IA na Educação: Como Escolas Podem Usar ChatGPT Sem Violar a LGPD

Sete em cada dez estudantes do Ensino Médio já usam ferramentas de IA generativa para pesquisas escolares. Entre professores, o número é igualmente expressivo: 79% já utilizaram alguma ferramenta de IA, segundo pesquisa da Fundação Itaú publicada no final de 2025. No entanto, apenas 32% dos alunos dizem ter recebido qualquer orientação da escola sobre como usar essas tecnologias.

O cenário é claro: a IA generativa já está dentro da sala de aula — com ou sem autorização institucional. A questão não é mais se as escolas devem lidar com isso, mas como fazê-lo sem expor dados de crianças e adolescentes e sem violar a LGPD.

Este guia aborda os riscos concretos, as obrigações legais e as medidas práticas que escolas, coordenadores pedagógicos e DPOs da área educacional precisam adotar para usar IA generativa de forma segura e em conformidade com a legislação brasileira.

Quais dados de alunos são expostos quando a escola usa IA generativa?

Quando professores ou alunos utilizam ChatGPT, Gemini ou Copilot em atividades escolares, diversos tipos de dados pessoais podem ser enviados aos servidores dos provedores de IA — muitas vezes sem que ninguém perceba a extensão do compartilhamento.

Dados frequentemente inseridos em prompts educacionais:

Nomes completos de alunos em redações, trabalhos e listas de chamada
Notas, avaliações e boletins ("analise o desempenho do aluno João Silva neste semestre")
Relatórios pedagógicos com informações comportamentais e de aprendizagem
Dados de saúde e laudos de inclusão ("este aluno tem TDAH e precisa de adaptação curricular")
Informações familiares ("a mãe do aluno informou que...")
Fotos e vídeos de atividades escolares submetidos a ferramentas multimodais
Dados de navegação, geolocalização e padrões de uso quando plataformas de IA são integradas a sistemas escolares

O problema se agrava porque muitos desses dados são dados pessoais sensíveis nos termos do Art. 5º, II, da LGPD — especialmente informações de saúde, dados biométricos (reconhecimento facial em plataformas) e informações sobre crianças e adolescentes.

Para entender o panorama completo dos riscos de privacidade com IA generativa em ambientes organizacionais, consulte nosso guia sobre IA generativa e compliance.

O que diz o Art. 14 da LGPD sobre dados de crianças e adolescentes?

O Art. 14 da LGPD (Lei nº 13.709/2018) é o dispositivo central de proteção de dados de menores no Brasil. Ele estabelece um regime jurídico diferenciado — mais restritivo — para o tratamento dessas informações.

Art. 14, caput: "O tratamento de dados pessoais de crianças e de adolescentes deverá ser realizado em seu melhor interesse, nos termos deste artigo e da legislação pertinente."

Art. 14, § 1º: "O tratamento de dados pessoais de crianças deverá ser realizado com o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal."

Art. 14, § 2º: Os controladores devem manter públicas as informações sobre os tipos de dados coletados, a forma de utilização e os procedimentos para exercício dos direitos previstos no Art. 18.

Art. 14, § 3º: Dados pessoais de crianças poderão ser coletados sem consentimento apenas quando necessário para contatar pais ou responsável legal (usado uma única vez e sem armazenamento) ou para proteção da criança — e em nenhum caso poderão ser repassados a terceiros sem consentimento.

Art. 14, § 5º: O controlador deve realizar todos os esforços razoáveis para verificar que o consentimento foi dado pelo responsável legal, considerando as tecnologias disponíveis.

Art. 14, § 6º: As informações sobre o tratamento devem ser fornecidas de maneira simples, clara e acessível, com uso de recursos audiovisuais quando adequado, considerando as características físico-motoras, perceptivas, sensoriais, intelectuais e mentais do usuário.

O que isso significa na prática para escolas

A aplicação do Art. 14 ao uso de IA generativa cria obrigações concretas:

Consentimento parental específico — Para crianças (até 12 anos incompletos, conforme o ECA), o consentimento dos pais ou responsáveis deve ser específico para o uso de ferramentas de IA, não genérico. Autorização para "uso de tecnologia" no ato da matrícula não é suficiente.
Melhor interesse como critério preponderante — A escola deve demonstrar que o uso de IA atende ao melhor interesse pedagógico do aluno, não apenas à conveniência administrativa. Esse entendimento foi reforçado pelo Enunciado CD/ANPD nº 01/2023, que consolidou o melhor interesse como critério fundamental para avaliar operações de tratamento envolvendo crianças e adolescentes.
Transparência ativa — A escola deve informar quais dados são coletados, como são usados e quais ferramentas de IA são empregadas — em linguagem acessível a pais e alunos.
Proibição de repasse a terceiros sem consentimento — Enviar dados de alunos para servidores da OpenAI, Google ou Microsoft constitui transferência a terceiros, exigindo consentimento explícito e base legal adequada.

