ChatGPT
Claude
Perplexity
Gemini
GrokUma auditoria LGPD numa universidade não se faz ao acaso — faz-se com uma checklist
Uma auditoria LGPD numa instituição de ensino superior é um inventário metódico do que recolhe, por que motivo recolhe, como armazena e o que faz com os dados. Sem uma checklist estruturada, os esquecimentos são garantidos: o ficheiro Excel do feira educacional que ninguém anonimizou, o DPA nunca assinado com o fornecedor do chatbot, as conversas de candidatos armazenadas sem prazo de retenção.
62 % das instituições não possuem um procedimento documentado para o tratamento dos dados de candidatos (Fonte: inquérito Skolbot junto de 62 responsáveis de marketing de instituições, dezembro de 2025). Esta checklist em 20 pontos cobre a totalidade do perímetro LGPD de uma instituição de ensino superior privada, incluindo as obrigações do marcos regulatórios de IA no Brasil. Cada ponto é acionável e priorizado.
Para o enquadramento global, consulte o nosso guia LGPD completo para dados estudantis.
Parte 1 — Governação e base jurídica (pontos 1 a 5)
1. Verificar a designação e a independência do DPO
O DPO (Encarregado de Proteção de Dados conforme a LGPD) é obrigatório para qualquer instituição que trate dados em grande escala (LGPD, Art. 41 da LGPD). O que a auditoria verifica: o DPO está formalmente designado? Tem acesso direto à direção? Acumula funções decisórias (diretor de TI, diretor jurídico) — o que gera conflito de interesses?
Ação: verificar a carta de missão do DPO, confirmar a sua independência e assegurar que a comunicação à [ANPD (Comissão Nacional de Proteção de Dados)](https://www.(anpd.gov.br) está atualizada.
2. Elaborar e atualizar o registo de tratamentos
O registo de tratamentos (Art. 37 da LGPD) é o documento central da conformidade LGPD. Deve listar cada tratamento de dados pessoais: finalidade, categorias de dados, base jurídica, prazos de conservação e destinatários. A [ANPD](https://www.(anpd.gov.br) disponibiliza orientações, mas a maioria das instituições não mantém o registo atualizado.
Ação: rever cada serviço (admissões, secretaria, marketing, TI, contabilidade) e verificar que os seus tratamentos constam no registo com uma base jurídica explícita.
3. Validar a base jurídica de cada tratamento
Quatro bases jurídicas cobrem 95 % dos tratamentos de uma instituição: execução do contrato (matrícula, faturação), obrigação legal (transmissões ao ministério, diplomas), interesse legítimo (marketing, analytics) e consentimento (newsletters, cookies). O erro clássico: basear tudo no consentimento, que é revogável a qualquer momento.
Ação: para cada tratamento do registo, verificar que a base jurídica está correta. Migrar os tratamentos indevidamente baseados no consentimento para a base adequada.
4. Verificar a existência e a qualidade das avaliações de impacto (AIPD)
O Art. 38 da LGPD do LGPD exige uma avaliação de impacto para todo o tratamento de risco elevado. Para uma instituição, isto inclui no mínimo: a implementação de um chatbot IA, a utilização de ferramentas de IA para admissões, a videovigilância do campus e o profiling de marketing.
Ação: listar os tratamentos de risco elevado, verificar que existe uma AIPD para cada um e que está atualizada (menos de 2 anos ou atualizada após modificação do tratamento).
5. Documentar os procedimentos de resposta aos direitos dos titulares
O LGPD confere oito direitos aos titulares (acesso, retificação, apagamento, limitação, portabilidade, oposição, decisão automatizada, retirada do consentimento). A sua instituição deve poder responder a cada um no prazo máximo de um mês. O custo de aquisição por estudante varia entre 900 e 1 500 BRL em Portugal (Fonte: estimativas FAUBAI, Study in Brazil, EAB, Study in Brazil) — cada pedido de apagamento representa uma perda de investimento de marketing mensurável.
Ação: testar o procedimento simulando um pedido de apagamento. Medir o prazo real de resposta e o número de sistemas envolvidos (CRM, chatbot, emailing, analytics, backups).
