LGPD para escolas: como proteger os dados dos alunos

LGPD para escolas sem juridiquês: o passo a passo para proteger os dados dos alunos, com consentimento dos pais, fotos, dados sensíveis e fornecedores.

Nenhuma instituição acompanha uma pessoa por tantos anos, nem coleta tantos dados sobre ela, quanto a escola. Da ficha de matrícula do berçário ao histórico que segue o aluno pela vida, passando por notas, frequência, laudos de saúde, fotos de eventos e o app que conversa com os pais todo dia. E boa parte desses dados é de menores de idade, que têm proteção especial na lei.

É aí que mora a confusão. Muita escola trata LGPD para escolas como sinônimo de "pegar a assinatura dos pais num termo na matrícula". Coloca a cláusula no contrato, respira aliviada e segue a vida. Enquanto isso, a planilha com alergias dos alunos fica aberta na secretaria, fotos vão para o Instagram sem critério, e o sistema de gestão escolar trata dados que ninguém revisou.

Se esse é o seu cenário, este guia vai te ajudar a colocar ordem na rotina da escola. Você vai entender o que a lei realmente exige, onde as instituições mais erram, o que mudou com o entendimento da ANPD sobre dados de crianças, quem responde pelos dados quando você usa uma plataforma de terceiro, e um passo a passo enxuto para se adequar.

Em resumo, LGPD para escolas é organizar o caminho que os dados dos alunos percorrem na instituição: o que você coleta, com qual finalidade, com quem compartilha e como as famílias exercem seus direitos. Não é um documento assinado uma vez. É um processo que vai da matrícula ao histórico do ex-aluno.

A LGPD se aplica às escolas?

Sim. Qualquer escola, creche, faculdade, curso livre ou rede de ensino que trate dados de alunos, pais e funcionários está sob a LGPD, independentemente do porte. A Lei Geral de Proteção de Dados vale para quem coleta dados pessoais, e a escola coleta muitos, de gente que nem sempre pode decidir sozinha sobre eles.

O que torna a educação um caso sensível? Dois fatores se somam. Primeiro, a escola trata dados de menores de idade em grande volume, e a lei dá a esses dados uma camada extra de proteção. Segundo, a instituição lida com dados sensíveis o tempo todo: informações de saúde do aluno, às vezes biometria na catraca, às vezes convicção religiosa em escola confessional.

E a escola pequena, a creche de bairro, o curso de idiomas? Também estão dentro. Não existe isenção por número de alunos ou por faturamento.

Existem regras proporcionais ao porte, que veremos adiante. Mas a obrigação de proteger o dado da criança é a mesma para quem tem 30 ou 3.000 matrículas.

Se você quer começar pelo recorte do seu segmento, vale conhecer a página do DataSafu sobre proteção de dados de alunos. Ela mostra que a adequação de uma instituição de ensino tem uma lógica própria, diferente de um e-commerce ou de um escritório de contabilidade.

Quais dados a sua escola coleta (e de quem)

Antes de falar em política de privacidade ou termo, vale enxergar o tamanho real do problema. Uma escola subestima quase sempre quantos dados trata, porque eles se acumulam em vários setores ao mesmo tempo, ano após ano.

Da matrícula ao histórico: a jornada de dados na escola

Pense na vida escolar como uma esteira que vai juntando dados. Em cada etapa, a instituição captura ou compartilha um tipo diferente:

  • Aluno: nome, data de nascimento, registro acadêmico, foto, notas, frequência, laudos, alergias, necessidades específicas.
  • Pais e responsáveis: nome, CPF, endereço, telefone, e-mail e dados financeiros da mensalidade.
  • Funcionários e professores: dados de contrato, ponto, conta bancária e documentos pessoais.
  • Terceiros e fornecedores: empresa de transporte, alimentação, fotógrafo de eventos, parceiros pedagógicos.

O erro comum é tratar tudo como se tivesse o mesmo peso. Não tem. Nome e telefone do responsável exigem cuidado. Já o laudo de um aluno com transtorno, a informação de alergia grave ou a medicação de uso contínuo pedem um nível muito maior de controle.

Outro ponto que pega muita escola é a minimização. A pergunta certa não é "esse dado pode ser útil um dia?". É "esse dado é realmente necessário agora, para esta finalidade?". Pedir a religião da família, a profissão dos pais ou o histórico médico completo "por padrão", sem necessidade clara, é coletar demais, e coletar demais é risco.

Antes de mexer em qualquer documento, vale revisar o seu mapeamento de dados. Sem isso, a escola até escreve uma política bonita, mas segue sem saber onde os dados dos alunos entram, circulam e ficam expostos.

Dados de crianças e adolescentes: o que a LGPD exige de verdade

Aqui está o ponto que mais gera erro na educação. E também a maior chance de você fazer certo enquanto a maioria dos concorrentes ainda repete uma informação desatualizada.

