Lei Geral de Proteção de Dados Pessoais - LGPD

1) 1º trimestre (jan–mar/2025): Governança e “compliance LGPD” ganham tração no setor público — recado direto para universidades

No começo de 2025, o tom geral do debate sobre LGPD no Brasil ficou mais “pé no chão”: menos discurso genérico e mais ênfase em governança, processos e prestação de contas — algo que afeta diretamente universidades e institutos federais, que lidam com grandes volumes de dados de estudantes, servidores, pesquisa e extensão.

(Jan/2025) Destaque 1 — Planejamento regulatório como sinal de prioridade: a Agenda Regulatória 2025–2026 da ANPD (publicada no fim de 2024, mas com execução e efeitos práticos em 2025) consolidou temas que batem direto no cotidiano das IFES, como direitos dos titulares, compartilhamento de dados pelo poder público, medidas de segurança, tratamento de crianças e adolescentes e RIPD (Relatório de Impacto). Isso funciona como “bússola” de fiscalização e orientações, e ajuda a priorizar planos internos de adequação.

Fonte: ANPD — “ANPD publica Agenda Regulatória 2025-2026” (11/12/2024)

(Fev/2025) Destaque 2 — Estruturas internas e integridade importam: atos internos da ANPD ao longo de 2025 reforçaram a ideia de maturidade institucional (ética, integridade e governança). Para IFES, isso se traduz em uma lição prática: não basta “ter a LGPD no papel”; é preciso arranjo institucional (papéis claros, fluxos e controles) para sustentar decisões e responder incidentes.

Fonte: ANPD — Atos de Gestão Interna (inclui Resolução CD/ANPD nº 24, de 26/02/2025)

(Mar/2025) Destaque 3 — Incidentes e comunicação entram no centro: materiais e guias publicados e repercutidos no período reforçaram rotinas de resposta a incidentes e comunicação — um tema sensível para educação, onde ataques podem paralisar matrícula, ensino e pesquisa. A mensagem recorrente: preparar o “antes” (prevenção e plano) é o que reduz dano no “depois” (resposta e comunicação).

Fonte: IAB — “Guia de Incidente de Segurança com Dados Pessoais” (27/02/2025)

2) 2º trimestre (abr–jun/2025): Ciberataques em instituições públicas e ciência viram pauta de Estado — e universidades aparecem no radar

No 2º trimestre, a LGPD “encostou” ainda mais na Segurança da Informação: cresceu a percepção pública de que incidentes cibernéticos não são só problema técnico — são problema de continuidade do serviço público e de risco a direitos dos titulares.

(Abr/2025) Destaque 1 — Educação sob pressão: risco operacional vira risco de dados: relatos e análises do setor reforçaram que universidades sofrem com ataques que interrompem serviços essenciais (sistemas, rede, portais). Para a LGPD, isso tende a virar uma pergunta-chave: “houve risco ou dano relevante ao titular?” e “as medidas de segurança eram adequadas?”.

Fonte: Nexo Jornal — “Ataques cibernéticos a universidades e instituições científicas crescem no país” (16/06/2025)

(Mai/2025) Destaque 2 — Debate jurídico sobre responsabilidade por vazamentos ganha palco: publicações e análises jurídicas de 2025 voltaram a bater numa tecla que impacta IFES: quando ocorre vazamento, não é só “quem atacou”, mas também “quem tinha dever de proteger” e “quais controles existiam”. Isso influencia como universidades documentam decisões, riscos e providências.

Fonte: FecomercioSP — “Vazamento de dados pessoais, LGPD e a visão do STJ” (12/05/2025)

(Jun/2025) Destaque 3 — Polícia Federal mira ataques a instituições públicas (incluindo universidades): a Operação Timeout (PF) explicitou o impacto de ataques cibernéticos na prestação de serviços e citou alvos ligados a instituições públicas — com menção a universidades públicas entre os afetados. Para IFES, isso é um alerta duplo: reforço de segurança e preservação de evidências/logs para investigação e responsabilização.

Fonte: Polícia Federal (gov.br) — “PF deflagra a Operação Timeout…” (10/06/2025)

3) 3º trimestre (jul–set/2025): Incidente, comunicação e responsabilização — o “tripé” que mais bate na porta das IFES

Entre julho e setembro, três temas ficaram especialmente “práticos” para quem opera TI e governança em universidades: (1) como comunicar incidentes corretamente, (2) como provar que medidas de segurança existiam e (3) como o Judiciário está enxergando dano e responsabilidade.

