ANPD Sanciona Secretaria de Educação do DF: Lições para Escolas e Secretarias

Em 31 de janeiro de 2024, a Autoridade Nacional de Proteção de Dados (ANPD) publicou o Despacho Decisório n. 3/2024/FIS/CGF, aplicando quatro sanções de advertência contra a Secretaria de Estado de Educação do Distrito Federal (SEEDF) por violações à Lei Geral de Proteção de Dados (LGPD). O caso envolveu a exposição indevida de dados cadastrais e de saúde de aproximadamente 3.000 crianças cadastradas no Programa Educação Precoce — um programa voltado a crianças de zero a três anos com necessidades especiais de desenvolvimento.

A decisão representa um marco para o setor educacional brasileiro. Pela primeira vez, uma secretaria de educação foi formalmente sancionada pela ANPD. E o recado é claro: escolas, secretarias e redes de ensino não estão imunes à fiscalização.

Neste artigo, analisamos o caso em profundidade, comparamos com outras sanções já aplicadas pela ANPD e apresentamos um checklist de emergência para que sua instituição de ensino não seja a próxima.

O que aconteceu no caso da Secretaria de Educação do DF?

O Processo Administrativo Sancionador n. 00261.001192/2022-14 teve origem em uma denúncia sobre exposição indevida de dados pessoais de candidatos cadastrados no Programa Educação Precoce da SEEDF.

A investigação da Coordenação-Geral de Fiscalização (CGF) da ANPD revelou que a Secretaria utilizava o Google Forms para coletar dados de alunos e responsáveis no processo de inscrição do programa. Contudo, os servidores que operavam a plataforma nunca receberam treinamento adequado sobre como utilizá-la de forma segura. O resultado: dados cadastrais e, especialmente, dados de saúde — que são dados sensíveis nos termos do art. 5, II, da LGPD — de cerca de 3.000 crianças ficaram expostos indevidamente.

Trata-se de um cenário alarmante: dados de saúde de crianças de zero a três anos com necessidades especiais de desenvolvimento, acessíveis sem as devidas proteções de segurança. O caso ilustra como a falta de governança básica de dados pode transformar uma ferramenta gratuita e comum — o Google Forms — em um vetor de incidente de segurança.

Quais infrações a ANPD identificou na SEEDF?

A ANPD concluiu que a Secretaria de Educação do DF violou quatro dispositivos fundamentais da legislação de proteção de dados:

1. Ausência de registro das operações de tratamento (art. 37 da LGPD)

A SEEDF não mantinha registro atualizado das operações de tratamento de dados pessoais realizadas. O art. 37 da LGPD determina que todo controlador e operador deve manter registro das operações de tratamento — o chamado ROPA (Record of Processing Activities). Esse registro é a base de qualquer programa de conformidade: sem ele, a instituição sequer sabe quais dados trata, para quais finalidades e com quem compartilha.

Para escolas e secretarias, isso significa que cada sistema, planilha, formulário e plataforma digital que coleta dados de alunos, pais e servidores precisa estar documentado.

2. Não elaboração do RIPD após solicitação da ANPD (art. 38 da LGPD)

Quando a ANPD solicitou à SEEDF que apresentasse um Relatório de Impacto à Proteção de Dados Pessoais (RIPD), a Secretaria não conseguiu elaborá-lo. O RIPD é o documento que descreve os processos de tratamento de dados que podem gerar riscos às liberdades civis e aos direitos fundamentais dos titulares, incluindo as medidas e salvaguardas adotadas para mitigar esses riscos.

No contexto educacional, o RIPD é particularmente relevante quando se tratam dados de crianças e adolescentes, pois a LGPD exige que o tratamento seja realizado no melhor interesse da criança (art. 14).

3. Falha na comunicação de incidente de segurança aos titulares (art. 48 da LGPD)

A Secretaria não comunicou aos titulares — no caso, os responsáveis pelas crianças — a ocorrência do incidente de segurança que resultou na exposição dos dados. O art. 48 da LGPD é taxativo: quando um incidente de segurança puder acarretar risco ou dano relevante aos titulares, o controlador deve comunicar tanto a ANPD quanto os próprios titulares afetados, em prazo razoável, descrevendo a natureza dos dados afetados, os riscos relacionados e as medidas adotadas.

