Notícias

  • Panorama Semanal (08/12/ 2025)

     Resumo semanal – LGPD e ensino superior

     

    1) Agente regulador amplia atuação voltada à proteção de crianças/adolescentes e ambiente digital

    A Autoridade Nacional de Proteção de Dados (ANPD) intensificou sua atuação no contexto da nova regulamentação do ECA Digital (Lei nº 15.211/2025), com foco especial na proteção de dados de crianças e adolescentes em ambientes digitais. Serviços e Informações do Brasil+1

    Isso traz implicações diretas para instituições de ensino que ofertam cursos técnicos integrados, escolas de aplicação ou ações de extensão com participação de menores: será necessário reforçar controles de coleta, consentimento e tratamento de dados de estudantes e familiares.

     

    2) Fim do prazo para adaptação de transferências internacionais de dados

    Com o vencimento do prazo para adequação à regulamentação de transferências internacionais da ANPD (sobre exportação de dados pessoais para fora do Brasil), instituições que enviam dados ao exterior — por exemplo, para plataformas de nuvem, repositórios acadêmicos ou colaboração internacional — precisam garantir que contratos utilizem cláusulas contratuais padrão (SCCs) ou outros mecanismos autorizados. MyData-TRUST+1

    A não conformidade pode acarretar sanções administrativas, com riscos para credibilidade institucional e continuidade de projetos — especialmente relevante para universidades federais com convênios internacionais.

     

    3) Crescente número de autuações pela ANPD reforça urgência da governança de dados

    Relatórios recentes apontam que, em 2025, houve aumento de penalidades por descumprimento da LGPD, com aplicação de autuações financeiras e advertências para organizações falhas. GRS Advogados+1

    Para instituições de ensino, isso significa que falhas como falta de inventário de dados, ausência de política de privacidade ou controle insuficiente de acessos já não são mais negligenciáveis — a governança de dados pessoais precisa ser tratada como prioridade institucional.

     

    4) Incidentes em instituições de ensino pressionam por adoção de boas práticas

    Há relatos recentes de grandes vazamentos de dados em instituições de ensino no Brasil, com exposição de informações sensíveis de alunos e colaboradores, o que coloca em risco a privacidade, segurança e reputação dessas organizações. Blog DPOnet+1

    Diante desse contexto, recomenda-se que universidades e institutos implementem programas robustos de proteção de dados, incluindo políticas de retenção mínima, controle de acesso, criptografia, autenticação multifatorial (MFA) e monitoramento contínuo.

     

    5) Debate sobre privacidade e novas tecnologias: aplicações de IA e plataformas digitais sob olhar atento da LGPD

    Com o uso crescente de plataformas de ensino, pesquisa, armazenamento em nuvem e ferramentas de colaboração online, existe pressão regulatória para que tais sistemas estejam em conformidade com a LGPD, especialmente no tratamento de dados sensíveis e no uso de IA. Unit Portal+1

    Instituições de ensino que desenvolvem ou utilizam sistemas com IA, ferramentas de análise de dados de estudantes ou ambientes digitais para ensino e pesquisa — como ocorre em muitos centros federais — precisam revisar seus processos de caráter técnico, organizacional e documental para garantir conformidade.

     

    Glossário rápido

    ANPD — Autoridade Nacional de Proteção de Dados, órgão responsável por fiscalizar e regulamentar a LGPD. Wikipedia+1

    ECA Digital (Lei 15.211/2025) — atualização normativa que regula proteção de dados de crianças e adolescentes em ambiente digital; relevantes para instituições que atendem menores de idade. Serviços e Informações do Brasil

    SCCs (Standard Contractual Clauses / Cláusulas Contratuais Padrão) — instrumentos padronizados exigidos pela ANPD para transferências internacionais de dados pessoais. MyData-TRUST+1

    Autuação / Sanções administrativas — penalidades que a ANPD pode aplicar por descumprimento da LGPD, incluindo advertência, bloqueio ou eliminação de dados e multa (quando aplicável). GRS Advogados+1

    Governança de dados / programa de compliance — conjunto de políticas, processos, controles, responsabilidades e documentação interna voltados à conformidade com a LGPD e proteção de dados pessoais dentro da instituição.

