Baixe o nosso material sobre o ECA
Agendar demo

Blog

Marco Civil, LGPD e ECA Digital: por que não tratar os três como a mesma coisa

lgpd, eca digital e marco civil da internet não são a mesma coisa
Reading Time: 5 minutos

Por Thomas Hannickel

O erro mais comum que vejo em times de produto e jurídico é achar que estar adequado à LGPD resolve o resto. Não resolve.

Marco Civil da Internet, LGPD e o recém-vigente ECA Digital regulam coisas diferentes da operação digital. E o ponto onde as três leis se sobrepõem é exatamente onde mora o risco. Quem opera plataforma, aplicativo ou qualquer serviço baseado em dados precisa entender: são três conjuntos de deveres que valem ao mesmo tempo, não três versões da mesma regra.

A confusão tem uma razão prática. As três falam de “internet”, “dados” e “usuários”, e o vocabulário se repete. Mas o objeto de cada uma é diferente, o que gera responsabilidade é diferente, e o que a empresa precisa fazer para se proteger também é diferente. Vale separar.

O que é o Marco Civil da Internet (e o que ele exige da sua empresa)

O Marco Civil (Lei nº 12.965/2014) cuida da camada de conexão e de aplicação. É ele que responde perguntas como: quando a plataforma responde pelo conteúdo que um usuário publicou? Por quanto tempo é preciso guardar registros de conexão e de acesso? Em que condições esses registros vão para as autoridades?

Para a empresa, isso vira dois grandes blocos de obrigação:

Guarda de logs. Registros de conexão e de acesso a aplicações, com prazo e forma definidos em lei.

Responsabilidade por conteúdo de terceiros.

Historicamente, a remoção dependia de ordem judicial específica. Esse regime vem sendo reinterpretado pelo Supremo Tribunal Federal e por normas setoriais. Tratá-lo como algo parado no tempo seria um erro. O que não muda é o eixo: o Marco Civil enxerga a empresa como intermediária da comunicação e guardiã de registros. 

O que é a LGPD (e por que ela é outro plano)

A LGPD (Lei nº 13.709/2018) opera em outro nível. Ela não olha para a empresa como intermediária de conexão, e sim como agente que trata dados pessoais. O gatilho aqui é o tratamento: coletar, armazenar, usar, compartilhar ou apagar dado de uma pessoa.

A pergunta central da LGPD não é “você guardou o log”. É “qual base legal sustenta esse uso de dado, e o titular tem o controle que a lei garante a ele?”.

Para quem trabalha com KYC e biometria, esse é o terreno mais sensível. Dado biométrico é dado pessoal sensível, com proteção reforçada e hipóteses de uso mais restritas. A conformidade com a LGPD se mede por base legal documentada, atendimento aos direitos do titular, resposta a incidentes e capacidade de prestar contas.

Cumprir o Marco Civil não entrega nada disso de graça.

O que é o ECA Digital (e por que ele muda o jogo agora)

O ECA Digital (Lei nº 15.211/2025), sancionado em 17 de setembro de 2025 e em vigor desde 17 de março de 2026, é a peça nova e a que mais muda a operação no curto prazo

Ele parte de uma premissa que nem o Marco Civil nem a LGPD tratavam direito: criança e adolescente não são usuários como os outros. A proteção deles no ambiente digital é integral e tem prioridade.

Na prática, a lei cria obrigações bem concretas para fornecedores de produtos e serviços de tecnologia:

  • Verificação de idade confiável (art. 9º, § 1º). A autodeclaração está expressamente proibida. O checkbox de “tenho mais de 18 anos” deixou de ser suficiente.
  • Conta de menor vinculada a um responsável (art. 24). Usuários de até 16 anos precisam ter a conta ligada a um responsável legal.
  • Proibição de perfilamento publicitário de menores (art. 26). É vedado criar perfis comportamentais de crianças e adolescentes para direcionar publicidade, inclusive usando dados obtidos no próprio processo de verificação de idade.

Esse último ponto merece atenção. É onde o ECA Digital opera sobre o mesmo fluxo da LGPD e impõe uma vedação que a lei de proteção de dados não alcança. A LGPD já tem regras específicas para dados de crianças. 

O ECA Digital vai além: proíbe um uso determinado, o perfilamento para fins publicitários, mesmo que existisse base legal válida sob a ótica geral do tratamento de dados pessoais

Onde as três leis se cruzam (e por que é isso que importa)

A forma mais útil de enxergar a relação entre Marco Civil, LGPD e ECA Digital é por sobreposição, não por substituição. Um mesmo fluxo de onboarding pode acionar obrigações dos três regimes ao mesmo tempo.

