Novo regulamento do Marco Civil da Internet amplia poderes da ANPD e impõe deveres de governança e moderação; saúde digital e SaaS estão no alcance da norma.
O que aconteceu
O Decreto 12.975/2026, de 21 de maio de 2026, altera o Decreto 8.771/2016, regulamento do Marco Civil da Internet (Lei 12.965/2014), e inaugura um novo regime regulatório para provedores de aplicações de internet no Brasil. A norma incorpora ao plano regulamentar a tese fixada pelo STF em junho de 2025, no julgamento dos Temas 987 e 533 (RE 1.037.396 e RE 1.057.258), que declarou a inconstitucionalidade parcial e progressiva do artigo 19 do Marco Civil.
O ponto mais sensível é o prazo: o novo regramento entra em vigor em 20 de julho de 2026, com vacatio legis de apenas 60 dias para um volume expressivo de adequações. E há uma novidade institucional relevante para quem acompanha a agenda de proteção de dados: o decreto atribui à ANPD (Agência Nacional de Proteção de Dados) competências de fiscalização e estruturação administrativa que vão além do enforcement tradicional da LGPD.
Por que isso importa para o setor
Desde 2014, o artigo 19 do Marco Civil garantia que o provedor de aplicações só respondia civilmente por conteúdo de terceiros se descumprisse ordem judicial específica de remoção. O decreto consolida a inversão dessa lógica: a reserva de jurisdição deixa de ser regra e passa a ser exceção, restrita, na forma do novo artigo 16-J do Decreto 8.771/2016, aos crimes e ilícitos contra a honra e aos serviços expressamente excluídos.
A exclusão do artigo 16-O alcança provedores de e-mail, mensageria instantânea nas comunicações interpessoais protegidas pelo sigilo e videoconferência em grupo restrito. Mas atenção: a exclusão é parcial. Mesmo esses serviços permanecem sujeitos aos deveres estruturais do artigo 16-A, à autorregulação do artigo 20-A e às regras de anúncios e impulsionamentos dos artigos 16-K a 16-N.
O conceito de provedor de aplicações de internet é amplo: abrange qualquer aplicação de software que rode na internet. Isso inclui, além das redes sociais, serviços de streaming, plataformas educacionais e soluções de SaaS em geral. Para os mercados atendidos pela HDPO, o alcance é direto: plataformas de telemedicina, portais do paciente, aplicativos de operadoras e planos de saúde, ambientes virtuais de aprendizagem e sistemas de gestão hospitalar em nuvem podem se enquadrar, no todo ou em parte, no novo regime.
Implicações práticas para o Encarregado e o gestor
Para o DPO, o decreto cria uma segunda frente regulatória perante a mesma autoridade. A ANPD já vinha ampliando o rigor sobre dados sensíveis: o Mapa de Temas Prioritários do biênio 2026-2027 prevê fiscalizações concentradas em dados de saúde, biometria e dados financeiros, além de inteligência artificial e proteção de crianças e adolescentes. Agora, soma-se a competência sobre governança, moderação e transparência de plataformas.
Na prática, três movimentos merecem atenção imediata:
- Enquadramento: mapear quais serviços da organização (ou de seus fornecedores) se qualificam como provedores de aplicações sujeitos ao novo regime, e quais se beneficiam da exclusão parcial do artigo 16-O.
- Convergência normativa: os deveres de transparência e governança do decreto dialogam com obrigações já conhecidas da LGPD, como o registro das operações (artigo 37), o relatório de impacto (artigo 38) e a comunicação de incidentes disciplinada pela Res. 15/2024.
- Cadeia de fornecedores: contratos com plataformas, marketplaces de saúde e ferramentas de comunicação com pacientes e alunos devem ser revisados; a responsabilidade por conteúdo e a alocação de deveres de moderação passam a ser cláusulas relevantes de due diligence.
O que fazer a partir de agora
Com a vigência marcada para 20 de julho de 2026, recomenda-se um plano de resposta em quatro etapas:
- Inventariar as aplicações de internet operadas pela organização e classificá-las frente aos artigos 16-A a 16-O do Decreto 8.771/2016, na redação do Decreto 12.975/2026.
- Revisar termos de uso, políticas de moderação e canais de denúncia, documentando critérios e fluxos de decisão.
- Integrar o novo regime ao programa de privacidade existente: RIPD, gestão de incidentes (Res. 15/2024), dosimetria e boas práticas (Res. 4/2023) e governança de fornecedores.
- Designar responsabilidade interna clara: o Encarregado deve reportar à alta administração o grau de exposição e o cronograma de adequação, registrando as decisões tomadas.
Instituições que tratam dados sensíveis de saúde devem redobrar o cuidado: o mesmo regulador que fiscalizará a moderação de conteúdo é o que conduz a agenda de fiscalização de dados de saúde e biometria. Uma falha de governança em uma frente tende a atrair escrutínio na outra.
Como o ecossistema HDPO pode ajudar
O diagnóstico de enquadramento no novo regime pode ser conduzido dentro da rotina de governança já suportada pelo PROTEGON, com trilhas de evidência para inventário de ativos, gestão de fornecedores e planos de ação. O advisory da HDPO e o modelo DPOaaS permitem que organizações de saúde, educação e demais setores atendidos avaliem riscos e priorizem adequações antes da vigência da norma.
Sua organização já sabe se as plataformas que opera ou contrata se enquadram no regime do Decreto 12.975/2026? Fale com a HDPO para um diagnóstico de enquadramento e prontidão antes de 20 de julho.
Fontes

