Artigo
Artigo
A arquitetura da confiança: o papel estratégico do Serpro e do Gov.br na efetivação do ECA Digital
A sanção da Lei nº 15.211/2025, conhecida como o Estatuto Digital da Criança e do Adolescente (ECA Digital), inaugurou um marco regulatório inédito no Brasil. A nova legislação exige que plataformas e serviços digitais abandonem a postura reativa para adotar, obrigatoriamente, os modelos de privacy & safety by design.
Nesse novo cenário de obrigações estruturais, a tecnologia pública ganha protagonismo incontornável. Como provedor de inteligência e infraestrutura para o Estado, o Serpro tem a oportunidade e a responsabilidade de viabilizar a conformidade com a nova lei, protegendo os cidadãos mais vulneráveis contra riscos cibernéticos e abusos comerciais, devendo acrescentar a sua expertise a esse escopo tão relevante para o desenvolvimento do futuro da sociedade brasileira.
A Mudança de Paradigma: Privacy by Design vs. Safety by Design
Para prover soluções adequadas, é fundamental compreender a diferença entre os dois conceitos centrais exigidos pela nova lei:
- Privacy by Design (Privacidade desde a concepção): foca na proteção dos dados pessoais, exigindo a minimização de dados e garantindo o grau mais elevado de privacidade por padrão. Na prática, isso significa que os dados de crianças e adolescentes não podem ser utilizados para perfilamento abusivo, direcionamento de anúncios baseados em comportamento ou publicidade comercial predatória.
- Safety by Design (Segurança desde a concepção): foca na prevenção de danos físicos, mentais e morais. A arquitetura da plataforma deve ser projetada para mitigar riscos de forma ativa, bloqueando conteúdos nocivos e desativando algoritmos que incentivem o uso compulsivo ou a automutilação, tornando a proteção um requisito de engenharia de software. Em suma, deve-se priorizar o bem-estar de crianças e adolescentes em detrimento do engajamento ou do lucro das plataformas.
O Desafio Antifraude e o Risco dos Honeypots
O ECA Digital proíbe a simples autodeclaração de idade (o ineficaz “clique aqui se você tem mais de 18 anos”) e exige mecanismos confiáveis de verificação para conteúdos restritos.
Esse cenário cria um dilema complexo de cibersegurança. As empresas precisam impedir o acesso de menores, mas a coleta massiva de documentos de identidade ou biometria por milhares de plataformas privadas fere o privacy by design. Essa prática cria os chamados “potes de mel” (honeypots), que nada mais são do que bancos de dados centralizados altamente visados por cibercriminosos. Um vazamento nessas bases exporia a identidade de milhões de cidadãos.
Outro desafio de segurança envolve os dispositivos compartilhados, como smart TVs e tablets familiares. A verificação de idade atrelada apenas ao titular do dispositivo falha se não houver a implementação de perfis de usuário distintos com barreiras de acesso (senhas/PINs), pois a criança pode facilmente contornar o sistema utilizando a sessão do adulto.
Validação de Atributos não é Vigilância
É vital desmistificar que verificar a idade não significa identificar o usuário por reconhecimento facial 1:1. O reconhecimento facial busca associar uma face a um registro em um banco de dados; já a verificação de atributo busca confirmar se o critério “ser maior de idade” é atendido. A via mais segura para cumprir a lei sem violar dados de menores é a validação de atributos suportada por infraestrutura de Estado.
O portal Gov.br emerge como solução ideal. A plataforma digital não coleta o RG do usuário; ela consulta o Gov.br via APIs seguras, que retornam apenas uma resposta binária e anonimizada: “Este usuário é maior de 18 anos? Sim/Não”, resguardando, assim, os dados pessoais dos menores.
Essa arquitetura garante três vantagens estruturais:
- Minimização e Limitação de Finalidade (Art. 13 do ECA Digital): a lei determina que os dados coletados para verificação de idade sejam usados unicamente para essa finalidade. Ao utilizar o Gov.br, a plataforma privada sequer entra em posse dos dados detalhados. Contudo, em um ecossistema inteligente, soluções antifraude já existentes nas organizações podem atuar em sinergia com a verificação de idade, reaproveitando validações legítimas de identidade para evitar coletas duplicadas que feririam o princípio da minimização de dados;
- Proporcionalidade “a cada acesso”: verificar a idade do usuário não pode ser um processo oneroso ou repetitivo que prejudique o uso do serviço. Ao utilizar sistemas do governo (infraestrutura pública), é possível garantir segurança e renovar o acesso periodicamente, sem necessidade de solicitar dados a cada interação;
- Segurança contra vazamentos: elimina-se a proliferação de documentos de identidade distribuídos em servidores privados com diferentes níveis de maturidade em cibersegurança.
A Função Social e a Maturidade Corporativa
Ao sustentar infraestruturas críticas como o Gov.br, o Serpro assume a responsabilidade de assegurar que a inovação estatal seja regida pelo princípio do Melhor Interesse da Criança e do Adolescente, consolidado tanto na Constituição Federal (art. 227) quanto no Estatuto da Criança e do Adolescente (ECA).
A maturidade em segurança da informação e a sólida governança sob a LGPD, reconhecidas recentemente pelo Tribunal de Contas da União (TCU) como referência entre as empresas públicas no quesito adequação à LGPD¹, posicionam o Serpro na vanguarda dessa transformação. Mais do que operar sistemas, seu papel estratégico é edificar pontes tecnológicas — seguras, auditáveis e resilientes — que garantam à sociedade brasileira a certeza de que a proteção infantojuvenil é um dos principais pilares da cidadania digital.
Fontes
BRASIL. Constituição (1988). Estatuto da Criança e do Adolescente: Lei nº 8.069, de 13 de julho de 1990. Brasília, DF: Presidência da República, [1990]. Disponível em: http://www.planalto.gov.br/ccivil_03/leis/l8069.htm
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Brasília, DF: Presidência da República, [2018]. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS (Brasil). Nota Técnica nº 175/2023/CGF/ANPD. Brasília, DF: ANPD, 2023.
SANTOS, Franklin Jeferson. O dever de cuidado como pilar da confiança digital. ConJur, 2025.
BATISTA, Waleska Miguel; CESAR, Camila Torres; CESAR, Daniel. Autodeterminação informativa e sua importância na sociedade da informação sobre o prisma constitucional. Direitos Culturais, v. 19, p. 75–91, 2024.
Autores do Artigo
Franklin Jeferson dos Santos
Gerente do Departamento Técnico em Antifraude Cibernética. Profissional de Privacidade e Proteção de Dados com foco em governança e gestão de dados. Lead Implementer ISO 27701; gestor de riscos; pós-graduado em LGPD (Legale); pós-graduado LLM (dupla titulação) LGPD/GDPR pela Universidade de Lisboa; pós-graduado em Privacidade e Segurança da Informação pela UnB.
Daniel Cesar
Bacharel em Ciências da Computação (PUC/SP) e em Direito (FMU); advogado; mestre em Direito na Sociedade da Informação (FMU); pós-graduado em Gestão Empresarial (FECAP); MBA em Gestão de Projetos (FIAP); CIPM, CDPO/BR (IAPP); EXIN DPO; certificações em proteção de dados pelo Serpro Datashield; Lead Implementer ISO/IEC 27701 (ABNT); Certified Scrum Master.