A ANPD Ganhou Dentes em 2026 — e Plataformas Como Grok e TikTok Já Sentiram

Introdução

Durante muito tempo, o ambiente de proteção de dados e direitos digitais no Brasil funcionou com um paradoxo bem conhecido: existiam leis, existia uma agência reguladora, mas a percepção geral era de que as plataformas podiam fazer mais ou menos o que quisessem sem consequências reais. A LGPD tinha completado seus primeiros anos sem nenhuma multa de impacto relevante. A ANPD parecia mais um órgão consultivo do que um regulador com poder de enforcement.

Em 2026, essa percepção está sendo desafiada por uma sequência de movimentos institucionais que, analisados em conjunto, apontam para uma mudança de patamar na regulação digital brasileira.

Três episódios marcam esse novo momento:

Em janeiro, a ANPD, o Ministério Público Federal e a Senacon abriram investigação conjunta contra o Grok — a IA da empresa xAI, de Elon Musk — por permitir a geração de deepfakes sexuais a partir de dados de pessoas reais. O caso resultou em uma nota técnica que estabeleceu um precedente jurídico fundamental: conteúdo sintético gerado por IA que identifique uma pessoa real é tratamento de dados pessoais e está sujeito à LGPD.

Em fevereiro, a Lei 15.352/2026 transformou a ANPD em agência reguladora de natureza especial — equiparada à Anatel e à Anvisa — com autonomia funcional, técnica, financeira e decisória, e com a criação de 200 cargos de especialistas em fiscalização de dados.

Em março, o Ministério da Justiça notificou o TikTok por uma trend que viralizou na data do Dia Internacional da Mulher simulando agressões físicas contra mulheres — inaugurando a aplicação prática do conceito de "falha sistêmica" das plataformas antes mesmo de os decretos de maio serem publicados.

Nenhum desses três episódios é isolado. Eles fazem parte de um mesmo movimento de reconfiguração do poder regulatório sobre o ambiente digital no Brasil.

O caso Grok: quando a IA gerou um precedente jurídico histórico

Em 29 de dezembro de 2025, a xAI lançou a funcionalidade de geração de imagens do Grok. Em menos de doze dias, uma pesquisa do Center for Countering Digital Hate (CCDH) identificou que a ferramenta havia produzido mais de três milhões de conteúdos sexualizados — 23 mil deles envolvendo crianças e adolescentes. Uma imagem imprópria envolvendo menor era gerada a cada 41 segundos.

A reação institucional brasileira foi rápida. Em 14 de janeiro de 2026, a deputada federal Erika Hilton (PSOL-SP) acionou a ANPD e o Ministério Público Federal. O Idec apresentou denúncia formal à ANPD solicitando a suspensão imediata do Grok no país. Em 20 de janeiro, a ANPD publicou a Nota Técnica nº 1/2026/FIS/CGF/ANPD — um documento que foi rapidamente reconhecido como o precedente regulatório mais relevante sobre IA e proteção de dados já produzido no Brasil.

O argumento central da nota é simples, mas de enorme alcance: quando um sistema de IA gera conteúdo sintético — imagem, vídeo ou áudio — que se refira, direta ou indiretamente, a uma pessoa natural identificada ou identificável, esse conteúdo é dado pessoal nos termos da LGPD. Quando esse conteúdo envolver aspectos da vida sexual ou íntima, ou elementos biométricos, passa a ser dado pessoal sensível — categoria que exige base legal específica, consentimento explícito e controles muito mais rígidos.

Na prática, isso encerra uma discussão que o mercado vinha postergando: não existe zona cinzenta entre IA generativa e proteção de dados quando o conteúdo gerado envolve pessoas reais. A IA não é uma circunstância que neutraliza a incidência da LGPD. É apenas um novo instrumento pelo qual dados pessoais podem ser tratados — e violados.

A nota apontou violações múltiplas da conduta do Grok: ausência de base legal para o tratamento de dados sensíveis, desvio ao princípio da finalidade (as imagens originais não foram publicadas para servir de insumo à construção de conteúdo sexual), e inexistência de mecanismos eficazes de verificação de consentimento, idade e finalidade dos usos.

Em 11 de fevereiro, em conjunto com o MPF e a Senacon, a ANPD determinou que o X implemente imediatamente medidas técnicas para impedir a geração de conteúdos sexualizados pela ferramenta — com prazo definido e ameaça de multas e restrições de atividade no país.

O que o caso Grok significa para qualquer empresa que usa IA

O impacto desse precedente vai muito além do Grok e da plataforma X.

Qualquer empresa que utilize ferramentas de IA generativa em seus processos — seja para criar conteúdo de marketing, personalizar comunicações, analisar imagens de clientes, ou treinar modelos com bases de dados — precisa responder a uma pergunta que antes parecia retórica e agora tem peso regulatório concreto: os dados usados pela IA se referem a pessoas reais identificáveis?

