Lei Geral de Proteção de Dados Pessoais - LGPD

Notícias

• Panorama Semanal (19/01/2026)

  Governo confirma vazamento com milhões de dados (CPFs, RGs, e-mails e endereços) em Pernambuco ANPD, MPF e Senacon recomendam que o X contenha deepfakes sexualizadas geradas via Grok Nota Técnica nº 1/2026 detalha testes e achados sobre o Grok e a geração de imagens manipuladas ANPD publica relatório de execução da Agenda Regulatória 2025–2026 e incorpora temas ligados ao ECA Digital Diretor-Presidente da ANPD alinha prioridades com novo Ministro da Justiça e destaca IA e fiscalização responsiva 1) Governo confirma vazamento com milhões de dados (CPFs, RGs, e-mails e endereços) em Pernambuco

  Um dos maiores alertas da semana veio da confirmação de um vazamento envolvendo milhões de registros atribuídos a cidadãos de Pernambuco, com dados como CPF, RG, e-mail, telefone e endereço. O caso ganhou atenção por ter sido divulgado em fórum criminoso e por envolver um volume capaz de afetar praticamente toda a população do estado, elevando o risco de fraudes e golpes direcionados.

  Para instituições de ensino superior (IES), o recado é direto: bases com cadastros de alunos, servidores, terceirizados e egressos são valiosas para criminosos. Vazamentos externos “aparentemente distantes” tendem a virar combustível para ataques contra universidades (phishing personalizado, engenharia social, reset de senha, falsos boletos e golpes em auxílios), porque ampliam a precisão das abordagens.

  Fonte: TecMundo (atualizado em 19/01/2026) 2) ANPD, MPF e Senacon recomendam que o X contenha deepfakes sexualizadas geradas via Grok

  A ANPD, o MPF e a Senacon expediram recomendações à empresa controladora da plataforma X após denúncias de uso do assistente de IA Grok para gerar e circular conteúdos sexualizados sintéticos (deepfakes) a partir de imagens de pessoas reais, incluindo riscos agravados quando o alvo é criança ou adolescente.

  No contexto universitário, isso importa por dois caminhos: (1) uso institucional e acadêmico de ferramentas de IA (pesquisa, ensino, laboratórios, comunicação) aumenta a necessidade de políticas claras de uso e de resposta a abusos; (2) a exposição indevida de imagem e dados de estudantes e servidores tende a gerar incidentes com múltiplas frentes (jurídica, disciplinar, comunicação e apoio psicossocial), além de demanda por registros e evidências.

  Fonte: Gov.br / ANPD (20/01/2026) 3) Nota Técnica nº 1/2026 detalha testes e achados sobre o Grok e a geração de imagens manipuladas

  Além da nota pública, a ANPD publicou uma Nota Técnica (processo SEI) descrevendo testes realizados entre 9 e 16 de janeiro para avaliar se o Grok geraria imagens manipuladas de terceiros com conteúdo sexualizado ou erótico, bem como as salvaguardas observadas (por exemplo, mecanismos como desfoque e restrições em determinados cenários).

  Para IES, esse tipo de documento é útil como referência prática: mostra como uma autoridade pode testar serviços digitais (inclusive versões gratuitas) e documentar evidências técnicas. Isso ajuda universidades a estruturar avaliações internas de risco e conformidade (especialmente em ambientes com grande circulação de imagens e dados, como sistemas acadêmicos, ambientes virtuais, eventos e redes sociais institucionais).

  Fonte: Gov.br / ANPD — Nota Técnica nº 1/2026 (publicada em jan/2026) 4) ANPD publica relatório de execução da Agenda Regulatória 2025–2026 e incorpora temas ligados ao ECA Digital

  A ANPD publicou o relatório de execução do 2º semestre da Agenda Regulatória 2025–2026, reforçando a transparência sobre o andamento de ações normativas e destacando a incorporação de novos temas após a promulgação da Lei nº 15.211/2025 (ECA Digital) e mudanças institucionais relacionadas.

