Guia de Conformidade com a COPPA: Privacidade Infantil Online e Consentimento de Cookies para Editores nos EUA em 2026
The Children's Online Privacy Protection Act (COPPA) completou vinte e cinco anos em 2024 e imediatamente recebeu sua maior atualizacao desde a promulgacao, com a regra final da Federal Trade Commission de janeiro de 2025 reescrevendo o consentimento parental verificavel, as categorias de dados sensiveis e as regras em torno da publicidade de terceiros em servicos voltados para criancas. Para editores dos EUA — e qualquer operador em qualquer lugar do mundo que direciona servicos a criancas americanas com menos de 13 anos ou conscientemente coleta dados delas — a COPPA e uma lei de responsabilidade objetiva com penalidades civis que atingem cinco digitos por violacao e podem chegar as centenas de milhoes no acumulado. Este guia explica quem a COPPA cobre em 2026, o que a regra alterada da FTC realmente mudou, como o consentimento de cookies e o consentimento parental verificavel funcionam juntos, e os passos operacionais que um editor precisa tomar para manter o trafego voltado para criancas monetizavel sem incorrer em um decreto de consentimento da FTC.
Quem a COPPA Realmente Cobre
A COPPA se aplica a qualquer site comercial, aplicativo movel, dispositivo conectado ou servico online que seja voltado para criancas menores de 13 anos ou que tenha conhecimento real de que esta coletando informacoes pessoais de uma crianca menor de 13 anos. O alcance e mais amplo do que a maioria dos editores presume, pois a FTC interpreta ambos os criterios de forma agressiva.
Um servico e voltado para criancas com base em uma analise multifatorial: tema, conteudo visual, uso de personagens animados ou atividades voltadas para criancas, musica, idade dos modelos, presenca de celebridades populares entre criancas, idioma, publicidade no servico que seja voltada para criancas e evidencias empiricas competentes e confiaveis sobre a composicao do publico. Um site para publico geral pode se tornar um servico de publico misto no momento em que uma secao for construida em torno de conteudo voltado para criancas.
Tres erros que os editores cometem consistentemente:
- Acreditar que uma verificacao de idade nos Termos de Servico no momento do cadastro e suficiente. Nao e, por si so, quando o restante do site sinaliza intencao voltada para criancas.
- Presumir que nenhum usuario logado significa nenhuma exposicao a COPPA. Identificadores persistentes — cookies, enderecos IP, IDs de dispositivos, IDs de publicidade — sao informacoes pessoais sob a COPPA quando coletadas de uma crianca.
- Tratar a COPPA como independente da lei de privacidade estadual. O Codigo de Design Adequado a Idade da California, a lei de dados infantis de Connecticut e as propostas federais constroem-se sobre as definicoes da COPPA; um programa COPPA solido e a base de conformidade com todos eles.
O que a Emenda de 2025 Realmente Mudou
A regra final da FTC de janeiro de 2025, a primeira atualizacao abrangente desde 2013, modernizou a COPPA de cinco maneiras concretas que os editores precisam internalizar.
Opt-In Separado para Publicidade de Terceiros
Os operadores nao podem mais agrupar divulgacoes de publicidade de terceiros em um unico consentimento parental para uso do servico. A publicidade comportamental em um servico voltado para criancas agora exige um consentimento parental verificavel separado, via opt-in, distinto do consentimento para usar o servico em si. O agrupamento — a norma historica para aplicativos e sites voltados para criancas com suporte de publicidade — e agora expressamente proibido.
Informacoes Pessoais Ampliadas
A emenda expandiu a definicao de informacoes pessoais para incluir identificadores biometricos capazes de autenticar um individuo, incluindo impressoes digitais, impressoes de voz, imagens de retina ou iris e modelos de geometria facial. Tambem esclareceu que identificadores emitidos por governos de qualquer governo, nao apenas dos EUA, se qualificam. Editores que executam recursos de busca por voz, assistentes de AI ou ferramentas de upload de fotos em servicos voltados para criancas precisam mapear esses fluxos em relacao a nova definicao.