Se a resposta for sim — mesmo que o uso pareça inofensivo, como usar fotos de clientes para personalizar campanhas ou usar dados de comportamento para treinar recomendações — a LGPD incide, a base legal precisa estar documentada, e o princípio da finalidade precisa ser respeitado. O conteúdo que a IA gera com esses dados não é neutro. É tratamento de dados pessoais.

Para empresas de marketing digital, isso tem implicações diretas: ferramentas de IA que geram criativos personalizados usando dados de audiência, sistemas de recomendação que cruzam comportamento de usuário com dados demográficos, e plataformas de anúncio que usam IA para segmentação avançada precisam ter seus fluxos de dados revisados sob essa nova lente.

A ANPD vira agência reguladora: o que mudou de verdade

Até fevereiro de 2026, a ANPD era vinculada diretamente à Presidência da República — o que, na prática, criava dependências políticas e orçamentárias que limitavam sua atuação. A Lei 15.352/2026, sancionada em 25 de fevereiro, mudou isso.

A nova lei transformou a ANPD em agência reguladora de natureza especial, com estrutura equiparada à Anatel e à Anvisa. Isso significa autonomia funcional, técnica, decisória, administrativa e financeira. O órgão passa a ter poder de atuar sem depender de aprovação política para cada investigação ou sanção. Suas decisões são baseadas em critérios técnicos, com muito menor exposição a interferências externas.

Além da autonomia, a lei criou 200 novos cargos de especialistas em regulação e proteção de dados, a serem preenchidos por concurso público. Em maio, logo após os decretos de plataformas digitais ampliarem as competências da agência, a ANPD solicitou formalmente a abertura do concurso. Mais técnicos significa mais fiscalização, investigações mais rápidas e aplicação de sanções mais consistentes.

As penalidades já previstas na LGPD continuam as mesmas — multa de até 2% do faturamento da empresa no Brasil, limitada a R$ 50 milhões por infração — mas passam a ser executadas em um contexto institucional muito mais robusto. A ANPD que existia há dois anos e a que existe hoje são estruturalmente diferentes.

Para as empresas, isso muda o cálculo de risco. O LGPD compliance deixou de ser uma obrigação de baixa probabilidade de fiscalização e passou a ser um risco operacional real, com órgão capacitado e motivado para agir.

TikTok notificado: o algoritmo que vira réu

Em 8 de março de 2026 — Dia Internacional da Mulher — uma trend viralizou no TikTok. Chamada de "treinando caso ela diga não", os vídeos mostravam homens simulando agredir fisicamente mulheres com chutes, socos e até armas de fogo, como resposta a uma recusa de namoro ou pedido de casamento. O conteúdo se espalhava pelo algoritmo de recomendação da plataforma em velocidade industrial.

A resposta do governo foi imediata. No dia 10 de março, o Ministério da Justiça e Segurança Pública (MJSP) enviou ofício ao TikTok exigindo resposta em cinco dias corridos sobre as medidas adotadas para detecção e supressão proativa de conteúdo misógino. A Polícia Federal instaurou inquérito e derrubou os perfis responsáveis pelas publicações. A AGU apresentou notícia-crime à PF no mesmo fim de semana.

O que torna esse episódio especialmente relevante, do ponto de vista regulatório, não é a notificação em si — mas o fundamento jurídico usado pelo MJSP. O ofício afirmou explicitamente que a circulação massiva da trend "suscita a possibilidade de falha sistêmica" da plataforma. E foi além: deixou claro que a obrigação do TikTok não se limitava à remoção dos conteúdos já requisitados pela Polícia Federal — o TikTok tinha o dever de agir proativamente, monitorando tendências emergentes e suprimindo o conteúdo antes que precisasse de ordem externa.

Isso aconteceu dois meses antes da publicação dos Decretos 12.975 e 12.976 — o que mostra que o conceito de falha sistêmica já estava sendo aplicado operacionalmente pelo governo antes mesmo de virar decreto. A lógica regulatória antecedeu a norma.

O MJSP também exigiu informações sobre o algoritmo de recomendação — se os perfis que disseminaram os conteúdos foram monetizados ou receberam contraprestação financeira pelo alcance gerado. É a primeira vez que o governo brasileiro questiona formalmente a relação entre monetização algorítmica e amplificação de conteúdo violento.

O fio que conecta os três casos

Grok, ANPD reguladora e TikTok não são três histórias separadas. São capítulos de uma mesma narrativa: o fim do período em que as big techs operavam no Brasil com responsabilidade difusa e fiscalização frouxa.

O caso Grok estabeleceu que a IA não é uma zona de imunidade regulatória — conteúdo sintético que envolve pessoas reais é dado pessoal, ponto final.

