Arquitetura da Confiança: Serpro e Gov.br têm papel estratégico na efetivação do ECA Digital

A sanção da Lei nº 15.211/2025, conhecida como o Estatuto Digital da Criança e do Adolescente (ECA Digital), inaugurou um marco regulatório inédito no Brasil. A nova legislação exige que plataformas e serviços digitais abandonem a postura reativa para adotar, obrigatoriamente, os modelos de privacy & safety by design .

Nesse novo cenário de obrigações estruturais, a tecnologia pública ganha protagonismo incontornável. Como provedor de inteligência e infraestrutura para o Estado, o Serpro tem a oportunidade e a responsabilidade de viabilizar a conformidade com a nova lei, protegendo os cidadãos mais vulneráveis contra riscos cibernéticos e abusos comerciais, devendo acrescentar a sua expertise a esse escopo tão relevante para o desenvolvimento do futuro da sociedade brasileira.

A Mudança de Paradigma: Privacy by Design vs. Safety by Design

Para prover soluções adequadas, é fundamental compreender a diferença entre os dois conceitos centrais exigidos pela nova lei:

• Privacy by Design (Privacidade desde a concepção): foca na proteção dos dados pessoais, exigindo a minimização de dados e garantindo o grau mais elevado de privacidade por padrão. Na prática, isso significa que os dados de crianças e adolescentes não podem ser utilizados para perfilamento abusivo, direcionamento de anúncios baseados em comportamento ou publicidade comercial predatória.
• Safety by Design (Segurança desde a concepção): foca na prevenção de danos físicos, mentais e morais. A arquitetura da plataforma deve ser projetada para mitigar riscos de forma ativa, bloqueando conteúdos nocivos e desativando algoritmos que incentivem o uso compulsivo ou a automutilação, tornando a proteção um requisito de engenharia de software. Em suma, deve-se priorizar o bem-estar de crianças e adolescentes em detrimento do engajamento ou do lucro das plataformas.

O Desafio Antifraude e o Risco dos Honeypots

O ECA Digital proíbe a simples autodeclaração de idade (o ineficaz "clique aqui se você tem mais de 18 anos") e exige mecanismos confiáveis de verificação para conteúdos restritos.

Esse cenário cria um dilema complexo de cibersegurança. As empresas precisam impedir o acesso de menores, mas a coleta massiva de documentos de identidade ou biometria por milhares de plataformas privadas fere o privacy by design . Essa prática cria os chamados "potes de mel" ( honeypots ), que nada mais são do que bancos de dados centralizados altamente visados por cibercriminosos. Um vazamento nessas bases exporia a identidade de milhões de cidadãos.

Outro desafio de segurança envolve os dispositivos compartilhados, como smart TVs e tablets familiares. A verificação de idade atrelada apenas ao titular do dispositivo falha se não houver a implementação de perfis de usuário distintos com barreiras de acesso (senhas/PINs), pois a criança pode facilmente contornar o sistema utilizando a sessão do adulto.

Validação de Atributos não é Vigilância

É vital desmistificar que verificar a idade não significa identificar o usuário por reconhecimento facial 1:1. O reconhecimento facial busca associar uma face a um registro em um banco de dados; já a verificação de atributo busca confirmar se o critério "ser maior de idade" é atendido. A via mais segura para cumprir a lei sem violar dados de menores é a validação de atributos suportada por infraestrutura de Estado.

O portal Gov.br emerge como solução ideal. A plataforma digital não coleta o RG do usuário; ela consulta o Gov.br via APIs seguras, que retornam apenas uma resposta binária e anonimizada: "Este usuário é maior de 18 anos? Sim/Não", resguardando, assim, os dados pessoais dos menores.

Essa arquitetura garante três vantagens estruturais:

• Minimização e Limitação de Finalidade (Art. 13 do ECA Digital): a lei determina que os dados coletados para verificação de idade sejam usados unicamente para essa finalidade. Ao utilizar o Gov.br, a plataforma privada sequer entra em posse dos dados detalhados. Contudo, em um ecossistema inteligente, soluções antifraude já existentes nas organizações podem atuar em sinergia com a verificação de idade, reaproveitando validações legítimas de identidade para evitar coletas duplicadas que feririam o princípio da minimização de dados;
• Proporcionalidade "a cada acesso": verificar a idade do usuário não pode ser um processo oneroso ou repetitivo que prejudique o uso do serviço. Ao utilizar sistemas do governo (infraestrutura pública), é possível garantir segurança e renovar o acesso periodicamente, sem necessidade de solicitar dados a cada interação;
• Segurança contra vazamentos: elimina-se a proliferação de documentos de identidade distribuídos em servidores privados com diferentes níveis de maturidade em cibersegurança.

A Função Social e a Maturidade Corporativa

Ao sustentar infraestruturas críticas como o Gov.br, o Serpro assume a responsabilidade de assegurar que a inovação estatal seja regida pelo princípio do Melhor Interesse da Criança e do Adolescente, consolidado tanto na Constituição Federal (art. 227) quanto no Estatuto da Criança e do Adolescente (ECA).

A maturidade em segurança da informação e a sólida governança sob a LGPD, reconhecidas recentemente pelo Tribunal de Contas da União (TCU) como referência entre as empresas públicas no quesito adequação à LGPD¹, posicionam o Serpro na vanguarda dessa transformação. Mais do que operar sistemas, seu papel estratégico é edificar pontes tecnológicas - seguras, auditáveis e resilientes - que garantam à sociedade brasileira a certeza de que a proteção infantojuvenil é um dos principais pilares da cidadania digital.

Fontes

BRASIL. Constituição (1988). Estatuto da Criança e do Adolescente: Lei nº 8.069, de 13 de julho de 1990. Brasília, DF: Presidência da República, [1990]. Disponível em: http://www.planalto.gov.br/ccivil_03/leis/l8069.htm

BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Brasília, DF: Presidência da República, [2018]. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm

AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS (Brasil). Nota Técnica nº 175/2023/CGF/ANPD. Brasília, DF: ANPD, 2023.

SANTOS, Franklin Jeferson. O dever de cuidado como pilar da confiança digital. ConJur, 2025.

BATISTA, Waleska Miguel; CESAR, Camila Torres; CESAR, Daniel. Autodeterminação informativa e sua importância na sociedade da informação sobre o prisma constitucional. Direitos Culturais, v. 19, p. 75-91, 2024.

Autores do Artigo

Franklin Jeferson dos Santos
Gerente do Departamento Técnico em Antifraude Cibernética. Profissional de Privacidade e Proteção de Dados com foco em governança e gestão de dados. Lead Implementer ISO 27701; gestor de riscos; pós-graduado em LGPD (Legale); pós-graduado LLM (dupla titulação) LGPD/GDPR pela Universidade de Lisboa; pós-graduado em Privacidade e Segurança da Informação pela UnB.

Daniel Cesar
Bacharel em Ciências da Computação (PUC/SP) e em Direito (FMU); advogado; mestre em Direito na Sociedade da Informação (FMU); pós-graduado em Gestão Empresarial (FECAP); MBA em Gestão de Projetos (FIAP); CIPM, CDPO/BR (IAPP); EXIN DPO; certificações em proteção de dados pelo Serpro Datashield; Lead Implementer ISO/IEC 27701 (ABNT); Certified Scrum Master.