ECA Digital: o que muda para empresas e como implementar verificação de idade via CPF

· FonteData · 9 min de leitura
eca digitalverificação de idadecpfcompliancelgpdanpdkyc

O ECA Digital (Lei nº 15.211/2025), também conhecido como "Lei Felca" — em referência às denúncias do influenciador Felipe Bressanin sobre a facilidade de acesso de crianças a conteúdos de exploração sexual em redes sociais — entrou em vigor em 17 de março de 2026 e trouxe uma mudança estrutural para o ambiente digital brasileiro: plataformas que oferecem conteúdo, produtos ou serviços impróprios para menores de 18 anos agora são obrigadas a implementar mecanismos confiáveis de verificação de idade. A simples autodeclaração — aquele campo "digite sua data de nascimento" — não é mais suficiente.

Neste artigo, explicamos o que a lei exige, quais empresas são impactadas, quais são as penalidades previstas e como a verificação de idade via API de CPF é uma das abordagens mais práticas e acessíveis para se adequar.

O que é o ECA Digital

O ECA Digital é uma atualização do Estatuto da Criança e do Adolescente (Lei nº 8.069/1990) para o ambiente online. Sancionada em 18 de setembro de 2025, a lei estabelece um marco regulatório específico para proteger crianças e adolescentes em plataformas digitais — redes sociais, jogos eletrônicos, marketplaces, aplicativos de apostas, serviços de streaming e qualquer produto de tecnologia acessível a menores.

A lei se aplica a qualquer serviço digital acessível no Brasil, independentemente de onde a empresa esteja sediada. A fiscalização é responsabilidade da Autoridade Nacional de Proteção de Dados (ANPD), que em 20 de março de 2026 publicou as orientações preliminares e o cronograma oficial de implementação. O Decreto nº 12.880/2026, publicado em 18 de março, regulamenta a lei e detalha obrigações adicionais, como a proibição de design manipulativo (rolagem infinita e reprodução automática de vídeos) para o público infantojuvenil.

Cronograma do ECA Digital — da sanção à fiscalização

Quem precisa se adequar

O escopo da lei é amplo. Se a sua plataforma disponibiliza conteúdo, produto ou serviço cuja oferta ou acesso seja impróprio, inadequado ou proibido para menores de 18 anos, a obrigação de verificação de idade se aplica. Na prática, isso inclui:

  • Redes sociais — contas de menores de 16 anos devem ser vinculadas a responsáveis legais
  • Plataformas de apostas e iGaming — proibição total para menores, com verificação obrigatória no cadastro
  • Sites e aplicativos de conteúdo adulto — verificação a cada acesso
  • Jogos eletrônicos — especialmente títulos com mecânicas de compra, loot boxes ou conteúdo violento
  • Marketplaces — para produtos restritos a maiores (álcool, tabaco, armas)
  • Streaming de vídeo e áudio — para conteúdo classificado como inadequado
  • Aplicativos de delivery — para categorias como bebidas alcoólicas
  • EdTechs e fintechs — quando coletam dados de menores

Um levantamento recente do Comitê Gestor da Internet no Brasil (CGI.br) e do Núcleo de Informação e Coordenação do Ponto BR (NIC.br) analisou 25 dos serviços digitais mais usados por crianças no país e revelou que 84% deles não verificavam a idade no momento da criação da conta antes da entrada em vigor da lei. A maioria dependia exclusivamente de autodeclaração. A versão preliminar do estudo foi apresentada no Seminário ECA Digital, em Brasília, em 18 de março de 2026.

84% das plataformas não verificavam idade antes do ECA Digital

O que a lei proíbe e exige

O artigo 9º da Lei 15.211/2025 é direto: os fornecedores devem adotar "mecanismos confiáveis de verificação de idade" ao conteúdo restrito, sendo vedada a autodeclaração.

