Diário de um POED

LGPD na Escola: Direitos do Aluno como Titular de Dados

LGPD na Escola: Direitos do Aluno como Titular de Dados
LGPD na Escola: Direitos do Aluno como Titular de Dados
Série Cibersegurança na Educação
Artigo 05 de 06
Tema: LGPD na Escola
Artigo 05

LGPD na Escola:
Direitos do Aluno como Titular de Dados

A Lei Geral de Proteção de Dados existe desde 2020 e poucos alunos sabem que ela os protege. Menos ainda sabem que a própria escola é uma das organizações que mais coleta e processa dados deles — e que tem obrigações legais precisas sobre isso. Este artigo corrige esse déficit com rigor jurídico e aplicação pedagógica direta.

Etapa EF II ao Ensino Médio
Dimensão Segurança Cibernética — Legislação
Lei Lei nº 13.709/2018 — LGPD
Leitura 20 min
A Lei que Existe e Ninguém Ensina
2020
Ano em que a LGPD entrou em vigor com sanções administrativas — já há mais de quatro anos aplicável às escolas
9
direitos garantidos ao titular de dados pela LGPD — a maioria dos alunos não sabe que possui nenhum deles
R$ 50 M
multa máxima por infração prevista na LGPD — aplicável a escolas públicas e privadas como controladoras de dados
Fontes: Lei nº 13.709/2018 — LGPD • ANPD — Autoridade Nacional de Proteção de Dados • Resolução CD/ANPD nº 4/2023
Anterior — Artigo 04
Phishing e Engenharia Social: Como Identificar e Como Ensinar a Identificar
Você está aqui — Artigo 05
LGPD na Escola: Direitos do Aluno como Titular de Dados
Próximo — Artigo 06
Avaliação de Competências Digitais: Como Medir Comportamento, Não Memorização

Uma escola fotografa o rosto de cada aluno para o sistema de chamada biométrica. Outra publica fotos de alunos nas redes sociais sem solicitar autorização específica dos responsáveis. Uma terceira compartilha notas e dados de saúde com uma plataforma de tecnologia educacional sediada fora do Brasil.

Todos esses cenários ocorrem cotidianamente em escolas brasileiras. Alguns são permitidos pela LGPD com as cautelas devidas. Outros configuram violação clara da lei. A maioria dos alunos, pais e professores envolvidos não sabe distinguir um caso do outro.

O Problema Central A LGPD é frequentemente tratada como tema exclusivo do mundo corporativo — bancos, e-commerces, aplicativos. A escola raramente aparece nos debates sobre proteção de dados. Mas a escola é uma das organizações que mais coleta dados sensíveis de crianças e adolescentes: biometria, histórico médico, desempenho acadêmico, situação familiar, registros disciplinares. E tem obrigações legais específicas sobre cada um desses dados.

Este artigo trata a LGPD como o que ela é para a educação: uma lei de direitos que protege alunos e famílias, impõe obrigações à escola e cria um território pedagógico ainda pouco explorado — onde alunos podem aprender não apenas o que é privacidade, mas quais são seus direitos legais concretos sobre seus próprios dados.

A LGPD: Contexto, Origem e o Que Ela Representa

A Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018) é a legislação brasileira que regula o tratamento de dados pessoais por pessoas físicas e jurídicas — públicas e privadas. Foi inspirada no Regulamento Geral de Proteção de Dados da União Europeia (GDPR, 2018) e representa a maior mudança no marco legal brasileiro de privacidade e proteção de informações desde a Constituição Federal de 1988.

Agosto 2018
Lei nº 13.709 sancionada
A LGPD é aprovada com período de adaptação de dois anos para organizações se adequarem.
Setembro 2020
Lei entra em vigor
As disposições gerais da LGPD passam a ser obrigatórias para todas as organizações que tratam dados pessoais no Brasil, incluindo escolas públicas e privadas.
Agosto 2021
Sanções administrativas em vigor
As penalidades previstas na lei — advertência, multa, bloqueio e eliminação de dados — passam a ser aplicáveis pela ANPD.
Novembro 2021
ANPD torna-se autarquia federal
A Autoridade Nacional de Proteção de Dados ganha independência funcional e orçamentária, consolidando sua capacidade de fiscalização.
Fevereiro 2022
Proteção de dados vira direito fundamental
A Emenda Constitucional nº 115 inclui a proteção de dados pessoais no rol dos direitos fundamentais da Constituição Federal — no mesmo artigo que garante vida, liberdade e igualdade.
!
2023 — presente
ANPD inicia ciclo de fiscalização ativa
A ANPD publica regulamentos setoriais, incluindo diretrizes específicas para o tratamento de dados de crianças e adolescentes, diretamente aplicáveis ao contexto escolar.
Implicação Direta para a Escola Desde fevereiro de 2022, proteger dados pessoais de alunos não é apenas obrigação legal ordinária — é obrigação constitucional. A escola que trata inadequadamente dados de crianças e adolescentes não descumpre apenas a LGPD: viola um direito fundamental garantido pela Constituição.

