Google Workspace e Microsoft 365 na Escola: Conformidade LGPD

O Google Workspace for Education está presente em 24 dos 27 estados brasileiros por meio de parcerias com secretarias de educação. O Microsoft 365 Education domina o restante — e boa parte do setor privado. Juntas, essas duas plataformas processam dados de milhões de alunos brasileiros, muitos deles crianças e adolescentes.

A pergunta que poucos DPOs e gestores escolares fazem antes de adotar essas ferramentas é: o que exatamente elas coletam, para onde enviam os dados e como isso se compatibiliza com a LGPD?

Este guia faz essa análise de forma prática — com base nos termos contratuais reais das plataformas, nos estudos independentes disponíveis e nas exigências da legislação brasileira.

Quais dados o Google Workspace for Education coleta

O Google Workspace for Education divide seus serviços em duas categorias com regras de privacidade completamente diferentes:

Serviços Principais (Core Services)

Gmail, Google Classroom, Drive, Meet, Calendar, Docs, Sheets, Slides, Chat e Gemini (app educacional). Para estes:

Dados coletados: nome, e-mail, senha (fornecidos pela escola), configurações de segurança, dados operacionais e de uso
Sem anúncios: nenhum anúncio é exibido nos Serviços Principais
Dados de alunos não são usados para: segmentação publicitária, venda a terceiros ou treinamento de modelos de IA
Contrato aplicável: Google Workspace for Education Agreement + Cloud Data Processing Addendum (CDPA)

Serviços Adicionais (Additional Services)

YouTube, Google Maps, Blogger, entre outros. Para estes:

Regidos pelos Termos de Serviço gerais e pela Política de Privacidade padrão do Google (a mesma de qualquer usuário consumidor)
Podem exibir anúncios — para alunos K-12, os anúncios não são personalizados, mas podem ser contextuais (baseados na pesquisa, horário, conteúdo da página)
Dados podem ser usados para fins mais amplos, incluindo melhoria de serviços e recomendações

Essa distinção é crítica. Muitas escolas habilitam YouTube e Maps para alunos sem perceber que esses serviços operam sob regras de privacidade completamente diferentes dos Serviços Principais. O DPO deve desabilitar Serviços Adicionais para contas de alunos — ou, no mínimo, documentar a decisão e informar os pais.

Quais dados o Microsoft 365 Education coleta

O Microsoft 365 Education coleta dados em três categorias:

Dados de diagnóstico (configuráveis pelo administrador)

Obrigatórios (Required): dados mínimos para segurança, atualizações e desempenho
Opcionais (Optional): dados adicionais para melhoria de produtos e diagnósticos avançados
Nenhum (Neither): desabilita dados de diagnóstico — mas "Dados de Serviço Obrigatórios" (Required Service Data) continuam sendo transmitidos independentemente da configuração

O que estudos independentes revelam

O estudo DPIA conduzido pela SURF (organização holandesa de TI para educação, 2024-2025) — a avaliação independente mais rigorosa disponível — identificou:

208 tipos distintos de eventos de telemetria durante o uso do Microsoft 365
Dados de diagnóstico pseudonimizados são retidos por até 18 meses
Mesmo na configuração mais restritiva, dados de diagnóstico obrigatórios incluem timestamps, IDs do tenant, referências a documentos e identificadores de dispositivo
Dois riscos residuais classificados como médios: dados pessoais imprecisos gerados por alucinações de IA (Copilot) e risco de reidentificação a partir de telemetria granular

Compromissos educacionais

A Microsoft declara que dados pessoais de alunos não são usados para publicidade ou fins comerciais e são processados apenas para finalidades educacionais autorizadas. Esses compromissos estão no contrato de licenciamento educacional (EES — Enrollment for Education Solutions).

A escola é controladora, Google/Microsoft são operadores?

