ChatGPT
Claude
Perplexity
Gemini
GrokQuando uma faculdade, centro universitário ou universidade privada no Brasil implanta um chatbot de inteligência artificial para atender candidatos ao vestibular, ao ENEM-SISU ou a processos seletivos próprios, o enquadramento jurídico aplicável não é o RGPD europeu — é a Lei Geral de Proteção de Dados Pessoais (LGPD — Lei 13.709/2018), fiscalizada pela ANPD (Autoridade Nacional de Proteção de Dados) e pelo MEC (Ministério da Educação) no que tange às obrigações setoriais.
A LGPD é uma lei inspirada no GDPR europeu, mas com especificidades próprias: dez bases legais (em vez de seis), um modelo de aviso de privacidade diferente, um sistema de consentimento com características particulares, e um órgão supervisor — a ANPD — que tem acelerado sua agenda regulatória com a publicação de normas técnicas e a abertura de procedimentos de fiscalização no setor de tecnologia educacional.
72% das perguntas que candidatos fazem a um chatbot são automatizáveis — de mensalidades e bolsas do ProUni ao calendário de inscrições e modalidades de curso (presencial, semipresencial, EAD). (Fonte: classificação automática de 12.000 conversações Skolbot, 2025.) Cada uma dessas interações é um tratamento de dados pessoais que exige base legal válida sob a LGPD. Escolher um fornecedor que desconhece a lei brasileira expõe a IES a sanções da ANPD, ações do PROCON e perda de reputação junto ao candidato.
Este artigo é um guia prático para o encarregado de dados, o diretor de TI ou o diretor de captação de uma IES privada brasileira que esteja avaliando ou revisando um fornecedor de chatbot. Para o enquadramento geral de proteção de dados, consulte nosso guia completo de dados estudantis para IES. Para as obrigações de coleta específicas de um chatbot IA, veja Chatbot IA e LGPD: que dados sua IES pode coletar?.
Por que a conformidade com a LGPD é um critério de compra inegociável para chatbots em IES
A LGPD não é um compromisso voluntário de boas práticas — é lei federal desde setembro de 2020, com sanções administrativas em vigor desde agosto de 2021. A ANPD pode aplicar advertências, multas de até 2% do faturamento da empresa no Brasil no último exercício (limitadas a R$ 50 milhões por infração), bloqueio ou eliminação dos dados tratados em desconformidade, e divulgação pública da infração — o que, no contexto de uma IES que depende de captação de candidatos, é o dano mais imediato.
O artigo 46 da LGPD impõe ao controlador (a IES) e ao operador (o fornecedor do chatbot) a obrigação de adotar medidas de segurança técnicas e administrativas aptas a proteger os dados pessoais. A responsabilidade da IES não se transfere para o fornecedor do chatbot: a IES responde como controladora perante a ANPD e perante os titulares dos dados.
A equação econômica também é clara: +62% de leads qualificados com −38% no custo por lead são os resultados medianos obtidos em 18 instituições de ensino que operaram chatbot com conformidade documentada. (Fonte: resultados medianos de 18 escolas, 2024–2025.) O chatbot responde em 3 segundos, 24 horas por dia — contra 47 horas de espera por e-mail. (Fonte: estudo de mystery shopping Skolbot, 2025, 80 instituições FR.) Um processo sancionatório da ANPD que force a suspensão do sistema durante o período de vestibular destrói esse ganho de forma imediata e mensurável.
Os 8 critérios técnicos LGPD que deve exigir de qualquer fornecedor de chatbot
1. Localização dos servidores: Brasil ou contrato com garantias documentadas para transferências internacionais
O artigo 33 da LGPD regula as transferências internacionais de dados pessoais. Elas são permitidas para países que ofereçam grau de proteção adequado (avaliado pela ANPD), mediante cláusulas contratuais específicas aprovadas pela ANPD, consentimento do titular, ou outras hipóteses previstas em lei. Na prática, muitos fornecedores de chatbot processam dados em servidores nos EUA ou Europa. Isso não é automaticamente proibido, mas exige documentação: o contrato com o fornecedor deve especificar o país de destino dos dados, as garantias contratuais aplicadas e como elas protegem os direitos dos candidatos conforme os padrões da LGPD.
Exija por escrito: em que país os dados são processados e armazenados? Isso inclui backups e infraestrutura de treinamento de IA? Quais são as garantias aplicadas à transferência internacional?
