carregando...

Notícias

Veja todas as notícias
Notícias | Proteção de Dados

NEWSLETTER PRIVACY & TECH (Fev-Mar/26)

3 de março de 2026

Entre os avanços do último mês, nota-se que a agenda pública reforçou a proteção de crianças e adolescentes no ambiente digital. O relatório do MJSP sobre aferição de idade sinaliza um modelo orientado a risco, com foco em minimização e segurança. De outro lado, o Judiciário e órgãos institucionais elevaram o patamar de accountability. Houve responsabilização de organizações por falhas de segurança que viabilizam fraudes e exposição de dados. Também ficou reforçado que a publicidade processual não autoriza divulgação excessiva de dados pessoais, com preferência por pseudonimização e outras medidas técnicas de mitigação. 

Em paralelo, decisões de STF e STJ consolidam a proteção de dados como direito fundamental e demandam conformidade demonstrável, com evidências de governança, rastreabilidade e resposta a incidentes. Por fim, o avanço do Sandbox da ANPD em IA para a fase de testagem supervisionada indica uma tendência de supervisão mais prática e orientada a risco também para sistemas de IA, com foco em transparência, gestão de impactos e direitos dos titulares. 

Confira mais detalhes a seguir! 

MJSP divulga relatório sobre verificação de idade na internet 

O Ministério da Justiça e Segurança Pública, por meio da SEDIGI, publicou um relatório que sistematiza as contribuições recebidas na consulta pública sobre mecanismos de aferição de idade na internet. O documento reúne 70 contribuições, colhidas na plataforma Participa + Brasil entre 15 de outubro e 14 de novembro de 2025, e deve subsidiar a regulamentação dos padrões nacionais de aferição de idade previstos no ECA Digital (Lei nº 15.211/2025) 

O que o relatório sinaliza: A linha central é um modelo orientado a risco, sem “solução única”: os requisitos tendem a variar conforme o tipo de serviço e o nível de exposição de crianças e adolescentes. O relatório também destaca preocupação consistente com privacidade e segurança, incluindo minimização de dados e prevenção de usos indevidos, e registra que autodeclaração de idade é percebida como insuficiente para cenários de risco. Entre as alternativas debatidas aparecem credenciais/documentos digitais, estimativas por imagem e abordagens que confirmam a idade com menor identificação do usuário.  

Destaques práticos 

  • Preparar inventário de jornadas com risco infantil, priorizando pontos de acesso a conteúdos/serviços restritos.  
  • Desenhar aferição por camadas, combinando fricção proporcional ao risco e medidas de minimização.  
  • Tratar privacidade como requisito do mecanismo, não como etapa posterior (privacy by design).  

Link do relatório

Link da Notícia

TJSP responsabiliza meio de hospedagem por vazamento de CNH e exposição de hóspede 

Um hóspede apresentou sua CNH ao estabelecimento para fins de cadastro no check-in. Poucas horas após o check-out, passou a receber mensagens e ligações de terceiros com acusações falsas, inclusive alegando que teria atropelado um animal e se evadido. 

Os autores das ameaças encaminharam ao titular a imagem digital da CNH, contendo dados como endereço e filiação. O estabelecimento sustentou que as informações teriam sido obtidas por terceiros mediante consulta à placa do veículo. O juízo afastou essa alegação ao consignar que esse tipo de consulta não fornece a imagem do documento de identidade. 

Diante disso, a sentença concluiu que, se terceiros tiveram acesso à fotografia da CNH entregue exclusivamente ao estabelecimento, o vazamento decorreu de falha na guarda e na segurança dos dados sob sua responsabilidade (em meio físico ou digital).  

O estabelecimento foi condenado ao pagamento de R$ 15.000,00 a título de danos morais. 

Fundamentos jurídicos 

  • Art. 46 da LGPD: dever de adotar medidas de segurança para proteger dados pessoais 
  • Art. 14 do CDC: responsabilidade objetiva por falha na prestação de serviço 

Principais insights 

  • Se terceiros acessam um documento entregue exclusivamente à empresa, presume-se falha interna de segurança. 
  • Alegar “culpa de terceiro” não afasta responsabilidade quando os dados estavam sob guarda do controlador. 
  • Vazamento que gera risco concreto à integridade física ou reputacional eleva o patamar do dano moral. 