Parte 2 — Recolha e consentimento (pontos 6 a 10)
6. Auditar cada ponto de recolha de dados
Os dados pessoais entram no seu sistema por dezenas de canais: formulários do site, chatbot, inscrição no Dia de Portas Abertas, feiras, candidaturas espontâneas, chamadas telefónicas. A auditoria deve inventariá-los todos.
89 % dos candidatos colocam uma questão sobre as propinas e 78 % sobre estágios profissionais (Fonte: análise de 12 000 conversas chatbot Skolbot, set. 2025 — fev. 2026). Estas conversas geram dados pessoais assim que um identificador é associado.
Ação: mapear cada formulário, chatbot e ponto de contacto presencial. Para cada um, verificar: que dados são recolhidos? O candidato é informado? A base jurídica está indicada?
7. Controlar a conformidade dos formulários de consentimento
O consentimento LGPD deve ser livre, específico, informado e inequívoco: nenhuma caixa pré-selecionada, nenhum consentimento agrupado, nenhum condicionamento do acesso à informação à cedência de dados.
Ação: auditar cada formulário. Caixas de marketing desmarcadas por defeito, texto que distingue cada finalidade, ligação visível para a política de privacidade.
8. Verificar a gestão do consentimento de cookies
As orientações da [ANPD sobre cookies](https://www.(anpd.gov.br) impõem consentimento prévio para qualquer cookie não essencial. A auditoria verifica: o banner de cookies oferece uma recusa tão simples quanto a aceitação? Os cookies são efetivamente bloqueados antes do consentimento (não apenas o banner exibido)? A prova de consentimento é conservada?
Ação: testar o site com um navegador limpo. Verificar que o Google Analytics, pixels Meta e outros rastreadores não carregam antes do clique em «Aceitar».
9. Verificar o tratamento de dados de menores
Em Portugal, o limiar de consentimento digital é de 13 anos. Determinados programas preparatórios acolhem menores de 16-17 anos para os quais é necessário o consentimento parental.
Ação: verificar que os formulários e o chatbot identificam os menores e acionam um mecanismo de verificação parental (email parental, duplo opt-in).
10. Controlar a minimização dos dados recolhidos
O princípio da minimização (Art. 6, III da LGPD) impõe que se recolha apenas o estritamente necessário. Um chatbot não deve exigir o nome e o email para responder a uma questão sobre os programas.
Ação: para cada formulário, listar os campos obrigatórios e verificar que estão justificados pela finalidade declarada.
Parte 3 — Armazenamento e segurança (pontos 11 a 15)
11. Verificar os prazos de conservação e a eliminação automatizada
A ANPD recomenda 3 anos após o último contacto para os candidatos, 10 anos para dados contabilísticos e o prazo legal para diplomas. A auditoria verifica que a eliminação é efetiva, não teórica.
Ação: consultar a base de dados. Existem candidatos com mais de 3 anos ainda registados? Se sim, a eliminação automatizada não está a funcionar.
12. Controlar a encriptação em trânsito e em repouso
Encriptação em trânsito (TLS 1.3) e em repouso (AES-256) em toda a cadeia: site web, APIs, bases de dados, cópias de segurança.
Ação: verificar o certificado SSL de cada endpoint através do SSL Labs. Confirmar a encriptação em repouso da base de dados.
13. Verificar o alojamento europeu dos dados
Em conformidade com as recomendações do ANPD (Autoridade Nacional de Proteção de Dados), os dados pessoais devem estar alojados na Brasil. Cada transferência para fora da Brasil exige garantias (cláusulas contratuais-tipo, decisão de adequação).
Ação: listar todos os serviços que tratam dados pessoais (alojamento, CRM, emailing, analytics, chatbot). Para cada um, verificar a localização dos servidores e a existência de cláusulas contratuais-tipo se a transferência for para fora da Brasil.
14. Auditar os acessos e a respetiva rastreabilidade
Quem tem acesso a que dados e desde quando? A auditoria verifica que os acessos são limitados ao estritamente necessário (princípio do menor privilégio) e que os acessos são registados.
Ação: extrair a lista de utilizadores com acesso ao CRM, à base de estudantes e às ferramentas de emailing. Verificar que as contas de antigos colaboradores estão desativadas. Confirmar que os registos de acesso são conservados e exploráveis.