Sim — nos Serviços Principais/Core Services. A cadeia de responsabilidade:

Papel	Quem	Responsabilidade LGPD
Controlador	Escola	Define finalidades e meios do tratamento; responde perante alunos/pais e ANPD
Operador	Google/Microsoft	Processa dados em nome da escola, conforme instruções contratuais

Implicações práticas para a escola como controladora:

A escola é responsável por informar pais e alunos sobre o tratamento de dados — não o Google ou a Microsoft
A escola deve verificar se o operador oferece garantias adequadas (Art. 39 da LGPD)
Em caso de incidente, a escola é corresponsável pela comunicação à ANPD e aos titulares
A escola decide quais dados compartilhar com a plataforma — e deve aplicar o princípio da minimização

Quando a plataforma se torna controladora

Nos Serviços Adicionais do Google (YouTube, Maps), o Google define suas próprias finalidades para os dados. Nesse caso, o Google atua como controlador independente — e a escola perde o controle sobre o tratamento. O mesmo ocorre quando a Microsoft processa dados para fins próprios (melhoria de produtos, por exemplo).

DPA com Google e Microsoft: o que verificar

Google: Cloud Data Processing Addendum (CDPA)

Disponível no Admin Console: Menu > Conta > Configurações da conta > Legal e conformidade
Cobre apenas Serviços Principais
Compromissos: dados não usados para publicidade, medidas de segurança técnicas e organizacionais, notificação de incidentes
Inclui cláusulas FERPA (Google atua como "School Official") e COPPA (escola consente em nome de menores de 13)

Microsoft: Products and Services Data Protection Addendum (DPA)

Download público na página de licenciamento Microsoft
Inclui termos para GDPR europeu (Art. 28 — obrigações do operador)
Cobre processamento para finalidades educacionais autorizadas
Disponível via Volume Licensing / EES

A lacuna brasileira

Nenhum dos dois DPAs incorpora cláusulas contratuais-padrão (CCPs) da ANPD. A Resolução CD/ANPD nº 19/2024, publicada em agosto de 2024, aprovou o modelo brasileiro de CCPs para transferência internacional de dados. O prazo de adequação encerrou-se em agosto de 2025.

Isso significa que escolas que usam Google ou Microsoft para processar dados de alunos em servidores fora do Brasil podem estar em situação irregular quanto à transferência internacional — a menos que complementem os DPAs com as CCPs da ANPD ou identifiquem outra base legal do Art. 33.

Recomendação prática: entre em contato com o representante comercial da plataforma e solicite a inclusão das CCPs da ANPD no contrato. Documente a solicitação.

FERPA (EUA) vs. LGPD: por que conformidade americana não basta

Ambas as plataformas enfatizam conformidade com FERPA (Family Educational Rights and Privacy Act, lei americana). Mas FERPA ≠ LGPD:

Aspecto	FERPA (EUA)	LGPD (Brasil)
Escopo	Apenas registros educacionais em instituições com financiamento federal	Todo tratamento de dados pessoais no Brasil
Dados sensíveis	Sem categoria especial	Art. 11: dados raciais, religiosos, de saúde, biométricos exigem proteção reforçada
Crianças	Remete ao COPPA para menores de 13	Art. 14: melhor interesse + consentimento parental para crianças (até 12 anos)
Transferência internacional	Sem restrições específicas	Art. 33: apenas para países adequados ou com garantias contratuais
DPO	Não exige	Art. 41: obrigatório para controladores
Prazo de resposta	45 dias	15 dias (Art. 18, §5º)
Sanções	Perda de financiamento federal	Até 2% do faturamento, limitado a R$ 50 milhões por infração
Portabilidade	Não prevista	Art. 18, V: direito à portabilidade

A escola brasileira que se baseia apenas na conformidade FERPA do Google ou Microsoft está exposta a lacunas em transferência internacional, proteção de dados sensíveis, direitos do titular e obrigações do DPO.

Transferência internacional: onde ficam os dados dos alunos?

O Art. 33 da LGPD autoriza transferência internacional apenas em hipóteses específicas — entre elas, transferência para países com nível adequado de proteção (determinado pela ANPD) ou com cláusulas contratuais-padrão. Os EUA não possuem decisão de adequação da ANPD.

