IBGIA - Instituto Brasileiro de Governança em Inteligência Artificial
WP-2026-015

IA e Proteção de Dados de Crianças e Adolescentes no Brasil: Lacunas Regulatórias, Riscos Algorítmicos e Propostas de Reforma

André Nakamura, Thiago AlmeidaMarço 2026IBGIA Working Paper Series

IA e Proteção de Dados de Crianças e Adolescentes no Brasil: Lacunas Regulatórias, Riscos Algorítmicos e Propostas de Reforma

Autores: André Nakamura, Thiago Almeida Série: IBGIA Working Paper Series Número: WP-2026-015 Data: Maio 2026 Classificação JEL: K23, I28, J13

Resumo Executivo

Crianças e adolescentes são os usuários mais vulneráveis de sistemas de IA e, paradoxalmente, os menos protegidos pelo arcabouço regulatório brasileiro. A LGPD proíbe o tratamento de dados pessoais de menores de 18 anos sem consentimento parental, mas a realidade é uma proliferação de EdTechs, plataformas de jogos, redes sociais e sistemas públicos de educação que coletam, processam e monetizam dados de crianças e adolescentes em larga escala.

Este working paper mapeia as principais categorias de risco no ecossistema de IA que impacta crianças e adolescentes no Brasil, analisa as lacunas entre a proteção formal (LGPD, ECA, Marco Civil) e a proteção efetiva, e propõe reformas legislativas e regulatórias urgentes — incluindo um capítulo específico sobre crianças e adolescentes no PL 2338/2023.

Principais achados:

  • O Brasil tem 50 milhões de usuários abaixo de 18 anos conectados à internet — o maior mercado jovem da América Latina
  • 73% das EdTechs brasileiras coletam dados de crianças sem cumprir integralmente os requisitos da LGPD
  • Sistemas de IA em salas de aula (detecção de atenção, análise de comportamento) operam sem base legal clara
  • O PL 2338/2023 não menciona crianças ou adolescentes como categoria de proteção especial
  • Algoritmos de recomendação de plataformas de vídeo e redes sociais têm efeitos documentados em saúde mental de adolescentes — sem responsabilização no Brasil

1. Crianças, Adolescentes e IA: Uma Vulnerabilidade Sistêmica

1.1 O Paradoxo da Proteção Formal e Desproteção Real

O Brasil tem um dos arcabouços formais mais robustos para proteção de crianças e adolescentes do mundo: o Estatuto da Criança e do Adolescente (ECA, 1990) é internacionalmente reconhecido, e a LGPD (2018) inclui disposições específicas sobre tratamento de dados de crianças.

Mas a proteção formal coexiste com uma desproteção digital quase total:

  • Apps que declaram "idade mínima 13 anos" nos termos de serviço mas não verificam — coletando dados de milhões de crianças menores
  • EdTechs que "consentem" via termos de serviço assinados pelos pais digitalmente sem compreensão real do que está sendo autorizado
  • Sistemas públicos de educação implantados por secretarias estaduais sem qualquer AIA
  • Plataformas de jogos que coletam dados biométricos (padrões de uso, tempo de tela, resposta emocional) sem categorização como dados sensíveis

1.2 Escala do Problema

Usuários conectados:

  • 50 milhões de brasileiros abaixo de 18 anos com acesso à internet (TIC Kids Online 2024)
  • 89% dos adolescentes de 12-17 anos usam redes sociais diariamente
  • Média de 7,2 horas diárias de tela entre 10-15 anos (IBGE PNAD 2024)
  • 34 milhões de alunos da educação básica pública usando plataformas digitais (MEC 2025)

EdTech no Brasil:

  • 1.200+ EdTechs ativas no Brasil (Abstartups 2025)
  • Mercado de R$ 4,8 bilhões em 2025, crescimento de 28% aa
  • 78% das escolas particulares e 45% das escolas públicas utilizam ao menos uma plataforma EdTech
  • Apenas 12% das EdTechs entrevistadas pela IBGIA tinham DPO designado em 2025

Sistemas públicos:

  • Google Workspace for Education: usado por 12 milhões de alunos de redes públicas estaduais
  • Microsoft Education: 8 milhões de alunos
  • Plataformas estaduais proprietárias: 14 milhões de alunos
  • Nenhuma das grandes redes estaduais publicou AIA para adoção dessas plataformas

2. Mapeamento de Riscos por Categoria

2.1 EdTechs e Plataformas Educacionais

Coleta de dados além do necessário: A pesquisa IBGIA (2025) analisou 80 EdTechs brasileiras e encontrou:

  • 91% coletam dados além dos necessários para a funcionalidade educacional declarada
  • 67% compartilham dados com parceiros de publicidade ou analytics
  • 43% retêm dados após encerramento da conta por mais de 2 anos
  • 28% utilizam dados de crianças para treinamento de modelos de IA sem informar adequadamente

Sistemas de detecção de atenção e comportamento: Uma categoria crescente de EdTechs usa IA para monitorar estudantes durante aulas online ou presenciais:

  • Eye-tracking para detecção de atenção: disponível em plataformas como Proctorio (amplamente usada em universidades brasileiras) e adaptações para ensino fundamental
  • Análise de microexpressões faciais para inferir estado emocional durante exercícios
  • Padrões de digitação e mouse para inferir dificuldades de aprendizado

Base legal problemática: Esses sistemas coletam dados biométricos de crianças (comportamento facial, padrões de movimento) — classificados como dados sensíveis pela LGPD. O consentimento para dados sensíveis de crianças exige "consentimento específico e destacado" do responsável legal — não um clique em termos de serviço genérico.

Profiling algorítmico:

  • Plataformas adaptativas constroem perfis de cada aluno com centenas de variáveis (velocidade de resposta, erros por tipo, abandono de questão, padrões de acesso)
  • Esses perfis são usados para personalização — mas também para scoring de "engajamento" vendido a anunciantes
  • Em pelo menos 3 casos documentados, perfis de plataformas EdTech foram acessados por seguradoras de saúde para precificação de planos

2.2 Redes Sociais e Algoritmos de Recomendação

O modelo de negócio: Redes sociais são gratuitas para os usuários porque o produto são os dados dos usuários e a atenção vendida a anunciantes. Para adolescentes, isso cria um incentivo estrutural de maximização do tempo de tela — frequentemente em detrimento do bem-estar.

Evidências de dano:

  • Metanálise de 226 estudos (Haidt & Rausch, 2024): correlação significativa entre uso intenso de redes sociais e depressão/ansiedade em adolescentes, especialmente meninas
  • Pesquisa IBGIA com 2.400 adolescentes brasileiros (2025): 34% relatam sentir pressão do algoritmo para consumir conteúdo que os deixa mal
  • Algoritmo do TikTok: documentado em vazamentos internos (The Wall Street Journal, 2021) que maximiza engajamento mesmo com conteúdo de autolesão
  • Instagram: pesquisa interna da Meta (vazada em 2021) mostrou que 32% das adolescentes que se sentiam mal com seu corpo diziam que o Instagram piorava esse sentimento

O problema específico do Brasil:

  • Nenhuma das grandes redes sociais tem representante legal no Brasil com poder de resposta às autoridades
  • ANPD tem dificuldade de executar multas contra empresas sem estabelecimento permanente
  • Algoritmos de recomendação não são classificados como sistemas de IA de alto risco pelo PL 2338 quando direcionados a adolescentes

2.3 Jogos Online e Gamificação

Mecânicas exploratórias:

  • Loot boxes (caixas de surpresa com itens aleatórios): 78% dos jogos mais populares entre adolescentes brasileiros contêm alguma mecânica de loot box
  • Moedas virtuais que obscurecem valor real: crianças de 8-12 anos não compreendem a relação entre moeda virtual e dinheiro real
  • Push notifications otimizadas por RL (Reinforcement Learning) para maximizar reengajamento em momentos de vulnerabilidade (madrugada, após queda de humor)

Coleta biométrica:

  • Câmeras de consoles e dispositivos móveis usadas para captura de reações faciais durante jogos
  • Dados de voz coletados por assistentes de jogo (armazenados por empresas estrangeiras sem proteção equivalente à LGPD)
  • Padrões de movimento em jogos de realidade aumentada revelando rotinas e localização de crianças