  Na prática, IES devem ler isso como “sinal de direção”: o ambiente regulatório tende a exigir cada vez mais maturidade em privacidade (governança, processos e evidências), sobretudo quando serviços digitais alcançam públicos vulneráveis (inclusive menores) ou operam em larga escala (portais, apps, AVAs, bibliotecas, assistência estudantil e projetos integrados com parceiros).

  Fonte: Gov.br / ANPD (22/01/2026) 5) Diretor-Presidente da ANPD alinha prioridades com novo Ministro da Justiça e destaca IA e fiscalização responsiva

  Em notícia institucional, a ANPD informou reunião com o novo Ministro da Justiça e Segurança Pública, na qual foram apresentados resultados e desafios estratégicos da Agência, com menções a inteligência artificial, avanço da agenda regulatória e atuação fiscalizatória “responsiva”.

  Para universidades e institutos federais, o efeito é indireto, mas importante: cresce a expectativa de que órgãos públicos sustentem decisões com trilhas de auditoria (por que tratam dados, com qual base, por quanto tempo, com quais controles) e saibam responder rapidamente a incidentes — especialmente em cenários de alta exposição (serviços digitais amplos, integrações e contratação de terceiros).

   

  Dicionário de Termos LGPD: Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018), que define regras para tratar dados pessoais no Brasil. ANPD: Autoridade Nacional de Proteção de Dados, responsável por orientar, fiscalizar e aplicar medidas administrativas relacionadas à LGPD. Titular: a pessoa natural a quem os dados pessoais se referem (ex.: estudante, servidor, terceirizado). Controlador: quem decide a finalidade e como o tratamento de dados ocorrerá (ex.: a universidade quando define uso de dados acadêmicos). Operador: quem trata dados em nome do controlador (ex.: empresa de sistema/hosting contratado). Incidente de segurança: evento que compromete confidencialidade, integridade ou disponibilidade de dados (ex.: vazamento, acesso indevido, sequestro por ransomware). Art. 48 da LGPD: trata da comunicação de incidentes de segurança à ANPD e ao titular quando houver risco ou dano relevante. Deepfake: conteúdo sintético/manipulado (imagem, áudio ou vídeo) que pode simular pessoas reais e viabilizar fraudes, assédio e exposição indevida. ECA Digital: Lei nº 15.211/2025, voltada à proteção de crianças e adolescentes em ambientes digitais, com efeitos na governança de serviços online e no tratamento de dados desse público. Fontes

  TecMundo — 19/01/2026 (atualização) — Governo confirma vazamento de 9 milhões de CPFs de Pernambuco

  Gov.br / ANPD — 20/01/2026 — Recomendação sobre Grok (deepfakes sexualizadas)

  Gov.br / ANPD — jan/2026 — Nota Técnica nº 1/2026 (PDF)

  Gov.br / ANPD — 22/01/2026 — Relatório de execução da Agenda Regulatória 2025–2026 (2º semestre)

  Gov.br / ANPD — 20/01/2026 — Prioridades institucionais apresentadas ao MJSP

• Panorama Semanal (12/01/2026)

  1) Idec pede à ANPD suspensão de ferramenta de IA por possíveis violações à LGPD

  Nos últimos dias, o **Instituto Brasileiro de Defesa do Consumidor (Idec)** protocolou uma **denúncia junto à Autoridade Nacional de Proteção de Dados (ANPD)** contra a ferramenta de inteligência artificial **Grok**, integrada à plataforma X (antigo Twitter). 
  
  O pedido tem como base supostas **violação da Lei Geral de Proteção de Dados (LGPD – Lei nº 13.709/2018)**, especialmente no uso de dados pessoais — inclusive de crianças e adolescentes — para gerar imagens com conteúdo sexualizado sem consentimento dos titulares. A denúncia solicita que a ANPD:

  avalie a suspensão imediata das funcionalidades que processam dados reais de pessoas; exija explicações e dados sobre reclamações já recebidas pela plataforma; pare o uso de dados pessoais para treinamento e operação do sistema. 

