Educação14 min de leitura

LGPD na Educação: Escolas, Universidades e EdTechs

Equipe Confidata·
Compartilhar

Escolas, universidades e plataformas educacionais são alguns dos maiores processadores de dados pessoais de crianças e adolescentes no Brasil. Dados acadêmicos, financeiros, de saúde, comportamentais e biométricos fluem por sistemas digitais que, muitas vezes, foram implementados sem qualquer avaliação de privacidade.

Com a LGPD em vigor, as instituições de ensino precisam rever seus processos. O setor educacional tem particularidades importantes: trata dados de menores de idade com proteção especial (Art. 14), usa dezenas de plataformas digitais como ferramentas de ensino, e acumula dados que vão dos primeiros anos escolares até a graduação e pós-graduação.

Este guia apresenta os principais aspectos da LGPD aplicados ao setor educacional e um roteiro prático para DPOs e gestores.

Quais dados as instituições de ensino tratam

Antes de pensar em conformidade, é preciso entender o escopo do problema. Instituições de ensino tratam uma variedade surpreendentemente ampla de dados pessoais:

Dados do aluno

  • Identificação: nome, CPF, RG, data de nascimento, filiação
  • Acadêmicos: matrícula, notas, frequência, histórico escolar, boletins
  • Comportamentais: registros disciplinares, relatórios pedagógicos, avaliações de desempenho
  • Dados financeiros: mensalidades, bolsas, inadimplência, financiamentos (FIES, ProUni)

Dados sensíveis do aluno

  • Dados de saúde: laudos de necessidades especiais, alergias, medicamentos em uso, condições psicológicas
  • Dados biométricos: impressão digital ou reconhecimento facial para controle de acesso ou frequência
  • Dados de origem racial ou étnica: declarações para cotas em processos seletivos

Dados dos pais e responsáveis

  • Nome, CPF, contato, endereço
  • Renda (para avaliação de bolsas)
  • Situação trabalhista

Dados de uso de plataformas digitais

  • Logs de acesso a LMS (Learning Management System)
  • Conteúdo de mensagens e fóruns em plataformas educacionais
  • Desempenho em atividades online, tempo de acesso, padrões de uso

Dados de crianças e adolescentes: Art. 14 da LGPD

O Art. 14 da LGPD estabelece um regime especial para dados de crianças e adolescentes:

"Art. 14. O tratamento de dados pessoais de crianças e adolescentes deverá ser realizado em seu melhor interesse."

E o §1° é direto:

"O tratamento de dados pessoais de crianças deverá ser realizado com o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal."

Crianças são pessoas com até 12 anos incompletos — e para elas, o consentimento parental é obrigatório para qualquer tratamento que não tenha outra base legal expressa.

Adolescentes (12 a 18 anos) não têm o mesmo requisito explícito de consentimento parental na LGPD, mas o princípio do "melhor interesse" continua a se aplicar, e boas práticas recomendam transparência com pais e responsáveis.

Implicações práticas para escolas

Uma escola de educação infantil ou fundamental que usa um aplicativo de comunicação com pais, um sistema de gestão escolar ou uma plataforma de atividades digitais está tratando dados de crianças. Para isso:

  1. Os pais ou responsáveis devem ser informados claramente sobre quais dados são coletados, para qual finalidade e por quanto tempo
  2. O consentimento dos pais deve ser obtido de forma específica — não basta um termo genérico de matrícula que inclua cláusula de privacidade no meio do texto
  3. A informação deve ser apresentada de forma "simples, clara e acessível" (Art. 14, §6°)
  4. Para as crianças maiores, a informação deve ser compreensível para elas também

Cuidado com plataformas EdTech internacionais

Muitas plataformas educacionais são de origem americana ou europeia. Elas têm seus próprios frameworks regulatórios (COPPA nos EUA para crianças, GDPR na Europa) — mas isso não as isenta do cumprimento da LGPD quando operam com dados de crianças brasileiras.

A instituição de ensino, como controladora, é responsável por garantir que os operadores (plataformas) cumpram as obrigações da LGPD.

Bases legais para tratamento de dados no setor educacional

Obrigação legal (Art. 7°, II)

Muitos tratamentos de dados em instituições de ensino são obrigações legais:

  • Emissão de históricos escolares, certificados e diplomas
  • Coleta de dados para o Censo Escolar (INEP)
  • Registros para ENADE, SISU, ProUni, FIES
  • Notificações obrigatórias ao conselho tutelar em casos de abandono ou violência

Para esses tratamentos, o consentimento não é necessário — a base é a lei que impõe a obrigação.