A sentença mostra que o Judiciário está analisando incidentes com base técnica e lógica, não apenas formal (processo nº 1005861-27.2024.8.26.0157). 

CJF aprova orientações sobre LGPD na Justiça Federal e limita exposição indevida de dados em processos 

O Conselho da Justiça Federal aprovou orientações do Fórum de Proteção de Dados Pessoais para a Justiça Federal (Acórdão nº 0643102, Processo SEI nº 0000697-69.2024.4.90.8000). O ponto central é que a LGPD se aplica ao Judiciário e que a publicidade processual continua sendo a regra, mas não autoriza a divulgação desnecessária de dados pessoais, especialmente dados sensíveis, quando isso não for indispensável ao acesso e ao controle social do processo.  

O que a orientação deixa claro 

O acórdão reforça que o equilíbrio deve ser feito caso a caso, guiado por princípios como finalidade, necessidade e prevenção, privilegiando soluções técnicas de mitigação de exposição. A medida recomendada é a pseudonimização e, quando aplicável, anonimização de dados em atos e documentos disponibilizados ao público, preservando o núcleo de publicidade do processo sem ampliar riscos ao titular.  

Destaques práticos 

  • Publicação com redução de dados: avaliar o que é indispensável para o acesso público e suprimir excessos, em especial dados de saúde e outros sensíveis.  
  • Pseudonimização como padrão operacional: orientar unidades e sistemas para substituir identificadores diretos quando a identificação não for necessária ao fim de publicidade.  
  • Capacitação e ferramentas: as orientações destacam treinamento de magistrados e servidores e adoção de ferramentas de anonimização e pseudonimização como condição para aplicação consistente. 

Fraude pós-compra: plataforma de e-commerce é responsabilizada por falha na proteção de dados 

Após realizar uma compra online, um consumidor passou a receber contatos de terceiros que possuíam informações detalhadas da transação, como produto adquirido, valor, transportadora, previsão de entrega e dados pessoais. 

Com base nesses dados, foi aplicado um golpe financeiro. O Judiciário entendeu que o nível de especificidade das informações utilizadas pelos fraudadores indicava acesso indevido a dados sob guarda da plataforma, e não mero acaso ou engenharia social genérica. 

Fundamentos jurídicos 

A decisão (processo 0875318-26.2025.8.10.0001) aplicou: 

  • Responsabilidade objetiva do fornecedor (art. 14 do CDC) 
  • Responsabilidade do controlador por danos decorrentes de tratamento inadequado (art. 42 da LGPD) 
  • Dever de segurança previsto no art. 46 da LGPD 

O argumento de “culpa exclusiva de terceiro” não foi acolhido, pois a fraude foi viabilizada por acesso a informações que estavam sob controle da empresa. 

Também foi reconhecida a inversão do ônus da prova, considerando a hipossuficiência técnica do consumidor. 

Decisão 

O Juízo determinou: 

  • Ressarcimento do dano material, em dobro 
  • Indenização por dano moral 
  • Obrigação de implementar controles técnicos e administrativos para evitar novas falhas 

STF e STJ consolidam a proteção de dados como direito fundamental e elevam o padrão de accountability 

Nos últimos anos, decisões do STF e do STJ têm reforçado que a proteção de dados pessoais é um direito fundamental autônomo, especialmente após a EC nº 115/2022. Esse movimento não cria uma “nova LGPD”, mas eleva o nível de exigência quanto à forma como organizações públicas e privadas demonstram conformidade. 

A jurisprudência recente mostra que o debate deixou de ser apenas formal. Os tribunais têm analisado, de maneira mais técnica, temas como segurança da informação, decisões automatizadas, transparência e resposta a incidentes. 

Tendências que se consolidam 

Alguns vetores são recorrentes nas decisões: 

  • Direito à revisão humana em decisões automatizadas (art. 20 da LGPD), com exigência de justificativa clara e possibilidade real de contestação. 
  • Responsabilidade por incidentes de segurança quando não demonstrada adoção de medidas técnicas e administrativas adequadas (art. 42 e 46 da LGPD). 
  • Exigência de diligência comprovada, com expectativa de documentação, rastreabilidade e governança compatível com padrões reconhecidos de segurança da informação. 
  • Maior rigor em dados sensíveis, especialmente em contextos de saúde, consumo e relações assimétricas. 