2. Contrato de operador com obrigações de confidencialidade e segurança
A LGPD não estabelece um modelo formal de contrato entre controlador e operador como o Art. 28 do GDPR, mas os artigos 39 e 46 determinam que o operador deve tratar os dados conforme as instruções do controlador e adotar medidas de segurança adequadas. O contrato com o fornecedor do chatbot deve incluir: finalidade exclusiva do tratamento (apenas prestar o serviço contratado), obrigações de confidencialidade, medidas de segurança mínimas exigíveis, proibição de uso dos dados para fins próprios do fornecedor (incluindo treinamento de IA), procedimento de devolução ou eliminação de dados ao fim do contrato, e obrigação de notificação de incidentes.
3. Relatório de Impacto à Proteção de Dados Pessoais (RIPD)
O artigo 38 da LGPD prevê que a ANPD pode solicitar ao controlador a elaboração de um Relatório de Impacto à Proteção de Dados Pessoais (RIPD) para tratamentos que, por sua natureza, possam gerar riscos às liberdades civis e aos direitos fundamentais. O uso de um chatbot de IA para avaliação e perfilamento de candidatos ao ensino superior se enquadra nessa categoria. Mesmo quando não solicitado formalmente pela ANPD, a elaboração de um RIPD é uma demonstração de accountability — princípio central da LGPD (artigo 6º, inciso X). Um fornecedor maduro deve estar em condições de apoiá-la com uma metodologia ou template de RIPD adaptado ao setor educacional brasileiro.
4. Medidas de segurança técnicas e administrativas (artigo 46 da LGPD)
O artigo 46 obriga controladores e operadores a adotar medidas de segurança "aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito". Para um chatbot de IES, as medidas técnicas mínimas aceitáveis incluem: criptografia das comunicações (TLS 1.3), criptografia dos dados em repouso (AES-256 ou equivalente), controles de acesso baseados em perfis com separação de funções, log de auditoria de todos os acessos a dados pessoais, e relatório de teste de penetração (pentest) com validade máxima de 12 meses. Solicite o documento de medidas de segurança como parte do processo de contratação.
5. Aviso de privacidade e transparência na coleta de dados
O artigo 9º da LGPD garante ao titular o direito de obter informações claras, precisas e facilmente acessíveis sobre o tratamento de seus dados. Para um chatbot, isso significa que antes — ou no momento — da primeira coleta de dados, o candidato deve ser informado sobre: identidade e contato do controlador (a IES), contato do encarregado de dados, finalidades do tratamento, bases legais aplicadas, possibilidade de transferências internacionais, prazos de retenção, e como exercer seus direitos. A ANPD reforçou em seus comunicados que o aviso de privacidade "colocado apenas no rodapé do site" não atende ao requisito de informação clara e acessível no momento da coleta. O fornecedor deve permitir que a IES configure uma tela de aviso de privacidade como etapa obrigatória antes da primeira interação do chatbot.
6. Prazos de retenção e rotinas de exclusão automatizada
O princípio da necessidade (artigo 6º, inciso III da LGPD) determina que o tratamento deve ser limitado ao mínimo necessário para a finalidade declarada. Para registros de conversação de candidatos que não realizaram matrícula, um prazo máximo de 12 meses após o último contato ativo é adequado e compatível com as orientações da ANPD. O fornecedor deve demonstrar a existência de rotinas de exclusão automatizada, configuráveis por categoria de dado, com log de auditoria que comprove a exclusão efetiva — não apenas promessa contratual.
7. Direitos dos titulares: acesso, correção, eliminação e portabilidade
O artigo 18 da LGPD reconhece ao titular nove direitos, entre eles: confirmação da existência de tratamento, acesso aos dados, correção de dados incompletos ou desatualizados, anonimização ou bloqueio de dados desnecessários, eliminação de dados tratados com consentimento, portabilidade a outro fornecedor ou prestador de serviço, informação sobre entidades com as quais os dados foram compartilhados, informação sobre a possibilidade de não fornecer consentimento e as consequências, e revogação do consentimento. O fornecedor do chatbot deve disponibilizar uma interface técnica que permita à IES atender a esses direitos de forma tempestiva — a ANPD orienta que as respostas sejam dadas em prazo razoável compatível com a complexidade do pedido, geralmente até 15 dias úteis.
8. Notificação de incidentes de segurança em prazo razoável
O artigo 48 da LGPD determina que o controlador deve comunicar à ANPD e aos titulares afetados a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares. A ANPD, em sua Resolução CD/ANPD nº 4/2023, estabeleceu que a comunicação à ANPD deve ocorrer em até 3 dias úteis após o conhecimento do incidente pelo controlador. Para cumprir esse prazo, o fornecedor do chatbot deve se comprometer contratualmente a notificar a IES de qualquer incidente que afete dados de seus candidatos imediatamente após a detecção — idealmente dentro de 24 horas.
Tabela de avaliação de fornecedores: as perguntas que você deve fazer
| Critério | Padrão mínimo exigível | Perguntas ao fornecedor |
|---|---|---|
| Localização dos servidores | Documentação de transferência internacional conforme art. 33 LGPD | "Em que país os dados são processados e armazenados? Como as transferências internacionais estão documentadas?" |
| Contrato de operador | Obrigações LGPD, finalidade exclusiva, proibição de uso para fins próprios | "Seu contrato inclui proibição explícita de uso dos dados dos meus candidatos para treinamento de IA?" |
| RIPD | Metodologia ou template disponível para o setor de IES | "Você pode apoiar a elaboração do RIPD para uso de seu chatbot em uma faculdade ou universidade privada brasileira?" |
| Segurança (art. 46) | TLS 1.3, AES-256, pentest <12 meses, log de auditoria | "Pode compartilhar o documento de medidas de segurança técnicas e o relatório de pentest mais recente?" |
| Aviso de privacidade | Tela obrigatória antes da 1ª interação, configurável pela IES | "O chatbot exibe aviso de privacidade como etapa obrigatória antes de coletar qualquer dado?" |
| Prazos de retenção | Configuráveis por categoria, exclusão automatizada com log | "Posso configurar prazos de retenção por tipo de dado? Como comprova que os dados foram excluídos?" |
| Direitos dos titulares | Interface de acesso/exclusão, prazo de resposta até 15 dias úteis | "Quanto tempo leva tecnicamente para preparar resposta completa a um pedido de acesso de um candidato?" |
| Notificação de incidentes | Comunicação imediata ao cliente (máx. 24h), processo documentado | "Qual é seu processo de notificação de incidentes? Em quanto tempo me informaria de um vazamento?" |
5 cláusulas essenciais no contrato com o fornecedor de chatbot
1. Cláusula de finalidade exclusiva: O fornecedor (operador) compromete-se a tratar os dados pessoais dos candidatos exclusivamente para prestar o serviço contratado. É expressamente proibido o uso dos dados para treinamento de modelos de IA, análise de mercado, cessão a terceiros ou qualquer outra finalidade não expressamente prevista no contrato.
2. Medidas de segurança equivalentes às da IES: O operador compromete-se a manter medidas de segurança técnicas e administrativas no mínimo equivalentes às exigidas à IES pelo artigo 46 da LGPD, incluindo as disposições da Resolução CD/ANPD nº 2/2022 sobre segurança da informação.
3. Notificação de incidentes em até 24 horas: O operador compromete-se a comunicar à IES qualquer incidente de segurança que possa afetar dados pessoais de candidatos ou alunos em até 24 horas após a detecção, com descrição do incidente, categorias de dados afetadas, número estimado de titulares impactados e medidas imediatas adotadas.
4. Eliminação certificada no encerramento do contrato: No prazo de 30 dias após o encerramento do contrato, o operador eliminará ou devolverá todos os dados pessoais da IES, incluindo backups e dados derivados de conversações utilizados em sistemas de IA. O operador emitirá declaração escrita de eliminação.
5. Transferências internacionais documentadas: Se o tratamento envolver servidores fora do Brasil, o contrato deve especificar o país de destino, os suboperadores envolvidos e as garantias contratuais que asseguram o cumprimento dos princípios da LGPD — de forma que a IES possa incluir essas informações em seu aviso de privacidade e demonstrar conformidade perante a ANPD.
Sinais de alerta: 5 red flags em um fornecedor de chatbot
Red flag 1 — Menciona apenas conformidade com o GDPR europeu: Um fornecedor internacional que apresenta apenas sua conformidade com o GDPR (regulamento europeu) como garantia de adequação jurídica no Brasil não entende a LGPD. As duas leis são distintas em bases legais, prazos, modelo de consentimento e atribuições do órgão regulador. Exija declaração de conformidade específica com a LGPD e conhecimento das normas da ANPD.
Red flag 2 — Aviso de privacidade apenas no rodapé do site: Se o chatbot começa a coletar dados antes de o candidato ter acesso ao aviso de privacidade, a IES está em infração ao artigo 9º da LGPD desde o primeiro segundo de operação. Um link discreto no rodapé não atende ao requisito de informação clara, precisa e facilmente acessível no momento da coleta.
Red flag 3 — Treinamento de IA com dados dos candidatos como padrão: O uso das conversações dos candidatos para treinar modelos de linguagem sem base legal independente e sem consentimento dos titulares é um tratamento para finalidade diversa da informada — vedado pelo artigo 6º, inciso I (finalidade) da LGPD. Verifique explicitamente e exija cláusula contratual de exclusão.
