exemplo comum envolve compras em marketplaces. Imagine que você compra um produto em uma grande plataforma, paga, e o item nunca chega. Muitas pessoas pensam: “o problema é só com o vendedor”. Em alguns casos, sim. Mas em outros, a plataforma participa ativamente da venda: intermedia pagamento, controla anúncios, estabelece regras, recebe comissão e promete segurança. Quanto maior a participação da plataforma na experiência de compra, maior a chance de ela também ter responsabilidade perante o consumidor. Aqui entra um princípio importante: quem lucra com a atividade também assume riscos.

           No ambiente digital, a responsabilidade não é apenas sobre “fazer algo errado”, mas também sobre deixar de fazer algo que era esperado. Isso é o que o Direito chama de omissão relevante. Por exemplo: uma empresa coleta dados pessoais de clientes, mas não investe em segurança básica, sofre um vazamento previsível e expõe milhares de pessoas. Mesmo que não tenha havido intenção de causar dano, existe responsabilidade porque havia o dever de proteger esses dados. No digital, não basta dizer “não foi por mal”; é preciso mostrar que houve cuidado.

           É por isso que, cada vez mais, se fala em dever de cuidado digital. Esse dever varia conforme o papel exercido. Uma pessoa comum que usa redes sociais tem deveres, como não ofender, não difamar, não divulgar dados de terceiros sem autorização. Uma empresa tem deveres maiores: informar claramente, proteger dados, cumprir ofertas, oferecer canais de atendimento, responder incidentes. Uma plataforma digital, por sua vez, tem deveres proporcionais ao seu tamanho, influência e capacidade técnica. A lógica é simples: quem pode causar mais impacto precisa agir com mais responsabilidade.

           Outro ponto importante é entender que responsabilidade digital não é sempre “tudo ou nada”. Muitas vezes, ela é compartilhada. Imagine um funcionário que, por descuido, clica em um link falso e permite a invasão do sistema da empresa. Houve erro humano? Sim. Mas a empresa oferecia treinamento? Tinha políticas de segurança? Usava autenticação em dois fatores? Monitorava acessos? Dependendo das respostas, a responsabilidade pode recair tanto sobre o indivíduo quanto sobre a organização. O Direito Digital não busca vilões únicos; ele analisa contexto.

           Esse raciocínio também ajuda a entender por que frases como “eu só compartilhei” não são sempre uma defesa válida. Compartilhar conteúdo ofensivo, falso ou ilegal

pode gerar responsabilidade, especialmente quando amplia o dano. No digital, o ato de compartilhar não é neutro: ele aumenta alcance, reforça narrativa e pode intensificar prejuízos. Por isso, cada clique tem peso jurídico potencial, ainda que muita gente não perceba isso no cotidiano.

           Vale destacar que responsabilidade digital não significa, automaticamente, processo ou punição criminal. Em muitos casos, estamos falando de responsabilidade civil, que busca reparar danos, compensar prejuízos ou corrigir condutas. Em outros, pode haver relação de consumo, com obrigação de reembolso ou cumprimento de oferta. E apenas em situações específicas surge a responsabilidade penal, quando a conduta se encaixa em um tipo de crime previsto em lei. Saber diferenciar essas esferas ajuda a evitar pânico e também evita subestimar situações sérias.

           Um erro comum de iniciantes é achar que “se está no contrato ou nos termos de uso, vale tudo”. Não é bem assim. Termos de uso não autorizam abusos, não anulam direitos básicos e não permitem qualquer prática. No Brasil, princípios como boa-fé, transparência e proteção do consumidor e do titular de dados continuam valendo no ambiente digital. Portanto, responsabilidade também envolve limites contratuais: o que pode e o que não pode ser imposto ao usuário.

           No dia a dia, entender quem responde pelo que ajuda a agir melhor. Ajuda a saber a quem recorrer quando algo dá errado. Ajuda a registrar provas de forma mais estratégica. Ajuda a comunicar o problema para o canal correto. E ajuda, principalmente, a prevenir situações de risco, porque você passa a enxergar que suas ações online não são invisíveis nem sem consequência. Elas fazem parte de um ecossistema de relações reais, com impactos reais.