Além da verificação etária, o ECA Digital estabelece outras obrigações relevantes:

  • Supervisão parental: ferramentas de controle para pais e responsáveis devem ser disponibilizadas por padrão, não como recurso opcional escondido em configurações avançadas
  • Privacidade por design: produtos digitais voltados ao público infantojuvenil devem integrar segurança e privacidade desde a concepção
  • Proibição de perfis comportamentais: é vedada a criação de perfis de comportamento de menores para fins de publicidade direcionada
  • Proibição de design manipulativo: rolagem infinita, reprodução automática de vídeos e outros padrões que induzem uso excessivo são vedados para menores (Decreto 12.880/2026)
  • Remoção e denúncia: conteúdos de exploração ou abuso sexual infantil devem ser removidos imediatamente e comunicados às autoridades

Penalidades

As sanções previstas são severas e seguem uma escala progressiva:

  1. Advertência com prazo de 30 dias para adequação
  2. Multa de até 10% do faturamento anual bruto no Brasil
  3. Multa alternativa de R$ 10 a R$ 1.000 por usuário cadastrado (para empresas sem faturamento declarado no Brasil)
  4. Teto de R$ 50 milhões por infração
  5. Suspensão temporária das atividades no Brasil (aplicável pelo Poder Judiciário)
  6. Proibição permanente de operação no país, em caso de reincidência (aplicável pelo Poder Judiciário)

Como funciona a verificação de idade via CPF

Entre os mecanismos aceitos para verificação etária, a validação por CPF via API se destaca como uma das abordagens mais eficientes para o contexto brasileiro. O motivo é simples: o cadastro de CPF na Receita Federal contém a data de nascimento do titular. Ao consultar o CPF via API, é possível confirmar se o usuário é maior ou menor de idade sem exigir o envio de documentos físicos, selfies ou biometria facial.

O fluxo típico funciona assim:

  1. O usuário informa o CPF no momento do cadastro ou acesso
  2. A plataforma faz uma chamada à API de consulta CPF
  3. A API retorna a data de nascimento e a idade calculada do titular
  4. A plataforma verifica se idade >= 18 e libera ou bloqueia o acesso

Esse método tem vantagens claras em relação a outras abordagens:

Método Vantagem Limitação
CPF via API Rápido (<2s), sem fricção, dados oficiais da Receita Federal Apenas para portadores de CPF
Documento de identidade Ampla cobertura Exige upload, OCR e validação manual ou por IA
Biometria facial Não exige documento Custo elevado, preocupações com LGPD (dado sensível), viés racial
Cartão de crédito Presume maioridade Não é mecanismo de verificação de idade
Autodeclaração Sem fricção Proibida pelo ECA Digital

Para usuários estrangeiros sem CPF, a plataforma deve oferecer métodos alternativos (passaporte, documento de identidade do país de origem). Mas para o público brasileiro — que representa a grande maioria dos usuários em plataformas que operam no país — o CPF é o caminho natural.

Orientações da ANPD

A ANPD publicou, em 20 de março de 2026, um conjunto de orientações preliminares para a implementação dos mecanismos de verificação de idade. Em vez de impor uma solução técnica única, a Agência definiu seis requisitos mínimos que devem nortear a escolha da solução:

  1. Proporcionalidade — o mecanismo deve ser adequado ao risco e ao contexto do serviço
  2. Acurácia e confiabilidade — deve efetivamente confirmar a faixa etária
  3. Privacidade e proteção de dados — minimização de dados, sem retenção desnecessária
  4. Inclusão e não discriminação — não pode criar barreiras desproporcionais para grupos vulneráveis
  5. Transparência e auditabilidade — o processo deve ser documentado e rastreável
  6. Interoperabilidade — deve ser compatível com padrões e sinais de idade de lojas de aplicativos

A verificação por CPF via API atende a todos esses requisitos: é proporcional (consulta um dado que o usuário já possui), confiável (base oficial da Receita Federal), minimiza dados (retorna apenas o necessário), é inclusiva (o CPF é universal no Brasil), transparente e facilmente auditável.

As orientações também mencionam tecnologias emergentes como credenciais verificáveis e provas de conhecimento zero — abordagens que permitem confirmar um atributo etário sem expor dados adicionais. Embora essas soluções ainda estejam em fase de maturação, a consulta por CPF já opera na mesma lógica: confirma a faixa etária sem exigir o compartilhamento de documentos completos.

O cronograma publicado pela ANPD prevê três fases: a fase atual (orientações e monitoramento de lojas de aplicativos e sistemas operacionais), uma segunda fase a partir de agosto de 2026 (orientações técnicas definitivas) e a fiscalização efetiva a partir de 2027. Isso significa que o momento de se adequar é agora — quem esperar a fiscalização bater à porta já estará em atraso.