4. Falha em adotar medidas de segurança adequadas (art. 46 da LGPD c/c art. 5 do Regulamento de Fiscalização da ANPD)

A ANPD constatou que a SEEDF não utilizava sistemas que atendessem aos requisitos de segurança, às boas práticas e aos princípios da LGPD. A coleta de dados sensíveis de crianças por meio de Google Forms, sem treinamento dos servidores e sem configurações de segurança adequadas, evidenciou a ausência de medidas técnicas e administrativas aptas a proteger os dados pessoais.

Qual foi a sanção aplicada à Secretaria de Educação do DF?

A ANPD aplicou quatro sanções de advertência, uma para cada infração identificada. Não houve aplicação de multa pecuniária.

Isso não significa que o caso foi "leve". A razão para a ausência de multa é jurídica: o art. 52, §3, da LGPD proíbe expressamente a aplicação de multa a órgãos do poder público. As sanções disponíveis para entes públicos são advertência, publicização da infração, bloqueio e eliminação dos dados pessoais, suspensão do exercício da atividade de tratamento e proibição do exercício da atividade de tratamento.

A advertência pode parecer branda, mas carrega consequências significativas:

• Dano reputacional: a decisão é pública e cria precedente jurisprudencial
• Precedente para futuras sanções: reincidência pode justificar sanções mais graves, como suspensão do tratamento
• Sinal regulatório: demonstra que a ANPD está ativamente fiscalizando o setor educacional público
• Exposição a responsabilidade civil: titulares prejudicados podem buscar reparação judicial com base na decisão administrativa

Para entender melhor o sistema de multas e sanções da LGPD, incluindo a dosimetria aplicada pela ANPD, consulte nosso guia completo.

Por que o setor público educacional virou alvo da ANPD?

O caso da SEEDF não é um fato isolado. Ele faz parte de um padrão claro na atuação da ANPD: o poder público é o setor mais sancionado pela Autoridade.

Das sanções aplicadas até o final de 2024, a maioria atingiu órgãos públicos:

• INSS (2024): sancionado por não comunicar incidente de segurança que expôs dados cadastrais, de saúde e financeiros de milhões de segurados. A ANPD determinou publicização da infração no site do INSS e no aplicativo "Meu INSS" por 60 dias. Em julho de 2024, o Conselho Diretor da ANPD rejeitou o recurso do INSS — primeira decisão recursal da história da Autoridade.
• Ministério da Saúde (2024): duas advertências por falha na comunicação de incidente de segurança envolvendo o sistema de permissões de acesso.
• IAMSPE - Instituto de Assistência ao Servidor Público Estadual de SP (2024): duas advertências por ausência de medidas de segurança e falha na comunicação de incidente aos titulares.
• Telekall Infoservice (2023): primeira sanção com multa da ANPD — R$ 14.400 por uso indevido de dados pessoais para disparo de mensagens eleitorais via WhatsApp, sem base legal.

A concentração de sanções em órgãos públicos não é coincidência. Três fatores explicam isso:

1. Volume e sensibilidade dos dados: secretarias de educação tratam dados de milhões de alunos, incluindo dados sensíveis como condições de saúde, deficiências, situação socioeconômica e composição familiar.

2. Infraestrutura de TI deficiente: muitos órgãos públicos ainda operam com sistemas desatualizados, sem políticas de segurança da informação e com equipes de TI subdimensionadas.

3. Ausência de cultura de proteção de dados: o uso de ferramentas como Google Forms, WhatsApp e planilhas compartilhadas para tratar dados sensíveis — sem qualquer controle — é sintomático de uma cultura que ainda não internalizou a proteção de dados como prioridade institucional.

O que mudou em 2026 que torna a fiscalização ainda mais rigorosa?

Se o caso da SEEDF em janeiro de 2024 já foi um alerta, o cenário de 2026 intensifica dramaticamente os riscos para o setor educacional. Três mudanças estruturais convergem:

ANPD transformada em agência reguladora

Em fevereiro de 2026, a Lei 15.352/2026 transformou a ANPD em Agência Nacional de Proteção de Dados, com autonomia funcional, técnica, decisória, administrativa e financeira. A lei criou 200 cargos de Especialista em Regulação de Proteção de Dados e, crucialmente, conferiu à ANPD poder de polícia — incluindo a possibilidade de interdição de estabelecimentos, apreensão de bens e requisição de força policial.

