COPPA 2.0: as novas regras dos EUA que redefinem a proteção infantil na era da IA

Em 22 de abril de 2025, a Federal Trade Commission (FTC) publicou as emendas finais à Children's Online Privacy Protection Act — a chamada COPPA 2.0. Com prazo de conformidade em 22 de abril de 2026, as novas regras expandem significativamente o escopo da proteção de dados infantis, incluindo pela primeira vez disposições específicas sobre inteligência artificial, dados biométricos e retenção de informações. Enquanto isso, o Congresso americano debate dezenas de novos projetos de lei sobre segurança digital de menores. Para o Brasil, o movimento oferece lições concretas sobre como atualizar marcos regulatórios para a era dos algoritmos.

O que muda com a COPPA 2.0

A COPPA original, de 1998, foi desenhada para um mundo de websites estáticos e formulários de cadastro. Quase três décadas depois, a FTC reconheceu que a lei precisava acompanhar a realidade de sistemas de IA, assistentes de voz e plataformas de público misto. As emendas publicadas em abril de 2025 introduzem mudanças estruturais em quatro eixos:

1. Definição expandida de "informação pessoal". A COPPA 2.0 inclui explicitamente identificadores biométricos — como impressões vocais (voiceprints) e modelos faciais (facial templates) — na categoria de dados pessoais protegidos. Isso significa que qualquer serviço direcionado a menores de 13 anos que colete esses dados precisa obter consentimento parental verificável antes da coleta.

2. Consentimento separado para treinamento de IA. Em uma das disposições mais significativas, a regra exige que chatbots e sistemas de IA que coletam dados de crianças obtenham consentimento parental específico e separado para o uso dessas informações no treinamento de modelos de inteligência artificial. Não basta o consentimento genérico para uso do serviço — o treinamento de IA é tratado como uma finalidade distinta que requer autorização própria.

3. Proibição de retenção indefinida. A COPPA 2.0 proíbe a retenção indefinida de dados de crianças. Empresas devem agora manter uma política escrita de retenção de dados que especifique prazos concretos e justificativas para a manutenção de cada categoria de informação coletada. A era do "coletamos tudo, guardamos para sempre" se encerra formalmente para serviços infantis.

4. Padrões para serviços de "público misto". A regra atualizada estabelece critérios mais claros para plataformas de audiência mista (mixed audience services) — aquelas que não são direcionadas exclusivamente a crianças, mas que sabem ou deveriam saber que uma parcela significativa de seus usuários é menor de 13 anos. Redes sociais, plataformas de jogos e aplicativos educacionais são os alvos mais diretos dessa classificação.

Chatbots de IA e dados infantis: o novo campo de batalha regulatório

A exigência de consentimento separado para treinamento de IA reflete uma preocupação concreta: crianças interagem cada vez mais com sistemas conversacionais — assistentes virtuais, chatbots educacionais, companheiros de IA — e essas interações geram dados ricos que alimentam o aprimoramento dos próprios modelos.

O problema é duplo. Primeiro, crianças tendem a compartilhar informações sensíveis com chatbots que percebem como amigáveis ou confiáveis, incluindo dados familiares, localização, sentimentos e rotinas — informações que não compartilhariam em um formulário tradicional. Segundo, o uso desses dados para treinamento de IA cria um ciclo em que a interação infantil melhora o produto sem que pais ou responsáveis tenham visibilidade ou controle sobre esse processo.

"A COPPA 2.0 reconhece que treinar um modelo de IA com conversas de crianças é fundamentalmente diferente de usar esses dados para entregar o serviço. São finalidades distintas que exigem consentimentos distintos — e essa separação é um princípio que deveria ser universal."

Para empresas de tecnologia, a implicação prática é significativa: plataformas como Character.AI, Replika, e até assistentes de grandes empresas de tecnologia precisarão redesenhar seus fluxos de consentimento, segregar pipelines de dados e implementar controles técnicos que demonstrem que dados infantis não alimentam treinamento sem autorização explícita.

KOSA, KIDS Act e a onda legislativa no Congresso

A COPPA 2.0 não atua isoladamente. Em março de 2026, a Câmara dos Representantes dos EUA realizou audiências sobre 19 novos projetos de lei federais relacionados à segurança digital de menores. Dois se destacam:

• Kids Online Safety Act (KOSA): em versão revisada, o projeto impõe às plataformas digitais o dever de cuidado (duty of care) com relação a menores, exigindo mitigação de riscos como exposição a conteúdo prejudicial, design manipulativo e coleta excessiva de dados. O KOSA complementa a COPPA ao abordar não apenas a coleta de dados, mas o design dos serviços como um todo.
• KIDS Act: voltado especificamente para práticas de design que exploram vulnerabilidades cognitivas de crianças — como notificações compulsivas, métricas de aprovação social e algoritmos de recomendação que maximizam tempo de tela.

