LGPD na Educação Pública: Guia Prático para Secretarias [2026]

O Brasil tem 5.570 municípios — cada um com uma secretaria municipal de educação — mais 26 secretarias estaduais e o Distrito Federal. São potencialmente mais de 5.597 controladores de dados pessoais no setor educacional público, processando informações de milhões de alunos, muitos deles crianças e adolescentes.

A realidade é que a maioria dessas secretarias não tem DPO designado, não elaborou RIPD e não possui registro de operações de tratamento. Os números do TCU sobre órgãos federais — 72% sem RIPD e 76% em nível inexpressivo ou inicial de adequação — provavelmente subestimam a situação de estados e municípios.

Este guia é para o gestor público que precisa começar — ou recomeçar — a adequação da sua secretaria de educação.

O que diferencia a escola pública da privada para fins de LGPD

A diferença fundamental está nas bases legais disponíveis. A escola pública é pessoa jurídica de direito público (ou vinculada a uma), o que abre bases legais específicas e impõe obrigações adicionais:

Bases legais do setor público (Arts. 7 e 23 da LGPD)

Base legal	Aplicação na educação pública	Exemplo
Execução de políticas públicas (Art. 7º, III)	Principal base para a maioria das atividades	Matrícula, frequência, notas, transporte escolar, merenda, Bolsa Família
Obrigação legal (Art. 7º, II)	Obrigações com MEC, INEP, conselhos	Censo Escolar, Educacenso, prestação de contas
Proteção da vida (Art. 7º, VII)	Emergências e dados de saúde	Alergias, condições médicas, primeiros socorros
Exercício regular de direitos (Art. 7º, VI)	Defesa em processos	Registros disciplinares, atas, documentos administrativos
Consentimento (Art. 7º, I / Art. 14, §1º)	Atividades não essenciais	Uso de imagem, marketing, plataformas opcionais

O que a escola pública tem que a privada não tem

Art. 23: o tratamento pelo poder público deve atender a finalidade pública e perseguir o interesse público
Art. 23, I: informar em sites e canais públicos as hipóteses de tratamento
Art. 23, III: indicar encarregado (DPO) — sem exceção para porte ou volume
Art. 52, §3º: sanções limitadas — órgãos públicos não recebem multa, apenas advertências, publicização e bloqueio/eliminação de dados

O que a escola pública tem que a privada pode não ter

Art. 7º, III: a base de execução de políticas públicas é exclusiva do setor público e extremamente poderosa — dispensa consentimento para a maior parte do tratamento educacional
Art. 26: regras específicas para compartilhamento entre entes públicos

Implicação prática: a escola pública geralmente não precisa de consentimento dos pais para dados essenciais ao processo educacional. A base é execução de políticas públicas (matrícula, frequência, Bolsa Família) ou obrigação legal (Censo Escolar). O consentimento fica reservado para imagem, plataformas de terceiros e finalidades não essenciais.

O Enunciado CD/ANPD nº 1/2023 confirmou que todas as bases legais dos Arts. 7 e 11 se aplicam ao tratamento de dados de crianças e adolescentes — desde que observado o melhor interesse do menor.

Sistemas centralizados: quem é controlador, quem é operador

Secretarias de educação operam sistemas que centralizam dados de centenas de milhares de alunos. A definição de papéis é essencial:

A cadeia de responsabilidade

Agente	Papel LGPD	Exemplos
Secretaria de educação	Controlador	Define que dados coletar, com qual finalidade, por quanto tempo reter
Empresa que hospeda/desenvolve o sistema	Operador	Portabilis (i-Educar comercial), empresas de TI contratadas
Escola	Controlador conjunto ou subunidade	Coleta dados na ponta, segue diretrizes da secretaria
INEP/MEC	Controlador (para dados do Censo Escolar)	Define o que é coletado no Educacenso

Sistemas principais

i-Educar: Software livre criado em 2006 pela Prefeitura de Itajaí/SC, disponibilizado no Portal do Software Público. Usado por centenas de municípios. Centraliza matrícula, frequência, notas, biblioteca e dados do Censo Escolar. Quando operado internamente pela secretaria, não há operador distinto. Quando hospedado por empresa terceirizada, essa empresa é operadora — e precisa de contrato com cláusulas LGPD.