      Fontes

    ANPD / Governo Federal — “ANPD participa da Varredura 2025 da Rede Global de Fiscalização da Privacidade com foco na proteção da privacidade infantil.” Nov 2025. Serviços e Informações do Brasil

    MyData‑Trust – “Brazil data transfers must follow the new ANPD rules …” Aug 2025. MyData-TRUST

    GRS Adv — “Proteção de Dados em 2025: o panorama atual da LGPD no Brasil.” 2025. GRS Advogados

    DPO Net / blog setor educacional — “Vazamento em Universidades: O Alerta à LGPD.” Out 2025. Blog DPOnet+1

    Portal educacional sobre LGPD — “LGPD em 2025: atualizações e impactos no mercado.” Nov 2025. Aneps+1

    Serpro – “A proteção de dados pessoais avança pelo mundo.” Jan 2025 (contexto mais amplo sobre evolução global da proteção de dados). Serpro

  • Panorama Semanal (24/11/ 2025)

    Resumo semanal – LGPD e ensino superior

      

    1) Setor público sob pressão: incidentes sobem 44% e LGPD vira pauta urgente

    Matéria do portal SEGS destaca que os incidentes de segurança no setor público cresceram 44% em 2025 (até início de novembro), com 131 comunicações de incidentes recebidas pela ANPD, enquanto na iniciativa privada os números vêm caindo desde 2023. SEGS

    Os casos relatados envolvem roubo de credenciais, sequestro de dados (ransomware) e publicação acidental de informações, evidenciando vulnerabilidades estruturais em órgãos públicos. A análise reforça que, embora órgãos públicos não recebam multas financeiras, podem sofrer sanções como advertência, bloqueio/eliminação de dados, suspensão de bancos de dados e publicização da infração, com forte impacto reputacional, nos termos do art. 52 da LGPD. SEGS

    Relevância para universidades e institutos federais
    Universidades federais, institutos federais e fundações de apoio se enquadram nesse cenário de risco: tratam grandes volumes de dados de estudantes, servidores, terceirizados, pacientes (em hospitais universitários) e participantes de pesquisas. Um incidente significativo pode:

    comprometer portais acadêmicos e ambientes virtuais de aprendizagem;

    exigir bloqueio temporário de bases de dados, afetando matrículas, emissões de documentos e rotinas acadêmicas;

    expor a instituição a forte desgaste junto a comunidade e órgãos de controle.

    A matéria cita o exemplo do CRA-SP, que estruturou um programa robusto de LGPD com mapeamento de processos, inventário de sistemas e ações de cultura de privacidade — abordagem bastante alinhada às necessidades de instituições de ensino. SEGS

      

    2) Mega-vazamento de 180 milhões de e-mails reacende alerta sobre segurança e art. 46 da LGPD

    Artigo de opinião na Rede Press analisa o vazamento de cerca de 180 milhões de e-mails e senhas, atribuído a contas de grande provedor (como o Gmail), usando o caso para discutir a relação entre cibersegurança e LGPD. Rede PRESS

    O texto destaca o art. 46 da LGPD, que obriga agentes de tratamento a adotar medidas técnicas e administrativas aptas a proteger dados pessoais contra acesso não autorizado, destruição, perda, alteração ou qualquer forma de tratamento inadequado. Em situações de vazamento relevante, a empresa deve:

    comunicar a ANPD;

    informar os titulares afetados sobre o que ocorreu, quais dados foram expostos e as medidas adotadas;

    sujeitar-se a possíveis sanções administrativas e responsabilização civil. Rede PRESS

    Relevância para universidades e IFs
    Muitas instituições de ensino usam serviços de e‑mail e nuvem externos (incluindo suites baseadas em Gmail ou ferramentas equivalentes). Um incidente dessa natureza pode:

    expor contas institucionais de estudantes e servidores, facilitando golpes e invasões a outros sistemas;

    exigir campanhas emergenciais de troca de senhas, reforço de autenticação em dois fatores (2FA/MFA) e revisão de políticas de acesso;

    demandar avaliação interna sobre eventual dever de comunicação de incidente à ANPD e à comunidade acadêmica, nos termos da LGPD.

