O que muda para escolas com a Lei Geral de Proteção de Dados — e o que sua instituição precisa fazer agora

O que é dado pessoal — e por que a escola está no meio disso

A Lei Geral de Proteção de Dados (Lei 13.709/2018) define dado pessoal como qualquer informação relacionada a uma pessoa natural identificada ou identificável. Parece abstrato, mas na prática escolar isso inclui o nome do aluno, CPF dos responsáveis, endereço residencial, boletim, histórico de saúde, fotos tiradas em eventos, registros de comportamento e até a localização do aluno no sistema de ponto eletrônico.

Quando a escola coleta, armazena, usa ou compartilha qualquer um desses dados, ela está realizando um tratamento de dados pessoais — e precisa estar em conformidade com a LGPD, independentemente do tamanho da instituição.

Quais dados as escolas tratam — e onde mora o risco

Na rotina de uma instituição de ensino, o tratamento de dados acontece em múltiplos pontos que muitas vezes passam despercebidos:

• Fichas de matrícula com dados dos alunos e responsáveis
• Fotos e vídeos de eventos publicados nas redes sociais da escola
• Sistemas de gestão escolar com acesso de professores e funcionários
• Envio de boletins e comunicados por WhatsApp ou e-mail
• Câmeras de segurança com imagens de alunos e visitantes
• Laudos médicos e psicológicos arquivados na secretaria
• Aplicativos de terceiros utilizados em sala de aula

O risco jurídico está justamente na falta de controle sobre esse fluxo. Quem tem acesso? Por quanto tempo os dados ficam armazenados? Com quem são compartilhados? Essas perguntas precisam ter resposta — e precisam estar documentadas.

O que a LGPD exige das escolas na prática

A adequação à LGPD não é um evento único. É um processo contínuo que envolve quatro frentes principais:

1. Mapeamento de dados

O primeiro passo é saber quais dados são coletados, onde ficam armazenados, quem acessa e qual é a base legal para esse tratamento. Sem esse mapeamento, qualquer outra medida fica no ar.

2. Políticas e documentação

A escola precisa ter uma Política de Privacidade atualizada e acessível, além de termos de consentimento específicos para o uso de imagem de alunos, envio de comunicados e uso de sistemas de terceiros.

3. Nomeação do Encarregado (DPO)

A LGPD prevê a nomeação de um Encarregado pelo Tratamento de Dados — o DPO. Nas escolas menores, essa função pode ser exercida por um profissional terceirizado. O DPO é o ponto de contato com a ANPD e com os titulares dos dados (alunos e responsáveis).

4. Treinamento de equipes

Professores, secretaria e equipe administrativa precisam saber o básico: o que pode e o que não pode fazer com os dados dos alunos. Um treinamento simples e prático já reduz significativamente o risco de incidentes.

Quais são as penalidades para quem não se adequar

A Autoridade Nacional de Proteção de Dados (ANPD) pode aplicar sanções que vão desde advertências até multas de até 2% do faturamento da instituição, limitadas a R$ 50 milhões por infração. Além das multas, a escola pode responder civilmente por danos causados ao titular — inclusive com pedidos de indenização por danos morais.

O risco reputacional também é real: um vazamento de dados de alunos menores de idade tem potencial de gerar cobertura negativa e perda de matrículas.

Por onde começar

O caminho mais comum para escolas que estão começando é contratar uma assessoria jurídica especializada para realizar o diagnóstico inicial — um mapeamento de dados que vai revelar onde estão os principais riscos e o que precisa ser priorizado.

A partir daí, o processo de adequação costuma levar de 2 a 4 meses, dependendo do tamanho da instituição e da complexidade dos sistemas utilizados. O investimento é muito menor do que uma eventual multa ou processo judicial.

Se você é diretor, gestor ou mantenedor de uma instituição de ensino e ainda não iniciou esse processo, o momento de começar é agora.

Rafael Biancatelli

Advogado especialista em LGPD e Proteção de Dados. Fundador do Biancatelli Escritório de Advocacia. OAB/SP XXXXX.