Para um guia completo sobre proteção de dados de menores, consulte nosso artigo sobre dados de crianças e adolescentes na LGPD.

Como as plataformas de IA tratam dados de menores de idade?

Antes de adotar qualquer ferramenta de IA, a escola precisa entender as políticas de dados de cada provedor — especialmente no que diz respeito a menores de idade e ao uso educacional.

OpenAI (ChatGPT)

Idade mínima: 13 anos, com consentimento parental obrigatório entre 13 e 18 anos
Menores de 13 anos: Não podem usar ChatGPT diretamente. Qualquer interação deve ser conduzida por um adulto
Versão gratuita (ChatGPT Free/Plus): Conversas podem ser usadas para treinamento de modelos, salvo desativação manual pelo usuário
Versão corporativa (Team/Enterprise/Edu): Dados não são usados para treinamento. Controles administrativos disponíveis
Proteções para menores (2025): OpenAI implementou controles parentais e proteções específicas para adolescentes, incluindo bloqueio de conteúdo inapropriado e notificações de segurança

Google (Gemini)

Acesso educacional: Disponível para alunos K-12 via Google Workspace for Education, mediante habilitação pelo administrador e consentimento parental
Menores de 13 anos: Acesso condicionado a controles via Google Family Link, com possibilidade de desativação completa pelos pais
Dados educacionais: Google afirma que dados de alunos não são usados para treinamento de modelos
Gemini Education (add-on premium): Disponível apenas para maiores de 18 anos (staff e alunos adultos)
Conformidade declarada: FERPA e COPPA (legislações dos EUA). A conformidade com a LGPD depende de análise contratual específica

Microsoft (Copilot)

Idade mínima: 13 anos para acesso via conta institucional educacional
Menores de 13 anos: Não elegíveis para acesso ao Copilot
Dados: Inputs de alunos não são usados para treinamento de modelos de base. Dados permanecem dentro do tenant institucional
Configuração obrigatória: Escolas devem configurar corretamente o atributo de idade no Microsoft Entra ID ("NotAdult") para habilitar proteções adequadas
DPA: Inclui cláusulas compatíveis com LGPD e GDPR no contrato do Microsoft 365

O que isso significa para escolas brasileiras

Nenhum desses provedores oferece conformidade automática com a LGPD — especialmente com o Art. 14. A conformidade declarada com FERPA e COPPA (leis americanas) não equivale a conformidade com a legislação brasileira. A escola, como controladora dos dados dos alunos, continua sendo a principal responsável por garantir a adequação do tratamento.

Para mais detalhes sobre riscos específicos de cada provedor de IA, consulte nosso guia sobre IA generativa e riscos de privacidade.

Por que o RIPD é obrigatório antes de adotar IA na escola?

O Relatório de Impacto à Proteção de Dados Pessoais (RIPD) é o instrumento previsto no Art. 38 da LGPD para avaliar riscos de operações de tratamento que possam afetar liberdades civis e direitos fundamentais dos titulares.

No caso de IA generativa em escolas, o RIPD não é apenas recomendável — é praticamente obrigatório por múltiplas razões convergentes:

Tratamento de dados de crianças e adolescentes — O Art. 14 da LGPD exige proteção reforçada. A ANPD, em seu Mapa de Temas Prioritários 2026-2027, incluiu explicitamente o tratamento de dados de crianças e adolescentes no ambiente digital como um dos quatro eixos prioritários de fiscalização.
Uso de novas tecnologias — IA generativa é classificada como tecnologia emergente, enquadrando-se nos cenários de alto risco que demandam avaliação de impacto.
Transferência internacional de dados — Os dados enviados a provedores de IA são processados em servidores fora do Brasil (EUA, principalmente), configurando transferência internacional nos termos do Art. 33 da LGPD.
Tratamento de dados sensíveis — Dados de saúde, laudos de inclusão e informações comportamentais de alunos são dados sensíveis (Art. 5º, II).