Outros sistemas estaduais: SIGE (Goiás), SED — Secretaria Escolar Digital (São Paulo), SIGEAM (Amazonas), entre outros. A lógica de controlador/operador é a mesma.

Diários eletrônicos: sistemas que registram frequência e notas em tempo real. Se fornecidos por empresa terceirizada, exigem DPA.

Obrigação prática

Para cada sistema, a secretaria deve documentar:

Quem é o controlador e quem é o operador
Quais dados pessoais são tratados
Qual a base legal para cada finalidade
Se há transferência para terceiros ou para outros entes públicos
Medidas de segurança implementadas

O CIEB (Centro de Inovação para a Educação Brasileira), em parceria com a UNESCO, publicou o Manual de Proteção de Dados para Gestores e Gestoras Públicas Educacionais — com modelos de cláusulas contratuais e políticas de privacidade específicos para o contexto educacional.

Compartilhamento de dados: secretaria, escola e MEC

O compartilhamento de dados educacionais entre entes públicos é regulado pelos Arts. 25 e 26 da LGPD:

Art. 26: regras de compartilhamento pelo poder público

Permitido: compartilhamento entre entes públicos para execução de políticas públicas, prestação de serviços públicos, descentralização de atividades
Vedado (Art. 26, §1º): transferência para entidades privadas, exceto quando necessário para execução descentralizada de atividade pública, dados publicamente acessíveis, previsão legal ou proteção da vida

Censo Escolar e Educacenso

O Censo Escolar é coordenado pelo INEP e realizado em colaboração com secretarias estaduais e municipais. O sistema Educacenso (web) coleta dados individualizados de escolas, alunos e professores.

Bases legais: Art. 7º, III (execução de políticas públicas) + Art. 7º, II (obrigação legal — LDB, Art. 9º, V, e regulamentações do INEP). A secretaria não precisa de consentimento individual para compartilhar dados com o INEP/MEC nesse contexto.

A Lei 15.017/2024: transparência de dados educacionais

Após a LGPD entrar em vigor, o INEP reduziu drasticamente a divulgação de microdados do Censo Escolar e eliminou séries históricas, alegando conformidade com a proteção de dados. Isso gerou protestos de mais de 33 instituições — pesquisadores e a sociedade civil perderam acesso a dados essenciais para monitorar políticas educacionais.

A Lei 15.017/2024 (originada do PL 454/2022) corrigiu essa distorção: obriga a divulgação de dados educacionais coletados no censo anual e exames de avaliação, adequando a publicidade à LGPD — sem usar a proteção de dados como pretexto para reduzir transparência.

Outros compartilhamentos comuns

Origem → Destino	Base legal	Exemplos
Escola → Secretaria	Execução de políticas públicas	Dados de matrícula, frequência, notas
Secretaria → INEP/MEC	Obrigação legal (LDB)	Educacenso, dados do Censo Escolar
Secretaria → Assistência Social	Execução de políticas públicas	Bolsa Família (frequência), CadÚnico
Secretaria → Saúde	Proteção da vida	Vacinação em escola, dados de emergência
Secretaria → Conselho Tutelar	Obrigação legal (ECA)	Evasão escolar, maus-tratos
Secretaria → Empresa de TI	Contrato (operador)	Hospedagem de sistema, suporte técnico

O caso SEEDF: o alerta para todas as secretarias

Em janeiro de 2024, a ANPD sancionou a Secretaria de Estado de Educação do Distrito Federal (SEEDF) — o primeiro caso de sanção no setor educacional. Processo nº 00261.001192/2022-14.

O que aconteceu

Dados pessoais de alunos de grupos vulneráveis e seus responsáveis foram expostos — incluindo CPF, nome completo, data de nascimento, diagnóstico médico, data de encaminhamento médico, telefone e endereço. O incidente ocorreu em 2022.