Isso significa que a ANPD de 2026 é uma entidade fundamentalmente diferente da que sancionou a SEEDF em 2024. A postura predominantemente orientativa dá lugar a uma atuação sancionadora mais incisiva.

ECA Digital em vigor

O Estatuto Digital da Criança e do Adolescente (Lei 15.211/2025) entrou em vigor em 17 de março de 2026. Essa lei estabelece obrigações específicas para qualquer organização que trate dados de menores no ambiente digital, incluindo escolas que utilizam plataformas educacionais, sistemas de gestão acadêmica e ferramentas digitais em sala de aula. A ANPD foi designada como autoridade fiscalizadora do ECA Digital.

Mapa de Temas Prioritários 2026-2027

Publicado em dezembro de 2025, o Mapa de Temas Prioritários da ANPD para o biênio 2026-2027 define quatro eixos de fiscalização:

1. Direitos dos titulares
2. Proteção de crianças e adolescentes no ambiente digital
3. Tratamento de dados pessoais pelo Poder Público
4. Inteligência artificial e tecnologias emergentes

Perceba: três dos quatro eixos atingem diretamente o setor educacional. Escolas e secretarias de educação estão na interseção exata entre poder público, dados de crianças/adolescentes e adoção crescente de tecnologias digitais. A fiscalização temática da ANPD para 2025-2026 já sinalizava esse direcionamento.

O que cada escola e secretaria deve verificar AGORA?

Com base nas infrações identificadas no caso da SEEDF e no novo cenário regulatório de 2026, existem ações concretas e urgentes que toda instituição de ensino deve adotar.

1. Pare de usar Google Forms para dados sensíveis

O caso da SEEDF demonstrou que o uso de ferramentas genéricas de coleta — como Google Forms, Typeform ou JotForm — para dados sensíveis de alunos é um risco inaceitável. Essas plataformas, quando configuradas sem expertise, podem expor respostas publicamente, armazenar dados em servidores fora do Brasil e não oferecer controles de acesso granulares.

Ação imediata: identifique todos os formulários online que coletam dados de saúde, deficiências, composição familiar ou renda de alunos. Migre para sistemas com controles de segurança adequados e armazenamento em território nacional.

2. Elabore o ROPA da sua instituição

O Registro de Operações de Tratamento de Dados Pessoais (ROPA) é obrigatório por lei (art. 37 da LGPD). Se sua escola ou secretaria não possui um inventário completo de todos os dados pessoais tratados — desde matrículas até câmeras de segurança — você está na mesma situação que a SEEDF antes da sanção.

Ação imediata: mapeie todos os processos que envolvem dados pessoais: matrícula, frequência, boletins, saúde escolar, transporte, alimentação, plataformas digitais de ensino, comunicação com responsáveis.

3. Tenha um RIPD pronto ou a capacidade de elaborá-lo rapidamente

A SEEDF foi sancionada porque, quando a ANPD solicitou o RIPD, a Secretaria não conseguiu produzi-lo. Você precisa, no mínimo, ter um modelo de RIPD adaptado à realidade educacional e um processo definido para elaborá-lo.

Ação imediata: priorize a elaboração de RIPDs para os tratamentos de maior risco — dados de crianças com deficiência, biometria escolar, videomonitoramento, uso de plataformas EdTech que processam dados de menores.

4. Crie um plano de resposta a incidentes

A terceira infração da SEEDF foi não comunicar o incidente aos titulares. Isso indica ausência de um plano de resposta a incidentes — um documento que define quem faz o quê, em qual prazo e por quais canais quando ocorre um vazamento ou exposição indevida de dados.

Ação imediata: defina um comitê de resposta a incidentes, com representantes da direção, TI, jurídico e DPO. Estabeleça prazos internos inferiores ao prazo legal para comunicação à ANPD.

5. Treine seus servidores e professores

A raiz do problema no caso SEEDF foi a falta de treinamento. Servidores que operavam o Google Forms não sabiam configurar permissões de acesso adequadas. Em escolas, professores frequentemente coletam dados de alunos em planilhas pessoais, enviam informações por WhatsApp e armazenam documentos sensíveis em drives pessoais.

Ação imediata: implemente um programa de conscientização sobre proteção de dados para todo o corpo docente e administrativo, com treinamentos semestrais e material prático.

Como este caso impacta a jurisprudência de proteção de dados na educação?