           Ao final desta aula, a ideia não é que você memorize classificações jurídicas, mas que desenvolva um olhar mais atento e responsável sobre o digital. Sempre que surgir um problema, tente se perguntar: quem criou o risco? Quem tinha controle? Quem se beneficiou da situação? Quem deixou de agir quando deveria? Essas perguntas simples aproximam você do raciocínio do Direito Digital e te colocam em posição mais segura, seja como usuário, profissional ou empreendedor.

Referências bibliográficas

BRASIL. Constituição da República Federativa do Brasil de 1988. Brasília, DF: Presidência da República, 1988.

BRASIL. Lei nº 12.965, de 23 de abril de 2014. Estabelece princípios, garantias, direitos e

deveres para o uso da Internet no Brasil (Marco Civil da Internet). Brasília, DF: Presidência da República, 2014.

BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Brasília, DF: Presidência da República, 2018.

BRASIL. Lei nº 8.078, de 11 de setembro de 1990. Código de Defesa do Consumidor. Brasília, DF: Presidência da República, 1990.

BRASIL. Lei nº 13.105, de 16 de março de 2015. Código de Processo Civil. Brasília, DF: Presidência da República, 2015.

PINHEIRO, Patrícia Peck. Direito Digital Aplicado. São Paulo: Saraiva, 2022.

CRESPO, Marcelo. Crimes Digitais e Provas Digitais. São Paulo: Saraiva, 2021.

DONEDA, Danilo. Da privacidade à proteção de dados pessoais. Rio de Janeiro: Forense, 2020.

MIRAGEM, Bruno. Responsabilidade Civil no Direito do Consumidor. São Paulo: Revista dos Tribunais, 2021.

Aula 2 — Crimes digitais: o que é crime e o que é “só” problema civil

           Quando acontece um problema online, é muito comum a gente ouvir duas reações opostas: de um lado, “isso é crime, vou prender todo mundo”; do outro, “ah, internet é assim mesmo, não dá em nada”. As duas visões atrapalham. A primeira porque transforma qualquer conflito em caso de polícia. A segunda porque normaliza abusos e fraudes. O ponto desta aula é te dar um mapa simples para diferenciar o que tende a ser crime digital, o que costuma ser questão civil ou de consumo, e por que, às vezes, um mesmo fato pode envolver mais de um caminho.

           Uma boa forma de começar é lembrar que crime não é sinônimo de “algo errado” ou “algo que eu achei absurdo”. Crime é uma conduta que a lei descreve como proibida e que pode gerar punição (como pena ou outras medidas). Já a esfera civil é, na maioria das vezes, sobre reparar: devolver dinheiro, indenizar, retirar conteúdo, corrigir um dano, cumprir um contrato, encerrar uma cobrança. Em outras palavras: o crime olha para a violação como ofensa à sociedade e à lei penal; o civil olha para o impacto e tenta recompor o prejuízo da vítima.

           No digital, essa diferença fica mais confusa porque muita coisa acontece rápido e publicamente. Um comentário agressivo pode doer, mas nem sempre será crime — pode ser uma discussão feia, um conflito de opinião ou um dano moral discutido na esfera civil. Por outro lado, certos comportamentos que parecem “só uma mensagem” são, na prática, bem graves: ameaças, extorsão, perseguição, invasão de conta, fraudes. O desafio é não banalizar e também

digital, essa diferença fica mais confusa porque muita coisa acontece rápido e publicamente. Um comentário agressivo pode doer, mas nem sempre será crime — pode ser uma discussão feia, um conflito de opinião ou um dano moral discutido na esfera civil. Por outro lado, certos comportamentos que parecem “só uma mensagem” são, na prática, bem graves: ameaças, extorsão, perseguição, invasão de conta, fraudes. O desafio é não banalizar e também não exagerar.

           Pense em três categorias para organizar a cabeça: (1) conflitos e danos (civil/consumo), (2) violações com intenção ou gravidade (criminal), (3) casos mistos (civil + criminal). Essa divisão não é perfeita, mas ajuda muito o iniciante a se localizar.