    O artigo reforça que a adequação à LGPD vai além de documentos: depende de cultura de segurança, treinamento contínuo e gestão de riscos em todo o ecossistema digital da instituição. Rede PRESS

      

    3) Regulação de plataformas digitais: LGPD passa a dialogar com ECA Digital e IA

    Notícia do Ministério da Justiça relata seminário on-line sobre regulação das plataformas digitais no Brasil, destacando a convergência entre marcos regulatórios já vigentes – Marco Civil da Internet e LGPD – e novos instrumentos em discussão, como o Estatuto Digital da Criança e do Adolescente (ECA Digital) e o Projeto de Lei de Inteligência Artificial. Serviços e Informações do Brasil

    A Secretaria de Direitos Digitais enfatiza:

    a necessidade de uma governança digital baseada em risco, orientada a resultados e construída em diálogo com sociedade, academia e mercado;

    a importância da participação social em consultas públicas;

    o protagonismo do Brasil na discussão global sobre regulação de plataformas. Serviços e Informações do Brasil

    Relevância para ensino superior
    Universidades e IFs:

    utilizam intensamente plataformas digitais, redes sociais e serviços de nuvem em ensino, extensão, pesquisa e comunicação institucional;

    lidam com dados de crianças e adolescentes em cursos técnicos integrados, escolas de aplicação e programas de extensão, o que conecta diretamente LGPD e futuro ECA Digital;

    produzem pesquisa aplicada em inteligência artificial, frequentemente com uso de bases de dados pessoais ou quasi‑pessoais.

    Esse ambiente regulatório mais complexo exigirá que instituições de ensino reforcem:

    avaliações de impacto à proteção de dados (RIPD) em projetos de IA e parcerias com plataformas;

    políticas específicas para tratamento de dados de crianças e adolescentes, com salvaguardas reforçadas;

    transparência nas relações com provedores de plataformas (contratos, DPA, cláusulas de privacidade).

    Serviços e Informações do Brasil

      

    4) UFMS consolida Programa de Conformidade e Governança em LGPD 2025–2029

    Foi disponibilizada no Boletim Oficial da UFMS a Resolução nº 606-CD/UFMS, de 27 de agosto de 2025, que aprova o Plano do Programa de Conformidade e de Governança à LGPD 2025–2029. Boletim Oficial

    O documento apresenta um plano estruturado, que inclui:

    histórico de ações anteriores (Política de Segurança da Informação 2018, Política de Privacidade, nomeação de Encarregado);

    consolidação da página institucional de LGPD, com canais para titulares e orientações;

    metas progressivas para:

    Inventário de Dados Pessoais atualizado em todas as unidades;

    elaboração/revisão de Relatórios de Impacto à Proteção de Dados Pessoais (RIPD) para processos críticos;

    fortalecimento da governança em privacidade no PDI/PPI 2025–2030;

    indicadores claros (por exemplo, percentual de unidades com Inventário atualizado e cobertura de RIPDs). Boletim Oficial

    Relevância para todo o sistema federal de ensino
    O plano da UFMS funciona, na prática, como referência de boa governança em privacidade para outras universidades e institutos federais, ao:

    integrar LGPD ao planejamento institucional (PDI, governança digital e integridade);

    definir responsabilidades (Ouvidoria, Agetic, comissões de assessoramento);

    estabelecer metas anuais de maturidade, facilitando diálogo com órgãos de controle (CGU, TCU) e com a própria ANPD.

      

    Glossário rápido (termos e artigos citados)

    LGPD (Lei nº 13.709/2018)
    Lei Geral de Proteção de Dados Pessoais. Estabelece regras para coleta, uso, compartilhamento e proteção de dados pessoais no Brasil, aplicando-se a setores público e privado.

    Artigo 46 da LGPD – Medidas de segurança
    Determina que os agentes de tratamento devem adotar medidas de segurança técnicas e administrativas aptas a proteger dados pessoais contra acessos não autorizados e situações acidentais ou ilícitas (destruição, perda, alteração, comunicação ou qualquer tratamento inadequado). Rede PRESS

    Artigo 52 da LGPD – Sanções administrativas
    Lista as sanções que a ANPD pode aplicar em caso de infração: advertência, publicização da infração, bloqueio e eliminação de dados, suspensão parcial do banco de dados ou da atividade de tratamento e proibição total ou parcial de tratar dados. No setor público, multas financeiras não se aplicam, mas as demais sanções podem ter impacto severo. SEGS

    Encarregado (DPO)
    Pessoa indicada pelo controlador para atuar como canal de comunicação entre controlador, titulares e ANPD. A atuação do encarregado é regulamentada pela Resolução CD/ANPD nº 18/2024, citada no plano da UFMS. Boletim Oficial

    Inventário de Dados Pessoais (IDP)
    Ferramenta de governança que registra, de forma sistemática, todos os processos que tratam dados pessoais na instituição (finalidade, base legal, responsáveis, riscos). Serve de base para ações de adequação e transparência. Boletim Oficial

    Relatório de Impacto à Proteção de Dados Pessoais (RIPD)
    Documento que descreve operações de tratamento que podem gerar riscos às liberdades civis e direitos fundamentais dos titulares, avaliando riscos e indicando medidas mitigadoras. É exigido pela LGPD em situações de alto risco ou por determinação da ANPD.

