ANPD no Centro do Ecossistema Digital: Novos escopos em I.A, proteção de crianças e regulação do ambiente online.

O Brasil está passando por uma reorganização regulatória relevante no ambiente digital. Duas frentes recentes colocam a Autoridade Nacional de Proteção de Dados (ANPD) como protagonista: (i) a coordenação do Sistema Nacional de Regulação e Governança de Inteligência Artificial (SIA), prevista no PL 2.338/2023; e (ii) a designação da ANPD, por decreto, como autoridade administrativa autônoma responsável por proteger crianças e adolescentes em ambientes digitais, no contexto do chamado “ECA Digital”. Essas mudanças chegam num país que figura entre os mais visados por ameaças cibernéticas na América Latina e em que o uso da internet por crianças cresce de forma acelerada, o que reforça a urgência de políticas públicas e governança corporativa robustas.

ANPD COMO COORDENADORA DO SISTEMA NACIONAL DE IA

Em junho de 2024, a ANPD divulgou que o parecer do relator do PL 2.338/2023 no Senado Federal formalizou a Autoridade como órgão de coordenação do SIA. Na prática, isso significa atribuições como representar o Brasil em organismos internacionais, firmar acordos regulatórios com outros integrantes do sistema e expedir orientações normativas gerais, inclusive sobre certificação e acreditação, para harmonizar a governança de IA no país. Essa centralidade segue tendência internacional que aproxima proteção de dados e regulação de IA. GOV.BR – ANPD

O Projeto avançou no Senado e tramita na Câmara dos Deputados, em Comissão Especial. Entre os pilares do texto, estão a classificação de risco de sistemas de IA e a exigência de Avaliação de Impacto Algorítmico para aplicações de alto risco, um instrumento que dialoga diretamente com o Relatório de Impacto à Proteção de Dados (RIPD) previsto na LGPD. A consolidação desse marco tende a reduzir a assimetria regulatória e oferecer previsibilidade para o

setor privado. SENADO FEDERAL – MARCO LEGAL DE I.A

Impactos práticos

• Coerência regulatória: a coordenação pela ANPD facilita a convergência entre princípios de privacidade (LGPD) e requisitos setoriais de IA (transparência, segurança, não discriminação).
• Mais obrigações ex ante: aplicações de alto risco podem demandar avaliações técnicas, jurídicas e organizacionais antes do deploy (tornar uma aplicação ou software disponível para uso pelos seus usuários finais).
• Interlocução única: para empresas e órgãos públicos, ter a ANPD como coordenadora reduz incertezas sobre quem “puxa” a agenda de IA em âmbito federal.

ECA DIGITAL: ANPD COMO AUTORIDADE AUTÔNOMA PARA PROTEÇÃO DE CRIANÇAS E ADOLESCENTES

Em setembro de 2025, foi sancionada a Lei nº 15.211/2025 (apelidada de “ECA Digital”), que impõe obrigações a plataformas, lojas de aplicativos, sistemas operacionais, jogos e serviços digitais voltados ou acessíveis a menores de 18 anos, com foco em “prevenção por desenho”, verificação de idade confiável, ferramentas de supervisão familiar e transparência sobre moderação de conteúdo. Na mesma data, o Decreto nº 12.622/2025 designou a ANPD como autoridade administrativa autônoma encarregada de fiscalizar e punir o descumprimento dessas regras, além de editar regulamentos e procedimentos para sua implementação. CÂMARA DOS DEPUTADOS – ECA DIGITAL – PLANALTO – DECRETO Nº 12.622  

A partir desse arranjo, a ANPD amplia seu escopo tradicional de proteção de dados e passa a liderar a regulação prática do ambiente digital infantil, com poderes sancionatórios e obrigações de compliance específicas para provedores, por exemplo, vinculação de contas de menores a responsáveis, restrições a “loot boxes” (packs de itens) em games e relatórios semestrais de riscos/moderação para plataformas com grande base de usuários jovens. O desenho regulatório indica fiscalização contínua e integração com outros órgãos, inclusive para dar efetividade a medidas legais e judiciais previstas na nova lei.

Por que isso importa agora

• Ameaças crescentes: no 1º semestre de 2024, o Brasil foi o 4º país com mais ameaças digitais detectadas na América Latina, segundo pesquisa citada pela CNN Brasil, um recado claro de que o ambiente de risco é real e persistente. CNN Brasil
• Exposição precoce das crianças: dados do Cetic.br, reportados pela Agência Brasil, mostram que o uso de internet entre 6 e 8 anos dobrou em uma década (de 41% em 2015 para 82% em 2024), com altas também nas faixas de 0–2 e 3–5 anos. Esse aumento pressiona escolas, famílias, e agora reguladores e empresas a entregarem proteção por design e por padrão. AGÊNCIA BRASIL

O QUE MUDA PARA EMPRESAS E PARA O PAÍS

(a) Fiscalização mais transversal: com IA e proteção infantil sob a mesma “guarda”, a ANPD tende a padrões unificados de governança (transparência, prestação de contas, gestão de riscos, segurança) que se aplicam tanto a dados pessoais quanto a ciclos de vida de sistemas algorítmicos. Isso favorece coerência regulatória, mas eleva a régua de conformidade, sobretudo para plataformas, adtechs, edtechs, fintechs e provedores de infraestrutura digital.