           Comecemos pelos conflitos e danos que costumam cair no civil ou consumo. Imagine que você assinou um serviço e não consegue cancelar, ou a plataforma cobra um valor que você não reconhece, ou uma loja online promete entrega em cinco dias e demora um mês. Isso pode gerar indignação enorme — e com razão —, mas normalmente o caminho principal passa por direito do consumidor, atendimento, protocolos, Procon e, se necessário, ação judicial para reembolso e indenização. É “problema sério”, mas não necessariamente crime. O mesmo vale para situações como propaganda enganosa, serviço mal prestado, cláusulas abusivas e falhas de suporte. O digital muda o cenário, mas a lógica de consumo continua muito parecida.

           Agora, o que costuma ser crime digital? Aqui entram condutas em que existe fraude, invasão, ameaça, perseguição ou violação mais grave. Um exemplo muito conhecido é a invasão de contas: alguém obtém acesso indevido ao seu e-mail, rede social, WhatsApp, banco ou aplicativo. Às vezes isso acontece por falha técnica, mas frequentemente acontece por engenharia social: o golpista se passa por suporte, pede código, cria urgência, manipula. A partir daí, ele pratica outros atos: aplica golpes em contatos, pede dinheiro, altera dados, faz compras. Nesses casos, há forte chance de elementos criminais, porque existe acesso indevido e, frequentemente, prejuízo intencional.

           Outro conjunto de crimes digitais muito comum envolve estelionato e fraudes. É quando alguém te engana para obter vantagem: falso anúncio, falso boleto, falso PIX, link malicioso, “suporte do banco”, “taxa para liberar prêmio”, “investimento garantido”, “vaga de emprego que cobra curso”. O detalhe aqui é que o crime não está no fato de existir internet, mas

no fato de existir internet, mas no uso da internet como ferramenta para enganar. A tecnologia facilita porque permite escala, anonimato e velocidade, mas o núcleo da conduta é o mesmo: induzir a vítima ao erro para obter dinheiro ou benefício.

           Também há crimes ligados à ameaça, perseguição e violência psicológica no ambiente digital. Muita gente subestima isso porque “foi só online”, mas a dor e o risco são reais. Ameaçar alguém por mensagem, perseguir, criar múltiplas contas para importunar, divulgar informações pessoais para intimidar, estimular ataques em massa: tudo isso pode configurar situações graves que merecem atenção e, em muitos casos, medidas protetivas e intervenção das autoridades. Aqui é importante entender que o digital amplia alcance e repetição — e isso pode aumentar o impacto do dano.

           Um tema delicado e infelizmente frequente é a sextorsão (extorsão com conteúdo íntimo). A dinâmica costuma ser cruel: o agressor obtém imagens ou vídeos (por invasão, manipulação, relacionamento, ou falsas promessas) e passa a ameaçar divulgação caso a vítima não pague dinheiro ou não envie mais conteúdo. O medo e a vergonha fazem a vítima agir no impulso. Nesta aula, o mais importante é a orientação de segurança: não negociar com extorsor como se fosse “acordo”, registrar evidências, buscar suporte, e acionar canais adequados. O extorsor se alimenta do silêncio e do desespero; o caminho mais seguro costuma envolver apoio e ação estruturada.

           Agora chegamos aos casos mistos, que são os que mais confundem. Um golpe com prejuízo financeiro pode exigir, ao mesmo tempo, providências civis (recuperar dinheiro, contestar compras, exigir reembolso) e providências criminais (registrar ocorrência, investigar autoria). Um vazamento de dados pode gerar obrigação de reparação e, dependendo do modo como ocorreu, pode envolver crimes correlatos. Uma difamação online pode ser discutida civilmente por dano moral e, em alguns contextos, também ter enquadramentos penais. Ou seja: não é “ou crime ou civil” sempre. Muitas vezes é “os dois”, só que cada um com seu objetivo e suas provas.

           Por isso, uma habilidade essencial é aprender a fazer duas perguntas práticas quando algo acontece: (1) Qual foi o dano? (dinheiro, reputação, privacidade, segurança, trabalho, saúde emocional) e (2) Qual foi a conduta? (fraude, ameaça, invasão, exposição, descumprimento contratual, falha de serviço). Dano e conduta ajudam a indicar o caminho. E

aqui entra um ponto bem didático: o Direito não funciona só com indignação; ele funciona com fatos demonstráveis. Então, junto com essas perguntas, vem a terceira: que evidências eu consigo reunir?