Conceitos Fundamentais: O Vocabulário que o Aluno Precisa Dominar

Antes de compreender seus direitos, o aluno precisa de precisão terminológica. A LGPD usa termos técnicos com definições legais específicas que diferem do uso cotidiano. Cada conceito abaixo é ensinável a partir do EF II e tem implicação prática direta no cotidiano escolar.

Termo Definição Legal (LGPD) Exemplo na Escola
Dado Pessoal Informação que identifica ou torna identificável uma pessoa natural (Art. 5º, I) Nome, RG, endereço, foto, matrícula, e-mail, IP do computador
Dado Sensível Dado sobre origem racial, opinião política, saúde, vida sexual, biometria, dado genético (Art. 5º, II) Laudo médico, necessidade especial de saúde, biometria da catraca, religião declarada em ficha
Tratamento Qualquer operação realizada com dados pessoais — coleta, uso, acesso, transmissão, arquivamento, exclusão (Art. 5º, X) Lançar nota no sistema, fotografar aluno para lista de chamada, enviar boletim por e-mail
Titular A pessoa natural a quem os dados se referem (Art. 5º, V) O próprio aluno — independentemente da idade
Controlador Quem decide sobre o tratamento dos dados (Art. 5º, VI) A escola — pública ou privada — é a controladora dos dados dos alunos
Operador Quem trata dados em nome do controlador (Art. 5º, VII) A plataforma de e-learning contratada pela escola; a empresa que gerencia o sistema de biometria
Consentimento Manifestação livre, informada e inequívoca de concordância com o tratamento (Art. 5º, XII) Autorização assinada pelos pais para usar a foto do aluno nas redes da escola — específica para aquele fim
DPO / Encarregado Pessoa indicada pelo controlador como canal entre titulares, controlador e ANPD (Art. 41) O responsável pela proteção de dados da escola — obrigatório para organizações de médio e grande porte
Distinção Crítica para o Ensino Dados sensíveis exigem proteção reforçada — consentimento específico, explícito e separado das demais autorizações. Uma escola que coleta biometria de alunos ou registra informações de saúde precisa de base legal específica e proteção proporcional ao nível de sensibilidade. O consentimento geral da matrícula não cobre o tratamento de dados sensíveis.

Os 9 Direitos do Titular de Dados Garantidos pela LGPD

O Art. 18 da LGPD estabelece os direitos que qualquer titular de dados — incluindo alunos menores de idade, representados por seus responsáveis — pode exercer junto ao controlador. No contexto escolar, o controlador é a própria escola.

Direito 01 — Art. 18, I

Confirmação e Acesso

O aluno ou responsável pode solicitar à escola a confirmação de que seus dados estão sendo tratados e obter acesso a eles — quais dados, para qual finalidade, com quem foram compartilhados.

LGPD Art. 18, I e II
Direito 02 — Art. 18, III

Correção

Solicitar a correção de dados incompletos, inexatos ou desatualizados. Um endereço errado, um nome grafado de forma incorreta, uma nota lançada equivocadamente.

LGPD Art. 18, III
Direito 03 — Art. 18, IV

Anonimização, Bloqueio ou Eliminação

Solicitar que dados desnecessários, excessivos ou tratados em desconformidade com a lei sejam anonimizados, bloqueados ou eliminados.

LGPD Art. 18, IV
Direito 04 — Art. 18, V

Portabilidade

Solicitar a transmissão dos dados a outro fornecedor de serviço ou produto, conforme regulamentação da ANPD. Relevante na troca entre sistemas de gestão escolar.

LGPD Art. 18, V
Direito 05 — Art. 18, VI

Eliminação Após Revogação do Consentimento

Quando o tratamento é baseado em consentimento, o titular pode revogar o consentimento a qualquer momento — e os dados coletados com base nele devem ser eliminados.

LGPD Art. 18, VI
Direito 06 — Art. 18, VII

Informação sobre Compartilhamento

O titular tem direito de saber com quais entidades públicas e privadas os seus dados foram compartilhados pela escola. Plataformas de aprendizagem, sistemas de gestão, parceiros educacionais.

LGPD Art. 18, VII
Direito 07 — Art. 18, VIII

Informação sobre Não Consentimento

O titular pode ser informado sobre a possibilidade de não fornecer consentimento e as consequências disso — o que muda no serviço recebido se optar por não autorizar determinado tratamento.

LGPD Art. 18, VIII
Direito 08 — Art. 20

Revisão de Decisões Automatizadas

Solicitar revisão de decisões tomadas por sistemas automatizados que afetem interesses do titular — relevante quando sistemas de IA são usados para classificar, recomendar ou avaliar alunos.

LGPD Art. 20
Direito 09 — Art. 18, IX

Petição à ANPD

O titular pode peticionar diretamente à Autoridade Nacional de Proteção de Dados contra o controlador quando os direitos anteriores não forem atendidos ou quando houver suspeita de infração.

LGPD Art. 18, IX • Art. 55-J
Texto Legal — LGPD, Art. 14, §1º
O tratamento de dados pessoais de crianças e adolescentes deverá ser realizado em seu melhor interesse, nos termos deste artigo e da legislação pertinente.
Lei nº 13.709/2018 — LGPD • Art. 14, §1º • Grifos pedagógicos do autor

O princípio do “melhor interesse” — derivado do Estatuto da Criança e do Adolescente — é a chave interpretativa de toda a LGPD quando aplicada a menores de 18 anos. Qualquer tratamento de dados de alunos que não passe pelo filtro do melhor interesse do menor é, por princípio, questionável juridicamente.

A Escola como Controladora: Obrigações Concretas

Compreender que a escola é controladora de dados — e o que isso significa na prática — é a base para que alunos, pais e professores saibam o que podem exigir e o que a instituição é obrigada a garantir.

Papéis na LGPD — Contexto Escolar
Controladora

A Escola

  • Define quais dados coletar e por quê
  • Decide com quem compartilhar
  • Garante segurança dos dados
  • Responde aos titulares
  • Designa encarregado (DPO)
  • Registra e comprova bases legais
  • Notifica vazamentos à ANPD
Titular

O Aluno (e Família)

  • Tem os 9 direitos do Art. 18
  • Pode solicitar acesso aos dados
  • Pode revogar consentimento
  • Pode exigir correção de dados
  • Pode peticionar à ANPD
  • Menor de 13 anos: representado pelos pais
  • 13-18 anos: com pais, ou autonomamente para dados do próprio interesse
Autoridade

ANPD

  • Fiscaliza o cumprimento da lei
  • Recebe petições de titulares
  • Aplica sanções administrativas
  • Emite regulamentos e orientações
  • Mantém o canal anpd.gov.br
  • Publicou guia específico para crianças e adolescentes

O Que a Escola É Obrigada a Fazer — e Frequentemente Não Faz

Obrigação Legal Base na LGPD Situação Comum nas Escolas Risco Legal
Política de Privacidade clara e acessível Art. 9º e Art. 48 Ausente em grande parte das escolas públicas Infração administrativa
Consentimento específico para dados sensíveis Art. 11, I Geralmente coberto por termo genérico de matrícula Nulidade da base legal
Autorização dos pais para uso de imagem de menores Art. 14 + ECA Parcialmente aplicado — varia por escola Violação do ECA + LGPD
Informar vazamentos de dados em 72h à ANPD Art. 48 Procedimento inexistente na maioria das escolas Multa + dano reputacional
Limitar coleta ao mínimo necessário (minimização) Art. 6º, III Formulários de matrícula frequentemente excessivos Infração ao princípio legal
Garantir segurança técnica dos dados armazenados Art. 46 Variável — depende da infraestrutura de TI Responsabilidade civil por danos
Responder a solicitações dos titulares em prazo razoável Art. 18, §3º Sem canal formal estabelecido na maioria Infração + petição à ANPD

O Que Fazer Quando os Direitos São Violados: Fluxo Completo

Conhecer os direitos sem saber como exercê-los é conhecimento incompleto. O fluxo abaixo é o protocolo correto quando um aluno — ou sua família — identifica uma violação de dados pela escola. É ensinável a partir do 9.º ano e essencial no EM.

1

Identificar a Violação e Documentar

Antes de qualquer ação, documentar a violação percebida: o quê, quando, como, qual dado foi envolvido. Print de tela, e-mail recebido, descrição do ocorrido com data e hora. Documentação é a base de qualquer reclamação formal.

Imediato — assim que identificar
2

Contatar o Encarregado (DPO) da Escola

A LGPD exige que a escola informe publicamente os dados do encarregado de proteção de dados. O primeiro canal é sempre esse. A solicitação deve ser feita por escrito — e-mail com confirmação de leitura ou protocolo físico. A escola tem prazo razoável para responder (recomendação: 15 dias).

15 dias para resposta
3

Escalonar para a Gestão Escolar

Se o encarregado não responder ou a resposta for insatisfatória, a solicitação deve ser endereçada formalmente à direção da escola, com cópia para a mantenedora (Secretaria de Educação, no caso de escolas públicas). Manter todos os registros de comunicação.

Após prazo sem resposta
4

Peticionar à ANPD

Se a escola não resolver, o titular pode registrar petição diretamente na ANPD pelo portal anpd.gov.br. O processo é gratuito, digital e não requer advogado para petições simples. A ANPD investiga e pode aplicar sanções à escola controladora.

A qualquer momento após esgotamento interno
5

Ação Judicial para Danos

Se a violação causou dano material ou moral, é possível ingressar com ação judicial de responsabilidade civil. Para menores, os pais representam judicialmente. Danos por vazamento de dados de alunos são indenizáveis pela lei civil e têm jurisprudência crescente nos tribunais brasileiros.

Quando há dano comprovado
Canal Direto da ANPD para Crianças e Adolescentes A ANPD publicou em 2023 um guia específico sobre proteção de dados de crianças e adolescentes no Brasil, com linguagem acessível e orientações práticas. Disponível gratuitamente em anpd.gov.br — material recomendado como leitura complementar para o EM e como recurso de referência para professores.

Progressão Pedagógica: LGPD em Cada Etapa

A LGPD pressupõe maturidade jurídica para ser compreendida em profundidade. A progressão abaixo distribui os conceitos por complexidade crescente, respeitando o desenvolvimento cognitivo e o repertório de vida de cada etapa.

EF II — 6.º ao 7.º
EF II — 8.º ao 9.º
Ensino Médio

Noções de Privacidade e Direitos

  • O que são dados pessoais — exemplos do cotidiano
  • Quem coleta seus dados e para quê
  • Diferença entre dado pessoal e dado sensível
  • A escola também é coletora de dados seus
  • Você tem direitos sobre seus dados — mesmo sendo menor
  • O que é consentimento e quando ele é necessário
Foco: consciência de que dados têm valor e que existem regras para seu uso.

Direitos e Exercício Básico

  • Os 9 direitos do titular pela LGPD — explicados com exemplos escolares
  • A escola como controladora — o que isso significa
  • Como solicitar acesso e correção de dados
  • O que é o encarregado (DPO) e como contactá-lo
  • Casos reais de violação de dados em escolas
  • O fluxo de denúncia — da escola à ANPD
Projeto possível: auditar o formulário de matrícula da escola à luz dos princípios de minimização e finalidade.

Análise Jurídica e Responsabilidade

  • Texto integral da LGPD — artigos centrais anotados
  • Bases legais para tratamento de dados — além do consentimento
  • LGPD e IA — decisões automatizadas e o Art. 20
  • Responsabilidade civil por danos — jurisprudência inicial
  • GDPR (Europa) vs. LGPD — comparação estrutural
  • Compliance de dados em organizações — carreira e mercado
  • Proposta de política de privacidade para a escola
Produto possível: proposta formal de adequação da escola à LGPD, entregue à gestão com recomendações práticas.

Método de 5 Passos para Ensinar LGPD com Concretude

O risco pedagógico de ensinar lei é o excesso de abstração — artigos, incisos, parágrafos sem conexão com a vida do aluno. O método abaixo ancora cada conceito jurídico numa situação escolar concreta antes de nomear a base legal.

Método Estruturado — Artigo 05
5 Passos para Tornar a LGPD Concreta e Relevante para o Aluno
1

Inventário de Dados Coletados pela Escola

Antes de mencionar a LGPD, pergunte à turma: “Quais informações sobre você a escola possui?” Construir coletivamente uma lista na lousa — nome, foto, endereço, notas, frequência, dados médicos, biometria, histórico disciplinar.

Depois: “Para que cada um desses dados é usado? Você sabia que eles eram coletados? Você autorizou? Onde eles ficam armazenados?” As respostas revelarão o grau de consciência da turma sobre o próprio patrimônio de dados — e abrirão organicamente a necessidade de regulação.

Tempo: 10 min
2

Análise do Formulário de Matrícula à Luz da Minimização

Distribuir uma cópia (real ou reconstituída) do formulário de matrícula da escola. Cada aluno, em dupla, identifica: qual dado é estritamente necessário para o funcionamento escolar? Qual parece excessivo? Qual se encaixa na categoria “sensível” da LGPD?

A atividade aplica o princípio da minimização (Art. 6º, III) — a lei proíbe a coleta de dados além do mínimo necessário para a finalidade declarada — num documento que o aluno ou sua família já assinou. O impacto de reconhecer que talvez dados desnecessários tenham sido coletados é pedagogicamente irreversível.

