Proteção de Dados na Educação: Escolas e Plataformas EAD

A coleta massiva de dados pessoais de crianças e adolescentes por escolas e plataformas EAD exige atenção redobrada à LGPD, sob pena de responsabilização administrativa e judicial das instituições de ensino.

O cenário atual da coleta de dados no ambiente educacional

Vivemos uma transformação profunda na forma como instituições de ensino interagem com dados pessoais de seus alunos, pais e responsáveis. Com a digitalização acelerada do setor educacional, especialmente após a expansão do ensino remoto, escolas públicas e privadas passaram a depender de plataformas digitais que coletam, armazenam e processam volumes expressivos de informações pessoais. Nesse contexto, analisamos como a Lei Geral de Proteção de Dados (Lei nº 13.709/2018) se aplica diretamente ao ecossistema educacional e quais são as obrigações concretas de cada agente envolvido.

As plataformas de ensino a distância (EAD), os sistemas de gestão escolar, os aplicativos de comunicação entre escola e família e até mesmo as câmeras de monitoramento em salas de aula configuram operações de tratamento de dados pessoais. Quando esses dados pertencem a crianças e adolescentes, a LGPD impõe um regime de proteção ainda mais rigoroso, conforme previsto em seu artigo 14. Verificamos que muitas instituições ainda desconhecem a extensão dessas obrigações, tratando a adequação à LGPD como uma mera formalidade burocrática, quando na verdade se trata de um dever jurídico com consequências reais.

O problema se agrava quando consideramos a cadeia de fornecedores tecnológicos envolvidos. Uma escola que contrata uma plataforma EAD não se exime de responsabilidade pelo tratamento inadequado dos dados realizado por esse terceiro. A relação entre controlador e operador de dados, nos termos da LGPD, exige que contratos de prestação de serviços educacionais contenham cláusulas específicas sobre proteção de dados, delimitando finalidades, prazos de retenção e medidas de segurança.

Dados de crianças e adolescentes: o regime especial da LGPD

O artigo 14 da LGPD estabelece que o tratamento de dados pessoais de crianças e adolescentes deve ser realizado em seu melhor interesse. Essa disposição dialoga diretamente com o Estatuto da Criança e do Adolescente (Lei nº 8.069/1990) e com a Convenção sobre os Direitos da Criança, criando um arcabouço normativo que coloca a proteção do menor como prioridade absoluta. Observamos que esse regime especial impõe limitações concretas que afetam diretamente o funcionamento de escolas e plataformas digitais.

Para o tratamento de dados de crianças (menores de 12 anos), a LGPD exige o consentimento específico e em destaque de pelo menos um dos pais ou do responsável legal. Esse consentimento deve ser informado, o que significa que a instituição precisa explicar, de forma clara e acessível, quais dados serão coletados, para quais finalidades, por quanto tempo serão armazenados e com quem serão compartilhados. Formulários genéricos de matrícula que incluem cláusulas vagas sobre “uso de dados para fins pedagógicos” não atendem a esse requisito legal.

No caso de adolescentes (entre 12 e 17 anos), embora a LGPD não exija expressamente o consentimento parental, a Autoridade Nacional de Proteção de Dados (ANPD) já sinalizou que o melhor interesse deve ser sempre o critério orientador. Isso significa que a base legal para o tratamento deve ser avaliada caso a caso, considerando a maturidade do adolescente, a natureza dos dados e os riscos envolvidos. Plataformas que coletam dados comportamentais, de geolocalização ou biométricos de adolescentes precisam de justificativas robustas para esse tratamento.

Identificamos ainda uma questão particularmente sensível: a coleta de dados biométricos em ambientes escolares. Sistemas de reconhecimento facial para controle de acesso ou de impressão digital para registro de frequência tratam dados pessoais sensíveis de menores, o que eleva significativamente o nível de exigência para a conformidade legal. A proporcionalidade e a necessidade desse tipo de coleta devem ser rigorosamente avaliadas antes da implementação.

A adequação de escolas e plataformas EAD à LGPD não é apenas uma obrigação legal, mas um compromisso ético com a geração que mais cedo teve seus dados expostos ao ambiente digital.

Due diligence de dados em plataformas EAD: o que verificar

Quando uma instituição de ensino seleciona uma plataforma EAD ou qualquer ferramenta digital para uso pedagógico, é fundamental conduzir um processo de due diligence voltado à proteção de dados. Esse processo consiste em avaliar, de forma estruturada, como o fornecedor trata os dados pessoais que receberá, quais medidas de segurança implementa e qual é seu nível de conformidade com a legislação vigente. Consideramos esse procedimento indispensável para mitigar riscos jurídicos e proteger efetivamente os titulares dos dados.

O primeiro ponto a verificar é a política de privacidade da plataforma. Ela deve indicar com clareza quais dados são coletados (nome, idade, desempenho acadêmico, dados de navegação, registros de acesso), as finalidades específicas de cada coleta, os prazos de retenção e os mecanismos disponíveis para que titulares exerçam seus direitos. Políticas vagas, excessivamente genéricas ou redigidas em linguagem inacessível representam um sinal de alerta significativo.

Em seguida, avaliamos a infraestrutura de segurança da informação. A plataforma utiliza criptografia em trânsito e em repouso? Possui controles de acesso baseados em papéis? Realiza testes de penetração periódicos? Mantém registros de auditoria (logs) das operações de tratamento? Essas questões técnicas são essenciais para verificar se os dados dos alunos estarão efetivamente protegidos contra acessos não autorizados, vazamentos e incidentes de segurança.