           No digital, prova é a diferença entre “parece que aconteceu” e “consigo mostrar o que aconteceu”. Prints ajudam, mas é importante guardar contexto: links, datas, horários, nomes de usuário, chaves PIX, comprovantes, e-mails, protocolos de atendimento, conversas exportadas quando possível. Se houve pagamento, comprovante é indispensável. Se houve anúncio, guardar o anúncio e o perfil. Se houve ameaça, guardar a conversa completa (não só o trecho mais chocante), porque o contexto também importa. A organização da prova não é paranoia; é autoproteção.

           Outro erro comum de quem está começando é achar que registrar boletim de ocorrência resolve tudo sozinho. O boletim pode ser importante, mas ele é uma peça dentro de um conjunto. Em golpes, por exemplo, você também precisa agir rápido com o banco, contestar transações, bloquear cartões, alterar senhas, proteger e-mail e ativar autenticação em dois fatores. Em conflitos de consumo, muitas vezes o caminho mais eficiente começa por protocolos, canais formais, consumidor.gov e Procon. E em casos de ameaça ou exposição íntima, apoio e segurança pessoal precisam vir junto: conversar com alguém de confiança, buscar orientação especializada, e não se isolar.

           No fim, a mensagem mais humana desta aula é: quando o problema acontece no digital, você não precisa escolher entre “drama” e “impotência”. Existe um caminho do meio: entender a natureza do problema, separar o que é crime do que é civil (ou reconhecer quando é misto), registrar evidências e agir por etapas. Isso traz clareza e reduz ansiedade, porque você sai do modo “pânico” e entra no modo “solução”.

           E talvez o aprendizado final seja este: o digital muda as ferramentas, mas não muda a necessidade de prudência. Golpistas contam com pressa. Agressores contam com silêncio. Plataformas contam com desistência. O Direito Digital, quando bem entendido, é justamente a resposta prática a esses “contos”: ele te ajuda a agir com método, sem se prejudicar e sem perder tempo com caminhos que não resolvem.

Referências bibliográficas

BRASIL. Decreto-Lei nº 2.848, de 7 de dezembro de 1940. Código Penal. Brasília, DF: Presidência da República, 1940.

BRASIL. Lei nº 12.737, de 30 de novembro de 2012. Dispõe sobre a tipificação criminal de

Dispõe sobre a tipificação criminal de delitos informáticos (Lei Carolina Dieckmann). Brasília, DF: Presidência da República, 2012.

BRASIL. Lei nº 14.155, de 27 de maio de 2021. Altera o Código Penal para tornar mais graves os crimes de invasão de dispositivo informático, furto e estelionato cometidos com a utilização de dispositivo eletrônico. Brasília, DF: Presidência da República, 2021.

BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Brasília, DF: Presidência da República, 2018.

BRASIL. Lei nº 12.965, de 23 de abril de 2014. Estabelece princípios, garantias, direitos e deveres para o uso da Internet no Brasil (Marco Civil da Internet). Brasília, DF: Presidência da República, 2014.

BRASIL. Lei nº 8.078, de 11 de setembro de 1990. Código de Defesa do Consumidor. Brasília, DF: Presidência da República, 1990.

CRESPO, Marcelo. Crimes Digitais. São Paulo: Saraiva, 2021.

PINHEIRO, Patrícia Peck. Direito Digital. 7. ed. São Paulo: Saraiva, 2021.

SOUZA, Renato Opice Blum (coord.). Direito Eletrônico e Internet: questões fundamentais. São Paulo: Revista dos Tribunais, 2019.