  A repercussão desse caso importa para universidades e institutos federais porque reforça que sistemas de **inteligência artificial (IA)** utilizados em ambientes acadêmicos — por exemplo, para gestão de imagens, avaliações automáticas ou serviços estudantis — devem observar restrições de proteção de dados e transparência, especialmente quando há entrada de dados de terceiros.

  2) Plataforma Grok restringe criação de imagens após crítica global

  Em resposta à forte reação internacional, a plataforma X anunciou que **limitou a função de criação de imagens sexualizadas do Grok**, incluindo restrições geográficas e técnicas, para reduzir a geração de conteúdo que possa violar leis de proteção de dados e direitos de imagem. 
  
  Embora a restrição não esteja diretamente ligada à atuação da ANPD, ela mostra como a pressão regulatória global — incluindo preocupações com privacidade, segurança e proteção de menores — pode influenciar decisões de tecnologia que processam dados pessoais.

  Dicionário de Termos LGPD: Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018), que disciplina a coleta, uso, tratamento e compartilhamento de dados pessoais no Brasil. ANPD: Autoridade Nacional de Proteção de Dados — órgão responsável por regulamentar e fiscalizar o cumprimento da LGPD. Titular de dados: Pessoa física a quem os dados pessoais se referem e que possui direitos como acesso, correção e exclusão de seus dados. Controlador: Entidade que determina as finalidades e os meios de tratamento de dados pessoais (por exemplo, uma universidade pública).  Tratamento de dados: Operações realizadas com dados pessoais, como coleta, armazenamento, uso, transmissão e exclusão. Dados sensíveis: Categoria de dados pessoais que exige proteção reforçada (ex.: dados biométricos, de saúde ou de menores de idade). Inteligência Artificial (IA): Conjunto de tecnologias que processam grandes volumes de dados para realizar tarefas como reconhecimento de padrões, geração de conteúdo ou decisões automatizadas. Fontes: Idec pede suspensão do Grok no Brasil — TI Inside Online, 15/01/2026. Plataforma Grok restringe criação de imagens após críticas — Business Insider (edição internacional), 15/01/2026. 

• Panorama Semanal (05/01/2026)

  1) ANPD publica Mapa de Temas Prioritários e Agenda Regulatória atualizada

  A **Autoridade Nacional de Proteção de Dados (ANPD)** divulgou o **Mapa de Temas Prioritários para fiscalização e atuação regulatória para o biênio 2026–2027**, além de atualizar a **Agenda Regulatória 2025–2026**.
  
  Esses documentos orientam onde a agência concentrará sua atuação nos próximos anos e incluem quatro temas principais que podem afetar diretamente universidades e institutos federais:

  Direitos dos titulares de dados – foco nos direitos dos estudantes, professores e servidores; Proteção de crianças e adolescentes no ambiente digital – relevante para atividades com estudantes menores de idade ou serviços online; Tratamento de dados pelo Poder Público – inclui dados geridos por instituições públicas de ensino; Inteligência artificial e tecnologias emergentes – crescente uso de IA em sistemas educacionais e administrativos. :contentReference[oaicite:1]{index=1}

  A atualização reforça que a conformidade com a **LGPD (Lei Geral de Proteção de Dados Pessoais – Lei nº 13.709/2018)** continuará sendo fiscalizada com base em riscos e prioridades, exigindo que as instituições reforcem governança, transparência e proteção de dados em seus sistemas e processos.

