Notícias

O início de 2026 já mostra que proteção de dados e inteligência artificial seguem no centro da agenda regulatória. Neste mês, destacam-se a cobrança por adequação ao ECA Digital, os avanços da IA na saúde, as sinalizações da ANPD sobre deepfakes e biometria e a decisão de adequação mútua entre Brasil e União Europeia. Para as empresas, isso se traduz em ajustes de governança, revisão de fluxos internacionais de dados e maior cuidado com soluções digitais voltadas a crianças, saúde e autenticação biométrica.

ANPD prorroga prazo para empresas informarem adequação ao ECA Digital

A Agência Nacional de Proteção de Dados (ANPD) prorrogou para 13 de fevereiro de 2026 o prazo para que empresas informem as medidas adotadas para se adequar ao ECA Digital (Lei nº 15.211/2025), voltado à proteção de crianças e adolescentes no ambiente digital.

A decisão faz parte de um processo de monitoramento que envolve 37 empresas de tecnologia com atuação relevante junto ao público infantojuvenil. O objetivo é compreender o estágio de adequação à nova lei, os principais desafios enfrentados e subsidiar futuras ações de orientação e fiscalização.

A prorrogação considera a complexidade das exigências legais e busca garantir o envio de informações mais completas, sem prejuízo à proteção dos direitos de crianças e adolescentes.

Para empresas com produtos voltados a crianças e adolescentes, o recado é ajustar o design e a governança agora, não depois da fiscalização.

Confira a matéria aqui.

IA na saúde avança — governança e proteção de dados se tornam essenciais

Recentemente, muito se discutiu sobre lançamentos de assistentes de IA “especializados em saúde”, voltados a interações diretas com pacientes e apoio a rotinas clínicas e administrativas, com promessas de operar em ambientes segregados e com proteções reforçadas para dados sensíveis.

Do ponto de vista da Lei Geral de Proteção de Dados (LGPD), os aspectos críticos incluem:

• Dado de saúde é dado sensível, exigindo bases legais específicas e proteção reforçada.
• Plataformas passam a operar em ambientes isolados, com criptografia e controles adicionais.
• O uso de dados para treinar/aperfeiçoar modelos deve ser compatível com a finalidade informada e depender de base legal adequada, transparência e salvaguardas.
• Integrações com prontuários e apps exigem transparência, consentimento quando aplicável e controle granular pelo usuário.
• Organizações que utilizarem essas IAs devem garantir minimização, segurança e documentação das operações de tratamento.

A mensagem é clara: a IA na saúde avança rapidamente, pode trazer benefícios significativos, mas só se sustenta com privacidade estruturada, governança e responsabilidade no uso de dados sensíveis.

IA em saúde sem governança de dados é risco jurídico, regulatório e reputacional em escala.

Conteúdos sintéticos e deepfakes: atuação coordenada e sinalizações da ANPD para governança de IA

Neste mês, autoridades brasileiras, entre elas a ANPD, o Ministério Público Federal (MPF) e a Secretaria Nacional do Consumidor (Senacon), atuaram de forma coordenada após denúncias envolvendo uma grande plataforma digital que utiliza inteligência artificial generativa. A ferramenta teria sido utilizada para a criação de conteúdos sintéticos sexualizados (deepfakes) a partir de imagens de pessoas reais, incluindo crianças e adolescentes, sem consentimento.

No contexto do caso, a ANPD também publicou Nota Técnica no âmbito da fiscalização, reforçando que:

• Conteúdo sintético pode ser dado pessoal: quando o resultado se refere, direta ou indiretamente, a pessoa natural identificada ou identificável, sua geração e disponibilização podem caracterizar tratamento de dados pessoais.
• Pode envolver dado pessoal sensível: se o conteúdo sintético implicar uso de elementos biométricos, o resultado pode ser enquadrado como dado pessoal sensível, atraindo exigências mais restritivas de licitude e salvaguardas.
• Princípios da LGPD como parâmetro de governança: a Nota Técnica explicita a aplicação prática de boa-fé/lealdade, finalidade e prevenção, segurança e responsabilização, reforçando que o desenho do produto e seus controles devem ser compatíveis com o risco.