O caso SEEDF cria precedentes importantes para o setor educacional brasileiro:

Precedente 1: Dados de crianças exigem proteção reforçada. A ANPD demonstrou que tratará com rigor especial qualquer violação envolvendo dados de menores, especialmente dados sensíveis de saúde. Isso está alinhado com o art. 14 da LGPD, que exige que o tratamento de dados de crianças e adolescentes seja realizado no melhor interesse do menor.

Precedente 2: Ferramentas gratuitas não isentam de responsabilidade. O fato de a SEEDF usar Google Forms — uma ferramenta gratuita e amplamente difundida — não a isentou de responsabilidade. O controlador responde pela segurança dos dados independentemente da ferramenta utilizada.

Precedente 3: A ANPD solicita e cobra o RIPD. A Autoridade não apenas prevê o RIPD em abstrato: ela solicita e sanciona quem não o apresenta. Instituições educacionais devem estar preparadas para produzir esse documento sob demanda.

Precedente 4: Desconhecimento não é defesa. A ausência de treinamento dos servidores não atenuou a responsabilidade da SEEDF. Pelo contrário, foi interpretada como falha de governança do controlador.

Esses precedentes, combinados com o Mapa de Temas Prioritários 2026-2027, sinalizam que a ANPD tratará o setor educacional como área de fiscalização prioritária nos próximos anos.

Comparação com outros casos: como a ANPD trata o setor público?

Para dimensionar o caso SEEDF no contexto mais amplo da atuação sancionadora da ANPD, é útil compará-lo com outros casos:

Caso	Ano	Setor	Sanção	Infração Principal
Telekall Infoservice	2023	Privado (microempresa)	Multa de R$ 14.400 + advertência	Uso de dados pessoais para propaganda eleitoral sem base legal
SEEDF	2024	Público (educação)	4 advertências	Exposição de dados de saúde de crianças; ausência de ROPA e RIPD
INSS	2024	Público (previdência)	Publicização da infração por 60 dias	Falha na comunicação de incidente de segurança
Ministério da Saúde	2024	Público (saúde)	2 advertências	Falha na comunicação de incidente de segurança
IAMSPE-SP	2024	Público (saúde)	2 advertências	Ausência de medidas de segurança; falha na comunicação de incidente

Observe o padrão: todas as sanções a órgãos públicos envolvem falhas básicas de governança — ausência de registros, falta de comunicação de incidentes, inexistência de medidas de segurança. Não se trata de problemas sofisticados de cibersegurança: são falhas elementares de conformidade que qualquer programa estruturado de proteção de dados deveria prevenir.

Para escolas e secretarias, a lição é clara: a ANPD não exige perfeição. Exige o básico bem feito — e pune quem não o faz.

Checklist de emergência para escolas: 10 itens prioritários

Use esta lista como ponto de partida para uma autoavaliação da conformidade da sua instituição com a LGPD. Se você não conseguir responder "sim" a cada item, esse é o ponto a ser corrigido com prioridade.

• DPO nomeado e registrado: sua instituição possui um Encarregado de Proteção de Dados (DPO) formalmente nomeado, com identidade e contato divulgados publicamente no site institucional?

• ROPA elaborado: existe um inventário documentado de todas as operações de tratamento de dados pessoais realizadas pela instituição (matrículas, boletins, saúde escolar, câmeras, plataformas digitais)?

• RIPD disponível: a instituição possui Relatório de Impacto à Proteção de Dados Pessoais para os tratamentos de maior risco, especialmente os que envolvem dados de menores e dados sensíveis?

• Política de privacidade publicada: há uma política de privacidade acessível no site da escola, redigida em linguagem clara, informando quais dados são coletados, para quais finalidades, por quanto tempo e com quem são compartilhados?

• Plano de resposta a incidentes: existe um procedimento documentado para identificar, conter, comunicar e remediar incidentes de segurança envolvendo dados pessoais?

• Treinamento de equipe realizado: professores, coordenadores e funcionários administrativos receberam treinamento sobre proteção de dados pessoais nos últimos 12 meses?

• Formulários e coleta seguros: a instituição utiliza ferramentas adequadas para coleta de dados sensíveis (dados de saúde, deficiências, composição familiar), com controles de acesso e armazenamento seguro — e não planilhas abertas ou formulários sem proteção?

• Bases legais definidas: para cada tratamento de dados realizado, há uma base legal definida (consentimento dos responsáveis, obrigação legal, execução de políticas públicas, etc.)?

