ANPD no Marco Civil: o novo super-regulador digital

Decretos 12.975 e 12.976 de 2026 entregam à ANPD a fiscalização do Marco Civil; entenda o que a concentração regulatória significa para a saúde.

O que aconteceu

Em 21 de maio de 2026, o Diário Oficial da União publicou os Decretos nº 12.975/2026 e nº 12.976/2026, que reescrevem parte relevante da regulamentação do Marco Civil da Internet (Lei nº 12.965/2014). Os textos incorporam ao plano infralegal os deveres fixados pelo Supremo Tribunal Federal no julgamento sobre a constitucionalidade do art. 19 do Marco Civil (Tema 987, RE 1.037.396, e Tema 533, RE 1.057.258). O ponto que mais interessa ao público de privacidade está no desfecho institucional: a competência para editar guias, expedir regulamentações específicas e fiscalizar o cumprimento dos novos deveres ficou com a Autoridade Nacional de Proteção de Dados (ANPD).

O Decreto nº 12.975/2026 altera o Decreto nº 8.771/2016 e detalha obrigações dos provedores de aplicações de internet em quatro frentes: guarda de registros (com a exigência de associar a porta lógica de origem ao endereço IP), estrutura e governança (sede e representante legal no Brasil, com poderes amplos), transparência e devido processo (canais de denúncia, justificativa para remoção ou manutenção de conteúdo e direito de contestação) e o dever de cuidado diante de riscos sistêmicos, definidos por um rol taxativo de condutas tipificadas como crime. O Decreto nº 12.976/2026 institui um regime de proteção às mulheres no ambiente digital e fixa prazo de duas horas para remoção de conteúdo íntimo divulgado sem autorização após notificação. Ambos entram em vigor após vacatio legis de 60 dias.

Por que isso importa para o setor

A leitura apressada trata o tema como assunto exclusivo das grandes plataformas. A consequência estrutural, porém, alcança todo o ecossistema de dados. Com os novos decretos, a ANPD passa a concentrar a tutela de três regimes que antes pareciam paralelos: a LGPD (Lei nº 13.709/2018), o ECA Digital e, agora, o Marco Civil da Internet. Consolida-se a figura de uma autoridade central da governança digital brasileira, com mandato que extrapola a proteção de dados pessoais em sentido estrito.

Para hospitais, clínicas, laboratórios, operadoras e healthtechs, a mensagem é dupla. Primeiro, muitas dessas instituições já operam aplicações de internet: portais do paciente, aplicativos de telemedicina, agendamento on-line, canais de atendimento e comunidades digitais. Quando há interação, conteúdo de usuários e moderação, parte das exigências de transparência, denúncia e governança passa a ser referência de boas práticas, ainda que o foco dos decretos seja outro. Segundo, e mais importante, o fortalecimento institucional da ANPD, somado ao pedido de concurso com 200 vagas protocolado em maio, sinaliza uma autoridade mais robusta e com maior apetite fiscalizatório. Em um setor que trata dados sensíveis por natureza (art. 5º, II, da LGPD), a probabilidade de supervisão concreta deixa de ser hipótese remota.

Implicações práticas para o Encarregado

A primeira implicação é interpretativa. O Encarregado deixa de operar a LGPD como ilha normativa e precisa ler privacidade, segurança da informação, responsabilidade de provedores e proteção de grupos vulneráveis como um conjunto coordenado, sob a mesma autoridade. Decisões sobre retenção de logs, por exemplo, ganham nova camada: a exigência de guarda da porta lógica de origem associada ao IP eleva o detalhamento técnico esperado dos registros de acesso e conexão.

A segunda implicação é documental. Os decretos reforçam a lógica de accountability já presente no art. 50 da LGPD: políticas internas formalizadas, registros de atividades, fluxos auditáveis de denúncia e contestação, e relatórios de transparência. Instituições de saúde que mantêm canais digitais com interação de pacientes devem tratar esses fluxos como processos governados, não como funcionalidades de TI.

A terceira implicação é contratual. A revisão de contratos com operadores e fornecedores de tecnologia volta ao centro. Cláusulas de responsabilidade, prazos de resposta a notificações, padrões de moderação e obrigações de transparência precisam refletir o novo patamar regulatório, sob pena de o controlador herdar riscos que poderiam ser distribuídos.

O que fazer a partir de agora

O prazo de 60 dias de vacatio legis é curto para organizações que ainda tratam governança de forma reativa. Quatro movimentos são prioritários. Revisar a política de retenção e os registros de acesso, verificando a viabilidade técnica de associar porta lógica ao IP onde aplicável. Mapear os canais digitais próprios que recebem conteúdo de usuários e avaliar os fluxos de denúncia, moderação e contestação. Atualizar o inventário de dados e as análises de base legal, com atenção especial aos dados sensíveis de saúde. Reavaliar contratos com operadores, alinhando prazos de resposta e responsabilidades às novas exigências.

Vale ainda acompanhar de perto a regulamentação complementar: o próprio decreto delega à ANPD a definição de critérios sensíveis, como a distinção entre falha sistêmica e situação isolada na moderação de conteúdo. Guias e resoluções deverão detalhar esses contornos nos próximos meses, e a postura proativa hoje reduz o custo de adequação amanhã.

Como o ecossistema HDPO pode ajudar

A consolidação da ANPD como autoridade central da governança digital favorece quem já trata privacidade como função estratégica, e não como obrigação isolada. O acompanhamento regulatório contínuo, a revisão de políticas e contratos e a estruturação de fluxos auditáveis são exatamente o terreno em que o trabalho de DPO as a Service e o advisory da HDPO, apoiados pela plataforma PROTEGON, agregam valor. Antecipar-se ao fim da vacatio legis é a forma mais econômica de transformar uma mudança regulatória em vantagem de maturidade.