Educação tem perfil específico em LGPD: titulares vulneráveis (crianças e adolescentes), dado parental, base ampla, sistemas legados. Multas no setor educacional começaram a sair em 2024-2025 e exigem atenção. Esse artigo é sobre os pontos típicos de exposição e como prevenir.

Por que educação muda o jogo neste tema

Educação trata dado de crianças e adolescentes em escala. LGPD tem proteção específica para esse grupo (art. 14): tratamento deve atender melhor interesse, consentimento de um dos pais ou responsável legal é obrigatório (com exceções específicas), publicidade deve ser proibida.

Acrescenta complicador: educação é setor com muita tecnologia legada. Sistema acadêmico de 15 anos, integração via SQL direto entre bancos, base ampla por aquisição de grupos diversos. Maturidade técnica frequentemente é menor que em setores como financeiro ou varejo.

Acrescenta complicador adicional: regulação setorial (MEC, conselhos profissionais) tem suas próprias exigências sobre tratamento de dado de estudante. Convergência com LGPD gera framework denso, e setor frequentemente trata como atividades separadas.

ANPD tem sinalizado prioridade em fiscalização de educação a partir de 2025, especialmente após casos públicos de vazamento em grupos educacionais. Tendência é aumento de scrutiny.

Os 3 riscos típicos do setor educação

Risco 1 — Compartilhamento de dado de aluno sem base legal. Grupos educacionais frequentemente compartilham dado com parceiros (editoras, plataformas de teste, fornecedores de material), com instituições de fomento, com pesquisadores. Cada compartilhamento exige base legal adequada e contrato com cláusulas LGPD. Vi grupo educacional multado em R$ 2,1 milhões por compartilhar lista de alunos com parceiro de marketing sem consentimento adequado.

Risco 2 — Tratamento de dado de menor sem consentimento parental adequado. Plataforma educacional online coleta dado de estudante. Quando estudante é menor de 18, consentimento parental específico é obrigatório. Plataformas que apenas mostram termo de uso genérico durante cadastro do estudante violam art. 14 da LGPD.

Risco 3 — Vazamento por sistema legado. Sistema acadêmico de 10-15 anos, sem atualização contínua de segurança, vira ponto fraco. Empresa que opera múltiplos sistemas (resultado de aquisições) multiplica essa exposição. Incidente em qualquer um dos sistemas afeta a base inteira.

Caso real: uma empresa de educação

Grupo educacional consolidado via M&A, R$ 2,1 bilhões de receita, mais de 80 mil alunos ativos. Em 2024 sofreu incidente: sistema acadêmico de uma das instituições adquiridas (operava há 9 anos sem atualizações de segurança importantes) foi comprometido via SQL injection.

Vazamento de base com dados de 41 mil estudantes ativos + 23 mil ex-estudantes do período de retenção: nome, CPF, telefone, email, histórico acadêmico, dados parciais de pagamento.

Sequência:

Custos adicionais: R$ 580k em forense e jurídico, R$ 320k em comunicação. Investimento em modernização técnica pós-incidente: R$ 1,4 milhão para descomissionamento do sistema legado e migração para plataforma única. Custo total: R$ 6,9 milhões.

Impacto reputacional: 6% de queda em matrículas no semestre seguinte, atribuído ao incidente. Em receita: ~R$ 38 milhões em receita potencial perdida.

Implementação prática em educação

Programa LGPD em educação precisa cobrir aspectos próprios:

Mapeamento de dado por categoria de titular. Estudante menor, estudante adulto, ex-estudante, pais e responsáveis, professores, colaboradores. Cada categoria tem regras próprias de tratamento.

Consentimento parental estruturado para tratamento de menor. Não basta clicar em "aceito termos". Consentimento específico, granular, do responsável legal, com confirmação independente da identidade do responsável. Plataformas digitais devem ter fluxo específico.

Política de retenção rigorosa para ex-estudante. Dado de ex-aluno pode ser mantido para histórico acadêmico (base legal clara). Mas para marketing, remarketing, divulgação, base legal é frágil. Política explícita de descarte ou anonimização.

Modernização tecnológica priorizada. Sistema legado é dívida técnica e dívida regulatória. Plano de descomissionamento ou modernização com prazo realista.

Gestão de fornecedores rigorosa. Editoras, plataformas, fornecedores de avaliação — todos tratam dado de aluno em algum nível. Contrato com cláusulas LGPD, due diligence, monitoramento ativo.

Treinamento adaptado ao setor. Professor, coordenador, equipe administrativa têm exposições diferentes. Treinamento setorial diferenciado por função.

Erros recorrentes específicos do setor

Erro 1 — Confiar em consentimento via aceite genérico. Cadastro em plataforma educacional com checkbox de "aceito termos" não atende LGPD para tratamento de menor. Consentimento parental específico é requisito explícito.

Erro 2 — Tratar dado de ex-aluno como ainda disponível para uso. Manutenção indefinida sem base legal clara é violação. Vi grupo educacional manter base de ex-alunos de 8 anos atrás em uso ativo de remarketing.

Erro 3 — Compartilhar com parceiros sem due diligence. Plataforma educacional terceira, fornecedora de material didático, plataforma de avaliação — todos recebem dado de aluno. Sem due diligence e contrato adequado, responsabilidade é compartilhada.

Erro 4 — Subestimar sistemas legados como risco. "Vamos modernizar quando puder" não é resposta aceitável quando o sistema legado é ponto de vazamento. Plano com prazo realista é obrigatório.

Erro 5 — Não capacitar professores em LGPD. Professor compartilha grupo de WhatsApp com pais, posta foto de aluno em rede social, divulga lista de aprovados. Cada ação é potencial violação. Treinamento setorial específico é necessário.

Próximos 90 dias para o responsável em educação

Para CIO, DPO, diretor de TI ou diretor acadêmico em instituição educacional:

Dia 1-15: inventário de sistemas e dados. Especialmente: identificação de sistemas legados, mapeamento de dados de menores, mapeamento de compartilhamentos com terceiros.

Dia 16-45: revisão de bases legais e consentimentos. Onde consentimento parental é necessário, implementação de fluxo adequado. Onde compartilhamento com terceiro não tem base legal clara, ajuste imediato.

Dia 46-60: política de retenção formalizada. Para cada categoria de titular, prazo de retenção, processo de descarte, evidência. Início de execução do descarte de dado antigo sem base legal.

Dia 61-75: revisão de fornecedores. Contratos com cláusulas LGPD. Due diligence ativa para fornecedores críticos. Plano de saída para fornecedores não conformes.

Dia 76-90: plano de modernização tecnológica priorizado. Sistemas legados com data de descomissionamento, recursos alocados, ownership claro.

Investimento típico: R$ 180-450 mil em horas e ferramentas iniciais, mais investimento de modernização tecnológica que pode ser maior. Comparado a multa potencial e impacto em matrículas, ROI é claro.