Expectativa de medidas efetivas, não só formais: a autoridade indica a necessidade de medidas técnicas e organizacionais proporcionais ao risco, com barreiras capazes de prevenir usos abusivos e mitigar danos, inclusive em cenários previsíveis.

A mensagem que se extrai desse cenário é objetiva: inovação não afasta responsabilidade. O uso consciente, ético e juridicamente adequado da inteligência artificial é hoje um elemento essencial para a segurança jurídica, a reputação e a sustentabilidade das empresas.

Confira a matéria aqui e a recomendação conjunta (ANPD, MPF E SENACON) encontra-se aqui. 

Brasil e União Europeia formalizam decisão de adequação mútua em proteção de dados

Brasil e União Europeia formalizaram o reconhecimento recíproco da adequação de seus regimes de proteção de dados pessoais, em decisão anunciada em cerimônia oficial com participação de autoridades brasileiras e europeias. O movimento consolida o entendimento de que a LGPD e o GDPR asseguram níveis de proteção equivalentes, permitindo a livre circulação de dados pessoais entre as duas jurisdições com segurança jurídica.

Em termos práticos, o avanço está relacionado a:

• Dispensa de salvaguardas do art. 33 da LGPD para transferências Brasil-UE, reduzindo a necessidade de SCCs/BCRs e renegociações contratuais.
• Simplificação de fluxos intragrupo e com fornecedores europeus, com ganho relevante em tempo de implementação e menor custo de compliance transfronteiriço.
• Maior previsibilidade jurídica para operações intensivas em dados (cloud, analytics, serviços digitais, P&D), com redução do risco de bloqueios por falta de mecanismo de transferência.

Do ponto de vista institucional, o reconhecimento reflete a maturidade do regime brasileiro de proteção de dados e da atuação da ANPD, ao mesmo tempo em que integra o Brasil à maior zona global de fluxo seguro de dados, ao lado da União Europeia. A decisão não se aplica a transferências voltadas exclusivamente a fins de segurança pública ou investigação criminal, nos limites da LGPD.

Confira a matéria aqui.

ANPD divulga Nota Técnica nº 23/2025 sobre dados biométricos

No final do ano passado, a ANPD divulgou a Nota Técnica nº 23/2025, que consolida as contribuições recebidas na Tomada de Subsídios sobre o tratamento de dados biométricos. O documento não cria novas obrigações, mas organiza convergências e divergências relevantes do debate público e antecipa expectativas regulatórias que tendem a influenciar a futura regulamentação e a atuação fiscalizatória. Para empresas, o material é útil para calibrar governança, transparência e critérios de proporcionalidade quando biometria é usada em identificação, autenticação ou em soluções baseadas em reconhecimento facial e biometria comportamental.

Alguns insights relevantes:

• Delimitação do conceito: a discussão converge para biometria como característica física, fisiológica ou comportamental processada tecnicamente e utilizada para identificação ou autenticação, com impacto direto na classificação do dado e no desenho do fluxo de tratamento.
• Controles e governança: há forte ênfase em salvaguardas técnicas e organizacionais, priorização de templates em vez de dados brutos e abordagem de privacy by design.
• Transparência e risco: expectativa de avisos claros no ponto de coleta, com detalhamento de finalidades, base legal, riscos e salvaguardas; e de RIPD em tratamentos de alto risco, especialmente reconhecimento facial.
• Crianças e adolescentes: o uso deve ser tratado com cautela reforçada, orientado pelo melhor interesse, com preferência por alternativas menos invasivas quando possíveis.

O texto também registra debates relevantes ainda sem consenso, como limites do consentimento em relações com assimetria de poder, avaliação de risco “intrínseco” versus contextual, e preocupações sobre vieses e discriminação no reconhecimento facial em ambientes críticos.

Confira a nota técnica aqui.

Antonielle Freitas

Jessica Rocha