Red flag 4 — Servidores no exterior sem documentação de transferência: A presença de servidores fora do Brasil não é automaticamente ilegal, mas exige que a transferência esteja documentada conforme o artigo 33 da LGPD. Um fornecedor que não tem essa documentação disponível expõe a IES a uma autuação da ANPD. A ANPD tem aplicado sanções justamente em situações em que transferências internacionais ocorreram sem as garantias exigidas.
Red flag 5 — Sem encarregado de dados ou ponto de contato de privacidade identificável: O artigo 41 da LGPD obriga o controlador (a IES) a indicar um encarregado de dados (Data Protection Officer). O fornecedor, na qualidade de operador, também deve ter um responsável identificável para questões de privacidade. Um fornecedor sem encarregado de dados designado ou sem ponto de contato específico em privacidade sinaliza maturidade insuficiente em proteção de dados — e isso se reflete nos controles que ele efetivamente aplica sobre seus sistemas.
Para uma auditoria completa da conformidade LGPD da sua IES, consulte nossa checklist de auditoria de proteção de dados para universidades. Para comparar plataformas em funcionalidade e conformidade, veja nosso comparativo do melhor chatbot IA para ensino superior.
Quer ver como o Skolbot atende aos critérios técnicos da LGPD para IES brasileiras? Solicite uma demonstração personalizada e analisamos juntos sua situação de conformidade.
FAQ
Um chatbot "em conformidade com o GDPR europeu" também está em conformidade com a LGPD?
Não automaticamente. O GDPR e a LGPD compartilham princípios gerais semelhantes (finalidade, necessidade, segurança, direitos do titular), mas diferem em pontos importantes: a LGPD prevê dez bases legais contra seis do GDPR; o modelo de contrato entre controlador e operador não está tão detalhado na LGPD quanto o Art. 28 do GDPR; os prazos para resposta a direitos do titular são diferentes; e as sanções seguem critérios distintos. Um fornecedor precisa demonstrar conformidade específica com a LGPD, não apenas com o GDPR.
O que deve cobrir um RIPD para um chatbot de captação de candidatos?
Um RIPD para esse caso de uso deve incluir: (1) descrição do fluxo de dados — quais dados são coletados, como, com que finalidade; (2) bases legais aplicadas a cada categoria de dado; (3) identificação dos riscos aos direitos dos titulares — em particular o risco de coleta inadvertida de dados sensíveis (saúde, origem étnica, situação econômica) em conversações de texto livre; (4) medidas de mitigação — pseudonimização, prazos curtos, filtros automáticos de dados sensíveis; (5) avaliação do risco residual. O RIPD deve ser atualizado sempre que houver mudança significativa no tratamento e disponibilizado à ANPD quando solicitado.
Qual é o prazo de notificação em caso de incidente de segurança?
A Resolução CD/ANPD nº 4/2023 estabelece que o controlador deve comunicar à ANPD incidentes de segurança que possam acarretar risco ou dano relevante aos titulares em até 3 dias úteis após o conhecimento do incidente. A comunicação aos titulares afetados deve ocorrer em prazo razoável, proporcional à gravidade do incidente. Para cumprir esse prazo de 3 dias úteis, o fornecedor do chatbot precisa notificar a IES imediatamente após a detecção do incidente — na prática, dentro de 24 horas.
Quais bases legais da LGPD se aplicam ao tratamento de dados pelo chatbot?
Para um chatbot de IES, as bases legais mais relevantes são: (I) consentimento (art. 7º, I) — para o armazenamento de dados além da interação imediata e para o uso em marketing; (V) execução de contrato ou procedimentos preliminares — para dados coletados durante o processo de candidatura ativa; (IX) legítimo interesse (art. 7º, IX) — para metadados técnicos (IP, timestamp) necessários à segurança do sistema, desde que documentado em avaliação de proporcionalidade. Dados sensíveis (art. 11) exigem sempre consentimento específico e destacado ou outra base expressa no art. 11, inciso II.
A IES pode ser responsabilizada pelos atos do fornecedor do chatbot?
Sim. A LGPD estabelece responsabilidade solidária entre controlador e operador quando o dano decorrer do descumprimento de obrigações do operador (artigo 42, §1º, I). A IES, como controladora, pode responder perante a ANPD e perante os titulares mesmo por falhas do fornecedor — o que reforça a necessidade de selecionar fornecedores com conformidade LGPD documentada e de formalizar as obrigações por contrato.
