanentemente sujeita a revisões decorrentes da evolução normativa, tecnológica e operacional dos negócios.
Desde a entrada em vigor da LGPD, em 2020, o ambiente regulatório brasileiro passou por sucessivas expansões. A Resolução CD/ANPD nº 18/2024 disciplinou de maneira mais detalhada as atribuições do encarregado pelo tratamento de dados pessoais. Mais recentemente, a Lei nº 15.352/2026 conferiu à ANPD status de agência reguladora, ampliando sua autonomia técnica e administrativa e atribuindo-lhe competência fiscalizatória sobre a aplicação das regras do ECA Digital.
Nesse contexto evolutivo, o Estatuto Digital acrescenta uma camada regulatória especialmente sensível: a imposição de obrigações específicas relacionadas ao tratamento de dados pessoais de crianças e adolescentes em ambientes digitais.
Na mesma cadência, em regulamentação executiva do próprio ECA Digital, tivemos, somente em março de 2026, a publicação de três decretos: (a) Decreto nº 12.880, que instituiu a Política Nacional de Promoção e Proteção dos Direitos da Criança e do Adolescente no ambiente digital; (b) Decreto nº 12.881, que amplia a ANPD; e (c) Decreto nº 12.882, que articula a mobilização nacional de forças de proteção a esse público.
E, mais recente, em 20 de maio de 2026, publicou-se o Decreto nº 12.975, que altera a regulamentação ao Marco Civil da Internet sobre responsabilidade de provedores de conexão e de provedores de aplicação de internet. Aqui, vale um novo artigo.
Fato é que o ECA Digital aprofunda deveres anteriormente tratados de forma principiológica e estabelece exigências que extrapolam a dimensão estritamente relacionada à proteção de dados, alcançando aspectos de arquitetura digital, design de produtos, publicidade direcionada e mecanismos de segurança infantojuvenil.
Empresas com atuação B2C voltada ao público infantojuvenil precisarão reavaliar integralmente a jornada de tratamento de dados de menores, especialmente no que se refere à coleta de informações para perfilamento comportamental e ativação de publicidade direcionada.
Organizações que operam aplicações digitais deverão adotar mecanismos efetivos de verificação etária, superando modelos baseados exclusivamente em autodeclaração do usuário. Além disso, a legislação passa a exigir estruturas de produto desenvolvidas à luz do melhor interesse da criança e do adolescente, com configurações de privacidade e segurança ativadas por padrão e vedação expressa a práticas de design manipulativo.
Para empresas desenvolvedoras ou exploradoras de jogos eletrônicos, os impactos também tendem a ser relevantes. O debate envolve mecanismos de recompensa aleatória, especialmente loot boxes, que ficam proibidos ao público infantojuvenil no ambiente digital.
As novas previsões legais convivem em lógica de complementariedade com o próprio Estatuto da Criança e do Adolescente. O ambiente digital não elimina obrigações historicamente estabelecidas; apenas exige sua releitura diante das novas formas de interação social e econômica, como é o exemplo do muito falado alvará judicial para publicidade on-line.
Do ponto de vista operacional, a adequação ao ECA Digital pode ser estruturada em quatro frentes principais: revisão do inventário de dados pessoais, realização de avaliações de impacto, revisão contratual com fornecedores e capacitação interna das áreas envolvidas com produtos digitais e tratamento de dados infantojuvenis.
O ECA Digital reforça uma premissa já presente na LGPD: a proteção de dados não pode ser tratada como elemento acessório, incorporado apenas após o lançamento de produtos e serviços no mercado.
E o encarregado deixa de ser percebido exclusivamente como gestor operacional de incidentes e obrigações documentais, passando a ocupar posição estratégica relacionada à antecipação de riscos regulatórios e à adaptação contínua dos controles internos frente às transformações normativas.
Por ora, a sinalização regulatória decorrente do Estatuto Digital já se mostra suficientemente clara: organizações que ainda não incorporaram suas exigências às agendas de conformidade e governança digital provavelmente enfrentarão, em curto prazo, um cenário crescente de exposição regulatória e reputacional.