trilha regulatória

as fontes oficiais, reunidas com olho de DPO.

uma trilha de referência para as duas jurisdições do Sendahub: LGPD no Brasil e GDPR na Europa. apontamos direto para o conteúdo oficial das autoridades: a fonte, não a nossa interpretação. as descrições são escritas pelo nosso DPO.

brasil · lgpd

o que vale no Brasil

autoridade

Agência Nacional de Proteção de Dados ANPD

A Agência Nacional de Proteção de Dados (ANPD) é uma Agência Reguladora vinculada ao Ministério da Justiça e Segurança Pública, que tem como missão zelar pela proteção de dados pessoais orientada pela Lei nº 13.709, de 14 de agosto de 2018, a Lei Geral de Proteção de Dados (LGPD), e zelar pela aplicação da Lei nº 15.211, de 17 de setembro de 2025, Estatuto Digital da Criança e do Adolescente (ECA Digital).

a lei

Lei Geral de Proteção de Dados Lei nº 13.709/2018

A LGPD (Lei nº 13.709/2018) é a lei brasileira que regula o tratamento de dados pessoais, definindo direitos dos titulares, deveres de controladores e operadores, e as bases legais para o tratamento.

Entrou em vigor de forma escalonada: a maior parte em setembro de 2020, e as sanções (multas) em agosto de 2021.

Aplica-se a qualquer tratamento de dados pessoais por pessoa física ou jurídica, pública ou privada, quando o tratamento ocorre no Brasil, visa oferecer bens ou serviços no país, ou envolve dados de pessoas em território nacional.

guias e conteúdos

Guias e regulamentações da ANPD

os guias e as resoluções da ANPD que um consultor realmente usa no dia a dia.

  • 01
    Regulamento sobre a atuação do Encarregado pelo Tratamento de Dados Pessoais Resolução CD/ANPD nº 18/2024: papel, atribuições e a forma de atuação do encarregado (DPO).
    link oficial ↗ (abre em nova aba)
  • 02
    Regulamento de Dosimetria e Aplicação de Sanções Administrativas Resolução CD/ANPD nº 4/2023: como a ANPD calcula e aplica sanções (dosimetria das multas).
    link oficial ↗ (abre em nova aba)
  • 03
    Guia Orientativo: Atuação do encarregado pelo tratamento de dados pessoais guia prático da ANPD: orientações sobre o papel e o dia a dia do encarregado, complementa o regulamento.
    link oficial ↗ (abre em nova aba)
ver mais na central de conteúdos da ANPD (abre em nova aba)
regime adicional · em vigor desde 17/03/2026

Estatuto Digital da Criança e do Adolescente ECA Digital

autoridade

Agência Nacional de Proteção de Dados ANPD

A ANPD, a mesma autoridade que fiscaliza a LGPD, também zela pela aplicação do ECA Digital. É a ANPD quem emite as orientações sobre mecanismos confiáveis de aferição de idade e conduz a fiscalização, que passa a ser plena em janeiro de 2027.

a lei

Estatuto Digital da Criança e do Adolescente Lei nº 15.211/2025

A Lei nº 15.211/2025, o ECA Digital, dispõe sobre a proteção de crianças e adolescentes em ambientes digitais. Foi regulamentada pelo Decreto nº 12.880/2026 e está em vigor desde 17 de março de 2026.

Aplica-se a qualquer produto ou serviço digital direcionado a criança ou adolescente, ou de acesso provável por eles, independentemente de onde esteja a empresa que o oferece.

guias e conteúdos

Guias e referências do ECA Digital

as referências que ajudam a entender quem se enquadra e o que a lei espera.

  • 01
    Orientações preliminares da ANPD sobre aferição de idade orientações sobre mecanismos confiáveis de aferição de idade, a base do fim da autodeclaração.
    link oficial ↗ (abre em nova aba)
  • 02
    Guia sobre escopo e obrigações gerais de fornecedores o que a lei espera de fornecedores de produtos e serviços de tecnologia da informação.
    link oficial ↗ (abre em nova aba)
regime adicional · a partir de 20/07/2026

Marco Civil da Internet

autoridade

Agência Nacional de Proteção de Dados ANPD

A partir de 20 de julho de 2026, a ANPD concentra também a competência de fiscalizar o novo regime do Marco Civil, ao lado do seu papel na LGPD.

a lei

Marco Civil da Internet Lei nº 12.965/2014

A Lei nº 12.965/2014 é o Marco Civil da Internet, que estabelece princípios, garantias, direitos e deveres para o uso da internet no Brasil.

