Notícias

Overview: março consolidou avanços relevantes na agenda de governança, transparência e responsabilização no uso de dados pessoais, inteligência artificial e tecnologias digitais, com impactos diretos em plataformas digitais, saúde, eleições, proteção infantil, consumo e direitos dos titulares.

O período foi marcado pelo fortalecimento de padrões de accountability, com ênfase em transparência, revisão humana de decisões automatizadas, gestão de riscos e limites ao exercício abusivo de direitos, bem como na ampliação do debate sobre o dever de cuidado das plataformas digitais, incluindo aspectos relacionados ao design e às estratégias de engajamento.

Também se observaram sinais mais concretos de fiscalização sobre a efetividade da governança em proteção de dados, inclusive com a primeira intimação eletrônica dirigida diretamente a um Encarregado de Proteção de Dados, em processo fiscalizatório conduzido pela ANPD.

No campo regulatório, destacam‑se o marco do CFM para o uso de IA na prática médica, as regras do TSE para a utilização de IA nas eleições de 2026 e a entrada em vigor do ECA Digital, acompanhada de sua regulamentação e das primeiras orientações da ANPD, reforçando a proteção de crianças e adolescentes e a governança de sistemas automatizados.

Também merecem destaque iniciativas com viés pedagógico e preventivo, como a consulta pública do Guia de Inteligência Artificial para o Cidadão Brasileiro e ações voltadas à redução de riscos no descarte de informações pessoais, ampliando a compreensão de que a proteção de dados e a responsabilização tecnológica extrapolam o ambiente digital.

Em síntese, o mês evidenciou uma convergência regulatória e institucional em torno do uso responsável da IA, da proteção de direitos fundamentais e do amadurecimento das expectativas de conformidade, exigindo das organizações políticas claras, processos estruturados e uma abordagem integrada de gestão de riscos tecnológicos e jurídicos.

Confira mais detalhes a seguir!

STJ: transparência e revisão em descredenciamento por possível decisão automatizada

A Terceira Turma do STJ, no REsp 2.135.783/DF (Rel. Min. Nancy Andrighi), analisou o descredenciamento de um motorista de aplicativo, em contexto que suscita discussão sobre decisões automatizadas. O Tribunal entendeu que o conjunto de informações utilizado para bloquear o perfil é dado pessoal e, portanto, está sujeito à LGPD (art. 5º, I, e art. 12, §2º).

Reforçou-se, ainda, a necessidade de clareza e revisão nessas decisões, nos seguintes termos:

• Transparência (LGPD, art. 6º, VI): garantir ao titular informações claras, precisas e acessíveis sobre o tratamento de seus dados.
• Direito de revisão (LGPD, art. 20): assegurar que o titular possa solicitar a revisão de decisões automatizadas que impactem seu perfil profissional.

A decisão consolida um padrão de accountability: plataformas devem explicar e permitir a revisão de decisões automatizadas que afetem perfis profissionais, ao mesmo tempo em que podem agir rapidamente em situações de alto risco, garantindo o direito de defesa em seguida. Para controladores, reforça a necessidade de processos transparentes e documentados; para titulares, protege o acesso à informação e contestação como salvaguardas essenciais.

CFM estabelece novo marco regulatório para o uso de IA na prática médica

O Conselho Federal de Medicina publicou a Resolução CFM nº 2.454/2026, primeiro marco regulatório específico para o uso de Inteligência Artificial (IA) na medicina no Brasil. A norma estabelece padrões para pesquisa, desenvolvimento, validação, governança, segurança, transparência e uso responsável de IA por médicos e instituições de saúde, alcançando hospitais, clínicas, operadoras, healthtechs, medicina do trabalho e demais agentes do ecossistema.

Entre os eixos centrais, a resolução fixa:

• IA como apoio à prática médica;
• Classificação e gestão de riscos;
• Direitos reforçados do paciente;
• LGPD como base.