O mito do "consentimento dos pais para tudo"

A crença mais comum é que todo dado de aluno menor de idade só pode ser tratado com o consentimento dos pais. Não é bem assim. O Art. 14 da LGPD trata especificamente de dados de crianças e adolescentes e define que o tratamento deve sempre ser feito no melhor interesse do menor.

O ponto que quase ninguém atualizou: em 22 de maio de 2023, a ANPD, a Autoridade Nacional de Proteção de Dados, publicou o Enunciado CD/ANPD nº 01/2023. Ele uniformizou o entendimento de que dados de crianças e adolescentes podem ser tratados com base em qualquer das hipóteses legais da LGPD, e não apenas com consentimento. Veja o comunicado oficial da ANPD sobre o tema.

Na prática da escola, isso significa o seguinte. A matrícula, a frequência, o boletim e o histórico escolar se sustentam em bases como execução de contrato e cumprimento de obrigação legal, não em consentimento. Você não precisa de uma autorização específica dos pais para emitir um boletim: isso faz parte do contrato de matrícula e da obrigação da escola.

Atenção: dizer que "tudo depende do consentimento dos pais" é um erro que pode atrapalhar a própria rotina. O que sempre precisa prevalecer é o melhor interesse da criança e do adolescente, em qualquer base legal escolhida.

Quando o consentimento dos pais ainda é necessário

O consentimento parental, específico e em destaque, continua sendo a base certa para usos que não se sustentam em contrato ou obrigação legal. O exemplo mais claro é a imagem do aluno para fins de marketing e captação: publicar a foto da turma no Instagram para divulgar a escola não é parte da prestação do serviço educacional, então depende de autorização.

Pense na escola da Cláudia, diretora de uma instituição de ensino fundamental em Belo Horizonte. Por anos, a secretaria pedia aos pais um único "termo de consentimento LGPD" genérico na matrícula e considerava o assunto resolvido. Quando uma família questionou por que o filho aparecia num anúncio pago no Instagram, a escola descobriu que o termo não cobria aquilo, e que vários usos do dia a dia nem precisavam de consentimento, enquanto justamente o marketing precisava. Faltava clareza sobre qual base legal valia para cada finalidade.

Para explicar os direitos das famílias de forma acessível, vale ter uma linguagem clara para os pais e, quando fizer sentido, para o próprio aluno mais velho. Nosso guia sobre os direitos do titular ajuda a montar essa comunicação sem juridiquês.

Proteção de dados de alunos: dados sensíveis e situações de risco

Alguns dados que a escola trata todo dia têm proteção reforçada pela lei. O Art. 11 da LGPD classifica como dados sensíveis informações sobre saúde, biometria, convicção religiosa, entre outras. Tratar esses dados exige uma base legal específica e cuidado redobrado.

Saúde, biometria e imagem

Veja onde a escola mais esbarra em dados sensíveis e situações de risco:

  • Saúde do aluno: laudos, alergias, medicação, necessidades específicas e relatórios são dados sensíveis. Precisam de acesso restrito e finalidade clara, nada de planilha aberta na secretaria.
  • Biometria: catraca por digital ou reconhecimento facial na entrada é dado sensível. Antes de instalar, avalie se existe uma alternativa menos invasiva e se o uso é mesmo proporcional.
  • Imagem do aluno: separe a finalidade pedagógica (registrar uma atividade interna) da finalidade de marketing (divulgar a escola). A segunda costuma exigir autorização específica.
  • Câmeras de segurança: defina finalidade, avise sobre a gravação e estabeleça por quanto tempo as imagens ficam guardadas.
  • Convicção religiosa: comum em escola confessional, é dado sensível e não deve ser coletado sem necessidade real.

Pense na situação da escola do Rafael, coordenador de uma rede pequena no interior de São Paulo. A ficha de saúde de cada aluno, com alergias e medicações, ficava numa planilha compartilhada que qualquer funcionário da secretaria abria. Não houve ataque hacker nem nada sofisticado: bastou um print circular num grupo de WhatsApp para expor a condição de saúde de uma criança. O problema não era falta de tecnologia, era falta de controle de acesso a um dado sensível.

Para organizar esses cuidados por área, sem depender de adivinhação, vale apoiar-se em um checklist de conformidade LGPD. Ele transforma "preciso cuidar dos dados sensíveis" em itens concretos que a equipe consegue executar.