Aula 3 — LGPD na prática: dados pessoais, bases legais e direitos do titular

           A LGPD costuma assustar no começo porque parece uma lei “de empresa grande”, cheia de termos e siglas. Mas, quando a gente troca o olhar, ela fica bem mais simples: a LGPD é uma forma de lembrar que dados pessoais são pedaços da vida de alguém. Não é só número de CPF ou um cadastro qualquer. É informação que, sozinha ou combinada com outras, pode identificar uma pessoa, revelar hábitos, preferências, rotina, trabalho, deslocamentos. E quanto mais digital é a nossa vida, mais dados são produzidos sem a gente perceber — por formulários, aplicativos, cookies, sistemas de matrícula, plataformas de pagamento, e-mails marketing, cadastros de suporte. A LGPD aparece justamente para organizar esse cenário e equilibrar poder: dar limites a quem coleta e dar direitos a quem é dono da informação.

           Para entender a LGPD na prática, é útil começar pelo básico: o que é dado pessoal? É qualquer informação relacionada a uma pessoa natural identificada ou identificável. Nome, e-mail, telefone, RG, CPF, endereço, foto, voz, localização, número de matrícula, dados de navegação, IP (dependendo do contexto), e até combinações como “cidade + escola + idade” podem identificar alguém. E existe uma categoria que pede ainda mais cuidado: os dados pessoais

sensíveis, como informações sobre saúde, biometria, origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato, vida sexual. Esses dados, quando expostos ou mal usados, podem gerar discriminação e danos maiores, por isso exigem tratamento ainda mais rigoroso.

           Outra palavra que parece técnica, mas é muito cotidiana, é tratamento de dados. Tratamento é praticamente tudo: coletar, armazenar, organizar, acessar, usar, compartilhar, transferir, analisar, eliminar. Se um site tem um formulário e salva as respostas numa planilha, isso já é tratamento. Se uma escola registra presença, notas e contatos, isso é tratamento. Se um aplicativo guarda localização para “melhorar experiência”, isso é tratamento. Ou seja: a LGPD não é só sobre vazamento; ela é sobre o ciclo inteiro de vida do dado.

           A grande pergunta da LGPD é: “você pode tratar esse dado?”. E a resposta quase nunca é “sim, porque eu quero”. A lei diz que o tratamento precisa ter uma finalidade legítima, ser adequado ao que foi informado e ser necessário — ou seja, coletar o mínimo para cumprir a finalidade. É aqui que muita gente tropeça: por hábito, empresas e projetos coletam dados demais “para o caso de um dia precisar”. Só que, na lógica da LGPD, coletar sem necessidade aumenta risco e responsabilidade. É como guardar combustível em casa “porque pode ser útil”: pode até ser, mas se pegar fogo, o problema fica enorme.

           E então vem uma das partes mais importantes para quem está começando: as bases legais. Base legal é o “motivo autorizado” para tratar dados. Muita gente acha que LGPD é só consentimento, mas não é. Consentimento é apenas uma das bases possíveis. Na prática, as bases legais mais comuns no dia a dia são quatro: consentimento, execução de contrato, cumprimento de obrigação legal/regulatória e legítimo interesse (com cuidado).

           O consentimento é quando a pessoa autoriza o uso dos dados para uma finalidade específica. Ele precisa ser livre, informado e inequívoco — em português claro, a pessoa precisa entender e escolher, não apenas “aceitar por cansaço”. Um erro comum é tratar consentimento como “tudo liberado”. Não é. Se você pede consentimento para enviar newsletter, isso não significa que pode repassar o e-mail para parceiros ou criar perfil de comportamento para anúncios sem explicar. E outro ponto importante: consentimento pode ser revogado. Então, quando o tratamento depende dele, a organização precisa ter como

parar, ajustar, excluir quando for o caso, e registrar isso de forma organizada.

           A execução de contrato é uma base muito prática: você pode tratar dados quando precisa deles para entregar o que foi contratado. Se alguém compra um curso, você precisa de nome, e-mail e dados de acesso para entregar o serviço. Se alguém compra um produto, você precisa de endereço para enviar. Isso parece óbvio, mas é aqui que entra um cuidado: usar dados “do contrato” para finalidades extras (como vender listas, disparar marketing sem critério, ou expor em público) pode não se sustentar nessa base. Contrato serve para cumprir o contrato — não para transformar o cliente em produto.