• Canal de atendimento ao titular: existe um canal acessível para que pais, alunos e servidores exerçam seus direitos como titulares de dados (acesso, correção, exclusão)?

• Contratos com fornecedores de tecnologia revisados: os contratos com plataformas EdTech, sistemas de gestão escolar e fornecedores de TI incluem cláusulas de proteção de dados, definindo papéis de controlador/operador, medidas de segurança e tratamento de incidentes?

Se sua instituição marcou menos de cinco itens, o risco de sanção é concreto. Se marcou menos de três, a situação exige ação imediata.

Como a LGPD se aplica especificamente ao setor educacional?

O setor educacional possui particularidades que tornam a conformidade com a LGPD especialmente desafiadora:

Dados de menores: a maioria dos alunos da educação básica são crianças e adolescentes. O art. 14 da LGPD exige que o tratamento de dados de crianças seja realizado com o consentimento específico de pelo menos um dos pais ou responsável legal, com informações sobre o tratamento apresentadas de forma simples e acessível. Para mais detalhes sobre esse tema, consulte nosso guia sobre LGPD na educação.

Dados sensíveis: escolas tratam regularmente dados de saúde (laudos, necessidades especiais, alergias), dados biométricos (controle de acesso, frequência), dados sobre origem racial ou étnica (censos escolares) e dados sobre deficiências — todos classificados como dados sensíveis pelo art. 5, II, da LGPD.

Base legal no setor público: secretarias de educação e escolas públicas geralmente fundamentam o tratamento de dados na execução de políticas públicas (art. 7, III) e no cumprimento de obrigação legal (art. 7, II). Porém, isso não dispensa o cumprimento dos demais princípios e obrigações da LGPD, como segurança, transparência e prestação de contas.

Ecossistema de fornecedores: escolas utilizam dezenas de plataformas digitais — sistemas de gestão acadêmica, plataformas de ensino à distância, aplicativos de comunicação com pais, ferramentas de avaliação. Cada um desses fornecedores é um operador de dados que precisa estar contratualmente vinculado às obrigações da LGPD.

O que esperar da fiscalização da ANPD no setor educacional em 2026-2027?

Com base no Mapa de Temas Prioritários 2026-2027 e na transformação da ANPD em agência reguladora, é possível antecipar os focos de fiscalização para o setor educacional:

Verificação de medidas de proteção de crianças no ambiente digital: a ANPD já solicitou informações a 37 empresas sobre medidas técnicas e organizacionais para proteção de crianças e adolescentes. Plataformas EdTech e sistemas escolares digitais entram nesse escopo.

Monitoramento de uso secundário de dados: a ANPD fiscalizará se dados coletados para fins educacionais estão sendo utilizados para publicidade ou outros propósitos incompatíveis com a finalidade original.

Tratamento de dados pelo poder público: secretarias de educação, como órgãos do poder público, estão expressamente no radar da ANPD. A expectativa é de aumento significativo no número de processos administrativos.

Implementação de verificação de idade: com o ECA Digital em vigor, escolas que operam plataformas digitais acessíveis a menores precisarão demonstrar mecanismos de verificação de idade e proteção por design.

Conclusão: o caso SEEDF é um alerta, não uma exceção

A sanção da ANPD à Secretaria de Educação do DF não é um caso isolado que "aconteceu com outro". É um precedente que define o padrão de expectativa da Autoridade para todo o setor educacional. As infrações identificadas — ausência de ROPA, incapacidade de produzir RIPD, falha na comunicação de incidentes, medidas de segurança inadequadas — são problemas presentes na maioria das instituições de ensino brasileiras.

O cenário de 2026 torna a questão ainda mais urgente: a ANPD agora é uma agência reguladora com poder de polícia, o ECA Digital impõe obrigações específicas para proteção de menores no ambiente digital, e a fiscalização temática prioriza exatamente os três eixos que convergem nas escolas — poder público, dados de crianças e tecnologia.

A questão não é se sua instituição será fiscalizada. A questão é quando — e se estará preparada.

---

O Confidata ajuda escolas, secretarias de educação e redes de ensino a estruturar programas completos de conformidade com a LGPD — do inventário de dados ao RIPD, do plano de incidentes ao treinamento de equipes. Se sua instituição precisa sair do zero ou organizar o que já existe, conheça nossa plataforma e fale com nossa equipe.