Limites de Retencao de Dados
A nova regra exige que os operadores publiquem uma politica de retencao por escrito que limite o armazenamento das informacoes pessoais das criancas ao que e razoavelmente necessario para cumprir o proposito para o qual foram coletadas. A retencao indefinida nao e mais permitida, e a politica deve ser vinculada a partir do aviso de privacidade.
Metodos Fortalecidos de Consentimento Parental Verificavel
A emenda formalizou o menu de metodos VPC aceitaveis e adicionou uma opcao de autenticacao baseada em conhecimento usando perguntas dinamicas de multipla escolha que so podem ser respondidas pelo pai. Os metodos classicos — transacao com cartao de credito, formulario assinado, videoconferencia com um operador treinado, verificacao de documento de identidade governamental — permanecem disponiveis, mas devem ser documentados por evento de consentimento.
Aviso de Mudanca Material Aciona Novo VPC
Qualquer mudanca material nas praticas de dados — novas categorias de dados coletadas, novos destinatarios terceiros, novos acordos de publicidade — aciona um novo consentimento parental verificavel. Os operadores nao podem depender de um consentimento de 2018 para autorizar uma integracao de publicidade de 2026.
Consentimento Parental Verificavel na Pratica
O Consentimento Parental Verificavel e o coracao da COPPA e e a parte que os editores com mais frequencia implementam mal. O padrao legal e o consentimento razoavelmente projetado para garantir que a pessoa que fornece o consentimento e o pai ou responsavel da crianca — nao apenas o consentimento coletado de qualquer forma.
Os metodos aprovados pela FTC que os editores devem conhecer:
- Transacao com cartao de credito ou debito com notificacao ao titular do cartao. Uma pequena cobranca ou autorizacao de valor zero e aceitavel quando acompanhada de um aviso de transacao.
- Verificacao de documento de identidade governamental por meio de um fornecedor terceirizado seguro de identidade, com o documento destruido imediatamente apos a verificacao.
- Autenticacao baseada em conhecimento — a nova opcao da regra de 2025 — usando perguntas dinamicas de multipla escolha originadas de registros publicos.
- Formulario de consentimento assinado devolvido por correio, fax ou digitalizacao eletronica.
- Videoconferencia com um operador treinado que confirma a identidade com um documento de identidade governamental apresentado.
- E-mail plus — permitido apenas para informacoes pessoais para uso interno apenas, e requer uma etapa de confirmacao de acompanhamento. Nao confie no e-mail plus para dados de publicidade.
A principal questao operacional e a documentacao. Para cada usuario crianca, o operador deve ser capaz de mostrar, a pedido da FTC: qual metodo foi usado, quem foi o pai verificador, quais categorias de dados foram autorizadas, quais destinatarios terceiros foram nomeados e o carimbo de hora do consentimento. Um CMP moderno estilo FlexyConsent deve se integrar ao fornecedor VPC e armazenar este rastro no mesmo log de auditoria que os eventos de consentimento de cookies.
Consentimento de Cookies em Sites Voltados para Criancas
A COPPA e o banner de cookies estao em camadas legais diferentes, mas devem funcionar juntos. Banners de consentimento de cookies sob GDPR/ePrivacy ou sob leis estaduais como CCPA nao satisfazem a COPPA, e o consentimento parental verificavel nao isenta o operador das obrigacoes de divulgacao de cookies. Os operadores que atendem criancas devem executar ambas as camadas em coordenacao.
Bloquear o Rastreamento ate que o VPC Seja Capturado
Em uma pagina voltada para criancas, nenhum cookie de publicidade ou analise pode ser acionado antes que o VPC seja capturado para aquele usuario. Um banner padrao de aceitar tudo e a ferramenta errada — o estado padrao deve ser que nada e acionado ate que o consentimento parental esteja registrado, e mesmo assim apenas para as categorias que o pai autorizou.