           Já o cumprimento de obrigação legal é o caso em que a lei exige que certas informações sejam guardadas ou fornecidas. Dependendo do setor, existem obrigações contábeis, fiscais, educacionais, trabalhistas, regulatórias. Essa base é importante porque mostra que nem sempre o titular pode exigir “apaga tudo agora” se existir obrigação de guarda. A LGPD não ignora outras leis; ela convive com elas.

           E o famoso legítimo interesse costuma ser o mais mal entendido. Ele não significa “meu interesse é legítimo porque eu acho”. Ele exige uma análise real de equilíbrio: o interesse da organização pode existir, mas precisa respeitar direitos e expectativas do titular, reduzir impacto e manter transparência. Em termos práticos, legítimo interesse pede cuidado, bom senso e documentação. É aquela base que funciona quando há finalidade razoável e pouco invasiva — e quando você consegue explicar isso com clareza para quem fornece os dados.

           Falando em clareza, aqui entra um componente muito importante da LGPD que, na vida real, diferencia quem está fazendo o básico de quem está “só fingindo”: transparência. Transparência é dizer, de forma compreensível, o que você coleta, por que coleta, com quem compartilha, por quanto tempo guarda e como a pessoa pode falar com você sobre isso. Não é para ser um texto de 30 páginas. O melhor aviso de privacidade é aquele que a pessoa consegue entender sem sentir que está lendo um contrato bancário. Quando a comunicação é humana, o usuário confia mais. E confiança, no digital, é um ativo gigantesco.

           Além disso, a LGPD coloca o titular em uma posição ativa, com direitos. Isso é fundamental. O titular pode pedir confirmação de que seus dados são tratados, pode pedir acesso, correção, informações sobre compartilhamento,

portabilidade em certos casos, e pode pedir eliminação quando o tratamento não for mais necessário ou quando estiver baseado em consentimento e ele for revogado. Do ponto de vista prático, isso significa que organizações precisam se preparar para responder a pessoas reais — não só “cumprir lei”. A pergunta não é “se alguém vai pedir”, é “quando alguém pedir, eu sei responder?”. E responder bem inclui ter processos simples e respeitosos, sem empurrar a pessoa de setor em setor.

           Um exemplo bem cotidiano ajuda a enxergar a LGPD funcionando. Imagine um formulário de inscrição para receber um material gratuito. O que faz sentido coletar? Nome e e-mail, talvez. Agora, se o formulário pede CPF, data de nascimento, endereço completo e profissão, sem explicar por que, isso acende alerta. Não porque seja automaticamente ilegal, mas porque pode ser desnecessário e desproporcional. E a LGPD puxa exatamente essa conversa: qual é a finalidade? é realmente necessário? a pessoa entendeu? Se a resposta for “não sei” ou “sempre fizemos assim”, o risco aumenta.

           Outro exemplo: uma escola ou curso que publica fotos de alunos em redes sociais. Dependendo do contexto, isso pode envolver dados pessoais (imagem é dado pessoal). Não basta “todo mundo faz”. É preciso ter base e transparência: avisar, explicar finalidade, permitir que a pessoa se oponha quando cabível, cuidar para não expor alunos em situações sensíveis. A lógica é muito humana: ninguém quer ser usado como vitrine sem escolha. LGPD, no fundo, é respeito às pessoas.

           E quando dá problema, como vazamento ou acesso indevido? A LGPD não é só “castigo”; ela é uma bússola de resposta. A organização precisa agir rápido para conter, investigar, reduzir danos, orientar titulares e reforçar segurança. Do lado do usuário, a LGPD ajuda a exigir explicações: “quais dados meus vocês tinham?”, “o que foi exposto?”, “o que vocês estão fazendo para resolver?”, “como posso me proteger?”. Ou seja, a lei também fortalece a capacidade de reação da pessoa.

           Para fechar, vale um resumo bem prático do que é “fazer LGPD” no dia a dia, mesmo sem ser especialista: coletar menos, explicar melhor, guardar com segurança, compartilhar com cuidado, responder pedidos com respeito e corrigir rotas quando necessário. Quando você olha assim, a LGPD deixa de ser um monstro e vira um conjunto de atitudes razoáveis — e, sinceramente, atitudes que já deveriam existir mesmo sem lei, porque são boas práticas de

confiança e responsabilidade.