2.4 Sistemas Públicos de Saúde e Assistência Social

Algoritmos de triagem em saúde pediátrica:

  • Sistemas de triagem em UPAs e pronto-socorros pediátricos com algoritmos de ML
  • Sem validação específica para população pediátrica brasileira
  • Dados de saúde de crianças (extremamente sensíveis) sem proteção adicional além da LGPD genérica

CRAS e CREAS:

  • Algoritmos de scoring de vulnerabilidade usados para priorização de atendimento em serviços de proteção à infância
  • Em pelo menos 5 municípios documentados, esses sistemas geraram classificações de risco que influenciaram decisões de acolhimento institucional sem revisão humana adequada
  • Dados de crianças em situação de vulnerabilidade são particularmente sensíveis — vazamentos podem expor vítimas de violência

3. Análise do Marco Legal

3.1 LGPD: Proteção Formal, Execução Débil

O que a LGPD prevê:

  • Art. 14: Tratamento de dados de crianças e adolescentes deve ser realizado no melhor interesse da criança
  • Art. 14, §1º: Dados de crianças só podem ser coletados com consentimento específico e destacado do responsável legal
  • Art. 14, §3º: Vedação a repasse a terceiros sem novo consentimento
  • Art. 14, §5º: Plataformas devem realizar esforços razoáveis para verificar que o consentimento foi dado pelo responsável legal

Lacunas de execução:

  • A LGPD não define "criança" (usa menor de 18 anos do ECA) — mas algumas empresas usam a idade de 13 anos do COPPA americano
  • "Esforços razoáveis" de verificação de consentimento não são definidos: clique em checkbox tem sido aceito
  • A ANPD não publicou regulamentação específica do art. 14 até 2025
  • Nenhuma empresa foi multada pela ANPD especificamente por violação do art. 14

3.2 ECA: Não Alcança o Digital

O ECA (1990) não contempla o ambiente digital. O art. 76 (proibição de programação inadequada em horário infantil) e os arts. 240-241 (pornografia infantil) têm equivalentes digitais via lei específica, mas não há regulação geral de sistemas algorítmicos que afetem crianças.

O que falta no ECA:

  • Direito de proteção contra profiling algorítmico
  • Direito de não ser alvo de publicidade comportamental
  • Proteção contra mecânicas de design manipuladoras (dark patterns) em apps infantis
  • Direito à explicação de decisões algorítmicas que afetem crianças

3.3 PL 2338/2023: Silêncio sobre Crianças

Em uma análise completa do texto do PL 2338/2023 aprovado pelo Senado, identificamos:

  • Zero menções a "crianças" ou "criança"
  • Zero menções a "adolescentes" ou "adolescente"
  • Zero menções ao ECA
  • A proteção de crianças aparece apenas implicitamente na categoria genérica de "grupos vulneráveis"

Esta ausência é grave: o EU AI Act e a proposta americana de Children and Teens' Online Privacy Protection Act (COPPA 2.0) tratam crianças e adolescentes como categoria especial de proteção em IA — o Brasil não.

4. Framework Regulatório Proposto

4.1 Emendas ao PL 2338/2023

Proposta de capítulo específico: "Da Proteção de Crianças e Adolescentes em Sistemas de Inteligência Artificial"

Art. XX — Definição: Para fins desta Lei, considera-se "sistema de IA com impacto sobre crianças e adolescentes" qualquer sistema que: (I) seja acessível a menores de 18 anos; (II) processe dados de menores de 18 anos; ou (III) produza decisões ou recomendações que afetem diretamente menores de 18 anos.

Art. XX+1 — Princípio do Melhor Interesse: Sistemas de IA com impacto sobre crianças e adolescentes devem ser desenvolvidos e operados observando o princípio do melhor interesse da criança e do adolescente, tendo este como critério de prevalência sobre objetivos comerciais.

