Plataformas EdTech e LGPD: Responsabilidades do Desenvolvedor
Plataformas EdTech processam dados de milhões de alunos brasileiros — muitos deles crianças e adolescentes. Desde a pandemia, a adoção acelerou drasticamente: 80% das escolas estaduais e 75% das privadas passaram a usar plataformas digitais para ensino. Mas a maioria dessas plataformas foi projetada com foco em funcionalidade, não em privacidade.
Com a LGPD em plena vigência e o ECA Digital (Lei 15.211/2025) em vigor desde março de 2026, o cenário regulatório mudou. EdTechs que tratam dados de menores operam sob o regime de proteção mais rigoroso do direito brasileiro — e a responsabilidade recai diretamente sobre quem projeta e opera a plataforma.
Este guia é para o CTO, o desenvolvedor e o product manager que precisam entender o que a lei exige na prática.
Controlador ou operador? Depende do contrato — e do comportamento real
A LGPD define dois papéis:
- Controlador (Art. 5º, VI): quem toma as decisões sobre o tratamento de dados
- Operador (Art. 5º, VII): quem executa o tratamento em nome do controlador
A ANPD publicou a segunda versão do "Guia Orientativo para Definição dos Agentes de Tratamento e do Encarregado" (abril de 2024), esclarecendo que o operador é sempre pessoa distinta do controlador e que não atua como subordinado hierárquico.
Quando a EdTech é operadora
Se a escola define quais dados coletar, com qual finalidade e por quanto tempo reter — e a plataforma apenas executa essas instruções —, a EdTech é operadora. Cenário típico:
- Sistema de gestão escolar (tipo i-Educar) hospedado por empresa terceirizada
- Plataforma de notas e frequência customizada para a escola
- Ferramenta de comunicação escola-pais configurada pela escola
Quando a EdTech é controladora
Se a plataforma define suas próprias finalidades para os dados — analytics proprietário, treinamento de modelos de IA, recomendações personalizadas, marketing para outros produtos —, ela é controladora para esses tratamentos. Cenário típico:
- Plataforma de aprendizagem adaptativa que usa dados de desempenho para melhorar seus próprios algoritmos
- Sistema que coleta dados comportamentais para oferecer "insights" a escolas parceiras
- Plataforma freemium que usa dados de engajamento para conversão comercial
O cenário mais comum: papel misto
Na prática, a maioria das EdTechs exerce ambos os papéis:
| Atividade | Papel | Consequência |
|---|---|---|
| Processar notas e frequência em nome da escola | Operador | Segue instruções da escola |
| Coletar telemetria para melhorar o produto | Controlador | Precisa de base legal própria |
| Gerar analytics de uso para vender a outros clientes | Controlador | Base legal + informação ao titular |
| Armazenar dados para backup/continuidade | Operador | Conforme instruções contratuais |
Consequência prática: quando a EdTech é controladora, ela responde diretamente perante os titulares (alunos/pais) e a ANPD. Quando é operadora, responde perante a escola — mas a corresponsabilidade existe em caso de danos (Art. 42).
Privacy by Design: obrigação legal, não recomendação
O Art. 46, §2º da LGPD estabelece:
"As medidas de [segurança] deverão ser observadas desde a fase de concepção do produto ou do serviço até a sua execução."
Isso é Privacy by Design codificado em lei. Para o desenvolvedor EdTech, significa que privacidade não é feature — é requisito de arquitetura.
O que PbD significa no código
Na fase de design:
- Definir quais dados são estritamente necessários (Art. 6º, III — princípio da necessidade)
- Documentar finalidade para cada campo coletado
- Projetar esquema de banco com separação entre dados pessoais e dados operacionais
- Definir política de retenção por tipo de dado antes de escrever o primeiro endpoint
Na fase de implementação:
- Criptografia em trânsito (TLS) e em repouso para dados pessoais
- Controles de acesso granulares: nem todo professor precisa acessar dados de todos os alunos
- Logs de auditoria: quem acessou qual dado, quando, por quê
- Pseudonimização onde possível — especialmente para analytics e melhorias de produto
No runtime:
- Configurações padrão no modo mais restritivo (Privacy by Default)
- Funcionalidades de exportação e exclusão de dados disponíveis por design
- Monitoramento de acessos anômalos
- Plano de resposta a incidentes testado periodicamente
O que a ANPD ainda não regulamentou
O Art. 46, §1º permite que a ANPD defina padrões técnicos mínimos. Essa regulamentação ainda não foi publicada — está prevista na Agenda Regulatória 2025-2026. Na ausência de padrão oficial, as boas práticas internacionais (ISO 27001, OWASP) servem como referência.