Restringir a Lista de Fornecedores a Parceiros Seguros para COPPA
A lista de fornecedores em uma propriedade voltada para criancas e necessariamente mais curta do que em um site para publico geral. SSPs, DSPs e fornecedores de analise devem garantir contratualmente que nao usam dados de criancas para segmentacao comportamental e nao passam a crianca a redes comportamentais downstream. A maioria dos principais SSPs publica um modo de inventario compativel com COPPA; configure sua pilha para esse modo e remova parceiros nao conformes.
Exibir Controles Parentais no Rodape
O aviso de privacidade deve incluir uma secao clara e em linguagem simples enderecada aos pais com instrucoes para revisar, modificar ou revogar o consentimento para seu filho. Um link persistente no rodape rotulado com algo como Para Pais atende as expectativas de acessibilidade da FTC e cria um rastro defensavel quando um investigador realiza uma auditoria de usabilidade.
O Padrao de Aplicacao da FTC em 2024-2026
A aplicacao da COPPA acelerou desde o acordo do YouTube em 2019 que reajustou o apetite da FTC por casos envolvendo grandes editores. Padroes de decretos de consentimento recentes oferecem um roteiro do que a FTC realmente procura em uma investigacao.
- Identificadores persistentes como a prova mais comprometedora. A FTC rotineiramente intima os logs de anuncios do operador e os correlaciona com dados de publico para mostrar que IDs de ad-tech foram atribuidos a usuarios criancas identificaveis sem VPC. Documentos internos que chamam o publico de criancas ou kids enquanto o programa de privacidade o trata como publico geral sao catastroficos.
- Ma gestao de fornecedores como multiplicador. Quando um operador encaminha dados de criancas a um SSP nao compativel com COPPA, ambas as partes tornam-se responsaveis. A FTC processou operadores primarios e redes downstream em acoes paralelas.
- Constatacoes de padrao de conduta. Uma unica falha de VPC pode ser uma constatacao; um padrao de falhas em superficies de produtos torna-se uma contagem de praticas enganosas sob a Secao 5 da Lei da FTC, expandindo tanto a penalidade quanto o escopo do decreto de consentimento.
- Escalada de penalidades civis. A penalidade civil maxima por violacao sob a FTC Improvements Act foi ajustada para cima anualmente; em 2025, estava acima de $50.000 por violacao, com cada crianca tratada como uma violacao separada em alguns casos.
Construindo uma Pilha Pronta para COPPA
Implementar a COPPA de uma forma que realmente resista ao escrutinio da FTC e um problema de coordenacao entre produto, engenharia, operacoes de anuncios e juridico. O trabalho se divide em aproximadamente seis fluxos de trabalho.
1. Classificar Cada Propriedade e Superficie
Para cada dominio, subdominio, aplicativo e endpoint de dispositivo conectado, decida se e voltado para criancas, para publico misto ou para publico geral. Documente a analise. Uma superficie de publico misto — por exemplo, uma pagina inicial com conteudo adulto e infantil — deve aplicar a COPPA apenas a usuarios que se autoidentifiquem como menores de 13 anos por meio de uma verificacao de idade neutra, nao a todos os usuarios.
2. Construir a Verificacao de Idade Corretamente
Uma verificacao de idade neutra pede a data de nascimento de uma forma que nao sinalize que usuarios mais velhos obtem mais acesso. Perguntar voce tem 13 anos ou mais? nao e neutro e a FTC ja sinalizou isso. Um seletor simples de dia-mes-ano, usado uma vez por dispositivo com um cookie resistente a adulteracao, e a abordagem padrao.
3. Integrar um Fornecedor de VPC
A menos que sua equipe de produto pretenda operar o VPC internamente, integre um fornecedor especializado — existem varios provedores aprovados pela FTC — e torne a integracao chamavel a partir de seu CMP, fluxo de cadastro e portal de gerenciamento de consentimento parental. Armazene o registro de auditoria por evento no banco de dados do CMP, nao no silo do fornecedor VPC.
