Antes de continuar lendo este artigo, faça um exercício simples: acesse agora o site ou o Instagram de qualquer escola de Cuiabá. Mato Grosso ou no Brasil. Em poucos segundos, você vai encontrar fotos e vídeos de crianças e adolescentes usados como propaganda institucional, com rostos identificáveis, em eventos e campanhas escolares. Seu filho pode estar lá. Sem que você tenha autorizado de forma específica. Sem que a escola tenha cumprido o que a lei determina. E sem que nenhum órgão de controle tenha feito qualquer coisa a respeito. Esse convite vale para qualquer pai ou mãe de Mato Grosso e do Brasil.
Estamos diante de uma contradição que o Brasil ainda não enfrentou com a seriedade que merece. De um lado, pais, educadores, escolas e hospitais, que descumprem o ECA Digital diariamente: publicam imagens de crianças sem consentimento específico, monetizam a infância de filhos sem alvará judicial, armazenam dados sensíveis de jovens pacientes em sistemas sem os controles que a lei exige. Do outro lado, os Ministérios Públicos e os Tribunais de Contas, que deveriam agir com firmeza, ainda não apresentaram uma resposta sistêmica e contundente. Quem perde é a juventude brasileira, penalizada pela negligência coletiva de quem deveria protegê-la. Uma banalização com algo tão sério. Estamos falhando com o futuro de nossos jovens e com o Brasil.
A Lei nº 15.211/2025, o ECA Digital, entrou em vigor em 17 de março de 2026. Entre seus pontos centrais: proibição da autodeclaração de idade; vinculação obrigatória de contas de menores de 16 anos a um responsável legal; remoção em até 24 horas de conteúdos que incentivem violência ou automutilação; veto à publicidade baseada no comportamento digital de crianças; multas de até 10% do faturamento para plataformas que descumprirem; e exigência de alvará judicial para monetização de conteúdo com influenciadores mirins. O prazo para regularização era junho de 2026. Passou. E ai ?
O problema vai muito além das escolas. Hospitais públicos e privados, clínicas pediátricas e laboratórios armazenam prontuários, exames e imagens de pacientes jovens em sistemas conectados à internet. O que poucos gestores sabem é que um prontuário médico de criança vale USD 250 no mercado criminoso, valor dez vezes superior ao de um CPF isolado. Dado de menor em ambiente digital exige proteção reforçada, consentimento específico e controles técnicos obrigatórios. O sistema que guarda o prontuário de uma criança de oito anos está protegido nos termos da lei? Na maioria dos casos, ninguém verificou. E o CPF do gestor hospitalar responde pessoalmente por isso: em quatro esferas simultâneas, administrativa, cível, penal e regulatória. Não agir diante de risco conhecido é negligência punível.
A proteção não se resolve com documentos e políticas. A lei exige implementação técnica comprovável. Escolas e hospitais precisam adotar soluções concretas: DLP (Data Loss Prevention) com cobertura de todos os canais de saída de dados, incluindo endpoint, e-mail, web, nuvem e dispositivos USB, para bloquear ativamente a exfiltração de dados de menores; firewall de próxima geração com inspeção profunda de conteúdo; controle de identidade e acesso por perfil de função, garantindo que apenas quem precisa acesse o dado do aluno ou paciente; autenticação multifator para todas as credenciais institucionais; criptografia de dados sensíveis em repouso e em trânsito; e plataformas de gestão de consentimento parental digital, com registros específicos, rastreáveis e auditáveis por finalidade, substituindo a autorização genérica de matrícula. Compliance de papel não bloqueia ransomware. Tecnologia implementada, sim. Não é custo e sim investimento na proteção de dados sensíveis de nossa juventude.
O contraste com Santa Catarina é revelador. O MPSC mantém o CyberGAECO, força-tarefa especializada em crimes digitais que, entre outubro de 2025 e fevereiro de 2026, realizou oito operações contra exploração sexual infantojuvenil digital, incluindo a Operação Infantius, que desmantelou uma rede de exploração digital de crianças, e a Operação Exposed, em junho de 2026, contra suspeito de comentários sexuais dirigidos aos filhos de uma influenciadora. Em Mato Grosso, o MPMT publicou nota informativa sobre o ECA Digital em seu portal, sem registro de notificações formais a escolas ou hospitais pelo descumprimento da lei. O TCE-MT, com competência para auditar contratos de tecnologia em instituições públicas, tampouco apresentou iniciativa nessa direção.
Contratos de tecnologia educacional e hospitalar sem exigência de conformidade com o ECA Digital são irregularidades auditáveis. A omissão do gestor público na proteção de dados de crianças não é falha administrativa. É violação do dever de cuidado com o cidadão. MPs e TCEs de Mato Grosso e do Brasil, precisam agir, antes que o próximo incidente coloque o nome do estado no noticiário nacional pelo motivo errado.
Cada foto de aluno publicada sem autorização específica é uma violação. Cada canal de criança monetizado sem alvará é trabalho infantil. Cada hospital que não implementou controles técnicos sobre dados de pacientes jovens é uma auditoria que o TCE ainda não fez. Cada órgão de controle que ainda não agiu é uma oportunidade desperdiçada de proteger quem mais precisa. O ECA Digital existe. O relógio está rodando. E a omissão, a partir de agora, tem nome e tem preço.
*Oscar Soares Martins – consultor e especialista em cibersegurança e em IA