O que o RIPD da escola deve conter

Descrição detalhada de quais ferramentas de IA serão utilizadas e para quais finalidades pedagógicas
Mapeamento dos dados pessoais que poderão ser inseridos nos prompts
Análise das políticas de dados de cada provedor (retenção, uso para treinamento, localização dos servidores)
Avaliação dos riscos específicos para menores de idade
Medidas de mitigação: treinamento de professores, regras de uso, anonimização de dados
Base legal escolhida e justificativa
Parecer sobre a necessidade de consentimento parental específico

Para um guia completo sobre elaboração de RIPD para sistemas de IA, consulte nosso guia especializado sobre RIPD para IA.

O que é o ECA Digital e como ele afeta o uso de IA nas escolas?

A Lei nº 15.211/2025, conhecida como ECA Digital, foi sancionada em setembro de 2025 e entrou em vigor em 17 de março de 2026. Ela atualiza o Estatuto da Criança e do Adolescente (Lei nº 8.069/1990) para o ambiente digital, criando obrigações específicas para plataformas e serviços online que atendem menores de idade.

Principais disposições relevantes para escolas

Verificação de idade obrigatória: Plataformas não podem mais depender exclusivamente de autodeclaração do usuário. Devem implementar mecanismos confiáveis de verificação de idade — e melhorá-los continuamente.

Contas de menores de 16 anos vinculadas a responsáveis: Contas de crianças e adolescentes com menos de 16 anos precisam estar obrigatoriamente vinculadas à conta de um adulto responsável.

Privacidade por concepção e proteção por padrão: Serviços voltados ao público infanto-juvenil devem ser desenvolvidos seguindo os princípios de privacy by design e protection by default — segurança e privacidade integradas ao projeto desde o início.

Restrições a publicidade direcionada: Proibição de direcionamento de publicidade comercial a crianças e adolescentes com base em perfis comportamentais.

Penalidades significativas: Plataformas que descumprirem as regras podem enfrentar multas de até R$ 50 milhões, suspensão de atividades ou proibição de funcionamento no país.

ECA Digital + LGPD + IA: obrigações cumulativas

O ECA Digital não substitui a LGPD — ele cria obrigações adicionais que se somam ao regime existente. Na prática, escolas que adotam IA generativa devem cumprir simultaneamente:

Obrigação	LGPD	ECA Digital
Melhor interesse da criança	Art. 14, caput	Princípio geral
Consentimento parental	Art. 14, § 1º (crianças)	Contas vinculadas a responsáveis (menores de 16)
Verificação de idade	Art. 14, § 5º ("esforços razoáveis")	Mecanismos confiáveis obrigatórios
Transparência	Art. 14, § 2º e § 6º	Informações claras e acessíveis
Privacy by design	Art. 46 (segurança)	Obrigatório por lei para serviços ao público infantojuvenil
Avaliação de impacto	Art. 38 (RIPD)	Fiscalização pela ANPD a partir de 2026

A ANPD foi designada como órgão responsável pela fiscalização do ECA Digital, atuando em conjunto com o Ministério Público, o Conanda e a Anatel. Segundo o planejamento da Autoridade, a partir de 2026 será iniciado o monitoramento do cumprimento das novas obrigações, com ações de fiscalização mais robustas — incluindo verificação de idade e ferramentas de supervisão parental — previstas a partir de 2027.

Para um aprofundamento sobre o ECA Digital e suas implicações para escolas, consulte nosso guia sobre ECA Digital e proteção de dados de alunos.

Quais alternativas seguras existem para usar IA em escolas?

Adotar IA generativa na educação não precisa significar enviar dados pessoais de alunos para servidores de grandes provedores. Existem abordagens que reduzem significativamente os riscos de privacidade.

1. Política de anonimização antes do prompt

A medida mais simples e imediata: orientar professores e alunos a nunca inserir dados pessoais identificáveis nos prompts. Na prática:

Usar nomes fictícios em vez de nomes reais de alunos
Remover CPFs, matrículas e dados de contato antes de enviar textos para análise
Substituir informações de saúde por descrições genéricas ("aluno com necessidades de adaptação curricular" em vez de incluir diagnósticos)
Nunca submeter fotos de alunos a ferramentas multimodais

2. Versões educacionais e corporativas

Sempre que possível, a escola deve contratar versões educacionais ou corporativas das ferramentas:

Google Workspace for Education com Gemini habilitado pelo administrador
Microsoft 365 Education com Copilot configurado
OpenAI API (não a versão consumidor) para integração controlada

Essas versões oferecem DPAs (Data Processing Agreements) específicos, controles administrativos e, em geral, não utilizam dados para treinamento de modelos.