As quatro advertências

Art. 37: falta de registro das operações de tratamento de dados pessoais
Art. 38: não elaboração de RIPD quando solicitado pela ANPD
Art. 48: não comunicação aos titulares sobre o incidente de segurança
Art. 5º do Regulamento de Fiscalização: não fornecimento de documentos solicitados pela ANPD

O que a ANPD também constatou

A SEEDF não tinha encarregado (DPO) designado no momento do incidente.

Resposta da SEEDF

Após a sanção, a SEEDF publicou a Resolução nº 1, de 23/07/2024 e a Portaria nº 1068, de 26/08/2024 para adequação à LGPD.

A lição

Se a SEEDF — uma das maiores secretarias de educação do país, em um estado com alta visibilidade institucional — não tinha DPO, registro de operações nem RIPD, o cenário na maioria dos 5.570 municípios é provavelmente pior. A sanção serviu como precedente: secretarias de educação estão no radar da ANPD.

Nomeação do DPO na secretaria de educação

Obrigatoriedade

O Art. 41 da LGPD exige que todo controlador indique encarregado (DPO). O Art. 23, III reforça essa exigência para o poder público. Não há exceção por porte — mesmo uma secretaria municipal de cidade pequena precisa indicar um DPO.

Quem pode ser DPO

A Resolução CD/ANPD nº 18/2024 estabelece:

A designação deve recair preferencialmente sobre servidores ou empregados públicos com reputação ilibada
Não há exigência de certificação ou formação específica
A indicação deve ser feita por ato formal (portaria ou resolução)
A publicação deve ocorrer no Diário Oficial da esfera correspondente

Quem NÃO deve ser DPO

O DPO deve ter autonomia técnica. Conflitos de interesse devem ser evitados:

Diretor de TI: conflito — ele define medidas de segurança que o DPO deveria fiscalizar
Chefe de RH: conflito — trata dados pessoais de servidores massivamente
Secretário de educação: conflito — é o tomador de decisão que o DPO deveria aconselhar

DPO compartilhado: é possível?

Sim. A Resolução 18/2024 não proíbe o compartilhamento. Uma prefeitura pode designar um mesmo servidor como DPO de múltiplas secretarias — desde que ele tenha condições reais de exercer a função em todas. Municípios pequenos frequentemente adotam essa solução.

Modelo de ato de nomeação

A portaria deve conter:

Identificação do servidor designado (nome, matrícula, cargo)
Referência legal (Art. 41 da LGPD, Art. 23, III, Resolução 18/2024)
Atribuições do encarregado
Canal de contato público (e-mail, telefone)
Data de início da designação

A publicação deve ocorrer no Diário Oficial e as informações de contato do DPO devem ser disponibilizadas no site da secretaria.

O que o TCU já constatou sobre LGPD em órgãos públicos

Os diagnósticos do TCU oferecem um retrato alarmante:

Acórdão TCU 1.384/2022-Plenário

Auditoria em 382 organizações públicas federais:

76,7% em grau "inexpressivo" (17,8%) ou "inicial" (58,9%) de adequação
Apenas 2,9% em nível "aprimorado"
Diagnóstico de alto risco à privacidade dos cidadãos

Auditoria TCU 2024 (TC 009.980/2024-5)

Dados ainda piores com o detalhamento:

12,4% dos órgãos (48) ainda sem DPO designado
72,35% (280 organizações) não elaboraram nenhum RIPD
75% sem documentação de política de privacidade
Apenas 13,70% têm programa de governança de privacidade monitorado e atualizado
Média geral de preparação: 44%

O TCU determinou a criação de um Painel Nacional de Implementação da LGPD para acompanhar a evolução.

Achado específico sobre educação

O TCU constatou que órgãos públicos removeram indevidamente dados do Censo Escolar sob alegação genérica de conformidade com a LGPD — reduzindo transparência e controle social sob pretexto de proteção de dados. Essa distorção foi parcialmente corrigida pela Lei 15.017/2024.

Observação: esses percentuais referem-se a órgãos federais. Secretarias estaduais e municipais não foram incluídas — e a expectativa é que seus índices sejam significativamente piores.