(b) Segurança da informação como base: em cenário de alta incidência de malware, phishing e exploração de vulnerabilidades, controles de segurança (gestão de identidades, criptografia, hardening, monitoramento, backup e resposta a incidentes) deixam de ser “só TI” e passam a compor evidências regulatórias, inclusive em auditorias, sanções e negociações com autoridades.

(c) Convergência com padrões globais: avaliações de impacto, registros de treinamento de modelos, explainability proporcional ao risco e guardrails para dados sensíveis de menores alinham o Brasil a regimes comparáveis (UE, Reino Unido), com potencial de facilitar interoperabilidade regulatória e cooperação internacional, algo já no DNA institucional da ANPD.

A LACUNA CORPORATIVA EM IA: O RECADO DOS DADOS

Se, de um lado, o país avança na regulação, de outro, a governança corporativa de IA ainda patina. Levantamento de julho de 2025 mostra que 87% das organizações no Brasil não possuem política de governança de IA e 61% admitem não ter controles de acesso às ferramentas de IA. O mesmo estudo associa menores custos de incidentes às empresas que adotam IA e automação de forma segura — evidência de que governança reduz risco e impacto financeiro.

Esse “gap” explica por que o PL 2.338/2023 é oportuno: ao desenhar obrigações proporcionais ao risco, estimula a institucionalização de processos (inventário de modelos, gestão de dados de treinamento, avaliações de impacto, auditoria e logging, comitês de ética/IA) que o setor privado ainda não consolidou, mas que serão cobrados por reguladores, clientes e tribunais.

COMO SE PREPARAR: PASSOS PRÁTICOS PARA REDUZIR RISCOS LEGAIS E CIBERNÉTICOS

Abaixo, um roteiro pragmático de conformidade e proteção que integra LGPD, SIA (PL 2.338/2023) e ECA Digital. O foco é orientar — não substituir consultoria jurídica específica a cada caso.

1. Mapeie dados e sistemas de IA (inventário vivo): liste finalidades, bases legais, fluxos, fornecedores, dados de treinamento/inferência e públicos sensíveis (especialmente menores). Classifique o risco algorítmico por caso de uso.

2. Política de Governança de IA: formalize papéis (board, DPO, CISO, time de IA), padrões de explicabilidade, gestão de vieses, ciclos de ML (MLOps), uso aceitável e “shadow AI”. Inclua controles de acesso a modelos e prompts, segregação de ambientes e retenção de logs para auditoria.

3. Avaliações de impacto (AIA + RIPD): para casos de alto risco (ex.: scoring, seleção/triagem, decisões com efeitos jurídicos), realize avaliação técnico-jurídica antes do deploy, com mitigadores claros e teste de robustez/segurança.

4. Proteção infantil por design: implemente verificação de idade confiável, supervisão familiar, configurações mais protetivas por padrão e procedimentos ágeis para detecção/remoção de conteúdos ilícitos (inclusive reporte às autoridades). Documente controles e publique relatórios quando aplicável.

5. Segurança ciber-fortalecida: IAM forte, MFA, gestão de vulnerabilidades, criptografia em repouso/trânsito, backup testado, detecção e resposta (EDR/XDR) e exercícios de resposta a incidentes integrando TI, jurídico e comunicação. Isso reduz exposição num país com alta atividade maliciosa.

6. Gestão de terceiros: due diligence de fornecedores (especialmente modelos/fundações, APIs e provedores que tratam dados de menores), cláusulas de segurança/privacidade e avaliações periódicas de continuidade e conformidade.

7. Transparência e treinamento: comunique limitações de IA, riscos residuais e direitos de titulares; treine times sobre uso responsável de IA e proteção infantil.

8. Monitoramento regulatório contínuo: acompanhe atos normativos e guias da ANPD sobre IA e ECA Digital; antecipe-se a consultas públicas e atualize políticas internas conforme a regulação evoluir.

A ampliação do escopo da ANPD coordenando o sistema nacional de IA e assumindo a regulação do ambiente digital infantil é um marco institucional que tende a integrar privacidade, segurança e responsabilidade algorítmica sob um mesmo guarda-chuva. Em paralelo, o país convive com alta incidência de ameaças cibernéticas e maior exposição de crianças à internet, o que reforça a urgência de governança corporativa efetiva e proteção por design. Para evitar riscos legais e cibernéticos, o caminho passa por políticas reais (e não apenas “no papel”), avaliações de impacto, segurança robusta, accountability e diálogo proativo com a regulação. É assim que se protege o negócio, os titulares (especialmente os menores) e se constrói conformidade sustentável no Brasil digital.