Google: dados fora do Brasil

O Google Workspace for Education não oferece o Brasil como região de armazenamento. A funcionalidade Data Regions permite escolher entre EUA ou Europa — disponível apenas nas edições Education Standard e Education Plus.

Consequência: dados de alunos brasileiros armazenados no Google estão sujeitos às regras de transferência internacional do Art. 33.

Microsoft: dados no Brasil (possível)

A Microsoft oferece o Brasil como região de residência de dados (Brazil South — São Paulo). Quando o tenant é provisionado no Brasil, a Microsoft se compromete a armazenar dados do cliente em repouso no território nacional.

Essa funcionalidade está disponível via licenciamento educacional (EES) com Advanced Data Residency.

Implicação prática

Esta é uma diferença significativa entre as duas plataformas. A escola que precisa evitar a complexidade da transferência internacional pode optar pela Microsoft com residência de dados no Brasil — eliminando (ou reduzindo) a necessidade de CCPs para armazenamento.

Atenção: mesmo com dados armazenados no Brasil, pode haver transferência para outros países durante o processamento (suporte técnico, por exemplo). O DPA deve cobrir esses cenários.

O estudo LAPIN: o que a pesquisa brasileira revelou

A Iniciativa Educação Aberta (IEA), em parceria com o Laboratório de Políticas Públicas e Internet (LAPIN), publicou em março de 2023 uma análise dos Termos de Uso e Políticas de Privacidade do Google Workspace for Education e Microsoft 365 Education. Principais achados:

Os termos não mencionam a LGPD especificamente — são desenhados para legislação americana (FERPA, COPPA) e europeia (GDPR)
Pontos obscuros sobre o uso de dados para finalidades comerciais, especialmente nos Serviços Adicionais do Google
Adoção sem avaliação: durante a pandemia, plataformas foram adotadas em massa com acesso "gratuito", mas sob termos contratuais não adaptados ao direito brasileiro

O estudo do CGI.br (setembro de 2022, "Educação em um Cenário de Plataformização e de Economia de Dados") complementa com dados quantitativos:

Antes da pandemia: apenas 14% das escolas públicas urbanas usavam plataformas de ensino a distância
Após a pandemia: 80% das escolas estaduais, 75% das privadas e 42% das municipais adotaram sistemas de videoconferência comerciais
24 dos 27 estados mantêm parcerias com o Google

O cenário é de dependência tecnológica consolidada — sem avaliação de impacto à proteção de dados na grande maioria dos casos.

Alternativas nacionais e de código aberto

Para escolas que buscam maior controle sobre dados de alunos, existem alternativas:

Plataformas de ensino (LMS)

Moodle: LMS de código aberto mais usado no mundo e no Brasil (USP, UnB, UFBA, redes estaduais). Auto-hospedado, dados ficam no servidor da escola/secretaria
Chamilo: LMS open source com forte presença acadêmica
Canvas LMS: versão open source disponível (separada da versão comercial hospedada)

Colaboração e produtividade

Nextcloud Hub: armazenamento em nuvem + edição colaborativa + videoconferência (Talk). Auto-hospedado
LibreOffice Online: edição colaborativa de documentos, integrável com Nextcloud
Jitsi Meet: videoconferência de código aberto (substitui Google Meet/Teams)
Rocket.Chat: mensageria de código aberto — empresa brasileira sediada em Porto Alegre

Gestão escolar

i-Educar: sistema de gestão escolar open source usado por secretarias de educação em todo o Brasil

Realidade: a migração para alternativas open source exige investimento em infraestrutura e suporte técnico que a maioria das escolas não tem. A abordagem pragmática é usar Google/Microsoft com as configurações corretas de privacidade — enquanto se avalia, no médio prazo, a viabilidade de alternativas com maior soberania de dados.

Configurações de privacidade essenciais: Google Workspace for Education

O administrador da escola deve configurar no Admin Console:

1. Aceitar o CDPA (Data Processing Addendum)

Menu > Conta > Configurações da conta > Legal e conformidade > Google Workspace for Education Service Data Addendum. Sem esta aceitação, não há DPA formal.