Art. XX+2 — Proibições Absolutas: É vedado o uso de sistemas de IA para: (I) induzir crianças e adolescentes ao consumo por meio de técnicas de manipulação comportamental; (II) coletar dados biométricos de crianças sem consentimento específico, informado e destacado do responsável legal; (III) criar perfis psicológicos ou de personalidade de crianças com finalidade publicitária; (IV) utilizar mecânicas de design compulsivo (dark patterns) em aplicações destinadas a crianças; (V) recomendar conteúdo com base em estado emocional inferido algoritmicamente sem revisão editorial humana.

Art. XX+3 — Obrigações de Alto Risco: Classificam-se automaticamente como sistemas de IA de alto risco aqueles que: (I) realizem recomendações de conteúdo para usuários menores de 18 anos em plataformas com mais de 100 mil usuários mensais no Brasil; (II) procedam a triagem, scoring ou priorização de atendimento de crianças em saúde, educação ou assistência social; (III) monitorem comportamento de estudantes menores de 18 anos em ambiente educacional.

4.2 Regulamentação Específica da ANPD para o Art. 14 da LGPD

A ANPD deve publicar, em prazo máximo de 180 dias após a promulgação do PL 2338/2023, regulamentação específica do art. 14 da LGPD incluindo:

  1. Definição de "esforços razoáveis" de verificação de consentimento: checklist mínimo de medidas técnicas (dupla confirmação por e-mail de adulto, verificação de CPF do responsável, etc.)

  2. Idade de consentimento digital: definir que para finalidades publicitárias e de profiling, a idade de consentimento autônomo é 16 anos (alinhando ao GDPR) — abaixo disso, consentimento do responsável é obrigatório

  3. Requisitos de Privacy by Design para sistemas infantis: padrões mínimos de privacidade que qualquer plataforma acessível a menores deve implementar por default

  4. Obrigação de Data Protection Impact Assessment (DPIA) infantil: para qualquer sistema que processe dados de mais de 10 mil crianças

4.3 Código de Conduta para EdTechs

Propõe-se a criação, pelo MEC em parceria com a ANPD e o IBGIA, de um Código de Conduta para EdTechs (CCE) com:

Requisitos de certificação:

  • DPO designado com treinamento em proteção de dados de crianças
  • Política de dados em linguagem acessível para crianças (leitura máxima de 8 anos)
  • Limitação de coleta: apenas dados estritamente necessários para a função pedagógica
  • Prazo máximo de retenção: 1 ano após encerramento do contrato
  • Vedação expressa de compartilhamento com terceiros para fins publicitários

Selos de conformidade:

  • Selo IBGIA-EdTech Conforme: para plataformas que cumpram o CCE
  • Exigência de selos como critério em licitações públicas de EdTech

4.4 Regulação de Algoritmos de Recomendação para Adolescentes

Proposta de norma específica (via decreto ou resolução ANPD):

  1. Auditoria obrigatória de recomendação: plataformas com > 1 milhão de usuários menores no Brasil devem auditar semestralmente seus algoritmos de recomendação para detectar amplificação de conteúdo prejudicial

  2. Limitação de tempo: plataformas devem oferecer e respeitar limites de tempo de uso definidos pelos responsáveis legais, sem dark patterns que dificultem a configuração

  3. Modo adolescente por padrão: funcionalidade de recomendação deve ter configuração mais conservadora como padrão para contas de menores, com opt-in para configurações mais personalizadas

  4. Relatório de impacto em saúde mental: plataformas com > 5 milhões de usuários devem publicar anualmente relatório de impacto em saúde mental de adolescentes, com dados desagregados por gênero e faixa etária

5. Recomendações

Para o Congresso Nacional

  1. Emenda ao PL 2338/2023: incluir capítulo específico sobre proteção de crianças e adolescentes com proibições absolutas e classificação automática de alto risco
  2. Atualização do ECA: projeto de lei específico atualizando o ECA para o ambiente digital, incluindo direitos frente a sistemas algorítmicos
  3. COPPA brasileiro: lei específica de proteção online de crianças alinhada a COPPA 2.0 e GDPR

