Voltar ao blog

LGPD para Escolas: Protegendo Dados de Alunos Menores de Idade

Guia prático de LGPD para escolas: dados sensíveis de menores, consentimento do responsável, log de auditoria, acesso restrito por perfil. Como o Toth protege.

LGPD para Escolas: Protegendo Dados de Alunos Menores de Idade
Autor: Equipe Toth
Publicado em:
281 visualizações

Escolas lidam diariamente com dados sensíveis de menores de idade: nome, CPF, endereço, notas, laudos médicos, informações familiares. A Lei Geral de Proteção de Dados (Lei 13.709/2018) exige que essas informações sejam tratadas com cuidado redobrado. O descumprimento pode resultar em multas de até 2% do faturamento e danos irreparáveis à reputação da escola.

Neste guia prático, mostramos o que a LGPD exige das escolas, quais dados são considerados sensíveis e como o Toth garante conformidade em cada etapa.

Por que Escolas São Alvo da LGPD

Escolas são verdadeiros repositórios de dados pessoais. Diferente de uma loja online que armazena email e endereço de entrega, uma escola coleta e processa:

  • Dados pessoais de menores: nome, CPF, data de nascimento, filiação, endereço
  • Dados sensíveis: laudos médicos, condições de saúde, deficiências, religião
  • Dados acadêmicos: notas, frequência, ocorrências disciplinares, parecer descritivo
  • Dados financeiros: renda familiar, inadimplência, bolsas e descontos
  • Dados biométricos: foto, impressão digital (em alguns sistemas de acesso)
  • Dados dos responsáveis: CPF, RG, profissão, local de trabalho, telefone

A LGPD classifica dados de menores como uma categoria que exige consentimento específico de pelo menos um dos responsáveis legais.

O que a LGPD Exige das Escolas

1. Base Legal para Tratamento

Cada dado coletado pela escola precisa ter uma justificativa legal. As bases mais comuns são:

  • Consentimento do responsável: para dados que não são estritamente necessários (fotos em redes sociais, participação em pesquisas)
  • Execução de contrato: dados necessários para o contrato de matrícula (nome, série, turma)
  • Obrigação legal: dados exigidos por lei (Censo Escolar, SAGRES, Educacenso)
  • Proteção da vida: dados de saúde para emergências médicas

2. Consentimento Específico para Menores

O Art. 14 da LGPD determina que o tratamento de dados de crianças e adolescentes deve ser realizado com o consentimento específico de pelo menos um dos pais ou responsável legal.

No Toth, o consentimento é coletado digitalmente no ato da matrícula, com registro de data, hora, IP e teor exato do consentimento. O responsável pode revogar a qualquer momento.

3. Princípio da Minimização

A escola só deve coletar os dados estritamente necessários. Perguntar a religião do aluno, por exemplo, só é justificável se a escola oferecer aulas de ensino religioso conforme opção da família.

4. Direito dos Titulares

Os responsáveis têm direito a:

  • Saber quais dados a escola possui do seu filho
  • Solicitar correção de dados incorretos
  • Pedir exclusão de dados não essenciais
  • Revogar consentimento dado anteriormente
  • Solicitar portabilidade dos dados

Dados Sensíveis em Escolas: Tabela de Classificação

DadoClassificação LGPDBase LegalCuidado Especial Nome, CPF, endereçoPessoalContrato / Obrigação legalAcesso restrito por perfil Notas e frequênciaPessoalContrato / Obrigação legalVisível apenas para responsável e professores Laudos médicosSensívelConsentimento específicoAcesso restrito a coordenação e AEE Tipo de deficiênciaSensívelConsentimento / Obrigação legalNecessário para PEI e AEE ReligiãoSensívelConsentimento específicoSó coletar se justificável Ocorrências disciplinaresPessoalLegítimo interesseAcesso restrito, sem exposição Dados financeiros (renda)PessoalContratoNecessário para bolsas; restrito ao financeiro Fotos do alunoPessoal / BiométricoConsentimentoNão publicar sem autorização

Como o Toth Garante Conformidade

Multi-Tenant com Isolamento de Dados

O Toth opera em arquitetura multi-tenant: cada escola (unidade) tem seus dados isolados. Um professor de uma unidade não consegue ver dados de alunos de outra, mesmo que ambas usem o mesmo sistema.