  2) ANPD estende prazo e amplia monitoramento do ECA Digital

  Segundo notícias recentes, a ANPD estendeu o prazo para que organizações — inclusive instituições públicas — enviem informações sobre adequação ao **ECA Digital** (estatuto com foco em proteção de crianças e adolescentes no ambiente digital) e anunciou maior monitoramento dessa área. :contentReference[oaicite:2]{index=2}
  
  Essas ações indicam que a agência está observando como instituições estão implementando as novas regras e pode usar essas informações para definir futuras orientações e fiscalizações. Para universidades e institutos federais, que frequentemente desenvolvem atividades digitais envolvendo menores (como cursos de extensão em escolas ou sistemas de aprendizagem online), isso reforça a necessidade de revisões em políticas de privacidade, consentimento e controles técnicos de proteção.

  3) Ferramentas de monitoramento regulatório ganham destaque e podem apoiar conformidade

  Notícias especializadas destacaram que a ANPD lançou recentemente um **painel de monitoramento regulatório**, conhecido como *Oversight Dashboard*, ao ampliar transparência sobre processos, fiscalizações e decisões relacionadas à LGPD. :contentReference[oaicite:3]{index=3}
  
  Essa ferramenta ajuda instituições a acompanhar como a supervisão é realizada e como a agência interpreta diferentes situações. Para universidades e institutos federais, o painel pode ser usado como referência para ajustar práticas internas, entender tendências de atuação da autoridade e preparar respostas mais eficazes a eventuais questionamentos ou fiscalizações.

  Dicionário de Termos LGPD: Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018), que estabelece regras para coleta, uso, armazenamento e compartilhamento de dados pessoais no Brasil. :contentReference[oaicite:4]{index=4} ANPD: Autoridade Nacional de Proteção de Dados — órgão federal responsável por orientar, fiscalizar e aplicar sanções relacionadas ao cumprimento da LGPD. :contentReference[oaicite:5]{index=5} Titular de dados: Pessoa física a quem se referem os dados pessoais tratados, como estudantes, professores e servidores. Controlador: Entidade que decide os propósitos e meios de tratamento de dados pessoais (por exemplo, uma universidade pública). :contentReference[oaicite:6]{index=6} Tratamento de dados: Qualquer operação com dados pessoais, incluindo coleta, armazenamento, uso e exclusão. :contentReference[oaicite:7]{index=7} ECA Digital: Estatuto que trata de proteção de crianças e adolescentes no ambiente digital e interage com a LGPD ao definir obrigações para tratamento de dados de menores. Painel de Monitoramento (Oversight Dashboard): Ferramenta que mostra dados sobre fiscalizações, processos e tendências de atuação da ANPD, ampliando transparência regulatória.  Fontes: ANPD publica Mapa de Temas Prioritários e Agenda Regulatória — ANPD (Gov.br), 24/12/2025 / atualizado 06/01/2026. :contentReference[oaicite:9]{index=9} Notícias de Privacidade e Proteção de Dados — prorrogação do prazo do ECA Digital e maior monitoramento — DPO Expert, 09/01/2026. :contentReference[oaicite:10]{index=10} ANPD lança painel de monitoramento e amplia transparência regulatória — DPO Expert, 02/01/2026. :contentReference[oaicite:11]{index=11}

  ::contentReference[oaicite:12]{index=12}

• Panorama Semanal (29/12/2025)

  1) IFRR aprova Política de Proteção de Dados Pessoais para reforçar adequação à LGPD

  O **Instituto Federal de Roraima (IFRR)** aprovou em dezembro de 2025 a sua nova **Política de Proteção de Dados Pessoais**, consolidando diretrizes para tratamento de informações pessoais dentro da instituição e alinhando‑se aos requisitos da **Lei Geral de Proteção de Dados Pessoais (LGPD – Lei nº 13.709/2018)**. A política foi formalizada em 23 de dezembro de 2025 e marca um passo importante para a governança de privacidade, transparência e segurança da informação no contexto educacional superior. :contentReference[oaicite:0]{index=0}
  
  Entre os pontos centrais estão:

  Fortalecimento da governança e transparência no tratamento de dados; Capacitação contínua dos servidores e sensibilização da comunidade acadêmica; Estruturação de um Comitê de Proteção de Dados e definição de papéis claros para cumprimento da LGPD; Designação de Encarregada (DPO) responsável pelos canais de comunicação com titulares e com a **Agência Nacional de Proteção de Dados (ANPD)**. :contentReference[oaicite:1]{index=1}

  Esse tipo de ação institucional é relevante para outras instituições de ensino superior porque reforça um caminho de conformidade com a LGPD que concilia governança, estrutura organizacional e preservação de direitos dos titulares de dados dentro do ambiente acadêmico.

