Privacidade infantil: Reddit e varredura global mostram que autodeclaração de idade não basta
Nos últimos meses, a privacidade de crianças e adolescentes voltou ao centro da agenda regulatória internacional. Em fevereiro de 2026, a autoridade britânica de proteção de dados anunciou multa contra o Reddit por falhas relacionadas ao tratamento de dados de crianças, incluindo problemas de verificação de idade e avaliação de impacto. Em março, a Global Privacy Enforcement Network divulgou uma varredura global sobre quase 900 sites e aplicativos usados por crianças.
As duas notícias apontam para a mesma direção: empresas que oferecem serviços digitais acessados por crianças e adolescentes precisam fazer mais do que publicar termos de uso longos ou perguntar “você tem mais de 13 anos?”.
O que está em jogo
Crianças e adolescentes interagem com plataformas digitais todos os dias: jogos, redes sociais, aplicativos escolares, streaming, comunidades, eventos, e-commerces, clubes, programas de fidelidade e ferramentas de aprendizagem.
Esses ambientes podem coletar dados como nome, idade, e-mail, localização, imagens, comportamento de navegação, preferências, interações, dados de dispositivo, histórico de compras e dados educacionais.
O risco é que essa coleta aconteça de forma excessiva, pouco transparente ou sem controles adequados. Em alguns casos, os dados podem ser usados para publicidade, perfilamento, recomendação de conteúdo, ranqueamento, monetização ou compartilhamento com terceiros.
Para um adulto, já é difícil entender muitas políticas de privacidade. Para uma criança, é ainda mais distante. Por isso, reguladores ao redor do mundo vêm insistindo em uma ideia simples: quando o público inclui crianças, a empresa precisa desenhar a experiência pensando nelas desde o início.
Autodeclaração de idade pode ser insuficiente
Um dos pontos mais sensíveis é a chamada age assurance, ou mecanismos para estimar, verificar ou lidar com a idade dos usuários. A autodeclaração simples, em que o usuário apenas informa uma data de nascimento, pode ser fácil de contornar.
Isso não significa que toda empresa precise aplicar uma verificação pesada e invasiva. A medida deve ser proporcional ao risco. Mas quando o serviço é claramente atrativo para crianças ou pode expô-las a riscos relevantes, a empresa precisa avaliar se os controles adotados são suficientes.
No contexto brasileiro, a LGPD determina que o tratamento de dados pessoais de crianças e adolescentes deve ser realizado em seu melhor interesse. Isso exige olhar para a prática, não apenas para o texto jurídico.
O que a varredura global encontrou
A análise global coordenada por autoridades de privacidade encontrou problemas recorrentes em sites e apps usados por crianças. Entre os pontos observados estavam mecanismos de idade fáceis de burlar, falta de informações adequadas para crianças, coleta de dados acima do necessário e dificuldade para excluir contas.
Esses temas são extremamente práticos para empresas brasileiras. Uma edtech, por exemplo, pode usar múltiplas ferramentas integradas à rotina escolar. Um app de esporte pode coletar fotos, localização e dados de menores. Um game pode usar publicidade comportamental. Uma plataforma de eventos pode exigir dados para emissão de ingressos. Um clube de benefícios pode criar perfis de consumo.
Em todos esses casos, a empresa precisa perguntar: estamos coletando apenas o necessário? Explicamos isso de forma compreensível? Existe consentimento adequado quando aplicável? A criança ou responsável consegue pedir exclusão? Os fornecedores foram avaliados?
Checklist para empresas que tratam dados de crianças e adolescentes
Um programa mínimo de governança deveria considerar:
- Mapeamento de dados infantis
Identifique onde dados de crianças e adolescentes aparecem: cadastro, app, escola, eventos, suporte, fotos, marketing, analytics, cookies e fornecedores. - Finalidade clara e coleta mínima
Evite coletar dados “por padrão”. Cada dado deve ter finalidade definida e compatível com o serviço. - Linguagem adequada
Avisos de privacidade devem ser compreensíveis para responsáveis e, quando fizer sentido, também para crianças e adolescentes em linguagem simples. - Consentimento e responsável legal
Quando aplicável, avalie como o consentimento será obtido, registrado e gerenciado. Evite fluxos frágeis que não demonstram cuidado. - Publicidade e perfilamento
Revise cookies, pixels, SDKs, redes de anúncio e ferramentas de analytics. O uso de dados de menores para publicidade comportamental exige atenção reforçada. - Exclusão de conta e direitos dos titulares
A empresa precisa ter processo para responder solicitações de acesso, correção, exclusão e informação sobre compartilhamento. - Avaliação de impacto
Projetos com risco elevado, grande volume de dados ou tecnologias mais invasivas podem demandar avaliação específica e medidas de mitigação.
Privacidade infantil é também confiança
Cuidar de dados de crianças não é apenas uma exigência regulatória. É uma decisão de confiança. Pais, escolas, alunos e usuários esperam que empresas digitais protejam crianças de práticas que elas não conseguem compreender plenamente.
Empresas que constroem essa governança desde cedo reduzem risco, melhoram reputação e demonstram maturidade diante de parceiros, escolas, famílias e reguladores.
Como a TOGETHER pode apoiar
A TOGETHER ajuda empresas a revisar fluxos de dados de crianças e adolescentes, ajustar políticas, mapear fornecedores, avaliar cookies e publicidade, estruturar processos de titulares e implementar medidas proporcionais ao risco. Com DPO as a Service, a empresa conta com apoio contínuo para transformar o cuidado com dados infantis em rotina real de operação.
