A partir de 2025, a Lei de Proteção à Privacidade Online de Crianças A (COPPA) passou por sua atualização mais substancial em mais de uma década, remodelando a forma como as empresas lidam com dados de crianças online. A FTC finalizou emendas significativas à COPPA em 16 de janeiro de 2025. As novas regras finalizadas pela Comissão Federal de Comércio (FTC) marcam uma mudança drástica de listas de verificação de conformidade estáticas para uma governança de dados dinâmica e proativa. Com novas definições regulatórias, controles obrigatórios e maior poder de fiscalização, aplicativos e sites que geram receita com a coleta, o compartilhamento e a venda de informações pessoais de crianças precisam repensar como gerenciam o consentimento, a retenção de dados, a segurança e as práticas de publicidade para usuários menores de 13 anos.
Vamos analisar as últimas mudanças nas regras da COPPA, o que elas significam para o seu negócio e quais legislações futuras podem estar no horizonte.
Principais mudanças na regra COPPA de 2025: o que há de novo e o que mudou
A FTC publicou as alterações finais à Regra COPPA em 22 de abril de 2025. A data de vigência das alterações publicadas é 23 de junho de 2025, e as operadoras terão até 22 de abril de 2026 para atingir a conformidade total. Abaixo estão as novas alterações à COPPA.
1. Opt-in obrigatório para publicidade direcionada
De acordo com a regra atualizada, as empresas devem obter o consentimento parental separado e verificável antes de usar os dados de uma criança para publicidade direcionada. Isso se aplica a sistemas de anúncios próprios e de terceiros e exige mecanismos de consentimento granulares.
O que significa: As empresas não podem mais agrupar o consentimento em termos gerais de serviço ou depender do consentimento implícito para monetização. Fluxos de trabalho separados para funcionalidade principal e publicidade agora são essenciais.
2. Definição expandida de informações pessoais
A COPPA agora inclui explicitamente dados de geolocalização e identificadores biométricos, como reconhecimento facial, impressões vocais, impressões digitais e escaneamentos de retina, em seu escopo.
O que significa: Plataformas que capturam vídeo e áudio ou usam IA/ML para personalização ou moderação devem tratar essas entradas como dados regulamentados e garantir que sejam coletadas, armazenadas e usadas somente com consentimento válido.
3. Programas de segurança escritos obrigatórios
As organizações devem implementar e manter um programa formal e escrito de segurança de dados que inclua salvaguardas administrativas, técnicas e físicas.
O que significa: As empresas não podem mais alegar práticas de segurança vagas ou improvisadas. Os reguladores buscarão políticas documentadas, auditorias, registros de violações e evidências de controles técnicos que protejam os dados de crianças.
4. Políticas de retenção e exclusão mais rigorosas
A COPPA agora exige que as empresas retenham informações pessoais apenas pelo tempo necessário para a finalidade específica para a qual foram coletadas e exige o descarte seguro posteriormente.
O que significa: O armazenamento indefinido não é mais aceitável. As empresas devem ter retenção de dados baseada em políticas e fluxos de trabalho de exclusão automatizados.
5. Limites da Autorização Escolar
A regra atualizada esclarece que as escolas não podem autorizar o uso de dados além de fins educacionais, e qualquer uso de dados de crianças para fins comerciais ainda requer o consentimento dos pais.
O que significa: Os provedores de EdTech devem rever como usam os dados obtidos nas escolas e separar o uso relacionado ao aprendizado da monetização ou análise.
6. Aplicação do compartilhamento de dados de terceiros
A FTC enfatizou a responsabilidade dos parceiros terceirizados que recebem dados de crianças. Agora, espera-se que os operadores primários monitorem e restrinjam o uso posterior.
O que significa: A sincronização de cookies, análises e plug-ins devem ser verificados, e os acordos de compartilhamento de dados devem refletir as limitações da COPPA.
O Futuro da COPPA: Vigilância Legislativa e Tendências do Setor
Embora as mudanças nas regras de 2025 sejam significativas, elas podem ser apenas o começo. Veja o que pode acontecer a seguir:
1. Possíveis reescritas do Congresso (COPPA 2.0 ou KOSA)
Várias propostas foram apresentadas, incluindo COPPA 2.0 e o Lei de Segurança Online para Crianças (KOSA). Estes visam:
- Aumentar a idade de proteção para 16 anos
- Proibir totalmente a publicidade direcionada a menores
- Impor padrões de dever de cuidado para danos algorítmicos
- Expandir os direitos privados de ação
- Embora o KOSA tenha estagnado no Congresso, o impulso em nível estadual pode reacender o interesse.
2. Leis estaduais de privacidade infantil
- Estados como Califórnia e Connecticut estão avançando em suas versões de leis sobre dados de crianças, muitas vezes excedendo a COPPA em escopo.
- Empresas que atendem crianças nos EUA podem em breve precisar cumprir uma colcha de retalhos de leis, exigindo governança adaptável.
3. Aumento da fiscalização e das penalidades da FTC
- A FTC declarou sua intenção de aplicar vigorosamente as novas regras. Acordos anteriores (por exemplo, Jogos épicos, TikTok, YouTube) atingiu centenas de milhões.
- Com uma definição mais ampla de informações pessoais e maior visibilidade das violações, é provável que as ações de fiscalização aumentem.
4. Influência Transfronteiriça: GDPR-K e Direito Internacional
- Tendências globais, como as proteções do RGPD para crianças (especialmente Artigo 8) e regras semelhantes do Reino Unido, Coreia do Sul e Índia podem moldar futuras ações regulatórias dos EUA.
O que isso significa para o seu negócio
As empresas que operam serviços direcionados a crianças ou coletam dados de usuários menores de 13 anos agora devem:
- Revisar e separar fluxos de trabalho de consentimento
- Auditar e mapear fluxos de dados para dados infantis
- Monitore integrações de terceiros e uso de tecnologia de anúncios
- Implementar políticas formais de segurança e retenção
- Crie sistemas prontos para auditoria para consentimento, exclusão e relatórios de violação
Aqueles que tratam a conformidade como um projeto pontual correm um risco cada vez maior. A privacidade agora é uma função operacional que deve ser integrada às equipes de produto, marketing, engenharia e jurídica.
Como o BigID ajuda você a se preparar para o futuro da COPPA
O futuro da COPPA exigirá mais visibilidade, responsabilidade e controle. Seja você uma plataforma tecnológica, desenvolvedor de jogos, aplicativo educacional ou provedor de conteúdo, sua abordagem aos dados de crianças precisa evoluir.
BigID é a primeira e única plataforma de segurança e privacidade de dados que ajuda organizações descobrir, gerenciar e proteger dados de crianças em todo o seu ecossistema. Veja como a BigID apoia a conformidade com a COPPA:
- Descubra e classifique dados pessoais e sensíveis de crianças – incluindo identificadores, dados biométricos e de geolocalização
- Automatize os fluxos de trabalho de consentimento dos pais com registros auditáveis
- Gerenciar compartilhamento de terceiros riscos com mapeamento de fluxo de dados
- Aplicação de retenção baseada em políticas e exclusão segura
- Apoiar a implementação do programa de segurança escrito com relatórios de risco e rastreamento de incidentes
Antecipe-se aos riscos de conformidade e crie confiança digital com o BigID. Agende uma reunião individual para saber mais sobre como o BigID oferece suporte à conformidade com a COPPA.
Autor