Execução de contrato (Art. 7°, V)

Para alunos maiores de idade, o contrato de prestação de serviços educacionais é a base legal para dados necessários à execução da relação contratual: matrícula, emissão de nota fiscal, comunicações sobre o curso, acesso ao material didático.

Legítimo interesse (Art. 7°, IX)

Para tratamentos que não se enquadram em contrato ou obrigação legal, mas que a instituição tem razão legítima para realizar — como comunicações institucionais, boletins para pais e responsáveis, ou melhorias pedagógicas baseadas em análise de desempenho.

O legítimo interesse requer que os interesses da instituição não se sobreponham aos direitos e liberdades dos titulares (o chamado "balancing test").

Consentimento (Art. 7°, I)

Para tratamentos opcionais, como envio de newsletter de oportunidades, marketing de cursos adicionais ou uso de imagem em publicações. O consentimento deve ser livre, informado, específico e pode ser revogado a qualquer momento.

Para dados de crianças: consentimento parental obrigatório.

Proteção da vida (Art. 7°, VII) e interesse público (Art. 7°, III)

Para emergências de saúde na escola, compartilhamento de informações com SAMU ou hospitais, ou notificações a autoridades públicas.

EdTech: controladores, operadores e a cadeia de responsabilidade

A pandemia de COVID-19 acelerou de forma dramática a adoção de plataformas digitais no ensino. Google Classroom, Microsoft Teams, Moodle, Canva, Duolingo e dezenas de outras ferramentas passaram a fazer parte do cotidiano educacional.

Do ponto de vista da LGPD:

  • A instituição de ensino é a controladora: ela define quais plataformas são usadas e para qual finalidade
  • As plataformas digitais são operadoras: tratam dados em nome da instituição

Isso significa que:

  1. A instituição é responsável por avaliar se as plataformas que usa cumprem a LGPD
  2. Deve haver um contrato com o operador que inclua cláusulas de proteção de dados (Art. 39)
  3. O operador só pode tratar os dados nos limites autorizados pela instituição
  4. Se a plataforma sofrer um incidente de segurança, a instituição (controladora) tem responsabilidade perante os titulares

Transferência internacional de dados

Plataformas internacionais (Google, Microsoft, Canvas) processam dados em servidores no exterior. Isso caracteriza transferência internacional de dados, sujeita aos Arts. 33 a 36 da LGPD.

Na prática, as grandes plataformas têm cláusulas contratuais padrão (Standard Contractual Clauses) e políticas de privacidade que buscam atender múltiplas jurisdições. Mas a responsabilidade de verificar adequação é da instituição de ensino.

Videovigilância e reconhecimento facial em escolas

O uso de câmeras de segurança em escolas é cada vez mais comum. Do ponto de vista da LGPD:

Câmeras convencionais (gravação de imagem)

  • Imagem é dado pessoal quando permite identificar o indivíduo
  • Base legal: legítimo interesse (segurança patrimonial e das pessoas)
  • Obrigação: informar sobre as câmeras com aviso visível no local
  • Retenção: manter apenas pelo tempo necessário (tipicamente 30 a 90 dias), salvo ocorrência de incidente
  • Acesso: restrito a pessoal autorizado

Reconhecimento facial (dado biométrico sensível)

O uso de reconhecimento facial para controle de frequência ou acesso é uma categoria diferente. Dados biométricos são dados sensíveis (Art. 5°, II) e têm proteção reforçada.

Para esse uso:

  • A base legal geralmente é o consentimento específico (Art. 11, I)
  • Para crianças: consentimento parental obrigatório
  • Alternativas menos invasivas devem ser consideradas (crachá, código de barras, cartão)
  • RIPD recomendado fortemente
  • Transparência máxima sobre como os dados biométricos são armazenados e com quem são compartilhados

Histórico escolar e registros acadêmicos: retenção e compartilhamento

Prazos de guarda

Documentos acadêmicos têm prazos de guarda específicos. Históricos escolares, diplomas e certificados de conclusão devem ser guardados permanentemente pelas instituições de ensino, conforme determinações do MEC e dos sistemas estaduais de educação. Essa obrigação é uma base legal autônoma (Art. 7°, II — cumprimento de obrigação legal).

Dados auxiliares (registros de frequência, registros financeiros de anos anteriores) têm prazos menores, mas devem respeitar prescrições do Código Civil e normas fiscais (tipicamente 5 anos para fins fiscais).

Compartilhamento com autoridades educacionais

O compartilhamento de dados com INEP (Censo Escolar), MEC (ENADE, SISU), secretarias estaduais de educação e outras autoridades é obrigatório e tem base em lei específica — não requer consentimento do aluno.