3. Ferramentas de IA específicas para educação

Plataformas desenvolvidas especificamente para o contexto educacional tendem a ter políticas de dados mais adequadas para menores:

Ferramentas de correção automática de redações com dados processados localmente
Plataformas adaptativas de aprendizagem com conformidade educacional declarada
Chatbots educacionais com escopo limitado e sem coleta de dados pessoais

4. Instâncias locais e modelos abertos

Para instituições com capacidade técnica, a opção mais segura do ponto de vista de privacidade é executar modelos de IA localmente:

Modelos open source (LLaMA, Mistral, Gemma) executados em servidores da própria escola ou rede de ensino
Dados processados inteiramente dentro da infraestrutura da instituição
Nenhuma transferência de dados para terceiros
Controle total sobre retenção e descarte

5. IA como ferramenta do professor, não do aluno

Uma abordagem pragmática: restringir o uso direto de IA generativa apenas a professores e equipe pedagógica, que recebem treinamento específico sobre anonimização e boas práticas. Os alunos interagem com os resultados — materiais didáticos, planos de aula, atividades adaptadas — sem acessar diretamente as plataformas de IA.

Como criar uma política de uso de IA para sua escola?

Toda escola que utiliza ou permite o uso de ferramentas de IA generativa deve ter uma política formal documentada. Abaixo, um modelo estruturado que pode ser adaptado à realidade de cada instituição.

Modelo de Política de Uso de IA Generativa — Instituição de Ensino

1. Objetivo Estabelecer diretrizes para o uso responsável e seguro de ferramentas de inteligência artificial generativa na instituição, em conformidade com a LGPD (Lei nº 13.709/2018), o ECA (Lei nº 8.069/1990) e o ECA Digital (Lei nº 15.211/2025).

2. Abrangência Esta política aplica-se a todos os professores, coordenadores, funcionários e alunos da instituição, bem como a prestadores de serviço que atuem em atividades pedagógicas.

3. Ferramentas autorizadas

Listar expressamente quais ferramentas de IA foram avaliadas e aprovadas pela instituição
Especificar a versão autorizada (educacional/corporativa, não versões gratuitas de consumo)
Proibir o uso de ferramentas não avaliadas e não autorizadas

4. Regras para proteção de dados de alunos

É proibido inserir em qualquer ferramenta de IA: nomes reais de alunos, CPFs, matrículas, dados de saúde, laudos, fotos, informações familiares ou qualquer dado que permita identificação direta ou indireta
Quando for necessário analisar textos ou dados com informações de alunos, deve-se anonimizar previamente, removendo todos os identificadores
Professores devem utilizar as ferramentas a partir de contas institucionais, nunca pessoais

5. Consentimento parental

O uso de ferramentas de IA que envolvam qualquer tratamento de dados de alunos requer consentimento parental específico, distinto da autorização geral de uso de tecnologia
O termo de consentimento deve informar: quais ferramentas são utilizadas, quais dados podem ser tratados, para quais finalidades, onde os dados são processados e quais os direitos dos titulares
Para alunos menores de 12 anos, o consentimento é obrigatório em todos os casos (Art. 14, § 1º, LGPD)

6. Uso por alunos

Alunos menores de 13 anos não podem acessar diretamente ferramentas de IA generativa de uso geral (ChatGPT, Gemini, Copilot)
Alunos entre 13 e 18 anos podem acessar apenas ferramentas autorizadas, mediante consentimento parental e com supervisão adequada
A escola deve promover letramento em IA: o que são essas ferramentas, como funcionam, quais são os riscos e limitações

7. Responsabilidades

DPO/Encarregado: avaliar riscos, elaborar RIPD, monitorar conformidade
Coordenação pedagógica: definir finalidades pedagógicas legítimas para o uso de IA
TI: configurar e monitorar ferramentas, garantir uso de versões educacionais
Professores: seguir as diretrizes de anonimização e uso responsável
Direção: aprovar política, garantir recursos para implementação

8. Incidentes Qualquer situação em que dados pessoais de alunos forem inadvertidamente inseridos em ferramentas de IA deve ser reportada imediatamente ao DPO/Encarregado para avaliação e, se necessário, comunicação à ANPD e aos pais nos termos do Art. 48 da LGPD.

9. Revisão Esta política deve ser revisada semestralmente ou sempre que houver mudança relevante na legislação, nas ferramentas utilizadas ou nas orientações da ANPD.

Qual é o papel da ANPD na fiscalização de IA em escolas?