Dados mínimos: o que coletar vs. o que é excesso
O Art. 6º, III da LGPD consagra o princípio da necessidade:
"Limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos."
Dados tipicamente necessários para uma EdTech
| Dado | Finalidade | Justificativa |
|---|---|---|
| Nome do aluno | Identificação na plataforma | Essencial ao serviço |
| Série/turma | Organização pedagógica | Essencial ao serviço |
| E-mail institucional | Acesso e comunicação | Essencial ao serviço |
| Dados de desempenho (notas, exercícios) | Acompanhamento pedagógico | Finalidade principal |
| Dados de progresso (aulas assistidas) | Relatório para escola | Finalidade contratual |
Dados frequentemente coletados sem necessidade
| Dado | Por que é coletado | Por que é questionável |
|---|---|---|
| Localização precisa (GPS) | "Analytics de uso" | Desproporcional para fins educacionais |
| Dados biométricos (facial, digital) | Presença/prova online | Dado sensível — exige base legal robusta |
| Contatos do dispositivo | "Funcionalidade social" | Sem relação com finalidade educacional |
| Dados de navegação fora da plataforma | "Personalização" | Extrapola a finalidade |
| Perfil comportamental detalhado | "Aprendizagem adaptativa" | Pode configurar perfilamento vedado pelo ECA Digital |
Regra de ouro: se o dado não é necessário para entregar o serviço educacional contratado pela escola, não colete. Se quiser coletar para outra finalidade, tenha base legal própria e informe o titular.
Verificação de idade e design adequado: o ECA Digital
A Lei 15.211/2025 (ECA Digital), em vigor desde 17 de março de 2026, impõe obrigações específicas a plataformas que atendem crianças e adolescentes:
Verificação de idade (Art. 9)
Plataformas que disponibilizam conteúdo impróprio ou proibido para menores devem adotar medidas eficazes de verificação de idade, com "verificação confiável a cada acesso". A autodeclaração é vedada como método isolado.
Dados de verificação têm finalidade exclusiva (Art. 13)
Dados coletados para verificar idade só podem ser usados para essa finalidade. Vedado qualquer outro tratamento — inclusive analytics ou melhoria de produto.
Contas vinculadas a responsável legal (Art. 24)
Contas de crianças e adolescentes até 16 anos devem estar vinculadas ao responsável legal. Isso tem implicação direta na arquitetura: a plataforma precisa suportar o conceito de "conta supervisionada".
Design adequado à idade (Art. 10)
Plataformas devem proporcionar experiências adequadas à idade, respeitando a autonomia progressiva. Na prática: interfaces diferentes ou restrições de funcionalidades conforme a faixa etária.
Proibição de perfilamento (Art. 22)
Vedada a utilização de técnicas de perfilamento para direcionamento de publicidade comercial a crianças e adolescentes. Isso inclui análise emocional, realidade aumentada/virtual e criação de perfis comportamentais.
Sanções significativas (Art. 35)
- Advertência com prazo de até 30 dias para correção
- Multa de até 10% do faturamento do grupo econômico ou até R$ 50 milhões por infração
- Suspensão temporária ou proibição de atividades
A fiscalização é da ANPD — que agora opera como agência reguladora autônoma.
DPA com escolas: o que o contrato deve cobrir
O Art. 39 da LGPD determina que o operador realize o tratamento "segundo as instruções fornecidas pelo controlador". Um DPA (Data Processing Agreement) formaliza essas instruções.
Cláusulas essenciais
- Objeto e finalidade: para quais fins os dados são tratados (exclusivamente para prestação do serviço educacional, ou inclui melhorias de produto?)
- Categorias de dados: quais dados pessoais a plataforma processa (nome, e-mail, desempenho, comportamento)
- Categorias de titulares: alunos (incluindo menores), professores, responsáveis
- Medidas de segurança: criptografia, controle de acesso, logs, testes de intrusão
- Suboperadores: a EdTech usa AWS, Google Cloud, serviços de terceiros? Listar e obter aprovação
- Incidentes de segurança: prazo de notificação ao controlador (escola), procedimentos
- Direitos dos titulares: como a plataforma apoia a escola em responder solicitações de acesso, correção, exclusão, portabilidade
- Eliminação ao término: o que acontece com os dados quando o contrato encerra
- Auditoria: direito da escola de verificar conformidade
- Transferência internacional: se os dados são armazenados ou processados fora do Brasil
Por que o DPA importa para a EdTech
O caso Edmodo nos EUA (2023) é emblemático: a FTC multou a EdTech em USD 6 milhões por violar o COPPA. Um dos fundamentos foi que a Edmodo delegou ilegalmente as obrigações de compliance para as escolas — exatamente o contrário do que deveria fazer. A EdTech não pode transferir sua responsabilidade para a escola via contrato; ela pode, no máximo, delimitar papéis.
