A Agência Nacional de Proteção de Dados divulgou um conjunto de orientações preliminares para a implementação de mecanismos de aferição de idade por empresas que oferecem produtos e serviços digitais voltados a crianças e adolescentes ou com acesso provável por esse público. Essas orientações estabelecem parâmetros para que os fornecedores se adequem ao Estatuto Digital da Criança e do Adolescente e ao decreto que o regulamenta, em um momento em que a proteção de menores no ambiente online ganha contornos mais definidos na legislação brasileira.
As orientações partem de um modelo regulatório que privilegia a prevenção de riscos e a proteção integral de crianças e adolescentes. Em vez de impor uma solução única, a ANPD estabelece seis requisitos mínimos que devem ser observados na escolha e na operação desses mecanismos: proporcionalidade, acurácia e confiabilidade, privacidade e proteção de dados, inclusão e não discriminação, transparência e auditabilidade, e interoperabilidade.
O primeiro ponto destacado pela agência é que os fornecedores devem avaliar os riscos associados tanto ao serviço oferecido quanto ao próprio mecanismo de verificação etária. Isso significa que soluções mais intrusivas, como aquelas que utilizam dados biométricos, só se justificam em contextos de maior risco, como plataformas que oferecem conteúdos proibidos para menores de dezoito anos ou que permitem interação entre usuários. O uso de biometria facial, por exemplo, exige fundamentação robusta e a comprovação de que não há alternativa menos invasiva capaz de alcançar o mesmo resultado.
Em relação à acurácia e à confiabilidade dos mecanismos, o documento ressalta que métodos baseados exclusivamente na autodeclaração do usuário são considerados pouco confiáveis, justamente por dependerem de informações facilmente manipuláveis. Espera-se que as empresas mensurem e documentem a precisão de suas soluções, realizem testes de robustez para identificar possíveis fraudes e avaliem a confiabilidade das fontes de dados utilizadas no processo.
A proteção dos dados pessoais dos usuários ocupa papel central nas orientações. O documento enfatiza a necessidade de observância dos princípios da minimização de dados, da finalidade e da segurança previstos na Lei Geral de Proteção de Dados. Os dados coletados para aferição de idade não podem ser utilizados para outras finalidades, como publicidade comportamental, perfilamento ou enriquecimento cadastral. Além disso, as soluções devem ser estruturadas para evitar a rastreabilidade do histórico de acessos e o compartilhamento contínuo e automatizado de informações entre diferentes agentes.
O documento menciona tecnologias como credenciais verificáveis e provas de conhecimento zero como exemplos de abordagens que permitem confirmar um atributo etário sem expor dados adicionais. Nesses casos, o usuário comprova, por exemplo, ser maior de idade sem precisar informar sua data de nascimento completa ou apresentar documento de identidade.
A inclusão e a não discriminação também integram as preocupações da ANPD. Soluções de verificação etária não podem impor barreiras desproporcionais que excluam determinados grupos do acesso à vida digital. O documento cita como exemplo a verificação baseada exclusivamente em documentos oficiais, que pode dificultar o acesso de refugiados ou de pessoas em situação de vulnerabilidade social que não possuem esses documentos. Métodos biométricos também merecem atenção, uma vez que podem apresentar diferenças de desempenho entre grupos raciais, étnicos ou de gênero, com potencial de produzir efeitos discriminatórios.
No campo da transparência, a agência recomenda que os fornecedores disponibilizem informações claras e acessíveis sobre o funcionamento dos mecanismos de verificação, os dados utilizados e os agentes envolvidos. Canais para contestação e retificação da idade aferida devem ser disponibilizados aos usuários. Os registros de auditoria, por sua vez, devem conter apenas metadados funcionais, como o resultado da verificação e o momento do acesso, evitando o armazenamento de dados biométricos, imagens ou dados extraídos de documentos de identidade.
A interoperabilidade entre sistemas é apontada como um elemento que pode reduzir a repetição de procedimentos de verificação e, com isso, diminuir a exposição de dados pessoais. O documento sugere que as soluções sejam estruturadas para transmitir apenas o resultado ou atributo etário estritamente necessário, em vez de compartilhar conjuntos ampliados de dados. Arquiteturas que utilizam intermediários confiáveis ou tokens criptográficos são citadas como formas de alcançar esse objetivo, desde que observados os princípios da limitação da finalidade e da segurança.
As orientações têm caráter preliminar e permanecem abertas a contribuições da sociedade por meio da Ouvidoria da ANPD. O documento servirá como referência para as atividades de monitoramento da agência até que sejam publicadas orientações definitivas, após consulta pública, conforme previsto na Agenda Regulatória para o biênio 2025-2026.
Cronograma
Também nesta sexta, a ANPD publicou um cronograma de implementação das soluções de aferição de idade. As orientações preliminares são o primeiro passo. A ANPD também prevê a criação de uma página específica para centralizar informações sobre o ECA Digital, incluindo perguntas e respostas, além de iniciar o monitoramento de como lojas de aplicativos e sistemas operacionais estão implementando essas soluções.
Ainda nessa etapa inicial, a autoridade abrirá, a partir de abril, uma Tomada de Subsídios para discutir um guia voltado a fornecedores de tecnologia, com foco no escopo e nas obrigações previstas na nova legislação. A ideia é coletar contribuições técnicas da sociedade antes de consolidar as diretrizes definitivas.
A segunda fase está programada para começar em agosto de 2026, quando a ANPD pretende publicar orientações mais detalhadas e parâmetros normativos sobre a aferição de idade. Esse momento marca a transição de um modelo mais orientativo para um conjunto de regras mais estruturadas, possivelmente por meio de regulamento ou guia oficial.
Entre agosto e novembro de 2026, será aberto um período de adaptação para as empresas, durante o qual a autoridade continuará monitorando a implementação das soluções. Ao final desse ciclo, a ANPD prevê a atualização de seus regulamentos de fiscalização e de aplicação de sanções administrativas, alinhando-os às exigências do ECA Digital.
A terceira e última etapa começa em janeiro de 2027, quando passam a valer as ações de fiscalização propriamente ditas. Nesse momento, a ANPD deverá verificar o cumprimento efetivo das obrigações pelas empresas, com base nas regras já consolidadas e nas prioridades definidas em seu mapa de temas.
