A partir de 2025, o Lei de Proteção à Privacidade Online de Crianças A Lei de Proteção da Privacidade Online das Crianças (COPPA) passou por sua atualização mais substancial em mais de uma década, reformulando a maneira como as empresas lidam com os dados de crianças online. A Comissão Federal de Comércio (FTC) finalizou alterações significativas na COPPA em 16 de janeiro de 2025. As novas regras finalizadas pela FTC representam uma mudança drástica, passando de listas de verificação de conformidade estáticas para uma governança de dados dinâmica e proativa. Com novas definições regulatórias, controles obrigatórios e maior autoridade de fiscalização, aplicativos e sites que geram receita com a coleta, o compartilhamento e a venda de informações pessoais de crianças precisam repensar como gerenciam o consentimento, a retenção de dados, a segurança e as práticas de publicidade para usuários menores de 13 anos.
Vamos analisar as últimas alterações nas regras da COPPA, o que elas significam para o seu negócio e quais legislações futuras podem estar a caminho.
Principais alterações nas regras da COPPA para 2025: o que há de novo e o que mudou
A FTC publicou as alterações finais à regra COPPA em 22 de abril de 2025. A data de entrada em vigor para o cumprimento das alterações publicadas é 23 de junho de 2025, e os operadores terão até 22 de abril de 2026 para atingir a conformidade total. Abaixo estão as novas alterações à COPPA.
1. Adesão obrigatória para publicidade direcionada
De acordo com a regra atualizada, as empresas devem obter o consentimento parental separado e verificável antes de usar os dados de uma criança para publicidade direcionada. Isso se aplica a sistemas de publicidade próprios e de terceiros e exige mecanismos de consentimento detalhados.
O que significa: As empresas não podem mais incluir o consentimento em termos de serviço gerais nem confiar no consentimento implícito para monetização. Fluxos de trabalho separados para funcionalidades essenciais e para publicidade são agora imprescindíveis.
2. Definição ampliada de informações pessoais
A COPPA agora inclui explicitamente dados de geolocalização e identificadores biométricos, como reconhecimento facial, impressões vocais, impressões digitais e varreduras de retina, em seu escopo.
O que significa: As plataformas que capturam vídeo e áudio ou utilizam IA/ML para personalização ou moderação devem tratar esses dados como informações regulamentadas e garantir que sejam coletados, armazenados e utilizados somente com consentimento válido.
3. Programas de segurança escritos obrigatórios
As organizações devem implementar e manter um programa formal e documentado de segurança de dados que inclua medidas de proteção administrativas, técnicas e físicas.
O que significa: As empresas não podem mais alegar práticas de segurança vagas ou improvisadas. Os órgãos reguladores exigirão políticas documentadas, auditorias, registros de violações de segurança e evidências de controles técnicos que protejam os dados de crianças.
4. Políticas de retenção e exclusão mais rigorosas
A COPPA agora exige que as empresas retenham informações pessoais apenas pelo tempo necessário para a finalidade específica para a qual foram coletadas e exige o descarte seguro dessas informações posteriormente.
O que significa: O armazenamento indefinido não é mais aceitável. As empresas precisam ter políticas de retenção de dados e fluxos de trabalho automatizados para exclusão de dados.
5. Limitações na Autorização Escolar
A regra atualizada esclarece que as escolas não podem autorizar o uso de dados para fins que não sejam educacionais, e qualquer uso de dados de crianças para fins comerciais ainda requer o consentimento dos pais.
O que significa: Os fornecedores de tecnologia educacional (EdTech) precisam repensar a forma como utilizam os dados obtidos por meio das escolas e separar o uso relacionado à aprendizagem da monetização ou da análise de dados.
6. Fiscalização do compartilhamento de dados com terceiros
A FTC enfatizou a responsabilização de parceiros terceirizados que recebem dados de crianças. Espera-se agora que os operadores principais monitorem e restrinjam o uso subsequente desses dados.