Foi alterada pelo Decreto nº 12.975/2026 e pelo Decreto nº 12.976/2026, que criam deveres novos para plataformas que hospedam conteúdo de terceiros, em vigor a partir de 20 de julho de 2026.

guias e conteúdos

Guias e referências do Marco Civil

as referências que ajudam a entender quem se enquadra e o que muda.

europa · gdpr

o que vale na Europa

autoridade

European Data Protection Board EDPB

O EDPB é o comitê que garante a aplicação uniforme do GDPR na União Europeia. Faz isso de duas formas: emite orientações sobre como interpretar a lei (diretrizes, pareceres) e toma decisões vinculantes para resolver conflitos entre as autoridades nacionais de proteção de dados, sobretudo em casos de tratamento de dados entre países.

Atua de forma independente e também assessora a Comissão Europeia em temas de proteção de dados.

a lei

Regulamento Geral sobre a Proteção de Dados Regulamento (UE) 2016/679

O GDPR (Regulamento (UE) 2016/679) é o regulamento europeu de proteção de dados pessoais, aplicável em toda a União Europeia desde 25 de maio de 2018. Define princípios, bases legais, direitos dos titulares e obrigações de controladores e operadores.

Tem alcance extraterritorial: aplica-se também a organizações fora da UE que ofereçam bens ou serviços a pessoas na União ou monitorem o seu comportamento.

O descumprimento pode levar a multas de até 20 milhões de euros ou 4% do faturamento global anual da empresa, o que for maior.

diretrizes e autoridades nacionais

Diretrizes do EDPB e autoridades nacionais DPAs

as diretrizes do EDPB e as autoridades nacionais (DPAs) que um consultor usa como referência no dia a dia.

  • 01
    Diretrizes, recomendações e boas práticas do EDPB como interpretar o GDPR na prática: consentimento, transferências internacionais, legítimo interesse e mais.
    link oficial ↗ (abre em nova aba)
  • 02
    CNIL, autoridade nacional (França) uma das DPAs mais ativas da UE, com guias práticos e decisões de referência.
    link oficial ↗ (abre em nova aba)
  • 03
    AEPD, autoridade nacional (Espanha) autoridade espanhola de proteção de dados, com materiais e orientações amplamente referenciados.
    link oficial ↗ (abre em nova aba)
ver todas as autoridades nacionais (DPAs) no EDPB (abre em nova aba)
horizonte regulatório

onde está o EU AI Act

parte do prazo esticou, mas nem tudo mudou. o alto risco ganhou mais tempo; a transparência e as novas proibições seguem valendo em 2026. abaixo, o que esticou e o que continua de pé, com as datas certas.

o que ganhou mais prazo

  • alto risco do Anexo III uso autônomo: recrutamento, crédito, educação, serviços essenciais. antes valia a partir de 2 de agosto de 2026, agora com 16 meses a mais.
    2 dez 2027
  • IA embarcada em produtos regulados (Anexo I) dispositivos médicos, elevadores, maquinário. antes: 2 de agosto de 2027.
    2 ago 2028

o que segue valendo em 2026

  • transparência (Art. 50) informar quando a pessoa está diante de uma IA. sem mudança.
    2 ago 2026
  • marcação de conteúdo sintético watermarking. prorrogação menor, de 4 meses, e só para sistemas já no mercado antes de agosto de 2026.
    2 dez 2026
  • nova proibição (Art. 5) contra IA que gere CSAM ou imagens íntimas não consentidas. cumprimento a partir desta data.
    2 dez 2026
a sequência, na ordem
  1. ago 2026 transparência (Art. 50)
  2. dez 2026 marcação de conteúdo sintético
  3. dez 2026 nova proibição (Art. 5)
  4. dez 2027 alto risco (Anexo III)
  5. ago 2028 alto risco embarcado (Anexo I)

atualizado em 3 de julho de 2026. este bloco muda quando a publicação no Jornal Oficial sair, e a gente avisa aqui.

no Sendahub, o módulo de governança de IA já faz a triagem preliminar do EU AI Act por caso de uso
honestidade

o que a gente cobre de verdade, sem forçar a barra

esta trilha cobre LGPD e GDPR como jurisdições, e Marco Civil e ECA Digital como regimes adicionais no Brasil, todos sob a mesma ANPD. não listamos frameworks que o produto não cobre. preferimos ser honestos a parecer maiores do que somos.

no roteiro

o que ainda não está aqui, mas pretendemos cobrir conforme crescemos. ainda não disponível, avisaremos assim que estiver.

  • CCPA Califórnia, EUA
  • CPRA Califórnia, EUA
  • DORA União Europeia · setor financeiro