Verificação de idade avança sem base legal sólida no Brasil

Beatriz Haikal e Gabriela Sotomayor*
A pauta da verificação de idade ganhou protagonismo no cenário regulatório brasileiro. Após anos de debates difusos sobre design protetivo, publicidade infantil e uso de dados de menores, o tema passou a ocupar o centro da agenda com a aprovação do ECA Digital (Lei nº 15.211/2025) e a intensificação das ações da Agência Nacional de Proteção de Dados (ANPD).
Leia também: A vitória de Milei e o colapso das alternativas políticas na América do Sul
Em um contexto global de fortalecimento das obrigações de Age-Appropriate Design e de controle parental, o Brasil começa a construir seu próprio arcabouço normativo para garantir ambientes digitais mais seguros para crianças e adolescentes. É nesse movimento que se insere o Radar Tecnológico nº 5 da ANPD, documento que busca mapear tecnologias de aferição etária e orientar sua adoção no mercado.
O documento reconhece que a verificação etária deixou de ser mera formalidade e passa a ocupar papel central na conformidade de plataformas, especialmente após a promulgação do ECA Digital (Lei nº 15.211/2025), que determina a adoção de sistemas “confiáveis, auditáveis e tecnicamente seguros” para impedir o acesso de menores a conteúdos e serviços inadequados.
Embora se apresente como um instrumento informativo, o Radar antecipa entendimentos que tendem a orientar fiscalizações, decisões e obrigações futuras. E é justamente aí que reside seu maior paradoxo: ele descreve uma ampla gama de soluções tecnológicas com riqueza de detalhes, mas oferece poucas orientações sobre como colocá-las em prática.
O documento mapeia uma série de abordagens, como verificação documental, biometria facial, inferência comportamental, uso de tokens de idade e provas criptográficas do tipo zero-knowledge. Todas carregam riscos, seja pela exposição de dados sensíveis, seja pela complexidade técnica de implementação, e o próprio Radar admite que não há método infalível: quanto mais precisa a aferição, maior o potencial de intrusão. É um impasse real, que o documento descreve, mas não resolve.
A crítica à autodeclaração de idade (modelo no qual o próprio usuário informa sua faixa etária) não é nova. A ANPD já havia sinalizado, em manifestações anteriores, que esse modelo isolado não era considerado idôneo. O Radar apenas reforça esse entendimento, agora à luz do novo marco legal. No entanto, a exigência por métodos mais sofisticados impõe um dilema concreto: como aumentar a confiabilidade técnica sem incorrer em práticas excessivamente intrusivas?
Há um consenso implícito no Radar: a tendência internacional é abandonar a autodeclaração isolada e caminhar para modelos interoperáveis, que confirmem apenas o atributo etário, sem expor a identidade. É nesse ponto que entram os tokens criptográficos e as credenciais de idade baseadas em provas matemáticas. A promessa é interessante, mas, como toda promessa técnica, exige infraestrutura, e é aí que a regulação brasileira tropeça. Não há clareza sobre como essas tecnologias se inserem no ecossistema normativo local.
Ainda que a linguagem do Radar evoque termos como confiabilidade, auditabilidade e proporcionalidade, faltam definições práticas. Em verdade, faltam definições mínimas, critérios técnicos de avaliação e qualquer estrutura de governança pública capaz de atestar ou certificar as soluções adotadas pelas empresas. A regulação sugere um alto nível de exigência, mas não entrega os instrumentos mínimos para viabilizá-lo.
Esse cenário se agrava com o fator tempo. A Medida Provisória nº 1.319/2025 reduziu de 12 para 6 meses o prazo de vacância do ECA Digital, antecipando sua entrada em vigor para 17 de março de 2026. É um intervalo curto diante da complexidade das adaptações exigidas, sobretudo em áreas como verificação etária, que envolvem questões jurídicas, operacionais e tecnológicas ainda indefinidas.
Na ausência de diretrizes vinculantes, o setor privado é empurrado para um espaço de incerteza regulatória. Qualquer escolha poderá ser considerada excessiva, insuficiente ou inadequada a posteriori. É a fórmula perfeita para o risco jurídico sem horizonte de conformidade clara. E isso compromete não apenas a proteção das crianças, mas também a segurança jurídica de quem tenta cumprir a lei de boa-fé.
Ao final, sabemos que estamos diante de uma demanda legítima: proteger crianças e adolescentes de conteúdos e interações prejudiciais. Mas essa proteção não será alcançada apenas com discursos ou descrições tecnológicas detalhadas. É preciso enfrentar os desafios práticos da implementação, sob pena de transformar um imperativo regulatório em mais um ideal normativo de difícil aplicação.
Nenhuma tecnologia, por si só, dará conta do problema. Sem um regime público de certificação, critérios objetivos de proporcionalidade e estruturas de governança minimamente transparentes, a exigência de mecanismos confiáveis de verificação de idade corre o risco de se tornar letra morta ou de estimular medidas ineficazes e excessivamente invasivas.
Veja também: PL 1087 e a tributação sobre os dividendos: ataque ao capital estrangeiro e um tiro no pé
É hora de transformar o debate técnico em decisão política. A proteção de crianças online não pode depender apenas de soluções desconectadas entre si, tampouco pode ser sinônimo de novos sistemas de vigilância travestidos de cuidado. Entre a negligência e o controle absoluto, ainda há um espaço regulatório que precisa ser construído — com parâmetros e responsabilidade pública.
*Beatriz Haikal – Sócia de Proteção de Dados e IA no Becker Bruzzi Lameirão Advogados, é CIPM pela IAPP, certificada pela OneTrust e professora convidada em instituições como Ibmec e CERS. Gabriela Sotomayor – Advogada de Proteção de Dados e IA no BBL | Becker Bruzzi Lameirão Advogados, é bacharel pela UERJ, certificada pela OneTrust e membro da Comissão de Crimes Digitais da OAB/RJ.