ECA Digital entra em vigor e força empresas a mexer no dinheiro

O ECA Digital, também chamado de Lei Felca, entrou em vigor na última terça-feira, 17, e já começa a mexer com o mercado de tecnologia no Brasil. A ideia é simples: proteger crianças e adolescentes na internet. A execução? Nem tanto.

Na prática, a lei cria uma série de novas obrigações para plataformas digitais. Entre elas, está a exigência de verificação de idade mais rigorosa (adeus botão “tenho mais de 18”), o fim da publicidade personalizada para menores e limites para recursos que incentivam uso excessivo, como rolagem infinita e loot boxes em jogos (aquelas “caixinhas surpresa” pagas em games, em que o jogador não sabe o que vai ganhar).

Isso significa que redes sociais, apps, jogos e sites vão ter que repensar como funcionam, do jeito que recomendam conteúdo até como ganham dinheiro com usuários mais jovens. Sim, é aquele tipo de mudança que não dá pra resolver só com um “atualizamos nossos termos de uso”.

Mesmo assim, a entrada em vigor veio com um certo improviso. O governo adiou a assinatura do decreto que detalha as regras, o que deixou empresas num cenário meio “a lei já vale, mas calma aí que ainda estamos vendo como aplicar tudo”.

Mercado ainda reage devagar às novas regras

No primeiro dia de vigência, algumas empresas já começaram a se mexer. O Google, por exemplo, anunciou mudanças em serviços como Busca, YouTube e Play Store, com mais restrições de conteúdo e ferramentas de supervisão para menores.

Mas, fora isso, a sensação geral é de “vida normal”, com redes sociais funcionando praticamente igual, sem exigir verificação mais rígida de idade. E, sim, sites adultos ainda usam aquele clássico botão de autodeclaração, que a lei basicamente tentou banir.

Basicamente, o que se vê é um descompasso: a lei entrou em vigor, mas o comportamento das plataformas ainda não acompanhou totalmente, pelo menos por enquanto.

“As plataformas que oferecem produtos ou serviços direcionados a crianças e adolescentes tendem a iniciar, de imediato, medidas mínimas de adequação para atender às obrigações já vigentes”, afirma Ricardo Nunes, sócio de Tecnologia, Proteção de Dados e Propriedade Intelectual do escritório de advocacia Lefosse.

Segundo ele, acabar com o “tenho mais de 18” já muda bastante o jogo e deve forçar as empresas a correr atrás de sistemas mais sérios, principalmente em serviços com conteúdo adulto.

Agora o negócio ficou sério

Se do lado de fora quase nada mudou, por dentro das empresas o cenário é outro. A Lei Felca exige alterações profundas e caras na forma como as plataformas operam, o que significa mexer diretamente em estruturas que não foram feitas para mudar rápido.

Isso inclui criar sistemas mais robustos de verificação de idade, revisar algoritmos de recomendação e até repensar produtos inteiros. Recursos comuns hoje, como feeds infinitos ou mecânicas de engajamento em jogos, entram diretamente na mira e não são exatamente fáceis de substituir.

Traduzindo: não é só uma questão de compliance ou jurídico. É produto, tecnologia, dados, marketing, basicamente todo mundo dentro da empresa vai ser impactado. E como muitas dessas ferramentas estão no centro do modelo de negócio, qualquer ajuste vira também uma decisão estratégica.

Esse movimento também abre um outro problema: até onde as empresas podem ir para cumprir a lei sem violar a privacidade dos usuários?

“A Lei 15.211 exige verificação de idade confiável, mas não especifica como fazê-la, e é exatamente nesse silêncio que mora o maior risco jurídico para as plataformas”, afirma Paula Caixeta, cofundadora e CLO da DeltaAI. “Biometria facial, por exemplo, é dado sensível nos termos da LGPD, e seu tratamento exige base legal específica, consentimento qualificado e proporcionalidade estrita”.

Na prática, isso significa que não basta sair pedindo documento ou selfie de todo mundo. As empresas vão ter que equilibrar proteção de menores com privacidade, e errar nessa conta pode dar problema dos dois lados.

Segundo Nunes, esse processo não deve acontecer de uma vez. “A adaptação tende a ser gradual e faseada”, afirma. “Isso decorre tanto do impacto operacional quanto da necessidade de desenvolvimento ou ajuste de mecanismos internos para mapear riscos”.

Nesse começo, a prioridade tende a ser mais básica do que parece: saber o que a empresa já faz, quais dados coleta e onde estão os principais riscos. Só depois disso é que entram mudanças mais pesadas, o que ajuda a explicar por que o impacto ainda não apareceu com força para o usuário.

A vida é um morango apenas para as big techs

Quando o assunto é adaptação, nem todo mundo parte do mesmo ponto, porque empresas grandes tendem a ter mais fôlego para lidar com esse tipo de mudança. Gigantes como Meta e o próprio Google já têm estrutura, equipe e tecnologia para adaptar produtos em diferentes países.

Mesmo assim, isso não significa mudanças imediatas. O mais provável é ver ajustes graduais, muitas vezes começando por soluções intermediárias, como estimar a idade do usuário em vez de exigir um documento logo de cara.