Onde a LGPD para escolas mais costuma falhar

Quando o assunto é LGPD nas escolas, o risco não nasce de um vazamento espetacular. Ele nasce de uma rotina frouxa, repetida por anos. Estes são os tropeços mais comuns:

  1. Achar que basta um termo de consentimento genérico assinado na matrícula.
  2. Coletar dados demais, como religião e profissão dos pais, sem finalidade clara.
  3. Publicar fotos de alunos sem critério de finalidade nem autorização.
  4. Tratar o sistema de gestão, o app e a plataforma de ensino como se eles "cuidassem da LGPD" pela escola.
  5. Guardar laudos, fichas e planilhas de alunos sem controle de quem acessa.
  6. Não ter um processo para pedidos de acesso ou exclusão de pais e ex-alunos.
  7. Ignorar os fornecedores: transporte, alimentação, fotógrafo, plataforma de boletim.

Se a sua é uma escola de pequeno porte e bateu aquela sensação de "isso é coisa de rede grande", calma. As regras existem para você também, mas de forma proporcional. Vale ler o nosso guia sobre LGPD para pequenas empresas para entender o que a Autoridade Nacional flexibiliza para quem tem estrutura enxuta.

A boa notícia é que esses sete erros têm o mesmo antídoto: saber quais dados você tem, por que tem cada um e quem pode acessá-los. É disso que trata o passo a passo mais adiante. Se quiser um retrato rápido de onde a sua escola está, faça o diagnóstico da sua instituição.

Quem responde pelos dados: a escola ou a edtech?

Uma dúvida que trava muita instituição é esta: se a escola usa um sistema de gestão escolar, um app de comunicação com os pais e uma plataforma de ensino, quem responde pela proteção dos dados? A resposta curta: a escola continua responsável.

A LGPD separa os papéis. O controlador decide o que é coletado e por quê. O operador trata os dados seguindo as instruções do controlador.

A escola é controladora dos dados dos seus alunos. As ferramentas que ela contrata são, em geral, operadoras. Isso não tira a responsabilidade da instituição: ela escolheu o fornecedor e definiu a finalidade.

Agente Papel típico Pelo que responde
A escola Controladora Decide o que coleta, por quê e com quem compartilha
Sistema de gestão / app / plataforma de ensino Operador Trata os dados sob instrução da escola
Transporte, alimentação, fotógrafo Operador ou terceiro Recebe dados para uma finalidade específica
Plataforma estrangeira de ensino Operador, com atenção extra Pode envolver transferência internacional de dados

O recado prático é direto. Ser controladora não desaparece porque a escola usa a ferramenta de um terceiro. O contrato com cada fornecedor precisa refletir a LGPD, deixando claro o que a empresa pode fazer com os dados dos alunos e o que acontece em caso de incidente. Quando a plataforma é estrangeira, vale verificar onde os dados ficam armazenados, porque aí entra a regra de transferência internacional.

Adequação à LGPD para escolas em 8 passos

Agora a parte prática. Você não precisa fazer tudo de uma vez, nem montar um departamento jurídico. Precisa avançar com método. Veja o caminho de adequação para instituições de ensino, do mais básico ao mais avançado:

  1. Mapeie os dados da escola. Percorra toda a jornada: matrícula, secretaria, pedagógico, saúde, imagem, RH e fornecedores. Liste o que coleta, onde guarda e por quê.
  2. Classifique e corte o excesso. Marque o que é dado sensível e o que é de menor. Enxugue fichas e formulários: tudo que você coleta "por hábito" e não usa é risco sem retorno.
  3. Defina a base legal de cada uso. Matrícula e mensalidade se apoiam em contrato. Frequência e histórico, em obrigação legal. Marketing e imagem, em consentimento. E o melhor interesse do aluno vem sempre à frente.
  4. Cuide dos dados sensíveis e de menores. Restrinja acesso a laudos e fichas de saúde, avalie a real necessidade de biometria e organize as autorizações de imagem por finalidade.
  5. Reveja fornecedores e contratos. Olhe sistema de gestão, app, transporte, alimentação e fotógrafo. Ajuste os contratos à LGPD e verifique transferência internacional em plataformas estrangeiras.
  6. Publique a política de privacidade e abra o canal do titular. Crie um caminho claro para pais, alunos e ex-alunos pedirem acesso, correção ou exclusão de dados.
  7. Defina o encarregado (DPO). O encarregado, ou DPO, é a pessoa que faz a ponte entre a escola, as famílias e a ANPD. Pode ser alguém interno. Entenda quando é exigível e como o regime de pequeno porte flexibiliza.
  8. Treine a equipe e prepare-se para incidentes. Secretaria, professores, coordenação e marketing precisam saber o básico, e a escola precisa de um plano para o dia em que algo vazar.

Os passos 1 e 6 costumam ser os que mais assustam, e são justamente onde a tecnologia ajuda mais. O mapeamento automatizado de dados substitui a planilha manual, e o Canal do Titular organiza os pedidos das famílias com prazos controlados, sem virar um caos na secretaria.

Dica: comece pelo passo 1 e avance um por semana. Em pouco mais de um mês, a escola sai do zero para uma base sólida de adequação, sem parar a rotina pedagógica.

