A Lei 15.211/2025, também chamada Lei Felca, institui o Estatuto da Criança e do Adolescente Digital, criando um regime específico de proteção de crianças e adolescentes em ambientes digitais, aplicável a todo produto ou serviço de tecnologia oferecido ou acessível no Brasil. Ela surge em continuidade ao movimento regulatório que inclui o Marco Civil da Internet, a Lei Geral de Proteção de Dados (LGPD), mas com foco exclusivo na tutela do público infantojuvenil, especialmente frente a conteúdos violentos, sexualizados, abusivos e a modelos de negócio baseados em exploração da atenção.
Evelyn Kosta/TV Globo
A lei inaugura um novo patamar de responsabilidade para plataformas, serviços, aplicativos digitais que podem ser acessados por crianças e adolescentes no Brasil. Mais do que uma resposta política à comoção gerada por denúncias de adultização de menores nas redes, a nova lei consolida um modelo de proteção de dados, conteúdo e experiência de uso que conversa diretamente com a LGPD e desloca a responsabilidade das empresas de uma postura reativa para uma lógica de responsabilidade ativa.
O texto estrutura deveres dos fornecedores em eixos como prevenção, proteção, informação, segurança e transparência, impondo obrigações concretas de verificação de idade, controle parental, limitação de coleta e uso de dados de menores, mecanismos de moderação de conteúdo e relatórios periódicos a autoridades regulatórias. A lei também prevê um sistema de sanções robusto e escalonado — de advertência a multas que podem chegar a 10% do faturamento do grupo econômico ou até R$ 50 milhões por infração, além de suspensão temporária do serviço e até proibição de operação no país em casos graves ou de reincidência, que dialogam com o regime sancionatório já conhecido da LGPD, mas com foco temático em proteção de menores.
Do ponto de vista de compliance digital, a lei rompe com a ideia de que bastam termos de uso genéricos e um botão “sou maior de 18 anos” para afastar riscos jurídicos. A nova regulamentação exige melhores mecanismos de verificação de idade, desenho de produto orientado à proteção infantojuvenil, transparência e prestação de contas a autoridades como a Agência Nacional de Proteção de Dados (ANPD).
Novas obrigações principais das plataformas
Um dos pontos mais destacados da Lei Felca é a exigência de verificação de idade confiável, mudando a lógica que era adotada por muitos sites até os dias de hoje, que era a autodeclaração pela data de nascimento ou simplesmente declarando ao clicar em um botão como prova suficiente de maioridade. Plataformas que disponibilizem conteúdo impróprio, inadequado ou proibido para menores de 18 anos devem adotar mecanismos técnicos mais sofisticados, como validação de CPF, biometria facial — o que tem sido mais utilizado – ou com confirmação por bases governamentais, como a biometria do Gov.br, por exemplo.
Outra obrigação é a vinculação de contas de crianças e adolescentes até 16 anos diretamente a um responsável, oferecendo mecanismos próprios de supervisão que permitam visualizar tempo de uso, conteúdos acessados, contatos, limites de gastos e aprovar compras ou downloads. Além disso, a lei exige que a privacidade de menores seja, por padrão, no nível mais restritivo, com coleta mínima de dados estritamente necessários à prestação do serviço, vedando o uso de dados de crianças e adolescentes para direcionamento de publicidade por perfilamento comportamental.
Spacca
Do ponto de vista de integridade do ambiente digital, a nova legislação impõe às plataformas o dever de prevenir e mitigar riscos relacionados a exploração e abuso sexual, pornografia, violência, bullying, automutilação, suicídio, jogos de azar, drogas, publicidade predatória e padrões de uso que indiquem vício ou prejuízo à saúde mental de menores. Para grandes plataformas com alto contingente de usuários menores, há ainda obrigações ampliadas de transparência, como relatórios semestrais detalhando denúncias, tempos de resposta, medidas de moderação e resultados de avaliações de impacto e gerenciamento de riscos.
Aumento do risco regulatório
O regime de sanções previsto pela nova lei é especialmente sensível para a agenda de compliance digital porque desloca o risco de algo abstrato para números concretos no balanço. Empresas que descumprirem as normas podem sofrer desde advertências com apertado prazo para correção até multas de até 10% do faturamento bruto anual no Brasil, limitadas a 50 milhões de reais por infração, ou, na ausência de faturamento declarado no país, multas proporcionais ao número de usuários cadastrados, variando de 10 a R$ 1 mil reais por usuário. Em situações graves, a referida lei admite até mesmo a suspensão temporária do serviço no Brasil e, em hipóteses extremas, a própria proibição de operação, sobretudo em cenário de reincidência ou descumprimento sistemático.
A aplicação das sanções se articula com a atuação da ANPD e, em certos cenários, com outras autoridades para viabilizar bloqueios e medidas cautelares, o que remove o obstáculo burocrático para impor e fazer valer as sanções mais rapidamente. Para empresas estrangeiras, suas filiais ou operações estabelecidas no Brasil podem responder solidariamente, expondo grupos econômicos internacionais a um risco regulatório que deve ser tratado como risco estratégico de permanência no mercado brasileiro.