Um relatório do ITIF (Information Technology and Innovation Foundation), publicado em 5 de março de 2026, reconhece a importância de ambos os projetos, mas aponta que tanto a KOSA quanto o KIDS Act necessitam de ajustes técnicos para evitar consequências não intencionais — como a restrição de acesso de menores a conteúdo educacional legítimo ou a imposição de sistemas de verificação de idade que comprometam a privacidade de todos os usuários.

O consenso bipartidário: proteção infantil como exceção política

Um dado revelador sobre a política de IA nos EUA em 2026: a proteção infantil é o único tema com apoio bipartidário sólido. Enquanto democratas e republicanos divergem sobre quase todos os aspectos da regulação de tecnologia — de moderação de conteúdo a antitruste —, a segurança de crianças no ambiente digital une os dois partidos.

Essa realidade se manifesta em múltiplos níveis:

• Executivo: o decreto executivo do presidente Trump sobre IA expressamente exclui leis estaduais de proteção infantil da preempção federal — ou seja, mesmo quando o governo centraliza a regulação de IA, a proteção de crianças permanece intocável pelos estados.
• Legislativo: os 19 projetos de lei em discussão na Câmara contam com co-autores de ambos os partidos.
• Estadual: diversos estados continuam avançando com legislações próprias de proteção digital de menores, amparados pela exceção federal.

Para observadores internacionais, a mensagem é clara: mesmo em um ambiente político polarizado e em um governo inclinado à desregulamentação, a proteção infantil digital é tratada como prioridade inegociável. Esse consenso cria um piso regulatório que tende a influenciar legislações ao redor do mundo.

Implicações para o Brasil: ECA, LGPD e os próximos passos

O Brasil possui um arcabouço jurídico robusto para a proteção de crianças e adolescentes — o Estatuto da Criança e do Adolescente (ECA), de 1990, e o Marco Legal da Primeira Infância, de 2016. A LGPD (Lei 13.709/2018) já exige consentimento específico de pelo menos um dos pais para o tratamento de dados de menores. No entanto, três lacunas são evidentes à luz da evolução americana:

Primeira: ausência de regras sobre dados biométricos infantis. A LGPD trata dados biométricos como sensíveis, mas não há regulamentação específica sobre coleta biométrica de crianças por sistemas de IA — incluindo reconhecimento facial em escolas, assistentes de voz infantis e plataformas educacionais que usam câmera.

Segunda: inexistência de consentimento separado para treinamento de IA. Nenhuma legislação brasileira vigente exige que o uso de dados infantis para treinamento de modelos de inteligência artificial seja objeto de consentimento distinto do consentimento para uso do serviço. A ANPD não publicou orientação específica sobre esse tema.

Terceira: falta de padrões para plataformas de audiência mista. O conceito de mixed audience service, central na COPPA 2.0, não possui equivalente regulatório claro no Brasil. Plataformas como YouTube, TikTok e Roblox operam em uma zona cinzenta entre "direcionado a crianças" e "aberto ao público geral" sem critérios objetivos de classificação.

O PL 2338/2023 — principal veículo legislativo para regulação de IA no Brasil — aborda a proteção de crianças como grupo vulnerável, mas carece da especificidade técnica que a COPPA 2.0 introduz. A regulamentação infralegal pela ANPD será crucial para preencher essas lacunas.

"O Brasil tem a base legal — ECA, LGPD, Marco Legal da Primeira Infância. O que falta é a regulamentação técnica específica para a era da IA: como verificar idade sem comprometer privacidade, como segregar dados infantis em pipelines de treinamento, como auditar algoritmos que interagem com crianças. A COPPA 2.0 oferece um roteiro concreto."

O que observar nos próximos meses

Três marcos definem o calendário de proteção infantil digital em 2026:

• 22 de abril de 2026: prazo de conformidade da COPPA 2.0 — empresas que coletam dados de crianças nos EUA precisam estar adequadas às novas regras, incluindo consentimento separado para IA e políticas de retenção.
• Primeiro semestre de 2026: tramitação da KOSA e do KIDS Act no Congresso americano — a aprovação de uma ou ambas as leis criará o arcabouço regulatório mais abrangente do mundo para segurança digital infantil.
• Segundo semestre de 2026: expectativa de avanço do PL 2338 no Senado brasileiro e de orientações da ANPD sobre IA e dados de menores — a janela para incorporar lições da experiência americana está aberta.

A evolução da COPPA — de uma lei sobre coleta de dados em websites para um arcabouço que abrange biometria, IA e design de plataformas — reflete a mesma evolução que toda legislação de proteção infantil no mundo precisará atravessar. A questão não é se outros países seguirão esse caminho, mas quando — e o Brasil tem a oportunidade de estar entre os primeiros.