O CFM delineia um padrão de uso responsável de IA: decisão clínica sempre humana, governança orientada a risco, direitos do paciente preservados e alinhamento com a LGPD. Com o prazo de 180 dias para entrada em vigor, o setor deve iniciar desde já o mapeamento das soluções, a classificação de risco e a formalização de políticas e controles, assegurando transparência, segurança e qualidade assistencial.

TSE publica regras sobre uso de IA nas eleições de 2026

O TSE aprovou resolução que disciplina o uso de inteligência artificial (IA) nas eleições de 2026. A tecnologia não foi banida ao longo da campanha, mas passa a observar limites mais rígidos no período crítico do pleito, com rotulagem obrigatória e deveres ampliados para plataformas. Segundo o relator, Min. Nunes Marques, as alterações não restringem liberdades e visam estimular o debate eleitoral, assegurando a livre manifestação do eleitorado.

Pontos importantes:

• Fica proibida a publicação, republicação ou impulsionamento de conteúdos novos produzidos ou alterados por IA que utilizem imagem, voz ou manifestação de candidata, candidato ou pessoa pública (ainda que rotulados) nas 72 horas que antecedem o dia de votação e nas 24 horas posteriores ao encerramento (com remoção imediata em caso de descumprimento);
• Rotulagem e transparência: dever de clareza sobre o uso de IA na publicidade e informação ao eleitor quando interagir com chatbots, avatares e conteúdos sintéticos. Propagandas sem rotulagem podem ser retiradas do ar pela plataforma ou por ordem judicial;
• Conteúdo vedado: proibição de material fabricado/manipulado para difundir fatos notoriamente inverídicos ou descontextualizados com potencial de dano ao equilíbrio do pleito;
• Ação das plataformas: resposta imediata a conteúdos ilícitos (cessar impulsionamento, monetização e acesso), inclusive com remoção; reforço no combate a perfis falsos e contas reincidentes.

O TSE mitiga riscos no pico de sensibilidade do pleito com proibição temporária de determinados conteúdos sintéticos com IA, sinalização compulsória e moderação reforçada. A diretriz é proteger a integridade do processo sem suprimir o uso legítimo da tecnologia ao longo da campanha.

Raspadinha para estimular proteção de dados no descarte de embalagens

Uma grande plataforma de comércio eletrônico lançou, no Mês do Consumidor, uma campanha para incentivar um cuidado simples no cotidiano das entregas: apagar informações pessoais antes de descartar as embalagens.

 As caixas recebem etiquetas especiais e, ao raspar a área indicada, nome e endereço tornam‑se ilegíveis, reduzindo o risco de exposição indevida após o descarte. A ação reforça que proteção de dados também acontece fora do ambiente digital, no uso e no destino de documentos e rótulos físicos.

Por que isso importa?

• Risco no descarte: dados impressos em embalagens podem ser coletados e reutilizados por terceiros.
• Medida simples e preventiva: tornar os dados ilegíveis no momento do descarte reduz a superfície de risco.
• Cultura de privacidade: a proteção não se limita ao online; envolve todo o ciclo, da compra ao descarte responsável.

A iniciativa transforma um gesto cotidiano e de baixo atrito em prática efetiva de redução de risco no mundo físico, alinhada a uma cultura de proteção e privacidade de dados.

ECA Digital e suas principais movimentações

Como tratamos em edições anteriores, o tema ECA Digital evoluiu: com a entrada em vigor da Lei nº 15.211/2025, sua regulamentação e as primeiras orientações da ANPD.

A seguir, os pontos essenciais.

• 17/03/2026 Lei n° 15.211/2025: O Eca Digital entrou oficialmente em vigor, inaugurando um novo marco para a proteção on-line de crianças e adolescentes, aplicável a aplicativos de jogos, redes sociais e demais fornecedores digitais.
• 18/03/2026 Governo regulamenta o Eca Digital: Foram publicados três decretos que detalham a aplicação da lei e estabelecem sua estrutura de implementação. As normas definem tanto como o ECA Digital deve funcionar na prática quanto os objetivos que orientam sua execução.

