Evento | Proteção de dados pessoais e infância | Plataformas e Mercados Digitais

Data Privacy Brasil debate aferição de idade e proteção de dados no 2º Workshop de Credenciais Verificáveis

Rafael Zanatta, codiretor da Data Privacy Brasil, participou no dia 18 de junho do painel “Verificação de idade: desafios complexos”, no 2º Workshop de Credenciais Verificáveis, realizado em Brasília pelo Ceweb.br/NIC.br e pelo CGI.br. O painel reuniu Beatriz Rocha (Ceweb.br | NIC.br), Enya Costa (FGV-SP), Miriam Wimmer (ANPD) e Victor Fernandes (Ministério da Justiça e Segurança Pública). Na intervenção, Zanatta apresentou uma leitura crítica sobre a implementação do ECA Digital (Lei 15.211/2025) e do Decreto nº 12.880/2026. Para ele, a proteção de dados pessoais deve orientar os mecanismos de aferição de idade voltados à proteção de crianças e adolescentes no ambiente digital.

O que são credenciais verificáveis

Credenciais verificáveis são instrumentos digitais que permitem comprovar um atributo ou uma condição de forma segura e compatível com a preservação da privacidade. No contexto da aferição de idade, elas podem apoiar a apresentação de um sinal de idade, isto é, uma informação ou credencial indicativa que atesta a idade ou a faixa etária de um usuário sem revelar dados pessoais adicionais.

Na prática, uma credencial verificável permite comprovar apenas o atributo necessário para determinada finalidade, como pertencer ou não a uma faixa etária, sem expor a data de nascimento exata, a identidade civil, o documento completo ou outros dados desnecessários. Esse desenho é relevante para produtos ou serviços de tecnologia da informação direcionados para crianças e adolescentes ou de acesso provável por eles, porque combina confiabilidade, minimização de dados e proteção contra usos secundários.

O ECA Digital e a distinção entre conceitos

Um ponto central da fala de Zanatta foi a necessidade de precisão conceitual na implementação da Lei nº 15.211/2025. Como ele sintetizou, “aferição de idade não se confunde com verificação de identidade”. Essa distinção evita que uma obrigação de proteção etária seja convertida em mecanismo de identificação generalizada, rastreamento ou coleta excessiva de dados..

O Decreto nº 12.880/2026 organiza esse vocabulário. Aferição de idade é o termo geral para procedimentos destinados a verificar, estimar ou inferir, direta ou indiretamente, a idade ou a faixa etária de um usuário, por métodos, tecnologias e processos tecnicamente idôneos.. Dentro desse universo, a verificação de idade é uma modalidade específica de aferição, de alto grau de confiabilidade, baseada na conferência da veracidade do atributo etário. Sinal de idade é a informação ou credencial indicativa que atesta idade ou faixa etária aos fornecedores, sem revelar dados pessoais adicionais. Autodeclaração de idade é um método limitado, baseado apenas na informação fornecida pelo próprio usuário, sem evidências adicionais de veracidade ou titularidade.

Essa diferenciação tem efeitos práticos. Mecanismos de aferição de idade devem observar a proporcionalidade entre a solução adotada e o nível de risco do serviço, além de acurácia, robustez, confiabilidade, minimização de dados, segurança, interoperabilidade, inclusão, não discriminação, transparência e auditabilidade. Para Zanatta, o modelo baseado em risco proposto pela ANPD deve ser interpretado à luz do melhor interesse da criança. Em suas palavras, “a privacidade é considerada melhor interesse da criança no ECA Digital”.

Riscos de uma implementação inadequada

Zanatta identificou três pontos de atenção para o processo regulatório em curso:

O primeiro diz respeito à concentração de mercado e ao desvio de finalidade. O ECA Digital tende a criar um mercado de soluções de aferição e verificação de idade. Há risco de que poucos agentes privados passem a dominar essa infraestrutura e pressionem fornecedores a adotar, por “precaução regulatória”, mecanismos mais intrusivos do que o necessário. Nesse cenário, soluções baseadas em coleta documental ou biometria poderiam ser adotadas de forma padronizada mesmo quando sinais de idade ou métodos menos invasivos fossem suficientes. A diretriz regulatória deve ser a proporcionalidade, não a maximização da coleta.

O segundo envolve a segurança dos dados biométricos. Estimativas faciais e outros métodos biométricos podem ampliar riscos quando não observam segurança desde a concepção, minimização e eliminação tempestiva dos dados. Vazamentos de imagem, vídeo ou outros dados sensíveis de crianças e adolescentes podem servir de insumo para novas violações, como a produção de conteúdo sexual sintético, aliciamento ou outras formas de violência. A finalidade protetiva da aferição de idade não pode gerar novas superfícies de exposição.

O terceiro ponto é o risco de exploração comercial dos fluxos de credenciais. Mesmo sem identificação individualizada, plataformas ou agentes responsáveis por gerenciar credenciais verificáveis podem extrair informações estratégicas a partir de dados agregados sobre padrões de uso, setores econômicos ou grupos populacionais. Esse risco exige atenção à privacidade contextual, à vedação de perfilamento, à proibição de compartilhamento contínuo, automatizado e irrestrito de dados pessoais e à vedação de rastreabilidade da identidade e do histórico de acessos, solicitações e verificações realizadas pelos usuários.

O estado atual da infraestrutura pública

O evento também apresentou informações sobre o Governo Federal, por meio da Secretaria de Governo Digital (SGD) e do Serpro, para integrar credenciais verificáveis à carteira gov.br. A presença da ANPD e do Ministério da Justiça e Segurança Pública no debate mostrou que a implementação do ECA Digital depende de governança pública, coordenação institucional e escolhas regulatórias sobre risco, proporcionalidade, interoperabilidade e proteção integral.

A adoção preferencial de credenciais verificáveis pode reduzir a exposição de dados pessoais quando houver protocolos abertos, mecanismos de contestação e retificação, separação entre as funções de emissão, apresentação e verificação, certificação, fiscalização e limites contra retenção indevida, perfilamento e exploração comercial. Como concluiu Zanatta, esse é “o começo de uma conversa que vai durar anos” até que o país alcance maturidade regulatória e técnica na aferição de idade.

A transmissão completa do evento está disponível no link. A fala na íntegra de Rafael Zanatta pode ser acessada em nosso YouTube: