LGPD para Escolas: Protegendo Dados de Alunos Menores de Idade
Guia prático de LGPD para escolas: dados sensíveis de menores, consentimento do responsável, log de auditoria, acesso restrito por perfil. Como o Toth protege.
Escolas lidam diariamente com dados sensíveis de menores de idade: nome, CPF, endereço, notas, laudos médicos, informações familiares. A Lei Geral de Proteção de Dados (Lei 13.709/2018) exige que essas informações sejam tratadas com cuidado redobrado. O descumprimento pode resultar em multas de até 2% do faturamento e danos irreparáveis à reputação da escola.
Neste guia prático, mostramos o que a LGPD exige das escolas, quais dados são considerados sensíveis e como o Toth garante conformidade em cada etapa.
Por que Escolas São Alvo da LGPD
Escolas são verdadeiros repositórios de dados pessoais. Diferente de uma loja online que armazena email e endereço de entrega, uma escola coleta e processa:
- Dados pessoais de menores: nome, CPF, data de nascimento, filiação, endereço
- Dados sensíveis: laudos médicos, condições de saúde, deficiências, religião
- Dados acadêmicos: notas, frequência, ocorrências disciplinares, parecer descritivo
- Dados financeiros: renda familiar, inadimplência, bolsas e descontos
- Dados biométricos: foto, impressão digital (em alguns sistemas de acesso)
- Dados dos responsáveis: CPF, RG, profissão, local de trabalho, telefone
A LGPD classifica dados de menores como uma categoria que exige consentimento específico de pelo menos um dos responsáveis legais.
O que a LGPD Exige das Escolas
1. Base Legal para Tratamento
Cada dado coletado pela escola precisa ter uma justificativa legal. As bases mais comuns são:
- Consentimento do responsável: para dados que não são estritamente necessários (fotos em redes sociais, participação em pesquisas)
- Execução de contrato: dados necessários para o contrato de matrícula (nome, série, turma)
- Obrigação legal: dados exigidos por lei (Censo Escolar, SAGRES, Educacenso)
- Proteção da vida: dados de saúde para emergências médicas
2. Consentimento Específico para Menores
O Art. 14 da LGPD determina que o tratamento de dados de crianças e adolescentes deve ser realizado com o consentimento específico de pelo menos um dos pais ou responsável legal.
No Toth, o consentimento é coletado digitalmente no ato da matrícula, com registro de data, hora, IP e teor exato do consentimento. O responsável pode revogar a qualquer momento.
3. Princípio da Minimização
A escola só deve coletar os dados estritamente necessários. Perguntar a religião do aluno, por exemplo, só é justificável se a escola oferecer aulas de ensino religioso conforme opção da família.
4. Direito dos Titulares
Os responsáveis têm direito a:
- Saber quais dados a escola possui do seu filho
- Solicitar correção de dados incorretos
- Pedir exclusão de dados não essenciais
- Revogar consentimento dado anteriormente
- Solicitar portabilidade dos dados
Dados Sensíveis em Escolas: Tabela de Classificação
DadoClassificação LGPDBase LegalCuidado Especial Nome, CPF, endereçoPessoalContrato / Obrigação legalAcesso restrito por perfil Notas e frequênciaPessoalContrato / Obrigação legalVisível apenas para responsável e professores Laudos médicosSensívelConsentimento específicoAcesso restrito a coordenação e AEE Tipo de deficiênciaSensívelConsentimento / Obrigação legalNecessário para PEI e AEE ReligiãoSensívelConsentimento específicoSó coletar se justificável Ocorrências disciplinaresPessoalLegítimo interesseAcesso restrito, sem exposição Dados financeiros (renda)PessoalContratoNecessário para bolsas; restrito ao financeiro Fotos do alunoPessoal / BiométricoConsentimentoNão publicar sem autorizaçãoComo o Toth Garante Conformidade
Multi-Tenant com Isolamento de Dados
O Toth opera em arquitetura multi-tenant: cada escola (unidade) tem seus dados isolados. Um professor de uma unidade não consegue ver dados de alunos de outra, mesmo que ambas usem o mesmo sistema.
Perfis de Acesso Granulares (RBAC)
O sistema implementa controle de acesso baseado em perfis (RBAC). Cada usuário só vê o que seu perfil permite:
- Professor: vê apenas alunos das suas turmas (notas, frequência)
- Coordenador: vê todas as turmas do seu nível de ensino
- Secretário: acessa dados cadastrais e documentos
- Financeiro: vê dados financeiros, sem acesso a notas ou laudos
- Diretor: visão completa da unidade
Log de Auditoria Completo
Toda operação no Toth é registrada em log: quem acessou, quando, o que visualizou, o que alterou. Isso é essencial para:
- Comprovar que os dados foram tratados conforme a política
- Identificar acessos indevidos
- Atender solicitações de titulares sobre o histórico de tratamento
- Fornecer evidências em caso de auditoria
Termo de Consentimento Digital
No ato da matrícula (presencial ou via matrícula online), o responsável assina digitalmente o termo de consentimento que detalha:
- Quais dados serão coletados e para qual finalidade
- Com quem os dados podem ser compartilhados (TCE, Educacenso)
- Como solicitar acesso, correção ou exclusão
- Canal de contato do encarregado de dados (DPO)
Checklist LGPD para Escolas
Use este checklist para verificar se sua escola está em conformidade:
- ☐ Nomear um encarregado de dados (DPO) — pode ser um funcionário existente
- ☐ Mapear todos os dados pessoais coletados e suas finalidades
- ☐ Definir base legal para cada tipo de dado
- ☐ Coletar consentimento específico dos responsáveis para dados de menores
- ☐ Implementar perfis de acesso — cada usuário vê apenas o necessário
- ☐ Ativar log de auditoria em todas as operações
- ☐ Criar política de privacidade e disponibilizar no site e no contrato
- ☐ Treinar a equipe sobre o que pode e não pode fazer com dados de alunos
- ☐ Definir procedimento para vazamento de dados
- ☐ Revisar contratos com fornecedores que acessam dados (sistemas, gráficas, laboratórios)
O que Fazer em Caso de Vazamento
Se houver incidente de segurança envolvendo dados pessoais, a escola deve:
- Identificar o escopo: quais dados foram expostos e de quantas pessoas
- Comunicar a ANPD (Autoridade Nacional de Proteção de Dados) em prazo razoável
- Notificar os titulares (responsáveis dos alunos) se houver risco relevante
- Documentar o incidente: causas, medidas tomadas, impacto
- Implementar correções: para evitar recorrência
LGPD e Transparência na Rede Pública
Escolas públicas têm o desafio adicional de conciliar a LGPD com a transparência exigida pela Lei de Acesso à Informação. Dados agregados (estatísticas de aprovação, evasão) são públicos, mas dados individuais dos alunos são protegidos.
Conclusão: LGPD Não é Burocracia — É Proteção
A LGPD pode parecer mais uma obrigação burocrática, mas na verdade é uma proteção essencial para os alunos e suas famílias. Escolas que levam a sério a proteção de dados ganham confiança, evitam sanções e demonstram profissionalismo.
Com o Toth, a conformidade com a LGPD não é um projeto separado — é parte integral do sistema. Perfis de acesso, logs de auditoria, consentimento digital e isolamento de dados já vêm configurados de fábrica.
Quer garantir que sua escola está em conformidade com a LGPD? Solicite uma demonstração e veja como o Toth protege os dados dos seus alunos.