    Governança em privacidade
    Conjunto de estruturas, políticas, processos, indicadores e responsabilidades voltados a garantir que o tratamento de dados pessoais na instituição esteja alinhado à LGPD, de forma contínua e mensurável (não apenas em ações pontuais).

    Plataformas digitais e ECA Digital
    O debate atual integra LGPD com normas específicas para proteção de crianças e adolescentes no ambiente digital (ECA Digital), o que impacta diretamente instituições de ensino que usam redes sociais, aplicativos educacionais e ambientes virtuais com participação de menores de idade. Serviços e Informações do Brasil

      

    Fontes:

    SEGS – 24/11/2025 –
    Setor público precisa acelerar adequação à LGPD SEGS

    Rede Press – 28/11/2025 –
    LGPD, cibersegurança e o vazamento de 180 milhões de e-mails e senhas Rede PRESS

    Ministério da Justiça e Segurança Pública – 28/11/2025 –
    Debate sobre regulação das plataformas digitais destaca protagonismo do Brasil no tema Serviços e Informações do Brasil

    UFMS – Boletim Oficial (Resolução nº 606-CD/UFMS, de 27/08/2025; Plano 2025–2029, publicado em 2025) –
    Programa de Conformidade e Governança à LGPD 2025–2029 – UFMS Boletim Oficial

    Aqui vai o resumo semanal (últimos 7 dias) sobre notícias relevantes da Lei Geral de Proteção de Dados Pessoais (LGPD) e sua aplicação — com foco nos possíveis impactos para instituições de ensino superior como universidades e institutos federais.

  • Panorama Semanal (17/11/ 2025)

    1) ANPD abre audiência pública sobre uso compartilhado de dados no poder público

    A Autoridade Nacional de Proteção de Dados (ANPD) anunciou audiência pública para discutir o futuro regulamento de uso compartilhado de dados pessoais por órgãos públicos. O tema é crítico para universidades e institutos federais, porque envolve parcerias, convênios, plataformas educacionais, Pesquisa & Desenvolvimento, e integração de bases (ex.: sistemas acadêmicos, assistência estudantil, saúde universitária).
    O recado central: a ANPD quer regras mais claras e exigirá justificativa, transparência e controles quando dados circularem entre órgãos. Isso eleva a importância de mapeamento de fluxos e revisão de convênios/termos de cooperação. Serviços e Informações do Brasil

    Impacto direto para IES públicas: revisar acordos com fundações de apoio, hospitais universitários, empresas de TI e órgãos parceiros; atualizar protocolos de “compartilhamento interno” (campi, pró-reitorias) e externo.

     

    2) ANPD lança painel de fiscalização (mais transparência sobre sanções e prioridades)

    Foi divulgado um novo Painel da Fiscalização (em BI), reunindo dados sobre processos, sanções e temas prioritários de fiscalização. A medida aumenta previsibilidade regulatória: fica mais fácil entender onde a ANPD está focando e quais tipos de falha vêm gerando procedimentos.
    Para o setor educacional público, isso significa que práticas frágeis (como falta de registro das operações, bases legais mal definidas ou incidentes sem comunicação adequada) ficam mais visíveis e comparáveis nacionalmente. KLA Law

    Dica prática para universidades/IFs: usar o painel como radar para auditorias internas e priorização do plano de adequação.

     

    3) Pressão crescente por adequação no setor público

    Reportagens recentes reforçaram que o setor público precisa acelerar conformidade com a LGPD. Embora órgãos públicos não recebam multas pecuniárias como empresas privadas, podem sofrer advertências, bloqueio/eliminação de dados, publicização da infração e determinações corretivas, com impactos operacionais e reputacionais fortes — algo especialmente sensível em instituições de ensino. Estado de Minas+1

    Para IES federais: a tônica é “governança de dados ou risco institucional”. Casos de não conformidade viram pauta pública rápido (CGU, TCU, MPF, imprensa).