A ANPD publicou seu Mapa de Temas Prioritários para o biênio 2026-2027, definindo quatro eixos prioritários de fiscalização:

Direitos dos titulares
Tratamento de dados pessoais de crianças e adolescentes no ambiente digital
Tratamento de dados pelo setor público
Inteligência artificial e tecnologias emergentes no contexto de dados pessoais

A convergência dos eixos 2 e 4 coloca diretamente o uso de IA em escolas no radar da Autoridade. Estão previstas 20 ações de fiscalização relacionadas ao tratamento de dados pessoais, incluindo de crianças e adolescentes, com execução planejada até 2027.

No que diz respeito ao ECA Digital, a ANPD planeja implementação gradual: em 2026, inicia o monitoramento da conformidade dos agentes com as novas obrigações. Ações de fiscalização mais incisivas — como verificação de mecanismos de verificação de idade e ferramentas de supervisão parental — estão previstas a partir de 2027.

Entre as atividades de fiscalização planejadas estão:

Monitoramento do uso secundário de dados pessoais para publicidade comercial direcionada
Verificação da adoção de privacy by design e protection by default
Implementação de medidas para impedir que crianças e adolescentes acessem conteúdo inadequado ou proibido

Para um panorama completo da fiscalização da ANPD, consulte nosso artigo sobre LGPD na educação: escolas, universidades e EdTechs.

Checklist: adoção segura de IA generativa em escolas

Use esta lista para avaliar a maturidade da sua escola na adoção de IA generativa:

Governança e documentação

A escola tem uma política formal de uso de IA generativa aprovada pela direção
Foi elaborado um RIPD específico para o uso de ferramentas de IA
As ferramentas de IA autorizadas estão listadas e documentadas
Os DPAs (contratos de processamento de dados) com os provedores de IA foram revisados
A base legal para o tratamento de dados foi definida e documentada

Consentimento e transparência

Os pais ou responsáveis foram informados sobre o uso de IA na escola
Existe termo de consentimento específico para uso de IA (não genérico)
As informações sobre o tratamento estão disponíveis em linguagem clara e acessível
O canal para exercício de direitos dos titulares (pais e alunos) está operacional

Proteção de dados

Professores foram treinados para nunca inserir dados pessoais identificáveis em prompts
Existe procedimento de anonimização documentado e seguido na prática
São utilizadas versões educacionais/corporativas das ferramentas (não versões gratuitas)
Contas institucionais são usadas (não contas pessoais de professores)
A transferência internacional de dados foi avaliada e documentada

Menores de idade

Alunos menores de 13 anos não acessam diretamente ferramentas de IA de uso geral
Alunos entre 13 e 18 anos acessam apenas ferramentas autorizadas, com supervisão
Mecanismos de verificação de idade estão implementados (conforme ECA Digital)
Contas de menores de 16 anos estão vinculadas a responsáveis (conforme ECA Digital)

Capacitação e cultura

Professores receberam treinamento sobre privacidade e uso responsável de IA
Alunos receberam orientação sobre riscos e limitações da IA generativa
Existe programa de letramento em IA integrado ao currículo
Incidentes de privacidade têm canal de reporte definido e conhecido pela equipe

Monitoramento e revisão

A política de uso de IA é revisada pelo menos semestralmente
O DPO/Encarregado monitora regularmente a conformidade do uso de IA
Novas ferramentas passam por avaliação de riscos antes de serem adotadas
A escola acompanha atualizações regulatórias da ANPD sobre IA e dados de menores

Próximos passos para escolas

A adoção de IA generativa na educação é inevitável e, quando feita com responsabilidade, pode trazer benefícios pedagógicos reais. Mas o cenário regulatório brasileiro não deixa margem para improviso: o Art. 14 da LGPD, o ECA Digital e a agenda prioritária da ANPD convergem para criar um ambiente de fiscalização ativa sobre o tratamento de dados de crianças e adolescentes no ambiente digital.

Escolas que adotam IA sem política formal, sem RIPD, sem consentimento parental específico e sem treinamento de equipe estão expostas a riscos regulatórios, reputacionais e, acima de tudo, ao risco de prejudicar os titulares que mais merecem proteção: seus próprios alunos.

O momento de agir é agora — antes que a fiscalização bata à porta.

O Confidata ajuda instituições de ensino a estruturar toda a governança de dados necessária para adotar IA generativa com segurança: inventário de atividades de tratamento, elaboração de RIPD, gestão de consentimentos, gestão de riscos de privacidade e monitoramento contínuo de conformidade. Se a sua escola precisa se adequar à LGPD e ao ECA Digital antes de implementar ferramentas de IA, conheça nossa plataforma.