Como implementar com a FonteData

Integração FonteData — Verificação de Idade via CPF

A FonteData oferece uma API de consulta de CPF que retorna os dados necessários para verificação de idade. A integração é feita em minutos, com autenticação por API Key e resposta em JSON.

Exemplo de requisição:

curl -H "X-API-Key: SUA_CHAVE" \
  "https://app.fontedata.com/api/v1/consulta/cadastro-pf-basica?cpf=00000000000"

Exemplo de resposta (campos relevantes para verificação de idade):

{
  "cpf": "000.000.000-00",
  "nome": "MARIA APARECIDA SANTOS",
  "dataNascimento": "14/08/1995 00:00:00",
  "idade": 30
}

Nota: A API retorna um conjunto completo de dados cadastrais (endereços, telefones, e-mails e mais). Para verificação de idade, sua aplicação precisa consumir apenas o campo idade — os demais dados podem ser descartados imediatamente, em conformidade com o princípio de minimização de dados da LGPD.

Minimização de dados — Princípio LGPD

O campo idade já vem calculado pela API — sua aplicação só precisa verificar se idade >= 18 para liberar ou bloquear o acesso. Sem necessidade de parsing de datas no seu lado.

Não é necessário armazenar o CPF além do momento da consulta — basta registrar o resultado da verificação (maior/menor de idade) e um identificador de auditoria para fins de compliance.

Por que usar a FonteData para verificação de idade:

  • +100 fontes de dados agregadas em uma única API REST
  • Resposta em tempo real — sem filas ou processamento assíncrono
  • Modelo prepaid — sem mensalidade, você paga apenas o que consome
  • Sem fricção — o usuário informa apenas o CPF, sem upload de documentos
  • LGPD compliant — operação com base legal de legítimo interesse (Art. 7º, IX)
  • Documentação completa — integre em minutos com exemplos em cURL, Python, Node.js e mais

Conclusão

O ECA Digital não é uma possibilidade futura — é uma obrigação que já está em vigor desde 17 de março de 2026. Plataformas que ainda dependem de autodeclaração de idade estão em desconformidade. As penalidades são severas (até R$ 50 milhões por infração ou 10% do faturamento), e a ANPD já publicou as orientações preliminares e iniciou o monitoramento — a fiscalização efetiva com aplicação de sanções está prevista para 2027.

A verificação de idade via CPF é a solução mais prática, rápida e acessível para o mercado brasileiro. A FonteData oferece a infraestrutura necessária para implementar essa verificação em minutos, sem complexidade e com total conformidade regulatória.

Comece agora: crie sua conta em fontedata.com e receba R$ 50 em créditos para testar a API — sem cartão de crédito, sem compromisso.

Experimente a API da FonteData

Consulte dados empresariais e de pessoas via API — CNPJ, CPF, KYC, compliance e mais. R$50 em créditos grátis para testar.

Criar conta grátis →
Compartilhar: LinkedIn Twitter / X

Leia também

Novas Regras do Pix 2026: Validação Obrigatória de CPF e CNPJ na Receita Federal

12 min de leitura

O que é a Consulta de CPF por API e como automatizar validações

11 min de leitura

Compliance para iGaming no Brasil: como validar apostadores com CPF e listas de sanções

10 min de leitura
R$ 50 em créditos grátis Criar conta grátis

Business data APIs for due diligence, compliance, and market intelligence in Brazil.

Product

Company

Legal

Data provided by Fonte Data is obtained from official public sources of the Brazilian government and/or from third-party providers that declare they exclusively use public sources, in compliance with current legislation and LGPD (Law No. 13,709/2018). Fonte Data acts as a technology intermediary, not producing, validating, auditing, certifying, or guaranteeing the accuracy, completeness, or currency of data, which is the responsibility of the issuing authority or originating provider. Fonte Data does not audit or guarantee the compliance of third-party providers. The use of information obtained is the sole and exclusive responsibility of the user.

© 2026 SPECTRUM SERVICOS ADMINISTRATIVOS LTDA. — CNPJ 52.558.978/0001-77

DPO: dpo@fontedata.com