Sandbox Regulatório da ANPD em IA avança para fase de testagem supervisionada 

A ANPD concluiu a fase de nivelamento do Projeto Sandbox Regulatório em Inteligência Artificial e Proteção de Dados, etapa prevista no edital e obrigatória para que os participantes sigam para a fase de testagem. O nivelamento durou cerca de quatro meses, com apoio da USP, e teve como objetivo uniformizar referenciais técnicos, jurídicos e regulatórios antes de iniciar os testes em ambiente supervisionado. 

Por que isso importa: O Sandbox é um mecanismo de regulação experimental: a ANPD acompanha projetos reais, observa riscos e controles na prática e, a partir dos aprendizados, tende a consolidar expectativas regulatórias mais concretas sobre governança de IA e proteção de dados, especialmente em temas como transparência, gestão de riscos, direitos dos titulares e segurança. 

Alguns insights 

  • Testagem sob supervisão: soluções passam a ser avaliadas com acompanhamento direto da ANPD, o que eleva o nível de exigência sobre evidências de governança. 
  • Documentação vira ativo: planos de monitoramento, testagem e eventual descontinuidade aparecem como parte do “pacote mínimo” de accountability. 
  • Direitos do titular no centro: revisão de decisões automatizadas (art. 20), transparência e gestão de incidentes são tratados como elementos estruturantes, não acessórios. 

Link da notícia

IA, Sigilo Advocatício e Responsabilidade 

Uma decisão recente da Justiça Federal em Nova York (United States District Court for the Southern District of New York), no caso United States v. Bradley Heppner, concluiu que determinadas trocas escritas entre o réu e uma plataforma de IA generativa não estavam protegidas nem pelo privilégio advogado cliente nem pela work product doctrine (proteção jurídica de material preparatório para litígio).  

O ponto central do Memorandum é direto: interações com IA, em especial quando realizadas em plataforma que não se enquadra como canal protegido do relacionamento advogado cliente, podem ser tratadas como comunicações com “terceiros”, com risco de perda de confidencialidade e de exposição em contexto de litígio. 

Relevância para o contexto Brasileiro: ainda que se trate de decisão estrangeira, a lógica do risco é plenamente pertinente no Brasil. O sigilo profissional é dever ético e jurídico do advogado, previsto no Estatuto da Advocacia (Lei nº 8.906/1994) e reforçado pelo Código de Ética e Disciplina da OAB, abrangendo fatos, documentos, estratégias e comunicações relacionadas à atuação profissional.  

Paralelamente, a LGPD exige medidas de segurança e governança para proteger dados pessoais contra acessos não autorizados e vazamentos. Nesse cenário, inserir informações sensíveis ou protegidas por sigilo em ferramentas públicas ou sem garantias contratuais e técnicas compatíveis pode comprometer a confidencialidade, fragilizar a posição em litígios e expor o escritório e seus clientes a riscos de responsabilidade civil, regulatória e disciplinar. 

ANPD passa a ser Agência Reguladora e reforça seu poder institucional 

Foi publicada a Lei nº 15.352/2026, que altera a LGPD e transforma a Autoridade Nacional de Proteção de Dados na Agência Nacional de Proteção de Dados (ANPD), constituída como autarquia de natureza especial, vinculada ao Ministério da Justiça e Segurança Pública. 

Com a nova redação legal, a ANPD passa a integrar o regime jurídico das agências reguladoras federais, nos termos da Lei nº 13.848/2019, com autonomia funcional, técnica, decisória, administrativa e financeira. 

Principais impactos estruturais: 

  • Reconhecimento formal da ANPD como agência reguladora sob regime de autarquia especial, com garantias reforçadas de independência. 
  • Previsão expressa de prerrogativas típicas de poder de polícia, incluindo possibilidade de interdição, apreensão de bens e requisição de força policial em caso de embaraço às atividades fiscalizatórias. 
  • Reestruturação administrativa com transformação de cargos vagos e autorização para provimento de 200 especialistas em regulação de proteção de dados, além de cargos comissionados e funções de confiança. 

A mudança consolida a ANPD como autoridade regulatória com estrutura e prerrogativas compatíveis com outras agências federais, o que tende a ampliar sua capacidade técnica, fiscalizatória e sancionatória na aplicação da LGPD.