Compartilhamento com outros empregadores, faculdades ou terceiros

Pedidos de verificação de histórico (por empregadores, outras instituições de ensino, órgãos de classe) devem ser atendidos apenas mediante autorização expressa do aluno, exceto quando determinado judicialmente ou quando há obrigação legal específica.

LGPD nos processos seletivos: vestibulares e cotas

Processos seletivos envolvem tratamento de dados pessoais com finalidade específica e temporária.

Dados de candidatos:

  • Coletados exclusivamente para o processo seletivo
  • Devem ser eliminados após o encerramento do processo, exceto para os aprovados (que migram para matrícula) e para possíveis impugnações e recursos (mínimo necessário, prazo definido)

Cotas e ações afirmativas:

  • Autodeclaração racial ou étnica é dado sensível (Art. 5°, II)
  • Laudos médicos para cotas de pessoas com deficiência são dados de saúde sensíveis
  • Base legal: cumprimento de obrigação legal (lei de cotas) + tutela de direitos do titular
  • Segurança reforçada e acesso restrito são obrigatórios
  • Esses dados não podem ser usados para outras finalidades fora do processo seletivo

Boas práticas para DPOs de educação

1. Mapeamento de plataformas digitais

Criar um inventário de todas as ferramentas, aplicativos e plataformas usadas pela instituição. Para cada uma:

  • Quais dados pessoais tratam?
  • Há contrato com cláusulas de proteção de dados?
  • Os dados são transferidos ao exterior?
  • Qual é a política de retenção da plataforma?

2. Revisão dos termos de matrícula

O termo de matrícula é o principal documento de relação com o aluno e seus responsáveis. Deve:

  • Informar claramente sobre o tratamento de dados
  • Distinguir tratamentos obrigatórios (base legal) de opcionais (consentimento)
  • Ter seção destacada para dados de crianças (consentimento parental)
  • Ser redigido em linguagem acessível

3. Política de privacidade específica para educação

Publicar política de privacidade que inclua:

  • Quais dados são coletados de alunos, pais e colaboradores
  • Para qual finalidade
  • Com quem são compartilhados
  • Por quanto tempo são mantidos
  • Como o titular pode exercer seus direitos

4. Procedimento para pedidos dos titulares

Criar canal claro para que pais, alunos e ex-alunos possam:

  • Solicitar acesso aos seus dados
  • Pedir correção de informações incorretas
  • Solicitar eliminação de dados desnecessários
  • Revogar consentimentos previamente concedidos

5. Treinamento de professores e funcionários

Professores acessam dados de alunos diariamente — notas, frequência, laudos, registros comportamentais. Um único incidente causado por professor ou funcionário desatento pode gerar consequências graves. Treinamento anual é indispensável.

6. Gestão do ciclo de vida dos dados

Implementar processo formal de:

  • Eliminação de dados de ex-alunos que ultrapassaram o prazo de retenção
  • Descarte seguro de documentos físicos
  • Desativação de acessos em plataformas quando o aluno se forma ou transfere

7. Avaliação de privacidade antes de contratar novas plataformas

Antes de adotar qualquer nova plataforma EdTech, realizar avaliação de privacidade que inclua:

  • Leitura dos termos de serviço e política de privacidade
  • Verificação sobre localização dos servidores e transferências internacionais
  • Negociação de DPA (Data Processing Agreement) adequado
  • Avaliação de segurança da plataforma

Conclusão: educar para proteger

As instituições de ensino têm a missão de formar cidadãos — e isso inclui tratar os dados de seus alunos com o mesmo cuidado que dedicam à formação deles. Uma escola que protege os dados de seus alunos é uma escola que, na prática, ensina pelo exemplo o valor da privacidade e dos direitos digitais.

A adequação à LGPD no setor educacional não precisa ser um processo traumático. Com planejamento, mapeamento adequado e contratos revistos, a maioria das instituições pode alcançar um nível robusto de conformidade em poucos meses.

Baixe gratuitamente o eBook "10 Primeiros Passos para a LGPD" e comece hoje mesmo a adequação da sua instituição de ensino.

Compartilhar
#LGPD educação#dados de crianças LGPD#Art. 14 LGPD#EdTech privacidade#escola LGPD#universidade proteção dados#DPO educação

Artigos relacionados

LGPD na educação em 2026: o impacto do ECA Digital em escolas, universidades e EdTechsEducação · 15 minConsentimento dos Pais na LGPD: Guia Prático para EscolasEducação · 14 minGoogle Workspace e Microsoft 365 na Escola: Conformidade LGPDEducação · 15 minECA Digital nas Escolas: O Que Muda na Proteção de Dados de AlunosEducação · 14 min

Quer ir além? Conheça o Confidata

Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.

© 2026 Confidata — Todos os direitos reservados|Privacidade|Cookies
Falar com especialista