A discussão sobre ética e compliance digital no Brasil vinha sendo tracionada pela LGPD e pela pressão social em torno de desinformação e discursos de ódio, em geral com foco na responsabilização das plataformas pela circulação de conteúdos ilícitos.
Nesse cenário, muitos programas se limitavam a políticas de privacidade formais, banners de cookies e cláusulas de isenção de responsabilidade, sem enfrentar de verdade a arquitetura dos produtos digitais e os incentivos econômicos que impactam crianças e adolescentes.
Com o ECA Digital, esse modelo meramente formal deixa de fazer sentido: o compliance digital passa a ser, necessariamente, transversal. Produto, tecnologia, marketing, atendimento, jurídico e segurança da informação deixam de ser clientes internos do compliance e passam a ser corresponsáveis por implementar princípios de proteção de menores desde a concepção do serviço, em linha com uma lógica de segurança que alcança interface, algoritmos e o próprio modelo do negócio.
Em termos práticos, o primeiro movimento de um programa maduro é reabrir a matriz de riscos. A Lei Felca obriga as empresas a perguntarem, com honestidade, quais produtos e funcionalidades têm acesso provável por crianças e adolescentes, quais conteúdos circulam ali, que dados são coletados, como funcionam os algoritmos de recomendação e que tipo de publicidade conversa direta ou indiretamente com esse público. Esse mapeamento é o que permitirá diferenciar risco residual aceitável de risco regulatório inaceitável.
A partir daí, a governança deixa de ser abstrata: o chief compliance officer (CCO), data protection officer (DPO), a área jurídica, segurança da informação, produto e engenharia precisam ter papéis e responsabilidades claros, com fluxo de reporte à alta administração. Em plataformas de grande porte, com alto volume de usuários menores, faz sentido estruturar comitês específicos de risco infantojuvenil, com mandato para deliberar sobre classificação de conteúdo, critérios de verificação de idade, thresholds de bloqueio e respostas a incidentes envolvendo menores.
Na prática, a Lei Felca exige uma ruptura com o modelo de “clique e entre”. A autodeclaração deixa de ser suficiente, impondo o uso de mecanismos confiáveis ajustados conforme o risco do serviço. A escolha envolve custo, experiência do usuário, risco de exclusão digital e proporcionalidade frente ao tipo de conteúdo ou serviço ofertado.
O outro pilar são os controles parentais nativos. A própria plataforma deve permitir que responsáveis vinculem contas, monitorem tempo de tela, limitem recursos, filtrem contatos e autorizem compras e downloads. Isso exige investimento em interface, engenharia e suporte, além de uma forte conscientização dos familiares para que, de fato, entendam e usem as ferramentas.
O que o compliance digital as empresas precisam fazer agora
Com o novo paradigma, programas de compliance digital sérios não podem deixar de reavaliar o cenário da empresa. A entrada em vigor da Lei nº 15.211/2025 exige, no mínimo, um diagnóstico de enquadramento de quais produtos e canais têm acesso provável por menores, reclassificação de riscos por tipo de serviço, revisão de fluxos de cadastro e autenticação, redesenho de jornadas de usuário e reavaliação de estratégias de publicidade que dependam de perfilamento de menores.
Na prática, isso significa conduzir novas avaliações de impacto orientadas à proteção de crianças e adolescentes, revisar contratos com anunciantes, agências e influenciadores, fortalecer canais de denúncia e resposta a incidentes, ajustar políticas de moderação e estruturar treinamentos específicos para equipes de produto, marketing, jurídico, atendimento e segurança. A mensagem é simples: a proteção da infância digital deixa de ser somente uma pauta em relatório de governança e passa a ser obrigação formal com consequências financeiras e operacionais reais.
A lei é a reação a falhas graves de proteção de menores nas plataformas digitais associada a um teste de estresse para a maturidade do ecossistema de compliance digital no país. Há, sim, o risco de que soluções mal calibradas desaguem em vigilância excessiva, exclusão digital ou censura disfarçada de cuidado, especialmente se a regulamentação e as empresas optarem por atalhos que sejam pouco transparentes. Mas também é inegável que o modelo anterior, baseado em autodeclarações simples e autorregulação mínima, fracassou em conter abusos e violências que atingem diariamente crianças e adolescentes no ambiente online.
Para as empresas, o ponto de equilíbrio passa por abandonar uma postura defensiva e reativa e adotar uma lógica de due diligence contínua: identificar riscos, redesenhar produtos, revisar incentivos econômicos e prestar contas de forma estruturada. Em última análise, a efetividade da Lei Felca dependerá menos do texto legal em si e mais da disposição das organizações em tratá-la como eixo de governança digital – e não como mais um item incômodo em uma lista de obrigações regulatórias.
Fonte: Conjur