Programa de adequação para secretaria de educação: roadmap de 12 meses

Meses 1-3: Fundação

1. Designar o DPO (Mês 1)

Escolher servidor sem conflito de interesse
Publicar portaria no Diário Oficial
Divulgar contato no site da secretaria
Comunicar à ANPD (formulário online)

2. Mapear sistemas e dados (Meses 1-3)

Listar todos os sistemas que tratam dados pessoais (i-Educar, diário eletrônico, sistema de matrícula, plataformas educacionais)
Para cada sistema: identificar dados coletados, finalidade, base legal, quem acessa, se há compartilhamento com terceiros
Identificar operadores (empresas de TI, fornecedores de plataformas)

3. Criar registro de operações de tratamento (Mês 3)

Art. 37 da LGPD exige registro
Documentar cada atividade de tratamento: dados envolvidos, base legal, finalidade, prazo de retenção, medidas de segurança

Meses 4-6: Estruturação

4. Elaborar RIPD para atividades de alto risco (Meses 4-5)

Priorizar: dados sensíveis de saúde de alunos, dados de crianças em plataformas digitais, biometria (se houver)
Usar modelo da ANPD como referência

5. Regularizar contratos com operadores (Meses 4-6)

Incluir cláusulas LGPD em contratos com empresas de TI, fornecedores de sistemas, plataformas educacionais
Para plataformas estrangeiras (Google, Microsoft): solicitar DPA com CCPs da ANPD

6. Criar política de privacidade e aviso de privacidade (Mês 5)

Publicar no site da secretaria (Art. 23, I)
Linguagem acessível — os titulares são pais e alunos, muitos de baixa escolaridade

Meses 7-9: Implementação

7. Implementar canal do titular (Mês 7)

E-mail ou formulário para pais e alunos exercerem direitos (acesso, correção, exclusão)
Prazo de resposta: 15 dias (Art. 18, §5º)

8. Treinar equipe (Meses 7-8)

Diretores de escola, secretários escolares, coordenadores pedagógicos, TI
Foco: o que pode e o que não pode ser compartilhado, como tratar dados sensíveis, como responder a solicitações

9. Elaborar plano de resposta a incidentes (Mês 8)

Quem comunica, em que prazo, por qual canal
Modelo de comunicação à ANPD e aos titulares
Lição da SEEDF: a falta de comunicação foi uma das infrações sancionadas

Meses 10-12: Consolidação

10. Realizar auditoria interna (Mês 10)

Verificar se todas as escolas vinculadas seguem as diretrizes
Checar se contratos com operadores estão regularizados
Validar que o registro de operações está atualizado

11. Criar comitê de privacidade (Mês 11)

Representantes: DPO, TI, jurídico, pedagógico, secretários escolares
Reuniões periódicas (trimestral)
Responsável por avaliar novas plataformas, responder a incidentes, atualizar políticas

12. Documentar evidências de conformidade (Mês 12)

Consolidar: portaria do DPO, registro de operações, RIPDs, contratos, política de privacidade, atas de treinamento
Manter acessível para eventual fiscalização da ANPD ou auditoria do TCU

Checklist para secretaria de educação

Conclusão

A adequação de uma secretaria de educação à LGPD não é um projeto de TI — é um projeto institucional que envolve jurídico, pedagógico, administrativo e tecnologia. O primeiro passo é simples: designar um DPO e publicar uma portaria. O segundo é mapear o que já existe. O terceiro é começar a documentar.

A SEEDF foi sancionada não por uma falha sofisticada, mas por não ter o básico: DPO, registro de operações, RIPD e comunicação de incidente. São exigências que qualquer secretaria pode cumprir — o que falta, na maioria dos casos, não é orçamento, mas decisão.

A Confidata foi projetada para o setor público: gestão de atividades de tratamento com bases legais específicas (políticas públicas, obrigação legal), RIPD com templates adaptados, registro de operações conforme Art. 37 e controle de compartilhamento entre entes públicos — tudo com RBAC granular para múltiplas unidades e secretarias.