  2) Discussão internacional sobre equivalência entre LGPD e GDPR pode afetar transferência de dados acadêmicos

  Nos últimos dias, especialistas internacionais têm observado progressos na análise técnica da **LGPD** em relação ao **Regulamento Geral de Proteção de Dados da União Europeia (GDPR)**, com foco em uma possível decisão de “adequação”. Essa decisão, se confirmada pela União Europeia, reconheceria que o nível de proteção de dados no Brasil é equiparável ao do bloco europeu. :contentReference[oaicite:2]{index=2}
  
  Para universidades federais e privadas que mantêm projetos conjuntos com instituições europeias ou armazenam dados de alunos e pesquisadores estrangeiros, a adequação pode simplificar fluxos legais de **transferência internacional de dados** e reduzir a necessidade de mecanismos adicionais (como cláusulas contratuais padrão).

  Dicionário de Termos LGPD: Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018), regra brasileira que disciplina a coleta, uso, compartilhamento e proteção de dados pessoais no território nacional. Titular de dados: Pessoa física a quem os dados pessoais se referem, com direitos como acesso, correção e exclusão de seus dados. Controlador: Pessoa ou organização que decide sobre as finalidades e meios de tratamento de dados pessoais. Encarregado (DPO): Profissional designado para atuar como canal entre a organização, titulares de dados e a ANPD, conforme disposto no art. 41 da LGPD — responsável por orientar e comunicar sobre o tratamento de dados. :contentReference[oaicite:3]{index=3} ANPD: Agência Nacional de Proteção de Dados — autoridade reguladora federal responsável por orientar, fiscalizar e aplicar sanções em casos de descumprimento da LGPD. :contentReference[oaicite:4]{index=4} Transferência internacional de dados: Envio de dados pessoais para fora do Brasil, que pode depender de mecanismos de conformidade previstos na LGPD e em acordos com jurisdições estrangeiras. Adequação (adequacy): Reconhecimento de que um país garante proteção de dados compatível com as exigências de outra jurisdição (por exemplo, União Europeia), facilitando a transferência de dados entre países. Fontes: IFRR aprova Política de Proteção de Dados Pessoais e avança na LGPD — IFRR (site institucional), 26/12/2025. Brazil‑EU Data Flows: Adequacy Decision Coming? — ComplianceHub, 6 dias atrás.

• Retrospectiva das principais notícias sobre a LGPD de 2025

  1) 1º trimestre (jan–mar/2025): Governança e “compliance LGPD” ganham tração no setor público — recado direto para universidades

  No começo de 2025, o tom geral do debate sobre LGPD no Brasil ficou mais “pé no chão”: menos discurso genérico e mais ênfase em governança, processos e prestação de contas — algo que afeta diretamente universidades e institutos federais, que lidam com grandes volumes de dados de estudantes, servidores, pesquisa e extensão.
  
  (Jan/2025) Destaque 1 — Planejamento regulatório como sinal de prioridade: a Agenda Regulatória 2025–2026 da ANPD (publicada no fim de 2024, mas com execução e efeitos práticos em 2025) consolidou temas que batem direto no cotidiano das IFES, como direitos dos titulares, compartilhamento de dados pelo poder público, medidas de segurança, tratamento de crianças e adolescentes e RIPD (Relatório de Impacto). Isso funciona como “bússola” de fiscalização e orientações, e ajuda a priorizar planos internos de adequação.

