A semana foi densa para o ecossistema de proteção de dados no Brasil. A ANPD ganhou nova estrutura institucional, sinalizou posição relevante sobre treinamento de IA, e ainda preparou tomada de subsídios para o ECA Digital. No Judiciário, o STJ trouxe alívio para controladores em ações de massa. E, no campo da segurança, mais um suposto vazamento massivo voltou a expor a fragilidade do ecossistema brasileiro de identificação por CPF.
A seguir, o resumo executivo da semana e a leitura HDPO sobre o que isso significa para a sua operação.
⭐ Destaque da semana
ANPD sinaliza legítimo interesse como base para treinamento de IA generativa
A Autoridade Nacional de Proteção de Dados manifestou posição favorável ao uso do legítimo interesse (art. 7º, IX da LGPD) como base legal para o tratamento de dados pessoais voltado ao treinamento de modelos de inteligência artificial generativa. A sinalização é especialmente relevante para controladores que vinham operando em zona cinzenta, sem clareza sobre qual hipótese autorizativa adotar para alimentar seus próprios sistemas ou enviar dados a fornecedores de IA.
Por que isso importa para clientes HDPO:
- O legítimo interesse não é um cheque em branco — exige teste de balanceamento documentado (LIA), análise de expectativa razoável do titular e adoção de salvaguardas proporcionais.
- Dados sensíveis (saúde, biometria, etc.) continuam fora dessa base — exigem consentimento específico ou outra hipótese do art. 11.
- Operadores do setor de saúde devem ser especialmente cautelosos: o uso de prontuários, exames ou imagens médicas para treinar IA pressupõe anonimização robusta ou autorização específica.
O que fazer agora:
- Mapear se sua organização treina, ajusta (fine-tuning) ou alimenta modelos de IA com dados pessoais.
- Revisar ou elaborar o RIPD/DPIA específico para o tratamento.
- Documentar o LIA com as três etapas: finalidade legítima, necessidade e balanceamento.
- Garantir transparência ativa ao titular (aviso de privacidade atualizado).
🔗 Fonte: Mobile Time, 29/04/2026
📌 Nesta edição
🏛️ ANPD ganha nova estrutura e se consolida como agência reguladora
O Decreto 12.881/2026 reorganiza a Autoridade em 6 superintendências, ampliando significativamente seu poder de fiscalização e capacidade operacional. A medida confirma a trajetória da ANPD rumo ao status pleno de agência reguladora, com mais autonomia técnica, orçamentária e funcional.
Impacto prático: mais investigações, mais fiscalizações setoriais e maior probabilidade de aplicação efetiva de sanções dosadas conforme a Resolução ANPD nº 4/2023. Controladores que adiaram a adequação devem reavaliar a postura — o custo de não-conformidade tende a subir.
🏥 LGPD na saúde: hospitais e clínicas seguem expostos sem perceber
Reportagem do Migalhas escancara o que a HDPO observa há anos no setor: WhatsApp para envio de exames, e-mails pessoais de profissionais e canais informais continuam sendo as principais brechas. As multas podem chegar a R$ 50 milhões por infração segundo a dosimetria atualizada da ANPD.
Pontos sensíveis na operação típica de saúde:
- Compartilhamento de imagens e laudos por aplicativos não corporativos.
- Acesso compartilhado a sistemas (logins genéricos por equipe).
- Falta de DPA com laboratórios de apoio e empresas terceirizadas.
- Ausência de treinamento contínuo da equipe assistencial.
Recomendação HDPO: essa é justamente a frente trabalhada pelo programa de adequação setorial em saúde — diagnóstico, riscos mapeados, ações priorizadas. Clientes em ciclo ativo de adequação devem revisar especialmente os controles de canais de comunicação com pacientes.
🔗 Fonte: Migalhas (Depeso), 2026
⚖️ STJ: vazamento de dados não gera dano moral presumido
Decisão recente do Superior Tribunal de Justiça firmou entendimento de que o simples vazamento de dados pessoais não enseja dano moral in re ipsa — ou seja, o titular precisa comprovar dano efetivo para obter reparação.
O que muda:
- Defesas em ações de massa ganham fundamento jurisprudencial mais sólido.
- Persiste a obrigação de notificação de incidentes (Resolução ANPD nº 15/2024).
- A responsabilização administrativa pela ANPD é independente da civil.
Atenção: a decisão não desonera o controlador das obrigações de segurança da informação, governança e notificação. Ela apenas equilibra o ônus probatório nas ações indenizatórias individuais. Investir em prevenção continua sendo a estratégia mais eficiente.
Suposto vazamento MORGUE expõe 251 milhões de CPFs na dark web
Plataforma denunciou suposto vazamento de 251 milhões de CPFs na dark web. O Governo Federal nega que tenha havido invasão a sistemas oficiais, mas o caso reacende preocupações sobre a circulação massiva de dados de identificação no mercado paralelo.
O que controladores devem fazer:
- Reforçar autenticação — CPF nunca deve ser usado isoladamente como identificador para acesso a serviços sensíveis.
- Revisar processos de KYC — vincular CPF a outros fatores de verificação (biometria, e-mail validado, dispositivo conhecido).
- Monitorar uso indevido — implementar alertas para tentativas de fraude usando dados de clientes.
- Atualizar comunicação — orientar titulares sobre práticas de proteção e canais oficiais.
Para o setor de saúde, o alerta é ainda mais sério: muitos sistemas de prontuário e agendamento ainda usam CPF como chave única de acesso ou consulta.
👶 ANPD prepara guia de verificação etária para o ECA Digital
A ANPD abriu tomada de subsídios até maio para construir um guia de verificação etária no contexto do ECA Digital. Controladores que tratam dados de crianças e adolescentes — incluindo plataformas educacionais, redes sociais, jogos online, aplicativos de saúde infantil e clínicas pediátricas — precisam acompanhar de perto.
Pontos a antecipar:
- O tratamento de dados de menores tem regime jurídico próprio (art. 14 da LGPD).
- Verificação etária não pode, em si, gerar tratamento excessivo (princípio da minimização).
- Consentimento parental tem requisitos específicos de coleta e validação.
- Plataformas voltadas a adultos têm dever ativo de evitar acesso de menores.
Recomendação HDPO: organizações que tratam dados de menores devem participar da consulta pública e revisar suas políticas de cadastro, controles de idade e canais de exercício de direitos por responsáveis legais.
📝 Síntese estratégica HDPO
A semana consolida três tendências que vimos acompanhando:
- Maturidade institucional da ANPD. A nova estrutura, somada à postura ativa em IA e ECA Digital, confirma que a Autoridade está saindo da fase pedagógica e entrando na fase fiscalizatória madura.
- Pressão crescente sobre o setor de saúde. Não é mais possível tratar a LGPD como “projeto de TI”. A integração com governança clínica, contratos com fornecedores e fluxos operacionais é mandatória.
- Reequilíbrio judicial sem afrouxamento regulatório. A jurisprudência do STJ traz previsibilidade ao polo passivo, mas a responsabilização administrativa segue forte. Programas robustos de adequação são o melhor seguro disponível.
📞 Fale com a HDPO
Quer entender como estes temas impactam sua operação especificamente? Nossa equipe está à disposição:
- 🌐 hdpo.com.br
- ✉️ [email protected]
- 💬 (31) 99313-0015
Este boletim é uma curadoria editorial da HDPO. As opiniões expressas refletem a leitura técnica da equipe HDPO e não substituem assessoria jurídica para casos concretos. Os conteúdos referenciados pertencem aos respectivos veículos de origem.