Transparência algorítmica: quando a plataforma usa IA
O Art. 20 da LGPD garante ao titular o direito de solicitar revisão de decisões tomadas unicamente com base em tratamento automatizado que afetem seus interesses.
Quando isso se aplica a EdTechs
- Plataforma que usa IA para recomendação de conteúdo adaptativo → o aluno pode pedir explicação dos critérios
- Sistema que gera avaliação automatizada de desempenho → o aluno/pai pode solicitar revisão
- Algoritmo que classifica alunos em níveis de risco de evasão → decisão automatizada com impacto significativo
- Ferramenta que gera relatórios de comportamento usados pela escola → perfilamento que afeta interesses
O que a plataforma deve fornecer
O Art. 20, §1º exige que o controlador forneça "informações claras e adequadas a respeito dos critérios e procedimentos utilizados para a decisão automatizada", observados os segredos comercial e industrial.
Na prática:
- Documentar a lógica dos algoritmos de recomendação/avaliação
- Oferecer funcionalidade para que o titular (ou a escola, em nome do titular) solicite explicação
- Se houver recusa baseada em segredo comercial, a ANPD pode realizar auditoria para verificar aspectos discriminatórios (Art. 20, §2º)
ECA Digital reforça
O ECA Digital proíbe perfilamento de menores para publicidade. Se o algoritmo da plataforma cria perfis comportamentais que são — direta ou indiretamente — usados para fins comerciais (upsell, cross-sell, venda de insights), isso viola a lei.
Portabilidade e exclusão: como implementar
Portabilidade (Art. 18, V)
O titular tem direito à "portabilidade dos dados a outro fornecedor de serviço ou produto". Para EdTechs:
- Implementar funcionalidade de exportação de dados em formato estruturado (JSON, CSV)
- Incluir: dados cadastrais, histórico de desempenho, conteúdo criado pelo aluno
- Prazo: até 15 dias da solicitação (Art. 18, §5º)
- A ANPD pode estabelecer padrões de interoperabilidade — mas ainda não regulamentou
Exclusão (Art. 18, VI + Art. 16)
O titular pode solicitar eliminação de dados tratados com base em consentimento. Exceções do Art. 16:
- Obrigação legal: dados de histórico escolar podem ser retidos (LDB exige guarda de documentação)
- Estudo por órgão de pesquisa: com anonimização
- Uso exclusivo do controlador: desde que anonimizados
Na prática
A EdTech deve oferecer:
- Funcionalidade de exclusão acessível ao administrador da escola (que é o controlador) e ao titular
- Cascata de exclusão: ao excluir o aluno, excluir dados em todos os subsistemas (analytics, cache, backups — com prazo razoável para backups)
- Confirmação: notificar o solicitante de que os dados foram eliminados
- Exceções documentadas: se retiver dados por obrigação legal, informar quais e com qual fundamento
Certificações: o que existe e o que não existe
O que a ANPD diz
A ANPD não credencia nem reconhece entidades para emissão de selos de conformidade com a LGPD. Selos oferecidos por entidades privadas não constituem garantia oficial de conformidade.
Certificações internacionais relevantes
| Certificação | O que cobre | Relevância para EdTech |
|---|---|---|
| ISO 27001 | Sistema de Gestão de Segurança da Informação | Base para demonstrar segurança técnica — exigida por muitas escolas em licitações |
| ISO 27701 | Extensão de privacidade da ISO 27001 | Alinhada à LGPD e ao GDPR; requer ISO 27001 como pré-requisito |
| SOC 2 Type II | Controles de segurança, disponibilidade, integridade | Padrão americano aceito globalmente; demonstra auditoria independente |
ABNT e LGPD
A ABNT lançou um programa de certificação de boas práticas de proteção de dados, baseado nas normas ISO 27001 e 27701. Não é oficial da ANPD, mas o Art. 42, §1º, II da LGPD prevê que regras de boas práticas e governança podem ser consideradas na avaliação de responsabilidade — ou seja, ter certificação pode funcionar como fator atenuante em caso de fiscalização.