Perfis de Acesso Granulares (RBAC)

O sistema implementa controle de acesso baseado em perfis (RBAC). Cada usuário só vê o que seu perfil permite:

  • Professor: vê apenas alunos das suas turmas (notas, frequência)
  • Coordenador: vê todas as turmas do seu nível de ensino
  • Secretário: acessa dados cadastrais e documentos
  • Financeiro: vê dados financeiros, sem acesso a notas ou laudos
  • Diretor: visão completa da unidade

Log de Auditoria Completo

Toda operação no Toth é registrada em log: quem acessou, quando, o que visualizou, o que alterou. Isso é essencial para:

  • Comprovar que os dados foram tratados conforme a política
  • Identificar acessos indevidos
  • Atender solicitações de titulares sobre o histórico de tratamento
  • Fornecer evidências em caso de auditoria

Termo de Consentimento Digital

No ato da matrícula (presencial ou via matrícula online), o responsável assina digitalmente o termo de consentimento que detalha:

  • Quais dados serão coletados e para qual finalidade
  • Com quem os dados podem ser compartilhados (TCE, Educacenso)
  • Como solicitar acesso, correção ou exclusão
  • Canal de contato do encarregado de dados (DPO)

Checklist LGPD para Escolas

Use este checklist para verificar se sua escola está em conformidade:

  • ☐ Nomear um encarregado de dados (DPO) — pode ser um funcionário existente
  • ☐ Mapear todos os dados pessoais coletados e suas finalidades
  • ☐ Definir base legal para cada tipo de dado
  • ☐ Coletar consentimento específico dos responsáveis para dados de menores
  • ☐ Implementar perfis de acesso — cada usuário vê apenas o necessário
  • ☐ Ativar log de auditoria em todas as operações
  • ☐ Criar política de privacidade e disponibilizar no site e no contrato
  • ☐ Treinar a equipe sobre o que pode e não pode fazer com dados de alunos
  • ☐ Definir procedimento para vazamento de dados
  • ☐ Revisar contratos com fornecedores que acessam dados (sistemas, gráficas, laboratórios)

O que Fazer em Caso de Vazamento

Se houver incidente de segurança envolvendo dados pessoais, a escola deve:

  1. Identificar o escopo: quais dados foram expostos e de quantas pessoas
  2. Comunicar a ANPD (Autoridade Nacional de Proteção de Dados) em prazo razoável
  3. Notificar os titulares (responsáveis dos alunos) se houver risco relevante
  4. Documentar o incidente: causas, medidas tomadas, impacto
  5. Implementar correções: para evitar recorrência

LGPD e Transparência na Rede Pública

Escolas públicas têm o desafio adicional de conciliar a LGPD com a transparência exigida pela Lei de Acesso à Informação. Dados agregados (estatísticas de aprovação, evasão) são públicos, mas dados individuais dos alunos são protegidos.

Conclusão: LGPD Não é Burocracia — É Proteção

A LGPD pode parecer mais uma obrigação burocrática, mas na verdade é uma proteção essencial para os alunos e suas famílias. Escolas que levam a sério a proteção de dados ganham confiança, evitam sanções e demonstram profissionalismo.

Com o Toth, a conformidade com a LGPD não é um projeto separado — é parte integral do sistema. Perfis de acesso, logs de auditoria, consentimento digital e isolamento de dados já vêm configurados de fábrica.

Quer garantir que sua escola está em conformidade com a LGPD? Solicite uma demonstração e veja como o Toth protege os dados dos seus alunos.

LGPD Compliance Gestao Escolar