Principais pontos regulamentados

• Aplicação da lei, decreto que regulamenta o Estatuto Digital da Criança e do Adolescente.
• Criação do Centro Nacional de Proteção à Criança e ao Adolescente (PF), para centralizar denúncias e agilizar remoções de conteúdos ilegais.
• Estruturação da ANPD para fiscalizar o cumprimento da nova lei e orientar sobre mecanismos confiáveis de verificação de idade.

Objetivos e regras centrais

Essas diretrizes regulamentadas se conectam a objetivos mais amplos da política de proteção digital, como:

• Navegação segura para crianças e adolescentes, com suporte a pais e responsáveis.
• Responsabilidade compartilhada e segurança jurídica para empresas.
• Enfrentamento a riscos on-line, exploração sexual, violência, apostas, acesso a produtos proibidos e exposição a conteúdos inadequados.
• Resposta rápida das plataformas a crimes como aliciamento, assédio e exploração.
• Proibição de loot boxes ao público infantojuvenil.
• Vedação a design manipulativo que explore vulnerabilidades ou induza uso compulsivo.
• 20/03/2026 ANPD publica orientações preliminares: A ANPD divulgou parâmetros iniciais para a adoção de mecanismos confiáveis de aferição de idade, em conformidade com o ECA Digital e o Decreto nº 12.880/2026. 

Eixos das orientações

• Proporcionalidade: equilíbrio entre riscos do produto e riscos do próprio mecanismo.
• Acurácia e robustez: autodeclaração isolada é insuficiente; mecanismos devem ser testados e reavaliados.
• Privacidade e proteção de dados: minimização, segurança, vedação a uso secundário e cautela com biometria facial.
• Inclusão e não discriminação: alternativas que não excluam grupos vulneráveis ou dependam apenas de documentos oficiais.
• Transparência e auditabilidade: explicações claras, registros adequados e canais de contestação.
• Interoperabilidade: reaproveitamento de resultados via tokens, sem bases integradas ou compartilhamento contínuo.

Cronograma de fiscalização

• Imediato: monitoramento de lojas de aplicativos e sistemas operacionais.
• Agosto/2026: ampliação para outros setores, após publicação das orientações definitivas.
• A ANPD poderá agir a qualquer momento diante de denúncias ou violações relevantes.

Os acontecimentos de março mostram um avanço coordenado:

A lei entrou em vigor            o governo regulamentou             a ANPD orientou            e a estrutura de fiscalização começou a ser organizada.

Essas etapas se complementam e oferecem maior clareza para que empresas ajustem produtos e práticas ao novo marco de proteção infantil no ambiente digital.

Link da notícia aqui.

Link da notícia aqui.

Guia de Inteligência Artificial para o Cidadão Brasileiro

O Ministério da Justiça e Segurança Pública colocou em consulta pública o Guia de Inteligência Artificial para o Cidadão Brasileiro, iniciativa que busca explicar, de forma simples e acessível, como a IA funciona e quais são os direitos dos cidadãos diante dessa tecnologia. O documento integra o Plano Brasileiro de Inteligência Artificial (PBIA) e reforça a agenda de promoção de uma IA responsável e transparente.

O Guia é dividido em três partes:

• Parte 1 – Perguntas e Respostas: aborda o uso e o impacto da IA, além dos direitos e deveres de usuários e desenvolvedores.
• Parte 2 – Explicação técnica: apresenta o que é a IA, seus limites e desafios.
• Parte 3 – Governança de IA: trata dos direitos dos usuários de sistemas de IA, recomendações de uso e princípios de ética e governança, como transparência, responsabilização e robustez técnica.

Participar da consulta pública permite que diferentes setores da sociedade contribuam diretamente para o desenvolvimento do Guia, colaborando para a construção de um marco que orientará a forma como a IA será compreendida e utilizada no Brasil.