Algumas plataformas já começaram a testar caminhos nesse sentido. O X (eterno Twitter), por exemplo, passou a pedir uma selfie para tentar estimar a idade dos usuários usando inteligência artificial (IA). Na prática, porém, esse tipo de sistema ainda levanta dúvidas e pode ser facilmente burlado, já que muitos menores conseguem contornar a verificação usando fotos de outras pessoas ou até bonecos.

Nesse cenário, impedir totalmente esse tipo de coisa ainda está longe de ser uma realidade. Segundo o sócio da Lefosse, tentativas de fraude em sistemas de verificação já são esperadas e fazem parte do jogo. “Mais do que uma solução específica, o objetivo mais realista é reduzir significativamente a possibilidade de fraude por meio de mecanismos consistentes e demonstráveis”, afirma.

É tipo misturar várias tecnologias e aumentar o nível de controle dependendo do risco de cada plataforma. Porque, sendo realista, não dá pra impedir 100% das fraudes, o foco é dificultar ao máximo e mostrar que a empresa fez a lição de casa.

Só que esse tipo de solução também cria um novo problema: segurança.

“Sempre que uma plataforma passa a coletar RG, selfie ou biometria, ela amplia o volume de dados sensíveis sob sua guarda e aumenta o impacto potencial de qualquer incidente”, afirma Luiz Claudio, CEO da LC SEC. “Diferentemente de uma senha, esses dados não podem simplesmente ser trocados depois de um vazamento”.

Segundo ele, isso aumenta a chamada “superfície de ataque” das empresas, já que essas informações passam por diferentes sistemas, fornecedores e integrações. “Se não houver arquitetura segura, criptografia forte e controle de acesso, cria-se um ponto muito valioso para fraudadores”, diz.

Para companhias menores, o cenário é mais desafiador. Startups e plataformas com menos recursos precisam adaptar sistemas e rever processos sem a mesma capacidade técnica ou financeira, o que pode pesar na operação.

“Empresas menores podem lidar com desafios típicos como limitação de recursos financeiros e humanos”, explica Nunes. Ainda assim, ele ressalta que o risco jurídico não se limita às big techs e pode atingir empresas de diferentes tamanhos, dependendo do caso.

Isso pode aumentar a distância entre quem já é grande e quem ainda está tentando crescer. A lei é a mesma para todo mundo, mas o impacto claramente não é.

Empresas ainda operam no escuro

Essa demora não é por acaso. Parte da lentidão na adaptação tem uma explicação simples: ainda não está tudo 100% definido. O decreto que detalha a aplicação da lei foi adiado e deve passar por ajustes, o que deixa empresas operando em um cenário de incerteza.

Nem todas as regras estão claras ainda, o que faz com que muitas empresas adotem uma postura mais cautelosa, evitando mudanças mais profundas até entender melhor o que será exigido. “De forma geral, as empresas buscam avançar em frentes que não dependem de regulamentação detalhada e aguardam diretrizes específicas para evitar retrabalho”, afirma Ricardo Nunes.

Esse “esperar sem ficar parado” tem um efeito direto na forma como as empresas estão priorizando suas ações agora. Em vez de sair implementando soluções complexas, o foco inicial tende a ser mais interno, quase um raio-x da própria operação.

Segundo Nunes, o primeiro passo seria compreender quais dados são tratados e quais produtos ou serviços podem atingir crianças e adolescentes, mesmo que não sejam pensados diretamente para esse público. A partir daí, entram o mapeamento de sistemas, fluxos e controles já existentes.

A ideia é simples (na teoria): antes de mudar, entender onde estão os riscos. Esse diagnóstico inicial ajuda a evitar decisões desproporcionais, tipo gastar milhões em uma solução que talvez nem seja necessária, e direciona melhor os investimentos.

Além disso, tem um fator que pesa bastante nesse ritmo: o que ainda vai ser definido pela Agência Nacional de Proteção de Dados (ANPD). A expectativa é que a autoridade publique orientações mais detalhadas nos próximos meses, inclusive sobre temas sensíveis como verificação de idade.

Além da incerteza técnica, existe também uma pressão jurídica que deve crescer nos próximos meses. “As empresas estão vinculadas à lei desde 17 de março, mas sem parâmetros técnicos definitivos de como cumpri-la”, afirma Paula Caixeta. “Essa janela de incerteza precisa ser gerenciada com documentação rigorosa e demonstração ativa de boa-fé regulatória”.

Segundo ela, isso muda o jogo na prática. “Antes, a plataforma alegava boa-fé e transferia a responsabilidade ao usuário. Agora, ela precisa demonstrar que adotou medidas técnicas razoáveis e proporcionais”. Isso inclui registrar todo o processo: como verificou a idade, quais dados coletou, por quanto tempo guardou e o que acontece em caso de problema. Em outras palavras: não basta fazer, tem que provar que fez.

Para Ricardo Nunes, esse processo deve seguir uma lógica progressiva, considerando o nível de risco de cada serviço. Ou seja: nem toda empresa vai precisar fazer tudo ao mesmo tempo, e nem do mesmo jeito.