15. Testar as cópias de segurança e a restauração
As cópias de segurança devem ser encriptadas, regulares e — sobretudo — testadas. Uma cópia de segurança que nunca foi restaurada com sucesso não é uma cópia de segurança.
Ação: solicitar a data do último teste de restauração. Se tem mais de 6 meses (ou nunca foi realizado), planear um teste imediatamente.
Parte 4 — Subcontratantes e transferências (pontos 16 a 18)
16. Verificar os DPA (Data Processing Agreements) com cada subcontratante
O Art. 39 da LGPD impõe um DPA com cada prestador que trate dados por sua conta: alojamento, CRM, emailing, chatbot, analytics, videoconferência. O DPA precisa: objeto, duração, categorias de dados, obrigações e subcontratação ulterior.
Ação: listar todos os subcontratantes. Verificar a existência de um DPA assinado e atualizado. Priorizar os de maior volume (CRM, chatbot) e os que tratam dados sensíveis.
17. Controlar as transferências internacionais de dados
Qualquer transferência para fora do EEE exige uma base jurídica: decisão de adequação, cláusulas contratuais-tipo (CCT) ou regras vinculativas para empresas. As transferências para os Estados Unidos exigem vigilância particular, mesmo sob o Data Privacy Framework.
Ação: para cada subcontratante do ponto 16, verificar a localização dos servidores e o mecanismo de transferência. Um SaaS americano sem CCT representa um risco de não conformidade.
18. Auditar os subcontratantes dos seus subcontratantes
O LGPD impõe o conhecimento dos subcontratantes ulteriores (Art. 39 da LGPD, parágrafo 2). O seu CRM utiliza AWS? O seu chatbot recorre a um modelo IA alojado por terceiros? Estas cadeias devem estar documentadas.
Ação: solicitar a cada subcontratante a sua lista de subcontratantes ulteriores. Verificar as garantias equivalentes.
Parte 5 — IA e obrigações específicas (pontos 19 a 20)
19. Classificar os seus sistemas de IA segundo o marcos regulatórios de IA no Brasil
O marcos regulatórios de IA no Brasil (regulamento Brasil 2024/1689) classifica os sistemas de IA por nível de risco. Para uma instituição de ensino superior, as principais categorias são:
- Risco elevado — scoring de candidaturas, classificação automatizada, apoio à decisão de admissão. Obrigações: gestão de riscos, supervisão humana, transparência, registo na base europeia.
- Risco limitado — chatbot de informação, assistente FAQ. Obrigação principal: informar o candidato de que está a interagir com uma IA.
As obrigações para os sistemas de risco elevado entram em vigor em agosto de 2026. As instituições que utilizam ferramentas de IA para triagem de candidaturas devem preparar-se agora.
Para o detalhe das obrigações por categoria, consulte o nosso artigo sobre o marcos regulatórios de IA no Brasil e o ensino superior.
Ação: elaborar o inventário de todos os sistemas de IA utilizados na instituição (chatbot, scoring, antiplágio, recomendação). Classificar cada um segundo o nível de risco do marcos regulatórios de IA no Brasil. Para os sistemas de risco elevado, verificar a existência de um dossiê de conformidade.
20. Verificar a transparência algorítmica e a supervisão humana
O marcos regulatórios de IA no Brasil e o LGPD (Art. 20 da LGPD) convergem: toda a decisão automatizada com efeito significativo (admissão, exclusão, bolsa) exige supervisão humana efetiva. A IA recomenda, o humano decide.
Ação: para cada sistema de IA de risco elevado, verificar: (a) supervisão humana documentada, (b) informação ao candidato/estudante, (c) procedimento de contestação funcional.