  Fonte: ANPD — “ANPD publica Agenda Regulatória 2025-2026” (11/12/2024)

  (Fev/2025) Destaque 2 — Estruturas internas e integridade importam: atos internos da ANPD ao longo de 2025 reforçaram a ideia de maturidade institucional (ética, integridade e governança). Para IFES, isso se traduz em uma lição prática: não basta “ter a LGPD no papel”; é preciso arranjo institucional (papéis claros, fluxos e controles) para sustentar decisões e responder incidentes.

  Fonte: ANPD — Atos de Gestão Interna (inclui Resolução CD/ANPD nº 24, de 26/02/2025)

  (Mar/2025) Destaque 3 — Incidentes e comunicação entram no centro: materiais e guias publicados e repercutidos no período reforçaram rotinas de resposta a incidentes e comunicação — um tema sensível para educação, onde ataques podem paralisar matrícula, ensino e pesquisa. A mensagem recorrente: preparar o “antes” (prevenção e plano) é o que reduz dano no “depois” (resposta e comunicação).

  Fonte: IAB — “Guia de Incidente de Segurança com Dados Pessoais” (27/02/2025) 2) 2º trimestre (abr–jun/2025): Ciberataques em instituições públicas e ciência viram pauta de Estado — e universidades aparecem no radar

  No 2º trimestre, a LGPD “encostou” ainda mais na Segurança da Informação: cresceu a percepção pública de que incidentes cibernéticos não são só problema técnico — são problema de continuidade do serviço público e de risco a direitos dos titulares.
  
  (Abr/2025) Destaque 1 — Educação sob pressão: risco operacional vira risco de dados: relatos e análises do setor reforçaram que universidades sofrem com ataques que interrompem serviços essenciais (sistemas, rede, portais). Para a LGPD, isso tende a virar uma pergunta-chave: “houve risco ou dano relevante ao titular?” e “as medidas de segurança eram adequadas?”.

  Fonte: Nexo Jornal — “Ataques cibernéticos a universidades e instituições científicas crescem no país” (16/06/2025)

  (Mai/2025) Destaque 2 — Debate jurídico sobre responsabilidade por vazamentos ganha palco: publicações e análises jurídicas de 2025 voltaram a bater numa tecla que impacta IFES: quando ocorre vazamento, não é só “quem atacou”, mas também “quem tinha dever de proteger” e “quais controles existiam”. Isso influencia como universidades documentam decisões, riscos e providências.

  Fonte: FecomercioSP — “Vazamento de dados pessoais, LGPD e a visão do STJ” (12/05/2025)

  (Jun/2025) Destaque 3 — Polícia Federal mira ataques a instituições públicas (incluindo universidades): a Operação Timeout (PF) explicitou o impacto de ataques cibernéticos na prestação de serviços e citou alvos ligados a instituições públicas — com menção a universidades públicas entre os afetados. Para IFES, isso é um alerta duplo: reforço de segurança e preservação de evidências/logs para investigação e responsabilização.

  Fonte: Polícia Federal (gov.br) — “PF deflagra a Operação Timeout…” (10/06/2025) 3) 3º trimestre (jul–set/2025): Incidente, comunicação e responsabilização — o “tripé” que mais bate na porta das IFES

  Entre julho e setembro, três temas ficaram especialmente “práticos” para quem opera TI e governança em universidades: (1) como comunicar incidentes corretamente, (2) como provar que medidas de segurança existiam e (3) como o Judiciário está enxergando dano e responsabilidade.
  
  (Jul/2025) Destaque 1 — Comunicação de incidente: ser rápido é importante, mas ser correto é essencial: publicação do Serpro explicou, de forma didática, obrigações e critérios envolvendo incidentes com dados pessoais, citando expressamente deveres de segurança (art. 46) e comunicação (art. 48), além do papel do controlador e do operador no fluxo de informações. Para IFES, isso vira checklist: papéis definidos, canal de comunicação, registro do ocorrido, avaliação de risco/dano e evidências.