TJUE: pedido de acesso pode ser considerado abusivo em determinadas circunstâncias

O Acórdão recentemente publicado pelo Tribunal de Justiça da União Europeia (TJUE), no processo C‑526/24, introduz uma mudança relevante na interpretação dos direitos dos titulares de dados no âmbito do GDPR. O Tribunal esclarece que esses direitos, em particular o direito de acesso, não são absolutos e podem ser limitados quando exercidos de forma abusiva.

De acordo com a decisão, um pedido de acesso pode ser considerado excessivo e, consequentemente, recusado quando fique demonstrado que:

• não tem por finalidade verificar a licitude do tratamento de dados;
• visa criar artificialmente uma situação para fundamentar um pedido de indenização;
• configura um comportamento oportunístico, não protegido pelo GDPR.

Com este entendimento, o TJUE afasta a ideia de que o GDPR possa ser utilizado como instrumento de pressão indevida, promovendo uma abordagem mais equilibrada entre a proteção dos direitos dos titulares de dados e a salvaguarda dos responsáveis pelo tratamento.

Para os profissionais que exercem funções de DPO, o Acórdão reforça a importância de analisar o contexto e a finalidade dos pedidos recebidos, legitima a recusa devidamente fundamentada de solicitações abusivas e sublinha a necessidade de políticas internas claras para lidar com pedidos potencialmente abusivos à luz das circunstâncias do caso concreto.

O precedente indica que até mesmo um primeiro pedido de acesso pode, em circunstâncias específicas, ser considerado abusivo, desde que haja demonstração de que ele não buscava conhecer o tratamento de dados, mas artificialmente criar base para pedido de indenização.

O Acórdão C‑526/24 sinaliza um limite relevante na aplicação do GDPR, reafirmando a proteção dos direitos dos titulares de dados, mas reconhecendo limites claros ao seu exercício abusivo.

Design de plataformas e responsabilidade jurídica

Uma recente decisão da Justiça dos Estados Unidos reforça a ampliação do debate sobre a responsabilidade das big techs. Grandes plataformas digitais foram condenadas por negligência em razão do design e das estratégias de engajamento de seus aplicativos, considerados fatores que contribuíram para danos à saúde mental de uma usuária.

O caso sinaliza uma mudança relevante na forma como a atuação dessas empresas passa a ser analisada sob a ótica jurídica e regulatória, ampliando o escopo da responsabilização para além do conteúdo disponibilizado.

Pontos em destaque:

• O foco da responsabilização desloca‑se do conteúdo para o design das plataformas;
• Algoritmos e mecanismos de retenção passam a integrar o centro da análise jurídica;
• A decisão pode incentivar o ajuizamento de novas ações semelhantes;
• O tema reforça a discussão sobre o dever de cuidado das big techs.

Apesar de se tratar de uma decisão proferida em outro país, há conexão direta com debates recentes no Brasil, como:

• proteção de crianças e adolescentes (ECA Digital);
• governança de sistemas automatizados.

Independentemente de seu caráter inaugural, a decisão revela que o design das plataformas digitais passou, definitivamente, a ser um tema jurídico relevante, com potencial de orientar futuras discussões regulatórias e práticas corporativas preventivas.

ANPD sinaliza maior cobrança sobre a atuação do Encarregado

Neste mês de março de 2026, foi publicado no Diário Oficial da União um edital de intimação da ANPD direcionado diretamente ao Encarregado de Dados de um clube mineiro de futebol, no contexto de processo fiscalizatório, com prazo de 10 dias para manifestação e indicação de resposta por via eletrônica no SEI/ANPD ou presencialmente em Brasília.

A movimentação reforça, na prática, que o Encarregado pode ser acionado pela própria ANPD como ponto formal de contato em procedimentos fiscalizatórios. Assim, a figura do Encarregado não deve ser tratada como uma formalidade documental: espera-se que exista canal funcional, capacidade real de interlocução com a Agência e preparo mínimo para atuar em contextos de fiscalização – ultrapassando uma exigência meramente nominal.

Antonielle Freitas

Jessica Rocha