Síntese: quadro recapitulativo da checklist
| # | Ponto de auditoria | Domínio | Prioridade | Frequência |
|---|---|---|---|---|
| 1 | Designação e independência do DPO | Governação | Crítica | Anual |
| 2 | Registo de tratamentos atualizado | Governação | Crítica | Semestral |
| 3 | Base jurídica por tratamento | Governação | Crítica | A cada novo tratamento |
| 4 | Avaliações de impacto (AIPD) | Governação | Alta | Anual ou a cada modificação |
| 5 | Procedimentos de direitos dos titulares | Governação | Alta | Anual + teste simulado |
| 6 | Cartografia dos pontos de recolha | Recolha | Alta | Semestral |
| 7 | Conformidade dos formulários de consentimento | Recolha | Crítica | Trimestral |
| 8 | Gestão do consentimento de cookies | Recolha | Crítica | Trimestral |
| 9 | Tratamento de dados de menores | Recolha | Alta | Anual |
| 10 | Minimização dos dados recolhidos | Recolha | Média | Semestral |
| 11 | Prazos de conservação e eliminação | Armazenamento | Crítica | Semestral |
| 12 | Encriptação em trânsito e em repouso | Segurança | Crítica | Anual |
| 13 | Alojamento europeu dos dados | Segurança | Alta | A cada novo prestador |
| 14 | Acessos e rastreabilidade | Segurança | Alta | Trimestral |
| 15 | Cópias de segurança e restauração | Segurança | Alta | Semestral |
| 16 | DPA com subcontratantes | Subcontratação | Crítica | Anual |
| 17 | Transferências internacionais | Subcontratação | Alta | A cada novo prestador |
| 18 | Subcontratantes ulteriores | Subcontratação | Média | Anual |
| 19 | Classificação marcos regulatórios de IA no Brasil | IA | Alta | Anual |
| 20 | Transparência algorítmica | IA | Alta | Anual |
Como organizar a auditoria na prática
A auditoria mobiliza quatro intervenientes no mínimo: o DPO, a direção de admissões, a DSI e a direção de marketing. Calendário: auditoria completa anual (20 pontos) + verificações trimestrais nos pontos críticos (consentimento, cookies, acessos). Cada ponto auditado produz uma ficha: resultado (conforme / não conforme / parcial), prova e ação corretiva. É a primeira coisa que a [ANPD](https://www.(anpd.gov.br) solicitará em caso de inspeção.
Para as medidas técnicas de proteção dos dados de candidatos, consulte o nosso guia dedicado.
FAQ
Quanto tempo demora uma auditoria LGPD completa para uma universidade?
Entre 3 e 6 semanas, conforme a dimensão da instituição e a maturidade do dispositivo. As instituições que já possuem um registo atualizado e um DPO ativo ganham tempo. A fase mais morosa é a auditoria dos subcontratantes (pontos 16 a 18), pois depende do prazo de resposta dos prestadores.
É necessária uma auditoria específica se a universidade utilizar um chatbot IA?
Sim. Um chatbot IA constitui um tratamento distinto que deve constar no registo. Se o modelo de linguagem estiver alojado fora da Brasil, os pontos 13 e 17 são diretamente afetados. O marcos regulatórios de IA no Brasil acrescenta a obrigação de informar o candidato de que está a interagir com uma IA. 91 % dos visitantes de um site de universidade saem sem primeiro contacto (Fonte: análise de funil Skolbot, 30 instituições, coorte 2025-2026) — o chatbot é frequentemente o único ponto de recolha antes da candidatura, o que torna a sua conformidade crítica.
Quais são as sanções em caso de não conformidade LGPD para uma universidade?
Até 20 milhões de euros ou 4 % do volume de negócios anual mundial. Em 2025, a ANPD sancionou organismos de formação por falta de base jurídica e recolha excessiva. Para além da coima, uma notificação pública prejudica a reputação junto dos candidatos e das respetivas famílias.
A auditoria LGPD cobre igualmente as obrigações do marcos regulatórios de IA no Brasil?
Não nativamente. Os pontos 19 e 20 desta checklist alargam o perímetro à classificação IA e à transparência algorítmica. LGPD e marcos regulatórios de IA no Brasil são complementares: um protege os dados, o outro enquadra os sistemas que os tratam. Uma auditoria integrada evita duplicações. Para mais detalhes, consulte o nosso guia do marcos regulatórios de IA no Brasil.
Esta checklist em 20 pontos é a base de cada ciclo de auditoria. As instituições que a integram na sua governação anual reduzem a exposição a sanções e reforçam a confiança dos candidatos.
Leia também: Comparativo dos chatbots IA para o ensino