Referências bibliográficas

BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Brasília, DF: Presidência da República, 2018.

BRASIL. Lei nº 12.965, de 23 de abril de 2014. Estabelece princípios, garantias, direitos e deveres para o uso da Internet no Brasil (Marco Civil da Internet). Brasília, DF: Presidência da República, 2014.

BRASIL. Constituição da República Federativa do Brasil de 1988. Brasília, DF: Presidência da República, 1988.

AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS (ANPD). Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado. Brasília: ANPD, 2021.

AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS (ANPD). Guia Orientativo: Tratamento de Dados Pessoais pelo Poder Público. Brasília: ANPD, 2022.

DONEDA, Danilo. Da privacidade à proteção de dados pessoais. Rio de Janeiro: Forense, 2020.

BIONI, Bruno Ricardo. Proteção de Dados Pessoais: a função e os limites do consentimento. Rio de Janeiro: Forense, 2019.

PINHEIRO, Patrícia Peck. Direito Digital. 7. ed. São Paulo: Saraiva, 2021.

MALDONADO, Viviane Nóbrega; BLUM, Renato Opice (coords.). LGPD: Lei Geral de Proteção de Dados comentada. São Paulo: Revista dos Tribunais, 2019.

Estudo de caso envolvente — Módulo 2 (Responsabilidade, crimes digitais e LGPD na prática)

Título: “A lista de alunos, o link ‘urgente’ e a cobrança que ninguém reconhece”

A Escola Horizonte (nome fictício) estava animada com o início do semestre. Para agilizar matrículas, criou um formulário online simples: nome, CPF, telefone, e-mail, endereço, data de nascimento e nome do responsável. A coordenadora, Paula, pensou: “quanto mais dados, melhor — assim a gente não precisa pedir depois”. E para facilitar o trabalho interno, ela deixou uma planilha compartilhada com professores e secretaria, sem muita regra: “todo mundo aqui é confiável”.

Na mesma semana, o setor financeiro começou a receber ligações estranhas: pais dizendo que estavam recebendo e-mails “da escola” cobrando uma taxa de material com boleto. Alguns pagaram. Outros desconfiaram e ligaram antes. A equipe ficou confusa: a escola não tinha enviado nada daquilo.

Paula, preocupada, entrou no e-mail institucional e viu um aviso: “novo acesso detectado”. Antes que ela tivesse tempo de entender, chegou uma mensagem no WhatsApp: “Sou do suporte do provedor, precisamos que você confirme um código para bloquear o invasor”. Ela confirmou — e, em poucos

minutos, perdeu acesso ao e-mail. O golpista passou a enviar cobranças para pais usando o endereço real da escola e um tom super convincente.

O que parecia um problema “de tecnologia” virou um caso completo de Direito Digital aplicado: responsabilidade, crime digital, proteção de dados, danos a terceiros, e prova.

O que está acontecendo aqui (ligando com o Módulo 2)

1) Responsabilidade (Aula 1)

• A escola tem dever de cuidado com comunicação institucional e com dados pessoais dos alunos e responsáveis.
• Funcionários também têm deveres mínimos, mas a organização precisa ter processos, treinamento e segurança.
• Pais e alunos são terceiros prejudicados e esperam resposta rápida e clara.

2) Crimes digitais (Aula 2)

• Invasão de conta/e-mail e fraude com boletos: forte indício de crime.
• Engenharia social (“suporte pedindo código”) como método.
• Possível estelionato, dependendo da conduta e da prova.

3) LGPD na prática (Aula 3)

• A planilha tem dados pessoais e possivelmente dados de menores (que exigem ainda mais cuidado).
• Houve falha de segurança e risco de vazamento/exposição.
• A escola precisa de base legal, minimização de dados e controle de acesso.

Erros comuns que a Escola Horizonte cometeu (e como evitar)

Erro 1: Coletar dados demais “por garantia”

O que fizeram: pediram CPF, endereço completo e vários dados sem refletir se tudo era necessário naquele primeiro momento.