  Fonte: Serpro — “Incidentes de Segurança com Dados Pessoais: comunicar é preciso, mas nem sempre!” (16/07/2025)

  (Ago/2025) Destaque 2 — Padrões de resposta a incidentes e documentação: guias e materiais de resposta a incidentes (inclusive em órgãos públicos) reforçaram o valor de documentação e rastreabilidade — o que conversa diretamente com RIPD, gestão de risco e prestação de contas. Em universidades, isso costuma esbarrar em ambientes descentralizados (muitos sistemas e unidades), exigindo governança mínima comum.

  Fonte: CNMP — “Guia Sobre Incidentes de Segurança com Dados Pessoais” (PDF)

  (Set/2025) Destaque 3 — STJ reforça: divulgação indevida pode gerar dano moral presumido: notícia oficial do STJ destacou entendimento de que disponibilização indevida de informações pessoais a terceiros, sem comunicação e consentimento, pode configurar violação de direitos de personalidade e justificar indenização por dano moral — com impacto direto em como instituições tratam compartilhamentos e bases de dados acessíveis.

  Fonte: STJ — “Disponibilização indevida… gera dano moral presumido” (05/09/2025)

  (Set/2025) Extra institucional — regras específicas para acesso a dados em sistemas do Judiciário: o CNJ publicou norma sobre acesso a dados pessoais em seus sistemas informatizados, reforçando a tendência de regras mais explícitas de acesso e rastreabilidade. Em IFES, a lição é similar: formalizar critérios, trilhas de auditoria e bases legais para acessos internos.

  Fonte: CNJ — Resolução nº 647/2025 (publicada em 29/09/2025) 4) 4º trimestre (out–dez/2025): Educação em evidência, e a ANPD fecha o ano recalibrando prioridades

  No fim de 2025, dois movimentos caminharam juntos: (a) casos e denúncias envolvendo educação voltaram ao noticiário; e (b) a ANPD publicou atualizações que ajudam a entender para onde vai a régua regulatória e fiscalizatória.
  
  (Out/2025) Destaque 1 — Setor educacional sob ataque (impacto em dados e continuidade): análises do período reforçaram que ataques e incidentes no setor educacional afetam não só o “site fora do ar”, mas também dados pessoais e rotinas críticas (acesso, matrícula, ambientes virtuais, e-mail institucional). Para IFES, o aprendizado é claro: segurança e privacidade precisam caminhar juntas, com planos de continuidade e resposta a incidentes alinhados à LGPD.

  Fonte: FENATI — “Escolas e universidades enfrentam nova onda de cibercrimes” (09/10/2025)

  (Nov/2025) Destaque 2 — Educação e integridade de processos em foco (caso Enem): repercussão de denúncias de suposto vazamento de questões do Enem mostrou como educação vira pauta nacional quando há suspeitas de exposição/uso indevido de informação. Ainda que o assunto não seja “LGPD pura”, ele reforça cultura de controle, trilhas de auditoria e investigação — competências que também protegem dados pessoais em ambientes educacionais.

  Fonte: Guia do Estudante (Abril) — “Entenda o suposto vazamento do Enem 2025…” (18/11/2025)

  (Dez/2025) Destaque 3 — ANPD atualiza agenda e define mapa de prioridades: no fechamento do ano, a ANPD publicou o Mapa de Temas Prioritários 2026–2027 e atualizou a Agenda Regulatória 2025–2026, sinalizando continuidade e ajustes de prazo em temas como direitos dos titulares, RIPD, compartilhamento de dados pelo poder público e dados biométricos — tópicos que atingem diretamente a administração pública educacional.