(Jul/2025) Destaque 1 — Comunicação de incidente: ser rápido é importante, mas ser correto é essencial: publicação do Serpro explicou, de forma didática, obrigações e critérios envolvendo incidentes com dados pessoais, citando expressamente deveres de segurança (art. 46) e comunicação (art. 48), além do papel do controlador e do operador no fluxo de informações. Para IFES, isso vira checklist: papéis definidos, canal de comunicação, registro do ocorrido, avaliação de risco/dano e evidências.

Fonte: Serpro — “Incidentes de Segurança com Dados Pessoais: comunicar é preciso, mas nem sempre!” (16/07/2025)

(Ago/2025) Destaque 2 — Padrões de resposta a incidentes e documentação: guias e materiais de resposta a incidentes (inclusive em órgãos públicos) reforçaram o valor de documentação e rastreabilidade — o que conversa diretamente com RIPD, gestão de risco e prestação de contas. Em universidades, isso costuma esbarrar em ambientes descentralizados (muitos sistemas e unidades), exigindo governança mínima comum.

Fonte: CNMP — “Guia Sobre Incidentes de Segurança com Dados Pessoais” (PDF)

(Set/2025) Destaque 3 — STJ reforça: divulgação indevida pode gerar dano moral presumido: notícia oficial do STJ destacou entendimento de que disponibilização indevida de informações pessoais a terceiros, sem comunicação e consentimento, pode configurar violação de direitos de personalidade e justificar indenização por dano moral — com impacto direto em como instituições tratam compartilhamentos e bases de dados acessíveis.

Fonte: STJ — “Disponibilização indevida… gera dano moral presumido” (05/09/2025)

(Set/2025) Extra institucional — regras específicas para acesso a dados em sistemas do Judiciário: o CNJ publicou norma sobre acesso a dados pessoais em seus sistemas informatizados, reforçando a tendência de regras mais explícitas de acesso e rastreabilidade. Em IFES, a lição é similar: formalizar critérios, trilhas de auditoria e bases legais para acessos internos.

Fonte: CNJ — Resolução nº 647/2025 (publicada em 29/09/2025)

4) 4º trimestre (out–dez/2025): Educação em evidência, e a ANPD fecha o ano recalibrando prioridades

No fim de 2025, dois movimentos caminharam juntos: (a) casos e denúncias envolvendo educação voltaram ao noticiário; e (b) a ANPD publicou atualizações que ajudam a entender para onde vai a régua regulatória e fiscalizatória.

(Out/2025) Destaque 1 — Setor educacional sob ataque (impacto em dados e continuidade): análises do período reforçaram que ataques e incidentes no setor educacional afetam não só o “site fora do ar”, mas também dados pessoais e rotinas críticas (acesso, matrícula, ambientes virtuais, e-mail institucional). Para IFES, o aprendizado é claro: segurança e privacidade precisam caminhar juntas, com planos de continuidade e resposta a incidentes alinhados à LGPD.

Fonte: FENATI — “Escolas e universidades enfrentam nova onda de cibercrimes” (09/10/2025)

(Nov/2025) Destaque 2 — Educação e integridade de processos em foco (caso Enem): repercussão de denúncias de suposto vazamento de questões do Enem mostrou como educação vira pauta nacional quando há suspeitas de exposição/uso indevido de informação. Ainda que o assunto não seja “LGPD pura”, ele reforça cultura de controle, trilhas de auditoria e investigação — competências que também protegem dados pessoais em ambientes educacionais.

Fonte: Guia do Estudante (Abril) — “Entenda o suposto vazamento do Enem 2025…” (18/11/2025)

(Dez/2025) Destaque 3 — ANPD atualiza agenda e define mapa de prioridades: no fechamento do ano, a ANPD publicou o Mapa de Temas Prioritários 2026–2027 e atualizou a Agenda Regulatória 2025–2026, sinalizando continuidade e ajustes de prazo em temas como direitos dos titulares, RIPD, compartilhamento de dados pelo poder público e dados biométricos — tópicos que atingem diretamente a administração pública educacional.