     

    4) Educação segue como alvo forte de ataques; temporada de matrículas aumenta risco

    Notícia desta semana destacou números altos de incidentes no setor educacional em 2025 e alertou para o período de matrículas como “janela crítica” de exposição: mais cadastros, mais uploads de documentos, mais trocas por e-mail/WhatsApp, e mais tentativas de golpe com dados de alunos.
    O cenário conversa diretamente com LGPD: incidentes viram obrigação de resposta e eventual notificação à ANPD e titulares, se houver risco relevante. Âncora 1

    O que isso muda na prática: reforçar controles de consentimento e coleta (mínimo necessário), checagens anti-fraude em portais de matrícula e comunicação clara ao estudante sobre canais oficiais.

     

    5) Vazamento envolvendo grande volume de dados em IES

    Veio a público um vazamento com cerca de 100 mil credenciais e dados pessoais atribuídos à Universidade Cruzeiro do Sul e outras instituições privadas, incluindo informações identificáveis de estudantes e funcionários. Mesmo não sendo uma federal, o caso reforça padrão de risco do ensino superior: bases amplas, com muitos titulares, contendo documentos e credenciais reutilizáveis. athenasecurity.com.br

    Lição para universidades/IFs: revisar política de retenção de dados (guardar só o necessário), segmentar bases acadêmicas/administrativas e ampliar MFA/2FA em sistemas críticos.

     

    6) Boas práticas em universidade federal: UFAM reforça autenticação e política interna

    A UFAM divulgou iniciativa de reforço de segurança no acesso, incluindo camada extra de autenticação e alinhamento explícito à LGPD. É um bom exemplo de como a adequação não é só jurídica: ela depende de medidas técnicas e administrativas. CTIC UFAM

    Exemplo replicável: MFA nos principais sistemas (SIG, e-mail institucional, VPN), revisão de perfis de acesso e campanhas com alunos/servidores.

     

    7) Brasil e União Europeia avançam na decisão de adequação mútua

    A ANPD informou avanço no processo de decisão de adequação com a União Europeia. Se confirmado, o Brasil passa a ser reconhecido como país com nível adequado de proteção, facilitando transferências internacionais de dados. Para universidades com projetos internacionais, pesquisa colaborativa e nuvens estrangeiras, isso pode simplificar contratos e reduzir incertezas — mas a exigência de conformidade real aumenta. Serviços e Informações do Brasil

    Para IES: monitorar contratos de ferramentas acadêmicas/híbridas hospedadas fora do país; adequação vira requisito estratégico para internacionalização.

     

    Dicionário rápido (termos citados)

    ANPD: Autoridade Nacional de Proteção de Dados; órgão federal que regula e fiscaliza a LGPD.

    Titular de dados: Pessoa a quem os dados pessoais se referem (aluno, servidor, terceirizado, pesquisador, egresso).

    Incidente de segurança com dados pessoais: Evento que compromete confidencialidade, integridade ou disponibilidade de dados pessoais (ex.: vazamento, ransomware).

    Uso compartilhado de dados: Situação em que dois ou mais órgãos/entidades acessam ou trocam dados pessoais para finalidades específicas.

    Sanções administrativas (art. 52 da LGPD): Medidas que a ANPD pode aplicar em caso de infração; no setor público, não inclui multa financeira, mas inclui advertência, publicização e determinações corretivas. Estado de Minas

    MFA/2FA (autenticação multifator): Acesso a sistemas exigindo mais de uma prova de identidade (senha + código/app/token), reduzindo risco de invasão.

     

    Fontes:

    ANPD – “ANPD realiza audiência pública para o Regulamento sobre Uso Compartilhado de Dados pelo Poder Público” (12/11/2025). Serviços e Informações do Brasil

    KLA Advocacia – “ANPD lança Painel da Fiscalização sobre aplicação da LGPD” (c. 19/11/2025). KLA Law

    Estado de Minas / Mundo Corporativo – “Setor público precisa acelerar adequação à LGPD” (21–22/11/2025). Estado de Minas+1

    Âncora1 – “Setor educacional vira alvo estratégico de cibercriminosos em temporada de matrículas” (22/11/2025). Âncora 1

    Athena Security – “Vazamento de dados na Universidade Cruzeiro do Sul…” (10/11/2025). athenasecurity.com.br

    CTIC/UFAM – “UFAM implementa política/segurança em acesso alinhada à LGPD” (14/11/2025). CTIC UFAM

    ANPD – “ANPD e Comissão Europeia avançam em decisão de adequação mútua” (07/11/2025). Serviços e Informações do Brasil
Notícias