O que significa: A sincronização de cookies, as análises e os plug-ins devem ser verificados, e os acordos de compartilhamento de dados devem refletir as limitações da COPPA.
O futuro da COPPA: acompanhamento legislativo e tendências do setor
Embora as mudanças nas regras de 2025 sejam significativas, elas podem ser apenas o começo. Veja o que pode vir a seguir:
1. Possíveis Reescritas do Congresso (COPPA 2.0 ou KOSA)
Diversas propostas foram apresentadas, incluindo: COPPA 2.0 e o Lei de Segurança Online para Crianças (KOSA). Estes têm como objetivo:
- Aumentar a idade de proteção para 16 anos.
- Proibir completamente a publicidade direcionada a menores.
- Impor padrões de responsabilidade para danos algorítmicos
- Ampliar os direitos privados de ação
- Embora a KOSA esteja estagnada no Congresso, o impulso em nível estadual pode reacender o interesse.
2. Leis estaduais sobre a privacidade infantil
- Estados como a Califórnia e Connecticut estão a desenvolver as suas próprias versões de leis sobre dados de crianças, que muitas vezes têm um âmbito de aplicação superior ao da COPPA.
- Empresas que atendem crianças nos EUA podem em breve precisar cumprir um conjunto heterogêneo de leis, exigindo uma governança adaptativa.
3. Aumento da fiscalização e das penalidades da FTC
- A FTC declarou sua intenção de aplicar rigorosamente as novas regras. Acordos anteriores (por exemplo, Epic Games, TikTok, YouTube) alcançou centenas de milhões.
- Com uma definição mais abrangente de informações pessoais e maior visibilidade das violações, é provável que as ações de fiscalização aumentem.
4. Influência Transfronteiriça: GDPR-K e Direito Internacional
- Tendências globais como as proteções do RGPD para crianças (especialmente Artigo 8) e regras semelhantes do Reino Unido, Coreia do Sul e Índia podem moldar as futuras ações regulatórias dos EUA.
O que isso significa para o seu negócio
As empresas que operam serviços direcionados a crianças ou coletam dados de usuários menores de 13 anos agora devem:
- Revisitar e separar os fluxos de trabalho de consentimento.
- Auditar e mapear fluxos de dados para dados filhos.
- Monitore as integrações de terceiros e o uso de tecnologia de anúncios.
- Implementar políticas formais de segurança e retenção de dados.
- Crie sistemas prontos para auditoria para consentimento, exclusão e notificação de violações de dados.
Aqueles que tratam a conformidade como um projeto pontual correm riscos cada vez maiores. A privacidade agora é uma função operacional que deve ser integrada às equipes de produto, marketing, engenharia e jurídica.
Como a BigID ajuda você a se preparar para o futuro da COPPA
O futuro da COPPA exigirá mais visibilidade, responsabilidade e controle. Seja você uma plataforma de tecnologia, desenvolvedor de jogos, aplicativo educacional ou provedor de conteúdo, sua abordagem em relação aos dados de crianças precisa evoluir.
BigID é a primeira e única plataforma de segurança e privacidade de dados que ajuda organizações Descobrir, gerenciar e proteger os dados das crianças. em todo o seu ecossistema. Veja como a BigID oferece suporte à conformidade com a COPPA:
- Descubra e classifique os dados pessoais e sensíveis das crianças. – incluindo identificadores, dados biométricos e de geolocalização
- Automatize os fluxos de trabalho de consentimento parental com registros auditáveis
- Gerenciar compartilhamento com terceiros riscos associados ao mapeamento do fluxo de dados
- Aplicação de políticas de retenção e exclusão segura.
- Apoiar a implementação do programa de segurança por escrito, incluindo relatórios de risco e rastreamento de incidentes.
Antecipe-se aos riscos de conformidade e construa confiança digital com a BigID. Agende uma reunião individual para saber mais sobre como a BigID oferece suporte à conformidade com a COPPA.
Autor
