A verificação de idade é, talvez, o requisito mais operacionalmente desafiador do ECA Digital (Lei 14.836/2024). Parece-nos que o legislador compreendeu uma realidade que a indústria tecnológica resistiu em admitir por décadas: a autodeclaração de idade — aquele campo onde o usuário simplesmente informa sua data de nascimento — é um mecanismo de proteção ilusório. Qualquer criança com acesso à internet sabe que basta inserir uma data fictícia para contornar essa barreira.
A Insuficiência da Autodeclaração
Estudos conduzidos pelo Ofcom britânico (Online Nation Report, 2023) demonstraram que aproximadamente 33% das crianças entre 8 e 17 anos utilizam perfis com idade falsificada em redes sociais. No Brasil, pesquisa do TIC Kids Online Brasil (2023), conduzida pelo CETIC.br, revelou que 78% das crianças entre 9 e 17 anos possuem perfil em redes sociais — muitas delas em plataformas cujos termos de uso exigem idade mínima de 13 anos.
Verifica-se, portanto, que a autodeclaração não apenas falha como mecanismo de proteção, mas cria uma ficção jurídica conveniente para as plataformas: ao obter a "declaração" do usuário de que possui idade suficiente, a empresa pretende transferir a responsabilidade para o próprio menor ou seus pais.
O ECA Digital rompe expressamente com essa lógica. A verificação de idade deve ser efetiva — o que significa que o método empregado deve ter capacidade real de distinguir menores de adultos.
Métodos de Verificação: Um Espectro de Soluções
A lei não prescreve tecnologia específica, adotando abordagem tecnologicamente neutra — opção que nos parece acertada, pois permite a evolução dos métodos sem necessidade de alteração legislativa. Contudo, é possível identificar um espectro de soluções com diferentes graus de eficácia e intrusividade.
Verificação documental. O usuário submete imagem de documento oficial com foto (RG, CNH, passaporte) e a plataforma utiliza tecnologia de OCR (Optical Character Recognition) para extrair e validar a data de nascimento. Limitações: documentos podem ser falsificados, e o processo pode ser friccional para o usuário.
Verificação biométrica. Comparação facial do usuário com foto do documento ou com base de dados oficial. Tecnologias como liveness detection (verificação de que se trata de pessoa real e não fotografia) aumentam a segurança. Limitações: questões de privacidade e acurácia diferencial entre grupos demográficos, conforme documentado pelo National Institute of Standards and Technology (NIST Face Recognition Vendor Test, 2019).
Estimativa de idade por IA. Sistemas de inteligência artificial analisam características faciais para estimar a faixa etária do usuário. Empresas como Yoti desenvolveram tecnologias com margem de erro declarada de 1,5 a 2,5 anos. Limitações: não é verificação, é estimativa — o que pode gerar falsos positivos e falsos negativos.
Verificação cruzada de dados. Consulta a bases de dados oficiais (Receita Federal, Denatran, TSE) para confirmar a idade associada a determinado CPF ou documento. Limitações: depende de integração com bases governamentais e de consentimento para tratamento de dados.
Verificação por operadora de telecomunicações. A operadora de telefonia confirma se o titular da linha associada ao dispositivo é maior de idade. Método adotado no Open Banking e em expansão na Europa. Limitações: nem todo menor utiliza linha telefônica em seu próprio nome.
O Modelo Britânico: Age Appropriate Design Code (AADC)
A referência internacional mais relevante para a interpretação do ECA Digital é o Age Appropriate Design Code (AADC), também conhecido como Children's Code, implementado pelo Information Commissioner's Office (ICO) do Reino Unido em setembro de 2021. O AADC estabelece 15 padrões que serviços digitais acessíveis a menores devem cumprir, incluindo a obrigação de estabelecer a idade dos usuários com "nível de certeza apropriado ao risco".
Cabe ressaltar que o AADC adota abordagem proporcional: o nível de rigor na verificação de idade deve ser compatível com os riscos que o serviço apresenta para menores. Uma plataforma de jogos com microtransações exige verificação mais robusta do que um site informativo. Parece-nos que o ECA Digital segue lógica semelhante, ao exigir que o método seja "proporcional ao risco envolvido".
Privacidade versus Proteção: O Dilema
A verificação de idade efetiva inevitavelmente envolve o tratamento de dados pessoais — e, frequentemente, de dados sensíveis (biometria, documentos de identidade). Verifica-se aqui um dilema fundamental: para proteger a privacidade de menores, é necessário coletar dados pessoais que, por si sós, representam risco à privacidade de todos os usuários.
A LGPD (Lei 13.709/2018) impõe que o tratamento de dados seja limitado ao mínimo necessário (princípio da minimização, art. 6º, III). A verificação de idade deve, portanto, ser projetada para coletar apenas os dados estritamente necessários à confirmação etária, sem reter informações adicionais.
Soluções de privacy-preserving age verification estão em desenvolvimento: sistemas que confirmam se o usuário é maior ou menor de determinada idade sem revelar a idade exata ou armazenar dados biométricos. O conceito de zero-knowledge proof, oriundo da criptografia, tem sido explorado nesse contexto — o sistema confirma o atributo (maior de 18 anos) sem revelar o dado subjacente (data de nascimento).
Implicações para as Plataformas
A implementação de verificação de idade efetiva implica custos operacionais significativos: integração de tecnologias de verificação, aumento da fricção no cadastro (com potencial impacto na conversão de usuários), necessidade de tratar dados sensíveis com segurança reforçada e risco de responsabilização em caso de falha do sistema.
Contudo, parece-nos que o custo da não conformidade é substancialmente maior. As multas previstas no ECA Digital — de até R$ 50 milhões por infração — tornam a adequação uma questão de viabilidade econômica, não apenas de ética corporativa.
Considerações Finais
A verificação de idade é o alicerce sobre o qual se constrói toda a estrutura de proteção do ECA Digital. Sem a capacidade de identificar menores entre seus usuários, nenhuma plataforma pode cumprir as demais obrigações legais — controle parental, proibição de publicidade direcionada, vedação de dark patterns. Verifica-se, assim, que investir em verificação de idade robusta não é apenas uma obrigação legal isolada, mas pressuposto de conformidade sistêmica com o novo marco regulatório.
Alessandro Casoretti Lavorante
Prof. Me. pela USP
Advogado especializado em Direito Digital, IA e Startups. Mestre em Direito Civil pela USP. Autor do livro "Responsabilidade Civil por Inteligência Artificial".