Recomendação pragmática
Para uma EdTech brasileira em estágio inicial, a prioridade não é certificação — é implementar os controles. A certificação formaliza o que já existe. A sequência recomendada:
- Implementar controles de segurança e privacidade (PbD)
- Documentar em política interna
- Quando o porte justificar, buscar ISO 27001 → ISO 27701
- SOC 2 se o mercado-alvo incluir clientes internacionais
Casos internacionais: o que acontece quando EdTechs erram
Edmodo — USD 6 milhões (EUA, 2023)
A FTC processou a EdTech Edmodo por violar o COPPA (lei americana de proteção de dados de crianças):
- Coletou dados de 600.000 alunos menores de 13 anos (nome, e-mail, data de nascimento) e usou para publicidade
- Reteve dados pessoais indefinidamente até 2020
- Delegou obrigações de compliance para as escolas — a FTC considerou isso ilegal
- Primeiro caso em que a FTC proibiu uma EdTech de exigir mais dados que o necessário para participar de atividades
- Multa de USD 6 milhões (suspensa por incapacidade de pagamento)
Suécia — reconhecimento facial em escola (2019)
A autoridade sueca de proteção de dados multou um município em 200.000 SEK (~EUR 20.000) por usar reconhecimento facial para monitorar frequência de alunos. Foi a primeira multa GDPR da Suécia — demonstrando que inovação tecnológica na educação não é carta branca.
Itália — Universidade Bocconi (EUR 200.000)
Multa por uso de software de monitoramento remoto em exames online (proctoring) sem informar adequadamente os alunos sobre o tratamento de dados.
Holanda — Google Workspace for Education
A autoridade holandesa alertou escolas para parar de usar Google Workspace antes do ano letivo 2021, por riscos à privacidade. O Google negociou e implementou melhorias — mas o precedente está posto.
O panorama europeu
Autoridades de proteção de dados de 25 países europeus aplicaram 270 multas no setor público e educacional, totalizando mais de EUR 29,3 milhões.
Checklist para EdTechs
- Definir claramente se a plataforma atua como controlador, operador ou ambos para cada tipo de tratamento
- Implementar Privacy by Design desde a arquitetura (Art. 46, §2º)
- Coletar apenas dados estritamente necessários ao serviço educacional (Art. 6º, III)
- Oferecer DPA/contrato de processamento de dados para escolas clientes
- Implementar verificação de idade conforme ECA Digital (Art. 9) — autodeclaração isolada não basta
- Suportar contas vinculadas a responsável legal para menores de 16 anos (Art. 24 ECA Digital)
- Não usar dados de alunos para perfilamento publicitário (Art. 22 ECA Digital)
- Não usar dados de verificação de idade para outras finalidades (Art. 13 ECA Digital)
- Documentar lógica de algoritmos de recomendação/avaliação (Art. 20)
- Implementar funcionalidade de exportação de dados (portabilidade, Art. 18, V)
- Implementar funcionalidade de exclusão de dados com cascata em subsistemas
- Manter logs de auditoria de acesso a dados pessoais
- Configurações padrão no modo mais restritivo de privacidade (Privacy by Default)
- Designar DPO e publicar canal de contato
- Ter plano de resposta a incidentes documentado e testado
- Elaborar RIPD para tratamentos de alto risco (dados sensíveis, IA, biometria)
- Avaliar necessidade de certificação (ISO 27001/27701, SOC 2) conforme estágio da empresa
Conclusão
Construir uma EdTech no Brasil em 2026 significa construir para o regime de proteção de dados mais exigente: dados de crianças, sob a LGPD, o ECA Digital e a fiscalização de uma ANPD com status de agência reguladora. Mas isso não precisa ser obstáculo — precisa ser arquitetura.
A EdTech que implementa privacidade desde o design, que oferece DPAs sólidos, que não coleta mais do que precisa e que trata transparência algorítmica como funcionalidade — não como compliance — tem vantagem competitiva. Porque quando a escola perguntar "seus dados estão seguros conosco?", a resposta precisa ser demonstrável, não declaratória.
A Confidata oferece infraestrutura de conformidade que pode ser integrada a plataformas EdTech via API: registro de atividades de tratamento, gestão de consentimento granular, geração de RIPD e canal do titular — permitindo que a EdTech entregue conformidade como parte do produto.
Artigos relacionados
Quer ir além? Conheça o Confidata
Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.