Tempo: 15 min
3

Apresentação dos 9 Direitos com Exemplos Escolares

Cada direito do Art. 18 é apresentado com um exemplo imediato no contexto da escola. Não a definição legal primeiro — o exemplo primeiro, a lei depois. “Você pode pedir para ver quais dados a escola tem sobre você? — Sim. Isso se chama Direito de Acesso, Art. 18, I.”

A sequência inverte a lógica do ensino de lei: em vez de “lei → aplicação”, o caminho é “situação real → qual direito protege”. A retenção é superior porque o aluno constrói o conceito a partir da necessidade, não da norma abstrata.

Tempo: 15 min
4

Simulação: Exercendo um Direito Formalmente

Em grupos, os alunos redigem uma solicitação formal de exercício de direito — como se fossem enviar para a escola como controladora. Cada grupo recebe um direito diferente: Grupo 1 pede acesso aos dados. Grupo 2 solicita correção de dado incorreto. Grupo 3 questiona um compartilhamento com plataforma externa.

O critério de avaliação é a precisão: a solicitação identifica corretamente o direito exercido, a base legal, o dado envolvido e o prazo esperado para resposta? A atividade transforma o conhecimento jurídico em capacidade de ação real.

Tempo: 15 min (ou tarefa de casa)
5

Ação Concreta: Verificar o Canal de Privacidade da Escola

Tarefa individual: verificar se a escola divulga publicamente os dados do encarregado (DPO), se há política de privacidade disponível e se ela especifica os dados coletados de alunos menores. Registrar o resultado por escrito e trazer na próxima aula.

  • A escola tem DPO identificado? Nome e e-mail publicados?
  • Existe política de privacidade acessível a pais e alunos?
  • O formulário de matrícula menciona a LGPD?
  • Há termo de autorização específico para uso de imagem?

Os resultados servem como diagnóstico real da conformidade da escola — e podem ser entregues formalmente à gestão como produto do projeto.

Tarefa de casa • Relato na aula seguinte

Atividades Práticas: Do Conceito à Ação Jurídica

📄
EF II — 7.º ao 8.º Ano
Auditoria do Formulário de Matrícula

Grupos analisam o formulário de matrícula da escola usando uma ficha de avaliação com os princípios da LGPD: finalidade, adequação, necessidade, transparência. Identificam quais campos são necessários, quais são excessivos e quais são sensíveis sem base legal clara.

Produto entregável: relatório de auditoria com recomendações de adequação, entregue à direção da escola.

Formulário real Grupos de 4 2 aulas
👤
EF II — 8.º ao 9.º Ano
Mapa de Dados da Escola

Os alunos mapeiam todas as situações em que a escola coleta dados seus: matrícula, chamada, avaliação, biometria, sistema de gestão, comunicados, redes sociais oficiais. Para cada ponto de coleta: qual é a base legal? Existe autorização específica? Onde esses dados ficam?

Produto: diagrama visual do ciclo de vida dos dados do aluno na escola — da matrícula ao histórico após saída.

Pesquisa de campo 3 aulas Produto visual
📝
Ensino Médio
Proposta de Política de Privacidade

Grupos redigem uma proposta de política de privacidade para a escola, usando como referência documentos reais de organizações que já a implementaram. A proposta deve identificar: quais dados são coletados, qual a finalidade de cada um, qual a base legal, como são protegidos, por quanto tempo ficam armazenados e como o titular pode exercer seus direitos.

Produto: documento formal apresentado à gestão escolar com pedido de análise e consideração para implementação.

Escrita formal 4 aulas Entrega à gestão
📊
EM — Integração com Ciências da Computação
LGPD e IA: Decisões Automatizadas

Análise de sistemas de IA usados em contextos educacionais — plataformas adaptativas, sistemas de recomendação de conteúdo, ferramentas de detecção de plágio — à luz do Art. 20 da LGPD. O aluno tem direito a revisão de decisões automatizadas que afetem seus interesses: esse direito é exercível sobre uma nota dada por IA?

Produto: parecer escrito com posição fundamentada sobre os limites do uso de IA na avaliação escolar.

Integra TI + Direito 3 aulas Análise crítica

Template de Plano de Aula: LGPD na Escola

Template Copiável

Plano de Aula — LGPD: Direitos do Aluno como Titular de Dados

TEMA: LGPD — Lei Geral de Proteção de Dados — Aplicada ao Contexto Escolar
ETAPA: [ ] EF II (6º-7º)   [ ] EF II (8º-9º)   [ ] EM
DURAÇÃO: 50 minutos + tarefa de casa / projeto
DISCIPLINA: [ ] Computação   [ ] Ciências Humanas   [ ] Transversal em: _______

COMPETÊNCIAS BNCC:
EF II — CO EF 09 CO 05: compreender direitos e deveres no ambiente digital
EM    — CO EM 13 CO 03: analisar legislação de proteção de dados e seus impactos

OBJETIVO:
Ao final, o aluno será capaz de nomear pelo menos 5 direitos do titular de dados
garantidos pela LGPD e identificar pelo menos 2 obrigações da escola como
controladora, com exemplos concretos do cotidiano escolar.

MATERIAIS:
[ ] Cópia do formulário de matrícula da escola (real ou reconstituído)
[ ] Ficha de análise LGPD (princípios: finalidade, adequação, necessidade)
[ ] Cards dos 9 direitos do titular — um por grupo
[ ] Texto do Art. 18 da LGPD (versão simplificada para a etapa)
[ ] Acesso ao portal anpd.gov.br (se houver internet) ou impresso da página

SEQUÊNCIA:

[00–10 min] INVENTÁRIO DE DADOS
"Quais informações sobre você a escola possui?" — construção coletiva na lousa.
Perguntas-guia: Para que cada dado é usado? Você autorizou? Onde fica?

[10–20 min] ANÁLISE DO FORMULÁRIO DE MATRÍCULA
Em duplas: quais campos são necessários, excessivos ou sensíveis?
Introduzir princípio da minimização (Art. 6º, III) a partir dos exemplos.

[20–35 min] OS 9 DIREITOS — SITUAÇÃO ANTES DO ARTIGO
Apresentar cada direito com exemplo escolar concreto ANTES de citar o artigo.
Distribuir um direito por grupo — cada grupo apresenta em 90 segundos.

[35–47 min] SIMULAÇÃO: REDIGINDO UMA SOLICITAÇÃO FORMAL
Em grupos: redigir solicitação de exercício de direito LGPD à escola.
Critério: identifica o direito, a base legal, o dado e o prazo esperado?

[47–50 min] TAREFA DE CAMPO
Verificar se a escola tem DPO identificado, política de privacidade
publicada e termo de autorização de imagem específico para menores.
Trazer resultado documentado na próxima aula.

AVALIAÇÃO:
[ ] Qualidade da análise do formulário de matrícula (critérios de minimização)
[ ] Precisão da solicitação redigida (identifica direito, base legal, dado)
[ ] Resultado documentado da tarefa de campo
[ ] Participação na construção coletiva do inventário de dados

INTEGRAÇÃO POSSÍVEL:
Língua Portuguesa: linguagem jurídica e redação formal de solicitação
Ciências Humanas: direitos fundamentais, Estado democrático, cidadania digital
Matemática / Ciências de Dados: análise de dados coletados, proporcionalidade
Filosofia: ética de dados, dilemas do uso de IA em educação

Caso Real: A Auditoria que a Escola Não Esperava

Caso Documentado — EM, 2.ª Série • Escola Pública, Interior de São Paulo

Alunos Identificam Coleta Irregular de Dados Sensíveis no Formulário de Matrícula

Uma turma do segundo ano do Ensino Médio aplicou a atividade de auditoria do formulário de matrícula após duas aulas sobre LGPD. O formulário real da escola foi distribuído em sala. Em duplas, os alunos preencheram a ficha de análise com os critérios de finalidade, adequação, necessidade e transparência para cada campo do formulário.

Os resultados foram reveladores. O formulário de matrícula da escola incluía: religião declarada (dado sensível — Art. 5º, II), raça ou cor (dado sensível), histórico de doenças crônicas e alergias (dado sensível de saúde), e nome completo de ambos os pais com CPF e profissão. Nenhum campo indicava a finalidade do dado. O formulário não mencionava a LGPD.

O grupo identificou que seis dos dezesseis campos do formulário eram candidatos a revisão pelo princípio da minimização — ou porque o dado não era necessário para o funcionamento escolar, ou porque era sensível sem base legal específica declarada.

A turma redigiu coletivamente um relatório de auditoria de duas páginas com as identificações e as recomendações de adequação. O relatório foi entregue formalmente à diretora da escola, com o pedido de que fosse analisado pela equipe jurídica da Secretaria Municipal de Educação.

Resultado documentado: A diretora encaminhou o relatório à Secretaria. Três semanas depois, a escola recebeu orientação da Secretaria confirmando que o formulário precisaria ser revisado antes do próximo ciclo de matrículas. O campo de religião foi removido na atualização seguinte do sistema. O relatório dos alunos foi citado como insumo para a revisão.

Erros Frequentes ao Ensinar LGPD na Escola

  • X
    Ensinar LGPD apenas como obrigação empresarial A maioria dos materiais sobre LGPD foi produzida para o contexto corporativo. Usar esse material em sala de aula sem adaptação cria a impressão de que a lei se aplica a empresas, não à escola onde o aluno estuda e cuja matrícula expôs dados sensíveis seus desde os seis anos.
  • X
    Começar pelos artigos e incisos da lei Leitura direta da lei sem ancoragem na situação concreta do aluno é o caminho mais eficiente para transformar um tema urgente em conteúdo irrelevante. A lei é o destino — o problema concreto é o ponto de partida.
  • X
    Omitir que a própria escola pode ser quem viola os direitos Ensinar que “empresas podem violar seus dados” sem reconhecer que a escola é uma controladora de dados — e que pode estar descumprindo a lei no dia em que a aula acontece — é uma omissão que esvazia o potencial crítico e transformador do conteúdo.
  • X
    Tratar consentimento como base legal universal A LGPD prevê dez bases legais para tratamento de dados — consentimento é apenas uma delas. Uma escola que trata dados de alunos menores com base no “consentimento do responsável” pode estar usando uma base frágil quando poderia usar “cumprimento de obrigação legal” ou “interesse legítimo” com maior solidez. Ensinar que “precisa de consentimento para tudo” gera desinformação prática.
  • X
    Ignorar a proteção especial de menores de 13 anos O Art. 14 da LGPD estabelece que o tratamento de dados de crianças menores de 13 anos requer consentimento específico de um dos pais ou responsável legal. Essa é uma das disposições mais relevantes para a escola e frequentemente ausente nos planos de aula sobre o tema.
  • X
    Não conectar LGPD com os outros artigos da série LGPD sem contexto de phishing é lei sem ameaça concreta. Phishing sem LGPD é ameaça sem respaldo de direitos. Senhas sem LGPD são proteção sem compreensão do que se está protegendo. Os cinco temas da série são dimensões de um mesmo território — e devem ser ensinados com suas conexões explícitas.
Síntese do Artigo
  • A LGPD é uma lei de direitos — não apenas de obrigações para empresas. O aluno é titular; a escola, controladora.
  • Desde fevereiro de 2022, proteção de dados é direito fundamental constitucional — no mesmo nível que vida e liberdade.
  • Os 9 direitos do Art. 18 são exercíveis pelo aluno (representado pelos pais quando menor de 18 anos) diretamente junto à escola.
  • Dados sensíveis — saúde, biometria, religião, raça — exigem base legal específica e proteção reforçada. O formulário de matrícula genérico frequentemente não cumpre esse requisito.
  • A escola tem obrigações concretas que a maioria não cumpre: política de privacidade, DPO identificado, autorização específica de imagem, notificação de vazamentos.
  • O fluxo de denúncia vai da escola ao DPO, à gestão, à ANPD e, se houver dano, ao Judiciário.
  • O princípio do melhor interesse do menor é o filtro interpretativo central para todo tratamento de dados de alunos.

FAQ — Perguntas Frequentes

A LGPD se aplica a escolas públicas da mesma forma que a privadas?

Sim. A LGPD se aplica a qualquer pessoa jurídica — pública ou privada — que trate dados pessoais. Escolas públicas não têm isenção. A diferença está na base legal mais frequentemente utilizada: enquanto escolas privadas tendem a usar consentimento e contrato, escolas públicas podem usar com maior propriedade a base de “cumprimento de obrigação legal ou regulatória” para dados necessários ao funcionamento do sistema de ensino público. Isso não as isenta de garantir os direitos dos titulares nem de adotar medidas de segurança adequadas.

A escola pode publicar fotos de alunos nas redes sociais sem autorização?

Não, especialmente quando os alunos são menores de idade. A publicação de imagens de menores em canais públicos exige autorização específica e explícita dos responsáveis — não coberta por autorização genérica de matrícula. A autorização precisa ser específica para o canal (Instagram, site, material impresso), para a finalidade (divulgação institucional, projeto específico) e pode ser revogada a qualquer momento. A publicação de imagem de menor sem autorização específica viola simultaneamente a LGPD (dado pessoal — imagem identificável) e o ECA (Art. 17 — direito ao respeito).

O que acontece com os dados do aluno após a saída da escola?

A LGPD exige que dados sejam mantidos apenas pelo tempo necessário para a finalidade para a qual foram coletados — princípio da limitação de conservação. Para dados escolares, existem prazos legais específicos: o histórico escolar e documentos de formação devem ser preservados indefinidamente (valor probatório); dados operacionais podem ser eliminados após encerramento do vínculo. A escola deve ter uma política de retenção de dados documentada, que especifique quais dados ficam, por quanto tempo e com qual justificativa. Na prática, essa política é inexistente na maioria das escolas públicas brasileiras.

Sistemas biométricos de chamada ou controle de acesso são permitidos pela LGPD?

São permitidos, mas com requisitos específicos. Biometria é dado sensível (Art. 5º, II) e seu tratamento exige consentimento específico e destacado dos responsáveis — não pode ser coberto por autorização geral de matrícula. Além disso, a escola precisa demonstrar que o uso de biometria é necessário (não há alternativa menos invasiva) e proporcional ao objetivo. Uma escola que usa biometria para controle de frequência quando poderia usar chamada nominal pode ter dificuldade em demonstrar necessidade e proporcionalidade. O descumprimento dessas exigências coloca a escola em posição de não conformidade com a LGPD mesmo que o sistema funcione tecnicamente.

O que é o DPO e toda escola precisa ter um?

DPO (Data Protection Officer), ou Encarregado pela LGPD, é a pessoa responsável por ser o canal entre a organização, os titulares de dados e a ANPD. A LGPD (Art. 41) determina que os controladores devem indicar um encarregado. Para o setor público, a ANPD publicou orientação de que todos os órgãos públicos devem ter um encarregado designado. Para escolas públicas municipais e estaduais, a responsabilidade tipicamente recai sobre a Secretaria de Educação como controladora geral — mas cada unidade escolar deveria ter um ponto de contato local identificado. Na prática, isso é amplamente descumprido. A ausência de encarregado identificado é, por si só, uma inconformidade com a lei.

Como um aluno do EM pode realmente exercer um direito da LGPD contra a escola?

O processo é acessível e não requer advogado para as etapas iniciais. O aluno (representado pelos pais se menor de 18 anos) deve: (1) identificar o direito que deseja exercer e o dado envolvido; (2) redigir solicitação escrita endereçada ao encarregado da escola — e-mail com confirmação de leitura ou protocolo físico; (3) aguardar resposta no prazo estabelecido pela escola; (4) se não houver resposta ou ela for insatisfatória, registrar petição diretamente no portal anpd.gov.br — gratuito e digital. A petição à ANPD não requer representação legal para casos simples. Esse processo pode ser simulado em aula como atividade de formação jurídica prática, com valor pedagógico e potencial de impacto real se aplicado à situação concreta da escola.

Conclusão: Da Proteção Passiva à Cidadania Ativa

Os quatro artigos anteriores desta série construíram competências de defesa: reconhecer ameaças, proteger senhas, identificar manipulação, compreender os conceitos do campo. Este artigo introduz uma dimensão diferente e complementar — a dimensão de direitos.

Um aluno que sabe criar uma senha forte mas não sabe que seus dados de saúde no prontuário escolar têm proteção constitucional está apenas parcialmente formado para o território digital. A segurança digital sem consciência de direitos é proteção individual sem capacidade de exigência coletiva.

A Mudança de Postura A LGPD transforma o aluno de objeto do processo de coleta de dados em sujeito de direitos sobre esses dados. Ensinar essa lei na escola não é apenas cumprir currículo — é devolver ao aluno a consciência de que seus dados têm valor, que ele tem direitos sobre eles, e que existem mecanismos legais para exercê-los quando esses direitos são desrespeitados.

O artigo final desta série fecha o ciclo com a questão que toda sequência de ensino levanta inevitavelmente: como saber se o aluno aprendeu? Como avaliar competências digitais — comportamento, reconhecimento de padrões, exercício de direitos — sem reduzir tudo a uma prova de múltipla escolha sobre definições que o aluno memorizou e esquecerá na semana seguinte?

Série Cibersegurança na Educação — Artigo Final em Breve

O Artigo 06 fecha a série com o tema que toda sequência de ensino levanta: como avaliar competências digitais com rigor, sem reduzir aprendizagem a memorização de definições. Método, instrumentos e critérios para avaliação por comportamento.

Acompanhar a Série Diário de um POED
Série: Cibersegurança na Educação — Artigo 05 de 06

Professor Comia — Educação Digital na Escola Pública Brasileira

POED • Matemática • BNCC Computação • Robótica Educacional • IA Aplicada

professorcomia.com.brdiariodeumpoed.com.br

Conteúdo produzido para fins educacionais. Uso livre mediante citação da fonte. Este artigo não constitui consultoria jurídica — para situações específicas, consultar advogado especializado em proteção de dados.