Por que é um erro: aumenta risco, aumenta responsabilidade e cria mais dano se houver vazamento.
Como evitar:

• Colete o mínimo necessário para a finalidade.
• Separe dados por etapas: “cadastro inicial” e “documentos complementares”.
• Explique claramente por que cada dado é pedido (transparência).

Regra de bolso: se você não sabe justificar um dado, provavelmente não deveria pedir agora.

Erro 2: Planilha compartilhada sem controle (acesso aberto)

O que fizeram: muitos funcionários com acesso total à planilha.
Por que é um erro: quanto mais gente acessa, maior o risco (erro humano, vazamento, link repassado).
Como evitar:

• Acesso por perfil: “quem precisa ver o quê”.
• Pasta com permissões restritas.
• Registro/organização de quem acessou (quando possível).
• Revisão periódica de acessos (ex.: mensal).

Imagem mental: dados pessoais não são “arquivo de todo mundo”; são responsabilidade de quem guarda.

Erro 3: Cair em engenharia social (o “suporte pedindo código”)

O que

aconteceu: Paula entregou código de verificação.
Por que é comum: golpista usa urgência e autoridade para interromper raciocínio.
Como evitar:

• Nunca passar código, senha ou token por mensagem.
• Verificar por canal oficial (site, app, número verdadeiro).
• Treinar equipe com exemplos reais de golpes.

Regra de bolso: suporte real não pede código de acesso.

Erro 4: Demorar para comunicar e orientar as famílias (silêncio vira pânico)

O que aconteceu: pais pagaram sem saber; outros desconfiaram tarde.
Como evitar:

• Ter plano de crise: mensagem padrão, canal oficial, FAQ.
• Comunicar rápido: “não paguem boletos por e-mail; verifiquem pelo portal”.
• Fixar aviso nos canais oficiais (site, rede social, secretaria).

Dica: comunicação rápida reduz dano e reduz também risco reputacional.

Erro 5: Não ter processo para incidentes e para pedidos de titulares

O que aconteceu: ninguém sabia o que fazer, que evidências guardar, nem como orientar pais.

Como evitar:

• Criar um “roteiro de incidente” (passo a passo).
• Definir responsável (encarregado/DPO ou pessoa de referência).
• Ter canal para dúvidas e solicitações (ex.: e-mail específico).
• Documentar tudo: o que ocorreu, quando, o que foi feito.

Como a Escola deveria agir (passo a passo, sem improviso)

1) Conter o problema (primeiras horas)

• Recuperar e bloquear acesso às contas (e-mail, planilhas, sistemas).
• Trocar senhas e ativar 2FA em tudo.
• Revogar sessões ativas e revisar permissões.

2) Preservar e organizar provas (ainda no começo)

• Guardar e-mails fraudulentos recebidos (inclusive cabeçalhos, se possível).
• Prints dos boletos, chaves PIX, links e mensagens.
• Lista de famílias que receberam/pagaram.
• Linha do tempo do incidente (o que aconteceu e quando).

3) Comunicar com clareza (com cuidado e humanidade)

• Aviso oficial: “identificamos tentativa de fraude; não paguem boletos recebidos por e-mail; confirmem pelo canal X”.
• Orientação para quem pagou: “como registrar, como falar com banco, o que guardar”.
• Reforçar canal oficial e política de cobrança.

4) Tratar LGPD na prática

• Avaliar se houve vazamento/exposição de dados e qual o alcance.
• Adotar medidas de segurança e prevenção.
• Revisar formulário: coletar menos, explicar mais.
• Revisar controle de acesso e tempo de retenção dos dados.

5) Ajustar processos para o futuro

• Treinamento semestral anti

• golpe para equipe.
• Política de acesso a dados (mínimo necessário).
• Aviso de privacidade simples e compreensível.
• Plano de resposta a incidentes (modelo pronto).

“Gatilhos de alerta” que os alunos devem reconhecer (aprendizado do Módulo 2)

• Mensagem urgente pedindo código/senha = provável golpe
• Formulário pedindo dados demais = risco LGPD
• Planilha aberta para muitas pessoas = vazamento por descuido
• Boleto/PIX por e-mail sem confirmação = fraude comum
• Silêncio institucional após incidente = piora dano e reputação

Parte inferior do formulário