LGPD em escolas e cursinhos: checklist prático para 2026

A Lei Geral de Proteção de Dados (Lei 13.709/2018) já é antiga, mas 2026 é o ano em que a fiscalização chegou de verdade ao setor educacional. A ANPD intensificou a atuação sobre instituições que tratam dados de menores, e o Estatuto Digital da Criança e do Adolescente reforçou a régua. Multas podem chegar a 2% do faturamento anual, limitadas a R$ 50 milhões por infração.

Para um cursinho ou escola, o problema vai além da multa: a maior exposição é reputacional. Vazamento de dados de aluno menor em uma rede de ensino vira manchete e dispara saída de matrícula no mês seguinte. Este artigo é um checklist objetivo que você pode rodar contra sua operação em uma tarde — e identificar exatamente onde está fora de conformidade.

Controlador

A escola, cursinho ou colégio é o controlador dos dados. É quem decide o que coletar e por quê. A responsabilidade pelo tratamento é primariamente sua, mesmo que terceirize software.

Operador

A plataforma de gestão, o sistema de pagamento, o provedor de e-mail — todos são operadores. Você precisa de contrato de operador (DPA — Data Processing Agreement) com cada um, descrevendo o que tratam, por quanto tempo e em quais condições.

Encarregado (DPO)

A LGPD exige um Encarregado pelo Tratamento de Dados Pessoais (Data Protection Officer). Pode ser pessoa física interna, pessoa jurídica externa ou advogado contratado. Precisa estar publicado no site, com canal de contato funcionando.

Titular

Aluno, professor, responsável legal, candidato a bolsa, ex-aluno — são os titulares. Têm direito de acesso, correção, portabilidade, anonimização e exclusão.

Os dados de menores recebem tratamento mais rigoroso. Em síntese:

• Crianças (até 12 anos incompletos): tratamento requer consentimento específico e em destaque de pelo menos um dos pais ou responsável legal.
• Adolescentes (12 a 18 anos): tratamento deve sempre ser feito no melhor interesse, com bases legais aplicáveis.
• Em ambos os casos, informações sobre o tratamento devem ser apresentadas em linguagem clara, simples e acessível, considerando a capacidade de compreensão da criança.

Existe uma exceção importante: dados podem ser coletados sem consentimento quando necessários para entrar em contato com os pais ou responsáveis (uso único, sem armazenamento, sem compartilhamento com terceiros).

Antes de qualquer coisa, mapeie. Para cada tipo de dado, registre: finalidade, base legal, origem, tempo de retenção, com quem é compartilhado. Em um cursinho preparatório típico, os fluxos mais comuns são:

• Cadastro de matrícula (nome, CPF, e-mail, telefone do aluno e do responsável)
• Dados financeiros (forma de pagamento, histórico de mensalidade)
• Dados de uso pedagógico (notas, presença, simulados, desempenho)
• Dados de saúde (alergias, laudos, necessidades específicas) — sensíveis
• Imagens (foto de perfil, vídeos de aula, fotos institucionais)
• Dados biométricos (catraca, reconhecimento facial) — sensíveis
• Logs de acesso a sistemas

Esse mapeamento é a fundação. Sem ele, qualquer outra ação é improvisação.

1. Quem é o seu Encarregado (DPO) e como contatá-lo?
2. Sua Política de Privacidade está pública? Quando foi a última atualização?
3. Quais são as bases legais de cada categoria de dado tratado?
4. Como é obtido o consentimento dos responsáveis para alunos menores de 12 anos?
5. Em quanto tempo você responde a uma solicitação de exclusão de dados?
6. Quais fornecedores tratam dados em seu nome? Há contrato de operador com cada um?
7. Que medidas técnicas e organizacionais você adota para segurança?
8. Já houve incidente de segurança com dados pessoais? Como foi tratado?
9. Por quanto tempo retém os dados de ex-alunos?
10. Há transferência internacional de dados? Sob quais salvaguardas?

1. DPO no organograma, mas sem tempo

Indicar a secretária acumulada como DPO sem dar tempo nem orçamento é o erro mais frequente. Se for interno, precisa ter tempo dedicado e autonomia.

2. Política copiada de outro site

Política genérica copiada da internet costuma listar tratamentos que a escola não faz e omitir os que faz. ANPD considera isso descumprimento.

3. Consentimento misturado com contrato

Botão único "li e aceito tudo" não é consentimento válido para finalidades de marketing. Marketing precisa de consentimento separado e revogável.

4. Compartilhamento com fornecedores sem contrato

Usar Mailchimp, Google Workspace, Notion, sistema de gestão — tudo isso é compartilhamento. Cada um precisa de contrato de operador. Para entender o que pedir nesse contrato, veja como escolher uma plataforma de gestão para cursinho.

5. Retenção infinita

"Guardamos por sempre, vai que precisa" não é base legal. Defina prazo: ex-alunos 5 anos para histórico escolar, candidatos não matriculados 6 meses, leads de marketing 1 ano com consentimento renovável.

• Estatuto Digital da Criança e do Adolescente: regras adicionais para plataformas que coletam dados de menores.
• Resolução ANPD sobre transferência internacional: contratos modelo (cláusulas-tipo) já vigentes.
• Multas escalonadas: pequenas instituições têm valor mínimo, mas autuação por descumprimento simples ficou frequente.
• Tomada de subsídios sobre dados de crianças e adolescentes: novas diretrizes específicas estão em consulta pública.
• ANPD passou a pedir prova ativa de conformidade — ter o documento já não basta, é preciso demonstrar que o processo é vivo.

1. Hoje: imprima este checklist e marque o que sua instituição já tem.
2. Nesta semana: nomeie o DPO (interno ou externo) e publique no site.
3. Em 30 dias: complete o mapeamento de dados.
4. Em 60 dias: revise a Política de Privacidade e formalize contratos de operador.
5. Em 90 dias: faça o primeiro treinamento da equipe e simule um incidente.

Para entender o tratamento de dados em uma plataforma de IA aplicada à educação, leia também IA na educação: 7 aplicações práticas.

Para referência oficial, consulte o site da Autoridade Nacional de Proteção de Dados (ANPD).