Dados de menores em aplicativos educacionais: o que a LGPD exige das escolas

O tratamento de dados pessoais de crianças e adolescentes por escolas, plataformas de tecnologia educacional e aplicativos infantis exige cuidados específicos previstos na Lei Geral de Proteção de Dados e detalhados pelas diretrizes da Autoridade Nacional de Proteção de Dados. O descumprimento expõe as instituições a sanções administrativas, responsabilização civil e prejuízos reputacionais que comprometem a confiança das famílias.

O que a LGPD determina sobre dados de crianças e adolescentes

A Lei 13.709/2018 reserva tratamento diferenciado aos dados de crianças (até 12 anos incompletos) e adolescentes (de 12 a 18 anos). O artigo 14 estabelece que esse tratamento deve ocorrer sempre no melhor interesse do titular, princípio importado do Estatuto da Criança e do Adolescente. Não basta cumprir as regras gerais da lei: a instituição precisa demonstrar que cada coleta atende, de forma concreta, ao bem-estar do menor.

Esse cuidado reforçado alcança qualquer organização que processe informações de estudantes. Escolas de educação infantil e fundamental, plataformas de ensino remoto, fabricantes de aplicativos de jogos e leitura, além de empresas de tecnologia educacional contratadas pelas redes de ensino, todas se enquadram como agentes de tratamento e respondem pelos dados que coletam.

A legislação considera dado pessoal qualquer informação capaz de identificar a criança, como nome, imagem, voz, geolocalização, desempenho escolar e hábitos de navegação. Quando o tratamento envolve dados de saúde, origem racial ou biometria, há ainda a categoria de dados sensíveis, que recebe proteção adicional e restringe as hipóteses legais de uso.

Consentimento dos responsáveis e finalidade do tratamento

O ponto central do artigo 14 é o consentimento. Para dados de crianças, a regra exige autorização específica e em destaque, fornecida por pelo menos um dos pais ou pelo responsável legal. Consentimento genérico, escondido em termos de uso extensos ou obtido por caixas previamente marcadas, não satisfaz a exigência legal e pode ser invalidado.

A instituição deve realizar esforços razoáveis para verificar que quem autoriza é efetivamente o responsável, considerando as tecnologias disponíveis. Esse dever de verificação cresce conforme o risco do tratamento: quanto mais sensível a informação coletada, maior o rigor esperado na checagem da identidade de quem consente.

A finalidade precisa ser informada de modo claro, simples e acessível, levando em conta as características físicas, motoras e cognitivas do público infantil. As diretrizes da Autoridade Nacional de Proteção de Dados orientam que as informações sejam apresentadas em linguagem adequada à idade, com recursos visuais quando possível, para que tanto a criança quanto o responsável compreendam o que será feito com os dados.

Existe ainda uma flexibilização relevante. A coleta de dados de crianças pode dispensar o consentimento quando for necessária para contatar os pais, desde que usada uma única vez e sem armazenamento, ou para proteger o menor. Fora dessas situações pontuais, a autorização do responsável permanece indispensável.

Proibição do uso comercial e o relatório de impacto

Um dos limites mais rígidos da lei recai sobre a exploração comercial. É vedado condicionar a participação da criança em jogos, aplicações de internet ou outras atividades ao fornecimento de informações pessoais além do estritamente necessário. A coleta excessiva, motivada por interesses de marketing ou de monetização de perfis, contraria diretamente o princípio da necessidade.

Plataformas que segmentam publicidade com base no comportamento de estudantes ou que repassam bases de contatos a parceiros comerciais assumem risco elevado de autuação. O melhor interesse da criança não convive com a transformação de dados escolares em ativo publicitário.

A escola que terceiriza tecnologia não terceiriza a responsabilidade: continua respondendo pelos dados confiados pelas famílias.

Para tratamentos de maior risco, a elaboração do relatório de impacto à proteção de dados pessoais ganha importância prática. Esse documento descreve os processos de coleta, as medidas de segurança adotadas e os mecanismos de mitigação de riscos aos direitos dos titulares. Embora a lei preveja que a autoridade pode solicitá-lo, manter o relatório atualizado funciona como prova de diligência e ajuda a instituição a mapear vulnerabilidades antes que se convertam em incidentes.

O relatório também orienta decisões sobre quais ferramentas adotar. Antes de contratar uma nova plataforma educacional, a gestão consegue avaliar se o fornecedor coleta apenas o necessário, onde os dados ficam hospedados e quais garantias de segurança estão previstas em contrato.

Responsabilidade solidária da escola que terceiriza serviços

A digitalização do ensino levou muitas instituições a contratar empresas especializadas para diários eletrônicos, ambientes virtuais de aprendizagem e aplicativos de comunicação com as famílias. Essa terceirização não afasta a responsabilidade da escola. Quando atua como controladora, definindo as finalidades do tratamento, a instituição responde pelos danos causados aos titulares, ainda que a falha tenha ocorrido na operação do fornecedor.

A LGPD prevê responsabilidade solidária entre controladores e operadores em determinadas hipóteses, o que permite à família lesada buscar reparação tanto da escola quanto da empresa contratada. Por isso, a relação entre as partes deve estar formalizada em contrato que distribua obrigações, defina medidas de segurança e estabeleça deveres de comunicação em caso de incidente.

A escolha criteriosa do fornecedor é parte do dever de cuidado. Contratar plataforma que não comprove conformidade, que hospede dados sem garantias adequadas ou que reserve para si o direito de explorar comercialmente as informações dos alunos transfere para a escola um risco que poderia ter sido evitado na fase de seleção.

Checklist de conformidade para gestores escolares

Para reduzir riscos e demonstrar boa-fé diante de eventual fiscalização, a gestão pode adotar um conjunto de medidas práticas. O roteiro a seguir resume os principais pontos de atenção no tratamento de dados de estudantes:

• Mapear todos os dados coletados de alunos, identificando quais são pessoais e quais são sensíveis.
• Obter consentimento específico e em destaque dos responsáveis, com linguagem clara e adequada à idade.
• Coletar apenas o necessário, evitando campos dispensáveis nos formulários de matrícula e nos aplicativos.
• Revisar contratos com fornecedores de tecnologia, exigindo cláusulas de proteção de dados e proibição de uso comercial.
• Indicar um encarregado pelo tratamento de dados, o responsável por intermediar pedidos de titulares e da autoridade.
• Elaborar e manter atualizado o relatório de impacto nos tratamentos de maior risco.
• Definir um plano de resposta a incidentes, com prazos e fluxos de comunicação às famílias e à autoridade competente.
• Treinar professores e equipe administrativa sobre o manuseio seguro das informações dos estudantes.

A adoção dessas práticas não é apenas uma formalidade burocrática. Ela constrói uma cultura institucional de respeito à privacidade que protege os alunos e blinda a escola contra litígios e penalidades. Em um cenário de uso intensivo de tecnologia na educação, a conformidade deixou de ser diferencial e passou a ser condição de funcionamento.

As informações deste artigo são de caráter informativo e não substituem consulta jurídica individualizada.