Fonte: ANPD — “ANPD publica Mapa de Temas Prioritários… e atualiza Agenda…” (24/12/2025)

(Dez/2025) Extra normativo — Resoluções de fim de ano: a página de regulamentações da ANPD registra, por exemplo, a Resolução CD/ANPD nº 31/2025 (ajuste da Agenda 2025–2026) e a Resolução nº 30/2025 (Mapa 2026–2027), consolidando o “fechamento regulatório” do ano.

Fonte: ANPD — Regulamentações (Resoluções e atos normativos)

Dicionário de Termos

• LGPD (Lei nº 13.709/2018): Lei brasileira que define regras para coleta, uso, armazenamento e compartilhamento de dados pessoais, garantindo direitos aos titulares.
• ANPD: Autoridade Nacional de Proteção de Dados; órgão responsável por orientar, fiscalizar e aplicar sanções relacionadas à LGPD.
• Titular: Pessoa natural a quem os dados pessoais se referem (ex.: estudante, servidor, terceirizado, pesquisador participante).
• Controlador: Quem decide “por que” e “como” os dados pessoais serão tratados (ex.: a universidade, como instituição, em muitos processos).
• Operador: Quem trata dados pessoais em nome do controlador (ex.: empresas de sistemas, nuvem, suporte, plataformas educacionais).
• Encarregado (DPO): Pessoa indicada para atuar como canal de comunicação entre controlador, titulares e ANPD, apoiando a governança de privacidade.
• Dados pessoais: Informações que identificam ou podem identificar alguém (ex.: nome, CPF, e-mail, matrícula, IP associado).
• Dados pessoais sensíveis: Dados com maior risco de discriminação (ex.: saúde, biometria, convicção religiosa, opinião política).
• Incidente de segurança: Evento que compromete confidencialidade, integridade, disponibilidade ou autenticidade de dados pessoais (ex.: vazamento, indisponibilidade crítica, acesso indevido).
• Art. 46 (LGPD): Exige medidas de segurança técnicas e administrativas para proteger dados pessoais contra acessos não autorizados e situações acidentais/ilícitas.
• Art. 48 (LGPD): Determina que o controlador deve comunicar à ANPD e ao titular incidentes que possam acarretar risco ou dano relevante.
• Art. 52 (LGPD): Lista sanções administrativas possíveis (advertência, multa, publicização, bloqueio/eliminação de dados, etc.).
• RIPD: Relatório de Impacto à Proteção de Dados; documento que descreve processos de tratamento e medidas para mitigar riscos à privacidade.
• CIS / RCIS: “Comunicação de Incidente de Segurança” e “Regulamento de Comunicação de Incidente de Segurança”, que orientam como comunicar incidentes à ANPD e aos titulares.

Fontes

• ANPD — “ANPD publica Agenda Regulatória 2025-2026” (11/12/2024)
• ANPD — Atos de Gestão Interna (inclui Resolução CD/ANPD nº 24, de 26/02/2025)
• IAB — “Guia de Incidente de Segurança com Dados Pessoais” (27/02/2025)
• Nexo Jornal — “Ataques cibernéticos a universidades e instituições científicas crescem no país” (16/06/2025)
• FecomercioSP — “Vazamento de dados pessoais, LGPD e a visão do STJ” (12/05/2025)
• Polícia Federal (gov.br) — “PF deflagra a Operação Timeout…” (10/06/2025)
• Serpro — “Incidentes de Segurança com Dados Pessoais: comunicar é preciso, mas nem sempre!” (16/07/2025)
• CNMP — “Guia Sobre Incidentes de Segurança com Dados Pessoais” (PDF)
• STJ — “Disponibilização indevida… gera dano moral presumido” (05/09/2025)
• CNJ — Resolução nº 647/2025 (publicada em 29/09/2025)
• FENATI — “Escolas e universidades enfrentam nova onda de cibercrimes” (09/10/2025)
• Guia do Estudante (Abril) — “Entenda o suposto vazamento do Enem 2025…” (18/11/2025)
• ANPD — “ANPD publica Mapa de Temas Prioritários… e atualiza Agenda…” (24/12/2025)
• ANPD — Regulamentações (Resoluções e atos normativos; inclui Res. CD/ANPD nº 30 e nº 31, de 2025)