Desde o advento do Marco Civil da Internet e da Lei Geral de Proteção de Dados, o arcabouço normativo nacional e internacional tem buscado parâmetros sólidos para reger as dinâmicas tecnológicas.

Nesse contexto, o ano de 2025 foi marcado pelo término do prazo de adaptação contratual para agentes de tratamento que utilizam cláusulas contratuais para realizar transferências internacionais de dados, pela entrada em vigor do Estatuto Digital da Criança e do Adolescente, bem como por importantes definições na esfera administrativa, como a transformação da ANPD (Autoridade Nacional de Proteção de Dados) em agência reguladora e o estabelecimento de novos parâmetros para a responsabilização de plataformas por conteúdos de terceiros, especialmente no que se refere à interpretação do artigo 19 do Marco Civil da Internet.

Diante desse cenário, pretende-se abordar os principais marcos e definições esperados para o ano de 2026.

Marco Legal da Inteligência Artificial

O PL 2.338/2023, que trata de matéria relacionada à Inteligência Artificial, encontra-se atualmente em tramitação na Câmara dos Deputados.

O referido projeto de lei regulamenta o uso de Inteligência Artificial em moldes semelhantes ao AI Act, adotando uma abordagem baseada em riscos classificáveis, que variam desde riscos excessivos, e, portanto, proibidos, até riscos baixos e mínimos. O projeto de lei ainda faz distinção entre fornecedores e operadores, impondo a estas obrigações relacionadas à governança de inteligência artificial.

Espera-se que, ao longo de 2026, o tema avance significativamente no Congresso Nacional, culminando na conclusão da tramitação legislativa, com posterior aprovação e publicação do texto final.

Importa ainda referenciar que a ANPD elencou como tema prioritário para o biênio de 2026-2027, a intensificação da atuação da ANPD quanto à supervisão de tecnologias emergentes, especialmente sistemas de inteligência artificial.

Padrões mínimos de segurança da informação

Um dos artigos de maior relevância técnica disposto na Lei Geral de Proteção de Dados é o artigo 46, que impõe aos agentes de tratamento a adoção de medidas de segurança técnicas e administrativas aptas a proteger os dados pessoais, garantindo, em síntese, sua confidencialidade, integridade e disponibilidade.

Em que pese o disposto na lei, ainda não há definições concretas e objetivas relacionadas aos controles técnicos que devem ser adotados pelos agentes. Diante disso, a Resolução CD/ANPD nº 31, de 2025, reiterou na agenda regulatória para o biênio 2025–2026 a previsão de que a ANPD venha a se manifestar formalmente, por meio de ato regulamentar ou orientação, acerca dos padrões técnicos mínimos de segurança da informação. O processo permanece em fase de elaboração de relatório de AIR (Análise de Impacto Regulatório).

Agregadores de dados pessoais

Outro tema de grande relevância para diversos agentes de tratamento de dados pessoais são os agregadores de dados pessoais, também intitulados data brokers, os quais, por intermédio de tecnologias de raspagem bruta de dados, realizam buscas diversas na internet para coletar dados de forma direta ou indireta, resultando em grandes massas de informações, muitas vezes incluindo dados pessoais de titulares.

Esse tema foi incluído pela ANPD na Agenda Regulatória de 2025–2026 e novamente reiterado em Resolução CD/ANPD nº 31, de 2025. para definição de diretrizes acerca das medidas a serem adotadas, das hipóteses legais adequadas aos tratamentos de dados pessoais realizados pelos agregadores e dos limites ao uso de dados públicos ou tornados manifestamente públicos.

Tratamento de dados pessoais internacionais e decisões de adequação

Em 23 de agosto de 2025, encerrou-se o prazo de adaptação contratual para agentes de tratamento que utilizam cláusulas contratuais para realizar transferências internacionais de dados, conforme previsto na Resolução ANPD nº 19/2024.

Observa-se que a referida resolução impõe obrigações aos agentes de tratamento relacionadas à adoção de mecanismos válidos para a realização de transferências internacionais, sendo que um dos mecanismos possíveis é o reconhecimento de decisão de adequação emitida pela ANPD, considerando países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto na Lei nº 13.709.

Dessa forma, aguardam-se pareceres e decisões da ANPD referentes aos estudos sobre países que possuam níveis adequados de obrigações legais relacionadas ao tratamento de dados pessoais. Importa destacar que, em reunião plenária, o CEPD (Comitê Europeu para a Proteção de Dados) adotou parecer sobre o projeto de decisão da Comissão Europeia relativo ao nível adequado de proteção de dados pessoais no Brasil.

Seguros Cibernéticos

Por fim, vale destacar que o Marco Legal dos Seguros, Lei nº 15.040/2024, entrou em vigor em dezembro de 2025. A regulamentação introduz inovações e consolidações que devem ser consideradas na contratação de seguros cibernéticos, como a delimitação de coberturas e cláusulas excludentes, exigindo um alinhamento mais específico quanto ao escopo das apólices e seus respectivos processos, sempre considerando a volatilidade e a dinamicidade inerentes à tecnologia e aos riscos cibernéticos.

Cabe elucidar, nesse mesmo sentido, que, com a publicação da Resolução nº 498 do Banco Central do Brasil, o seguro cibernético passa a ser obrigatório para prestadores de serviços de tecnologia da informação que necessitam de acesso à Rede do Sistema Financeiro Nacional.

Dessa forma, espera-se que o ano de 2026 venha a se consolidar como um marco para a concessão de seguros cibernéticos.

Sobre o autor

Kevin Rufino da Silva, Encarregado de Proteção de Dados Pessoais (DPO) da Finch, com formação em Direito, pós-graduação em Direito Digital e Proteção de Dados Pessoais, e MBA em Data Science e Analytics. É certificado em Proteção de Dados e Segurança da Informação pela EXIN.