A Lei 15.352 deu à ANPD a estrutura institucional que ela precisava para fiscalizar com consistência — e o sinal político de que o Estado brasileiro leva esse papel a sério.

A notificação do TikTok mostrou que o conceito de "falha sistêmica" — que será o eixo central da responsabilidade das plataformas nos anos seguintes — já está sendo aplicado na prática, mesmo antes de estar consolidado em legislação.

Juntos, esses movimentos descrevem um ambiente regulatório que está amadurecendo rapidamente. Para empresas que operam no digital — seja como plataformas, anunciantes, desenvolvedores ou prestadores de serviços que tratam dados —, o momento pede revisão de práticas, não espera por novas notificações.

O que sua empresa precisa fazer agora

A transformação da ANPD em agência reguladora plena e a sequência de ações fiscalizatórias de 2026 deixam mensagens práticas muito concretas para empresas de qualquer porte.

Revise como sua empresa usa IA que envolve dados de pessoas reais. Segmentação de público, personalização de conteúdo, reconhecimento de imagem, análise de comportamento — todos esses usos precisam ter base legal clara documentada e finalidade compatível com a coleta original dos dados.

Documente sua governança de dados. A ANPD mais forte significa auditorias mais frequentes e criteriosas. Empresas que não conseguem mostrar, em papel, quem trata quais dados, com qual finalidade e sob qual base legal, estão expostas — independentemente de terem cometido violações deliberadas.

Atenda prontamente notificações de remoção de conteúdo. A lógica da falha sistêmica implica que demora na resposta a notificações pode ser usada como evidência de omissão estrutural. Não existe mais a proteção automática de esperar a ordem judicial.

Nomeie ou contrate um DPO (encarregado de dados). Com a ANPD mais ativa e com 200 especialistas chegando por concurso, não é mais prudente deixar a governança de dados sob responsabilidade informal. Um DPO — interno ou como serviço terceirizado — é o ponto de contato que a lei exige e que reduz significativamente o risco em caso de investigação.

Conclusão

Os três episódios de 2026 — Grok, ANPD reguladora e TikTok — são, cada um por si, relevantes. Mas é a combinação dos três que revela o tamanho da mudança em curso.

O Brasil saiu de um modelo em que a proteção de dados e o direito digital eram áreas de conformidade de baixo risco para um modelo em que há órgão técnico autônomo, precedentes jurídicos consolidados sobre IA, e disposição institucional clara de usar as ferramentas disponíveis. As plataformas sentiram. As empresas que tratam dados precisam entender que o próximo a sentir pode não ser uma big tech — pode ser uma empresa menor, com menos estrutura para absorver o impacto.

A SecSirius acompanha esse ambiente regulatório de perto. Se você quer entender como sua empresa está posicionada diante dessas mudanças e o que precisa ajustar, fale com a nossa equipe.

Fontes

• ANPD — Nota Técnica nº 1/2026/FIS/CGF/ANPD: Sistema de IA Grok. Possíveis violações à LGPD — gov.br/anpd

• ANPD, MPF e Senacon — Recomendação Conjunta — Caso Grok — ids.org.br

• Campos Thomaz Advogados — ANPD publica Nota Técnica sobre geração de deepfakes sexuais pelo Grok — camposthomaz.com

• Martinelli Advogados — ANPD, MPF e Senacon determinam correções imediatas no Grok — martinelli.adv.br

• Café com Bytes — Violência Digital, Inteligência Artificial e Proteção de Dados: Nota Técnica 1/2026 da ANPD — cafecombytes.com.br

• Poder360 — ANPD pede concurso após Lula ampliar poder da agência — poder360.com.br

• Migalhas — ANPD como Agência Nacional, o ECA Digital e a LGPD: Impacto na empresa — migalhas.com.br

• SEPRORGS — Nova lei fortalece a ANPD e eleva a regulação de proteção de dados no Brasil — seprorgs.org.br

• Metrópoles — Governo dá prazo para TikTok responder sobre trend "caso ela diga não" — metropoles.com

• Ministério da Justiça — MJSP pede explicações ao TikTok sobre trend que incentiva violência contra mulheres — gov.br/mj

• Ministério da Justiça — Proteção digital ganha reforço com novas regras, fiscalização de plataformas e ações de IA — gov.br/mj

Publicado por SecSirius Tecnologia Digital — Marketing Digital & Cibersegurança para empresas que querem crescer com estratégia.

SecSIRIUS

Tecnologia Digital que une inovação e resultados para fazer seu negócio crescer de forma segura e sustentável.

Informações

redes sociais

SecSIRIUS Tecnologia Digital

CNPJ: 62.293.719/0001-15

São Paulo, SP

© 2026 SecSIRIUS Tecnologia Digital. Todos os direitos reservados.