Outro aspecto crítico é o compartilhamento de dados com terceiros. Muitas plataformas educacionais utilizam serviços de empresas parceiras para funcionalidades como analytics, hospedagem em nuvem, envio de notificações e processamento de pagamentos. Cada um desses parceiros representa um ponto adicional de risco. A due diligence deve mapear toda essa cadeia de suboperadores e verificar se existem salvaguardas contratuais adequadas em cada elo.

Transferência internacional de dados

Quando a plataforma EAD armazena dados em servidores localizados fora do Brasil, configura-se uma transferência internacional de dados, sujeita às regras do Capítulo V da LGPD. Verificamos que grande parte das plataformas utilizadas por escolas brasileiras hospeda seus dados em servidores nos Estados Unidos ou na Europa. Nesses casos, é necessário avaliar se o país de destino oferece grau de proteção adequado ou se existem garantias contratuais (como cláusulas-padrão) que assegurem a proteção dos dados transferidos.

Relatório de Impacto à Proteção de Dados

Para operações de tratamento que envolvam dados de crianças e adolescentes em larga escala, recomendamos a elaboração de um Relatório de Impacto à Proteção de Dados Pessoais (RIPD). Esse documento, previsto na LGPD, descreve os processos de tratamento que podem gerar riscos às liberdades civis e aos direitos fundamentais dos titulares, bem como as medidas e mecanismos de mitigação adotados. No contexto educacional, o RIPD é uma ferramenta estratégica para demonstrar a diligência da instituição e fundamentar decisões sobre o uso de tecnologias específicas.

Obrigações práticas das instituições de ensino

A conformidade com a LGPD no setor educacional exige ações concretas que vão além da redação de documentos. Destacamos as principais obrigações que escolas e instituições de ensino devem observar para garantir um tratamento adequado dos dados pessoais de seus alunos e colaboradores.

A nomeação de um Encarregado de Proteção de Dados (DPO) é uma exigência da LGPD para controladores de dados. No ambiente escolar, esse profissional será o ponto de contato entre a instituição, os titulares dos dados e a ANPD. Ele deve ter conhecimento jurídico e técnico suficiente para orientar a instituição sobre suas obrigações e para conduzir a resposta a eventuais incidentes de segurança. Escolas de menor porte podem designar um colaborador existente para essa função, desde que ele receba capacitação adequada.

O mapeamento de dados (data mapping) é outro passo fundamental. Consiste em identificar todos os fluxos de dados pessoais dentro da instituição: quais dados são coletados, em que momento, por qual meio, para qual finalidade, onde são armazenados, quem tem acesso e quando são eliminados. Esse mapeamento revela, com frequência, tratamentos desnecessários ou excessivos que podem ser eliminados, reduzindo tanto o risco jurídico quanto o custo operacional.

A capacitação de professores e funcionários é igualmente essencial. De nada adianta implementar políticas sofisticadas de proteção de dados se o corpo docente compartilha informações de alunos em grupos de mensagens sem qualquer critério, ou se a secretaria envia boletins por canais não seguros. Programas de conscientização periódicos, adaptados à realidade de cada função, transformam a proteção de dados em uma cultura institucional, não apenas em um conjunto de regras formais.

Por fim, destacamos a necessidade de estabelecer procedimentos claros para o atendimento aos direitos dos titulares. Pais e responsáveis têm o direito de acessar os dados de seus filhos, solicitar correções, requerer a eliminação de dados desnecessários e obter informações sobre compartilhamentos realizados. A instituição deve estar preparada para responder a essas solicitações dentro dos prazos legais, de forma completa e transparente.

Consequências do descumprimento e tendências regulatórias

O descumprimento das obrigações previstas na LGPD pode acarretar sanções administrativas aplicadas pela ANPD, que variam desde advertências até multas de até 2% do faturamento da pessoa jurídica (limitadas a R$ 50 milhões por infração). No entanto, as consequências não se restringem à esfera administrativa. Instituições de ensino que tratam dados de forma irregular podem responder civilmente por danos materiais e morais causados aos titulares, além de enfrentar procedimentos investigatórios conduzidos pelo Ministério Público.

Observamos que a ANPD tem dedicado atenção crescente ao tratamento de dados de crianças e adolescentes. A publicação de guias orientativos e a realização de consultas públicas sobre o tema indicam que a fiscalização nesse segmento tende a se intensificar nos próximos anos. Instituições que se anteciparem a essa tendência, investindo desde já em programas robustos de conformidade, estarão em posição significativamente mais favorável.

No cenário internacional, regulamentos como o GDPR europeu e o COPPA norte-americano já impuseram sanções expressivas a empresas de tecnologia educacional que coletaram dados de menores de forma irregular. Essas experiências internacionais servem como referência para o amadurecimento da regulação brasileira e reforçam a importância de adotar padrões elevados de proteção desde a concepção dos sistemas (privacy by design) e como configuração padrão (privacy by default).

Consideramos que a proteção de dados na educação representa um dos campos mais dinâmicos e relevantes da aplicação da LGPD. A interseção entre direitos fundamentais de crianças e adolescentes, inovação tecnológica e o dever de cuidado das instituições de ensino cria um ambiente regulatório complexo que demanda assessoria jurídica especializada e atualização constante. Instituições que encaram a proteção de dados como um investimento estratégico, e não como um custo regulatório, colherão benefícios duradouros em termos de confiança institucional, segurança jurídica e qualidade do ambiente educacional que oferecem.

As informações deste artigo são de caráter informativo e não substituem consulta jurídica individualizada.

As informações deste artigo são de caráter informativo e não substituem consulta jurídica individualizada.