Pense na verificação de identidade de um novo usuário:

  1. A guarda do registro desse acesso é assunto do Marco Civil.
  2. O tratamento do documento e da biometria coletados é assunto da LGPD, com base legal definida e proteção reforçada, porque biometria é dado sensível.
  3. A checagem de que o usuário não é menor de idade, com mecanismo confiável e sem autodeclaração, é assunto do ECA Digital.

Três leis, um único fluxo, três conjuntos distintos de prova de conformidade que a empresa precisa estar pronta para apresentar.

É por isso que a tese de que “já estamos adequados à LGPD” não fecha a conta. A adequação à LGPD não produz o mecanismo de verificação de idade que o ECA Digital exige, não resolve a vinculação da conta do menor ao responsável e não cuida da guarda de logs do Marco Civil. São controles diferentes, com evidências diferentes.

O que muda na prática para a sua empresa

Para quem precisa traduzir isso em ação, a leitura é direta:

  • Verificação de idade virou requisito de produto. Saiu do campo da boa intenção. Exige mecanismo confiável, e autodeclaração não cumpre a lei.
  • Perfilamento de menores para publicidade é conduta proibida. Isso obriga a revisar pipelines de dados e segmentação que hoje possam capturar essa população.
  • Acompanhamento parental deixou de ser feature opcional. Viabilizá-lo passou a ser dever da plataforma.
  • Conteúdo de abuso e exploração infantil agora exige remoção e notificação às autoridades.

E nada disso elimina o que o Marco Civil e a LGPD já exigiam. O efeito é cumulativo. A empresa que estrutura o compliance digital olhando para uma lei de cada vez tende a deixar lacunas exatamente nas interseções e é nas interseções que o regulador e o titular costumam bater.

Resumo: a diferença entre Marco Civil, LGPD e ECA Digital

LeiA empresa é vista comoPergunta central
Marco Civil (12.965/2014)Intermediária da comunicação e guardiã de registrosVocê guardou os logs e responde corretamente por conteúdo de terceiros?
LGPD (13.709/2018)Agente de tratamento de dado pessoalQual a base legal do tratamento e o titular tem controle sobre seus dados?
ECA Digital (15.211/2025)Responsável pela proteção integral de crianças e adolescentesVocê verifica idade de forma confiável e protege o menor de fato?

As três incidem ao mesmo tempo sobre operações que coletam, verificam e usam dados. Tratá-las como uma obrigação única é a forma mais rápida de descobrir, tarde demais, que faltava controle.

Para quem opera verificação de identidade e KYC, o caminho é um só: mapear cada fluxo frente aos três regimes e produzir evidência separada de conformidade para cada um.

Perguntas frequentes (FAQ)

Veja a seguir algumas perguntas muito comuns que costumo receber de clientes, colegas da área e quem está começando a pensar na regulamentação dos canais digitais.

Estar adequado à LGPD já cumpre o ECA Digital? 

Não. A LGPD não exige verificação de idade com mecanismo confiável, não trata da vinculação de contas de menores a responsáveis e não proíbe especificamente o perfilamento publicitário de crianças e adolescentes. São obrigações próprias do ECA Digital.

O checkbox “tenho mais de 18 anos” ainda vale? 

Não. O ECA Digital veda expressamente a autodeclaração de idade. A lei exige mecanismos confiáveis de verificação.

Quando o ECA Digital entrou em vigor? 

Em 17 de março de 2026. A Lei nº 15.211, de 17 de setembro de 2025, cumpriu seis meses de vacatio legis antes de produzir efeitos. A distinção entre data de sanção e data de vigência importa do ponto de vista do compliance: as obrigações são exigíveis desde março de 2026, não desde setembro de 2025.

Quem precisa cumprir o ECA Digital? 

Fornecedores de produtos ou serviços de tecnologia da informação que sejam direcionados a crianças e adolescentes ou de acesso provável por esse público no Brasil. O critério legal não é se a plataforma “pode ser acessada” por menores, e sim se o acesso por esse público é provável. 

Uma plataforma de jogos eletrônicos, por exemplo, tem acesso provável por crianças e adolescentes independentemente de qualquer declaração de escopo ou faixa etária mínima. Cumpre notar que o alcance é extraterritorial: empresa sediada fora do Brasil está sujeita à lei se o produto ou serviço estiver disponível para usuários brasileiros.

Sua operação está preparada para barrar fraudes antes que elas aconteçam?

Acompanhe insights sobre biometria, verificação de identidade, KYC, prevenção a múltiplas contas e proteção contra fraudes digitais.