4. Configurar Pilhas de Anuncios e Analise para o Modo COPPA
Google Ad Manager, AdMob, IronSource, Unity Ads, Meta Audience Network e os principais DSPs oferecem um sinalizador de tag para tratamento voltado para criancas. Configure-o em cada chamada de anuncio originada de uma superficie voltada para criancas ou de um usuario autenticado com menos de 13 anos. Verifique com a documentacao do fornecedor se o sinalizador realmente aciona entrega apenas contextual, nao apenas uma reducao de documentacao.
5. Conectar Controles Parentais e Exclusao
Os pais tem o direito de revisar, modificar e excluir os dados de seu filho sob demanda. Construa um portal parental acessivel a partir do aviso de privacidade que autentique o pai, exiba os dados registrados e ofereca controles granulares. A exclusao deve se propagar a todos os terceiros listados no registro de consentimento dentro de um prazo razoavel — a maioria dos operadores se compromete com 30 dias.
6. Auditar Trimestralmente
Execute uma revisao trimestral cobrindo: mudancas na lista de fornecedores, novas superficies de produto, conformidade de retencao, atualizacao do decreto de consentimento e atualizacoes de orientacoes da FTC. A FTC publica atualizacoes de orientacoes empresariais da COPPA regularmente; assinar a lista de e-mails da FTC para sua equipe de privacidade e o investimento de conformidade mais barato possivel.
Armadilhas Comuns a Evitar
Padroes repetidos de falhas aparecem em auditorias de editores e decretos de consentimento da FTC:
- Tratar a COPPA como um problema de cadastro. A maior parte da exposicao a COPPA vem de IDs de ad-tech anonimos em paginas voltadas para criancas, nao de contas registradas.
- Supor que anuncios contextuais significa seguro para COPPA por padrao. Algumas redes de anuncios contextuais ainda definem identificadores persistentes em segundo plano; verifique o comportamento real dos cookies.
- Permitir que lancamentos de produtos superem as revisoes de privacidade. Um novo recurso adicionado sem revisao do decreto de consentimento pode invalidar todo o seu programa. Adicione um checkpoint de privacidade ao seu processo de lancamento.
- Esquecer dispositivos conectados e superficies CTV. A COPPA cobre explicitamente smart TVs, assistentes de voz e consoles de jogos. Muitos editores ainda perdem isso em seu inventario.
- Registros de consentimento desatualizados. Uma mudanca material nas praticas de dados invalida o VPC anterior. Editores que realizam mudancas de ad-tech mensalmente precisam de um processo para atualizar o VPC, ou acumulam exposicao.
Como a COPPA Ficara em 2027 e Alem
Duas trajetorias reformularao este espaco nos proximos dezoito meses. Primeiro, propostas federais como a KOSA — Kids Online Safety Act — adicionariam deveres de cuidado adicionais sobre a COPPA, incluindo obrigacoes de design de conteudo e requisitos mais rigidos de verificacao de idade. Quer a KOSA seja aprovada intacta ou em partes, a direcao regulatoria e de mais obrigacoes, nao menos. Segundo, a expansao estado por estado dos codigos de design para criancas — California, Connecticut, Maryland e outros na fila — cria um mosaico que os editores devem atender ao lado da COPPA federal. Os operadores que tratam a conformidade com a COPPA de 2026 como a linha de base, com capacidade extra para adicionar requisitos estaduais, sao aqueles que nao estarao rearquitetando em 2027.
A Conclusao
A COPPA em 2026 nao e mais um requisito de nicho para desenvolvedores de aplicativos infantis — e infraestrutura de privacidade mainstream para qualquer editor cujo publico inclua criancas, mesmo que parcialmente. A emenda de 2025 fechou as lacunas em que os editores costumavam viver, especialmente o atalho de consentimento agrupado para publicidade. Execute uma verificacao de idade defensavel, integre um fornecedor de consentimento parental verificavel, configure sua pilha de anuncios para o modo COPPA e documente tudo em um log de auditoria do CMP ao lado dos eventos padrao de consentimento de cookies. Faca isso bem e o trafego voltado para criancas permanecera monetizavel. Faca de forma inadequada e voce estara lendo seu proprio decreto de consentimento no site da FTC com uma penalidade civil de varios milhoes de dolares anexada.