  Fonte: ANPD — “ANPD publica Mapa de Temas Prioritários… e atualiza Agenda…” (24/12/2025)

  (Dez/2025) Extra normativo — Resoluções de fim de ano: a página de regulamentações da ANPD registra, por exemplo, a Resolução CD/ANPD nº 31/2025 (ajuste da Agenda 2025–2026) e a Resolução nº 30/2025 (Mapa 2026–2027), consolidando o “fechamento regulatório” do ano.

  Fonte: ANPD — Regulamentações (Resoluções e atos normativos) Dicionário de Termos LGPD (Lei nº 13.709/2018): Lei brasileira que define regras para coleta, uso, armazenamento e compartilhamento de dados pessoais, garantindo direitos aos titulares. ANPD: Autoridade Nacional de Proteção de Dados; órgão responsável por orientar, fiscalizar e aplicar sanções relacionadas à LGPD. Titular: Pessoa natural a quem os dados pessoais se referem (ex.: estudante, servidor, terceirizado, pesquisador participante). Controlador: Quem decide “por que” e “como” os dados pessoais serão tratados (ex.: a universidade, como instituição, em muitos processos). Operador: Quem trata dados pessoais em nome do controlador (ex.: empresas de sistemas, nuvem, suporte, plataformas educacionais). Encarregado (DPO): Pessoa indicada para atuar como canal de comunicação entre controlador, titulares e ANPD, apoiando a governança de privacidade. Dados pessoais: Informações que identificam ou podem identificar alguém (ex.: nome, CPF, e-mail, matrícula, IP associado). Dados pessoais sensíveis: Dados com maior risco de discriminação (ex.: saúde, biometria, convicção religiosa, opinião política). Incidente de segurança: Evento que compromete confidencialidade, integridade, disponibilidade ou autenticidade de dados pessoais (ex.: vazamento, indisponibilidade crítica, acesso indevido). Art. 46 (LGPD): Exige medidas de segurança técnicas e administrativas para proteger dados pessoais contra acessos não autorizados e situações acidentais/ilícitas. Art. 48 (LGPD): Determina que o controlador deve comunicar à ANPD e ao titular incidentes que possam acarretar risco ou dano relevante. Art. 52 (LGPD): Lista sanções administrativas possíveis (advertência, multa, publicização, bloqueio/eliminação de dados, etc.). RIPD: Relatório de Impacto à Proteção de Dados; documento que descreve processos de tratamento e medidas para mitigar riscos à privacidade. CIS / RCIS: “Comunicação de Incidente de Segurança” e “Regulamento de Comunicação de Incidente de Segurança”, que orientam como comunicar incidentes à ANPD e aos titulares. Fontes ANPD — “ANPD publica Agenda Regulatória 2025-2026” (11/12/2024) ANPD — Atos de Gestão Interna (inclui Resolução CD/ANPD nº 24, de 26/02/2025) IAB — “Guia de Incidente de Segurança com Dados Pessoais” (27/02/2025) Nexo Jornal — “Ataques cibernéticos a universidades e instituições científicas crescem no país” (16/06/2025) FecomercioSP — “Vazamento de dados pessoais, LGPD e a visão do STJ” (12/05/2025) Polícia Federal (gov.br) — “PF deflagra a Operação Timeout…” (10/06/2025) Serpro — “Incidentes de Segurança com Dados Pessoais: comunicar é preciso, mas nem sempre!” (16/07/2025) CNMP — “Guia Sobre Incidentes de Segurança com Dados Pessoais” (PDF) STJ — “Disponibilização indevida… gera dano moral presumido” (05/09/2025) CNJ — Resolução nº 647/2025 (publicada em 29/09/2025) FENATI — “Escolas e universidades enfrentam nova onda de cibercrimes” (09/10/2025) Guia do Estudante (Abril) — “Entenda o suposto vazamento do Enem 2025…” (18/11/2025) ANPD — “ANPD publica Mapa de Temas Prioritários… e atualiza Agenda…” (24/12/2025) ANPD — Regulamentações (Resoluções e atos normativos; inclui Res. CD/ANPD nº 30 e nº 31, de 2025)