2. Desabilitar Serviços Adicionais para alunos

Menu > Apps > Serviços Adicionais. Desabilitar ou restringir YouTube, Maps, Blogger e outros para unidades organizacionais de alunos. Esses serviços operam sob a política de privacidade padrão do Google.

3. Configurar controles de atividade

Menu > Conta > Controles de atividade. Revisar e restringir: Atividade da Web e de Apps, Histórico de Localização, Histórico do YouTube. Desabilitar para contas de alunos.

4. Restringir apps de terceiros

Menu > Segurança > Controles de API. Limitar quais aplicativos de terceiros podem acessar dados dos alunos via API.

5. Desabilitar sincronização do Chrome

Impede que dados de navegação dos alunos sejam sincronizados com servidores do Google.

6. Configurar Data Regions (se disponível)

Disponível nas edições Standard e Plus. Escolher a região de armazenamento (EUA ou Europa — Brasil não disponível).

Configurações de privacidade essenciais: Microsoft 365 Education

1. Definir nível de dados de diagnóstico

Via Group Policy ou Cloud Policy: definir como "Required" (mínimo) ou "Neither". Evitar "Optional" para contas de alunos.

2. Desabilitar experiências conectadas opcionais

Experiências que analisam conteúdo dos alunos para oferecer recomendações ou funcionalidades extras. Desabilitar para o grupo de alunos.

3. Configurar residência de dados no Brasil

Se o licenciamento permite (EES), provisionar o tenant com residência de dados em Brazil South (São Paulo).

4. Configurar DLP (Data Loss Prevention)

Criar políticas que impeçam o compartilhamento externo de dados sensíveis de alunos.

5. Controlar Copilot

Habilitar/desabilitar por grupo de usuários. Revisar recomendações do DPIA da SURF antes de liberar para alunos.

6. Instalar Diagnostic Data Viewer

Ferramenta para auditar o que está sendo transmitido como telemetria. Útil para o DPO documentar conformidade.

O caso SEEDF: quando Google Forms expõe dados de alunos

A Secretaria de Educação do Distrito Federal (SEEDF) ilustra os riscos de ambas as plataformas:

Incidente 1 (2021): Vulnerabilidade no sistema i-Educar (gestão escolar open source) expôs dados de quase 1,5 milhão de alunos — incluindo nome, CPF, data de nascimento, nome da mãe e dados de deficiência. A falha era um IDOR (Insecure Direct Object Reference) nos parâmetros de URL.

Incidente 2 (2023): Credenciais da plataforma "Escola em Casa DF", baseada no Google Classroom, foram vendidas na Dark Web. A plataforma foi criada em 2020 para ensino remoto na pandemia, conectando mais de 240 mil alunos ao Google Classroom. A causa: padrão previsível na geração de senhas iniciais.

Sanção da ANPD (janeiro de 2024): Quatro advertências por violação dos Arts. 37 (falta de registro de operações), 38 (não elaboração de RIPD), 48 (não comunicação de incidente a titulares) e Art. 5º do Regulamento de Fiscalização.

A lição: não importa se a plataforma é Google, Microsoft ou open source — a responsabilidade pela segurança e conformidade é da escola (controladora).

Checklist de conformidade para escola que usa Google ou Microsoft

Conclusão

Google Workspace e Microsoft 365 são ferramentas robustas que podem ser usadas de forma conforme à LGPD — mas não na configuração padrão. A conformidade exige que a escola, como controladora, assuma responsabilidade ativa: configurar privacidade no console administrativo, aceitar e complementar DPAs, informar pais, documentar decisões e, sobretudo, não tratar a plataforma como "já aprovada" apenas porque é gratuita ou amplamente adotada.

A diferença entre uma escola conforme e uma escola exposta não é a plataforma que usa — é se alguém fez as perguntas certas antes de adotá-la.

A Confidata permite registrar plataformas educacionais como atividades de tratamento vinculadas a operadores, com classificação automática de dados de crianças e adolescentes, gestão de DPAs e geração de RIPD — garantindo que a escola documente sua conformidade de ponta a ponta.