LGPD nas Escolas: O Guia de Compliance que Toda Diretoria Precisa Antes da Próxima Fiscalização

O Tom da Conversa Mudou
Até 2023, LGPD em escola era reunião de 1 hora para "entender o que precisava ser feito" e pouca coisa acontecia. Em 2024, a ANPD (Autoridade Nacional de Proteção de Dados) começou a aplicar sanções com valor real. Em 2025, processos de famílias pedindo acesso a dados, retificação e apagamento começaram a chegar nos tribunais. Em 2026, já há escolas com multa administrativa e indenização por dano moral coletivo.
A boa notícia: conformidade em escola privada brasileira não é complexa. A maioria das lacunas é operacional, não jurídica. O que falta é colocar 6 ou 7 mecanismos em funcionamento.
Este guia não substitui consultoria jurídica especializada. Serve para a diretoria que quer chegar ao mínimo viável de conformidade com o que a Lei 13.709/2018 exige, em 90 dias, com custo baixo. Para decisões complexas (compartilhamento com terceiro fora do Brasil, grande incidente, resposta a processo), consulte um advogado.
O Que a LGPD Exige de Uma Escola (Em Linguagem Humana)
A Lei cobra 6 coisas, em essência:
1. Base legal. Para cada dado que a escola coleta, precisa ter uma razão que a lei aceita. Em escola, quase tudo cabe em "execução de contrato" (matrícula) ou "obrigação legal" (registros acadêmicos exigidos pelo MEC). Dado sensível (saúde, religião, biometria) exige consentimento específico ou outra base estrita.
2. Transparência. O aluno, responsável e colaborador precisam saber que dado é coletado, para quê, por quanto tempo e com quem é compartilhado. Isso vive numa Política de Privacidade acessível no site.
3. Minimização. Só coletar o dado que precisa. Se a escola pede RG do avô na matrícula "por costume", está pedindo mais do que a lei autoriza.
4. Segurança. Medidas técnicas e administrativas compatíveis com o risco. Senha forte, backup, controle de acesso, contrato com fornecedor de nuvem.
5. Direitos do titular. Se um pai pede cópia dos dados do filho, retificação de um dado errado ou apagamento (quando cabível), a escola precisa atender em até 15 dias.
6. Prestação de contas. Registro de atividades de tratamento (ROPA), relatório de impacto quando fizer tratamento de risco, canal de comunicação com a ANPD e nomeação de Encarregado (DPO).
O Checklist dos 90 Dias
Mês 1 — Mapeamento
Semana 1-2: Inventário de dados. Liste tudo que a escola coleta. Nome do aluno, CPF do responsável, saúde do aluno, foto, biometria (se aplicável), dado financeiro, dado trabalhista dos colaboradores. Onde cada dado vive (sistema acadêmico, planilha, pasta física, nuvem)? Quem tem acesso?
Semana 3-4: Base legal para cada tipo de dado. Mesa com jurídico (se tiver) ou advogado contratado por 4 horas. Para cada dado do inventário, registrar a base legal aplicável. Isso é a fundação do ROPA.
Mês 2 — Estrutura
Semana 5: Nomeação do Encarregado. A ANPD exige que toda organização que trata dado pessoal tenha um Encarregado (DPO). Em escola pequena, pode ser acumulado com diretoria administrativa, desde que haja contato público e capacidade real de exercer a função. Em escola média, vale a pena terceirizar para empresa especializada (R$ 800 a R$ 2.500 por mês).
Semana 6: Política de Privacidade publicada. Modelo base adaptado para escola, revisado por advogado, publicado no site e linkado em todos os formulários de matrícula. Referência de conteúdo mínimo: artigo 9º da LGPD.
Semana 7: Contrato com fornecedor principal. Sistema acadêmico, plataforma de EAD, serviço de e-mail, nuvem. Cada um precisa ter cláusula LGPD ou adendo assinado. Fornecedor que se recusa a assinar é risco — considere substituir.
Semana 8: Canal do titular. E-mail dedicado (privacidade@escola.com.br) + formulário no site. Responsável por responder (Encarregado) e prazo interno de 10 dias (margem dos 15 legais).