LGPD na educação em 2026: ECA Digital e prioridades da ANPD

Dois movimentos recentes colocaram a educação no centro do radar regulatório, e ignorá-los é correr risco à toa.

O primeiro é o ECA Digital, o Estatuto Digital da Criança e do Adolescente (Lei nº 15.211/2025), que entrou em vigor em 17 de março de 2026 e é fiscalizado pela ANPD. A lei foca verificação de idade, supervisão parental e proteção de menores em plataformas digitais. O alvo principal são as plataformas, mas o tema afeta diretamente o ecossistema escolar: a escola que adota apps e ambientes virtuais com crianças passa a ter mais um motivo para escolher ferramentas que levem a privacidade a sério desde o desenho.

O segundo é o Mapa de Temas Prioritários da ANPD para o biênio 2026-2027, publicado em 24 de dezembro de 2025. A proteção de crianças e adolescentes no ambiente digital está entre os temas prioritários de fiscalização. Em outras palavras, os dados que a escola trata todos os dias estão exatamente no foco da Autoridade Nacional.

O recado é prático, não alarmista. A adequação deixou de ser um "depois". O foco regulatório está sobre o seu setor, e chegar organizado é muito mais barato do que correr atrás depois de uma notificação.

Perguntas frequentes sobre LGPD para escolas

A escola precisa do consentimento dos pais para tudo?
Não. Desde o Enunciado CD/ANPD nº 01/2023, dados de crianças e adolescentes podem ser tratados com qualquer base legal, sempre no melhor interesse do menor. Matrícula, frequência e histórico se apoiam em contrato e obrigação legal. O consentimento dos pais é necessário para usos como imagem em marketing.

Escola pode publicar foto de aluno nas redes sociais?
Depende da finalidade. Divulgar a escola é marketing e, em geral, exige autorização específica da família. Registrar uma atividade pedagógica interna é diferente. O essencial é ter um processo claro de autorização e respeitar quem pediu para não expor a imagem.

Escola pode usar catraca biométrica ou reconhecimento facial?
A biometria é dado sensível. A escola precisa avaliar se existe alternativa menos invasiva, se o uso é proporcional e informar finalidade e tempo de retenção. Instalar reconhecimento facial "porque é moderno", sem essa análise, é assumir um risco desnecessário.

Quais dados de alunos são sensíveis?
Informações de saúde (laudos, alergias, medicação, necessidades específicas), biometria e convicção religiosa, entre outras. Esses dados têm base legal reforçada pelo Art. 11 e exigem acesso restrito.

A escola precisa ter um encarregado (DPO)?
O encarregado faz a ponte entre escola, famílias e ANPD. Para instituições de pequeno porte, a indicação pode ser flexibilizada, mas ter alguém responsável pelo tema é uma boa prática mesmo quando não é estritamente obrigatório.

Escola pequena, creche ou curso livre também precisa se adequar?
Sim. A Resolução CD/ANPD nº 2/2022 flexibiliza obrigações para agentes de pequeno porte, com prazos e regime simplificado, mas não isenta de bases legais, princípios nem direitos dos titulares. E como a escola trata dados de menores e dados sensíveis, o cuidado segue alto.

O que a escola deve fazer se houver vazamento de dados de alunos?
Conter o incidente, avaliar o risco para os titulares e, conforme o caso, comunicar a ANPD e as famílias afetadas. Por isso o passo de preparação importa: decidir quem faz o quê antes do problema acontecer evita pânico e atraso.

Conclusão

A LGPD para escolas não é assinar um termo na matrícula e esquecer. É organizar a vida dos dados dos alunos, da ficha de entrada ao histórico do ex-aluno. Quatro movimentos resolvem a maior parte do caminho:

  • Mapeie todos os dados que a escola coleta, em todos os setores.
  • Escolha a base legal certa para cada finalidade, lembrando que nem tudo depende do consentimento dos pais.
  • Proteja os dados de menores e sensíveis com acesso restrito e finalidade clara.
  • Organize fornecedores e o canal do titular, porque usar uma edtech não transfere a sua responsabilidade.

Comece pequeno, mas comece agora: faça o mapeamento, defina as bases legais e abra um canal para as famílias. Com a proteção de crianças e adolescentes no foco da fiscalização para 2026 e 2027, chegar organizado é a forma mais barata de cuidar dos seus alunos e da sua instituição.

Se quiser acelerar, o DataSafu reúne mapeamento guiado, templates e Canal do Titular pensados para a realidade de quem dirige uma escola, com adequação para instituições de ensino sem juridiquês. Você não deveria descobrir, só quando uma família questiona ou a ANPD notifica, que os dados sensíveis dos alunos estavam numa planilha aberta na secretaria, e com o DataSafu, você não vai mais. Comece sua adequação à LGPD para escolas e proteja os dados dos seus alunos com um passo de cada vez.