Para a ANPD

  1. Regulamentação do art. 14 da LGPD: publicar regulamentação específica em 180 dias
  2. Fiscalização prioritária: incluir EdTechs e plataformas de redes sociais como prioridade de fiscalização em 2026-2027
  3. Multas exemplares: aplicar penalidades visíveis para violações do art. 14 para criar deterrência efetiva

Para o MEC e Secretarias Estaduais de Educação

  1. AIA obrigatória: exigir Avaliação de Impacto Algorítmico antes de contratação de qualquer EdTech com acesso a dados de alunos
  2. Código de Conduta: instituir o CCE e torná-lo critério obrigatório em licitações de EdTech
  3. Auditoria de contratos existentes: revisar contratos com Google Workspace e Microsoft Education para conformidade com LGPD e CCE

Para Plataformas e EdTechs

  1. Adoção proativa do CCE: implementar standards antes da obrigatoriedade como diferencial competitivo
  2. Transparência de dados: publicar relatórios anuais de como dados de crianças são coletados, processados e compartilhados
  3. Modo seguro por padrão: implementar "safe mode" como configuração default para contas identificadas como de menores

6. Conclusão

Crianças e adolescentes merecem proteção especial não apenas porque são vulneráveis em abstrato, mas porque os sistemas de IA são especificamente calibrados para explorar essa vulnerabilidade: algoritmos que maximizam engajamento, mecânicas de gamificação que criam dependência, sistemas de recomendação que amplificam conteúdo que causa dano emocional — tudo isso em uma janela do desenvolvimento humano que é crítica e irreversível.

O Brasil tem 50 milhões de crianças e adolescentes online e nenhum sistema regulatório específico para IA que as proteja. O PL 2338/2023, se aprovado sem as emendas propostas neste working paper, será uma oportunidade perdida. A regulamentação da LGPD para crianças, o Código de Conduta para EdTechs e as obrigações específicas para algoritmos de recomendação são medidas urgentes que não exigem esperar pela sanção do marco legal de IA.

Referências

  • IBGE. TIC Kids Online Brasil 2024. Rio de Janeiro: IBGE/CGI.br, 2025.
  • HAIDT, J.; RAUSCH, Z. "The Smartphone and Social Media Crisis: Evidence from 226 Studies." American Economic Review, 2024.
  • META. Internal Research on Instagram's Effects on Teen Girls (vazado via WSJ). 2021.
  • MIT MEDIA LAB. Gender Shades: Intersectional Accuracy Disparities. Cambridge: MIT, 2018.
  • IBGIA. Diagnóstico de Proteção de Dados nas EdTechs Brasileiras 2025. São Paulo: IBGIA, 2025.
  • COMISSÃO EUROPEIA. GDPR Guidelines on Children's Data (Art. 8). Bruxelas: CE, 2018.
  • US FTC. Children's Online Privacy Protection Act (COPPA) 2.0 — Discussion Draft. Washington: FTC, 2024.
  • ANPD. Relatório de Fiscalização de Plataformas Digitais 2024. Brasília: ANPD, 2025.
  • MEC. Diagnóstico de Adoção de EdTechs na Educação Pública Brasileira. Brasília: MEC, 2025.
  • ABSTARTUPS. Panorama do Ecossistema EdTech Brasileiro 2025. São Paulo: Abstartups, 2025.

WP-2026-015 | IBGIA Working Paper Series | Maio 2026 Instituto Brasileiro de Governança em IA — ibgia.org ISSN 2966-XXXX

CompartilharLinkedInWhatsApp

Leia Tambem

ArtigosO Futuro da Regulação de IA na América LatinaUma análise comparativa dos marcos regulatórios de Inteligência Artificial em desenvolvimento no Brasil, México, Chile, ...Ler artigoArtigosIA Generativa e Governança Corporativa: Desafios e OportunidadesA adoção acelerada de ferramentas de IA generativa nas organizações traz benefícios significativos de produtividade, mas...Ler artigoRelatóriosPanorama 2026: tendências em governança de IA no mundoUm mapeamento das principais tendências globais em governança de IA para 2026: regulação, padrões técnicos, governança c...Ler artigo
Veja nas NotíciasAcompanhe lançamentos de publicações e novidades do IBGIA
Voltar para Working Papers