Mês 3 — Operação
Semana 9-10: Treinamento básico da equipe. 90 minutos para equipe administrativa, 45 minutos para equipe pedagógica. O que é LGPD, o que a equipe pode e não pode fazer, como encaminhar pedido de titular, como reportar incidente interno.
Semana 11: Política de retenção e descarte. Por quanto tempo a escola guarda dado de ex-aluno? Qual o procedimento de descarte seguro de papel? Dado em sistema permanece ou é anonimizado? Registrar em documento interno.
Semana 12: Primeiro ROPA (Registro de Operações de Tratamento). Planilha ou ferramenta dedicada (há SaaS na faixa de R$ 200 a R$ 600 por mês) listando cada operação de tratamento, finalidade, base legal, destinatários, prazo de retenção.
Os 5 Pontos Cegos Recorrentes
1. Foto e vídeo de aluno no Instagram da escola
Base legal é consentimento, não legítimo interesse. Escola precisa de autorização específica (não embutida no contrato de matrícula), revogável a qualquer momento. Pai pediu para retirar? Retira em até 15 dias. Sem isso, exposição a sanção e indenização individual.
2. WhatsApp pessoal de professor/coordenador com famílias
Mistura dado pessoal da família com ferramenta não controlada pela escola. Ideal: WhatsApp Business institucional, com política de uso e backup. Se continuar no pessoal, no mínimo orientar a equipe a não salvar contatos com rótulos sensíveis (ex.: "aluno TDAH") e a não compartilhar dado em grupos.
3. Fornecedor que não assina cláusula LGPD
Software de gestão pequeno, fornecedor de uniformes, empresa terceirizada de transporte escolar. Todos processam dado de aluno. Todos precisam de cláusula. É o tipo de auditoria da ANPD que pega.
4. Dado de saúde em planilha compartilhada
Laudo, alergia alimentar, medicação contínua. Dado sensível em planilha Google aberta ao acesso amplo, no drive da escola. Precisa estar em sistema com controle de acesso e criptografia em repouso.
5. Câmeras e biometria
Gravação de áreas comuns tem base legal (segurança). Biometria para controle de entrada é dado sensível, exige consentimento específico e alternativa não biométrica acessível. Dois erros comuns: guardar imagem por tempo indeterminado e usar biometria sem consentimento real.
O Que a Diretoria Deve Monitorar Mensalmente
Três indicadores simples:
- Pedidos de titular recebidos × respondidos no prazo. Se a escola recebe 3 e responde 3 em 10 dias, está saudável. Se recebe 5 e 2 extrapolam, algo precisa ser ajustado.
- Incidentes reportados internamente. Perda de pen drive com backup, envio de e-mail com dado para destinatário errado, acesso indevido. Cada incidente precisa ter registro mesmo que não gere notificação à ANPD.
- Status do ROPA. Quando foi a última atualização? A LGPD exige que o registro reflita a realidade; se a escola trocou fornecedor e o ROPA não foi atualizado, há falha.
O Custo de Não Fazer
Sanção administrativa da ANPD: até R$ 50 milhões por infração, com tetos por faturamento. Em prática, escolas médias têm recebido advertências e multas na casa de R$ 20 mil a R$ 300 mil, a depender do incidente.
Mas o maior custo não é o regulatório. É reputacional. Uma escola que vaza dado de aluno (vídeo, laudo, matrícula) perde 5 a 12% de retenção no ano seguinte, segundo benchmark de crise institucional na educação. A conta não entra em multa — entra em evasão.
Próximo Passo
Se a sua escola não tem Política de Privacidade publicada, nem Encarregado nomeado, o ponto de partida é o checklist do mês 1. Para mapear o estado atual de conformidade, o diagnóstico gratuito ajuda a priorizar.
Para escolas que querem estruturação completa em 90 dias com acompanhamento, conheça nosso eixo de Gestão & Inovação — montamos o sistema junto com a sua equipe.
Leitura complementar:
Precisa de Scrum, OKRs ou Design Sprint na sua escola?
Conheça nosso serviço de Gestão & Inovação e veja como funciona na prática.