ChatGPT
Claude
Perplexity
Gemini
GrokO Encarregado é obrigatório para a sua IES? A resposta direta
Sim — para a grande maioria das instituições de ensino superior privadas no Brasil. O artigo 41 da LGPD (Lei Geral de Proteção de Dados — Lei 13.709/2018) determina que todo controlador de dados deve indicar um Encarregado pelo tratamento de dados pessoais. Não se trata de uma recomendação — é uma obrigação legal.
A ANPD (Autoridade Nacional de Proteção de Dados) publicou a Resolução CD/ANPD nº 2/2022, que flexibilizou a exigência apenas para agentes de tratamento de pequeno porte. Uma IES que processa dados de centenas ou milhares de candidatos, notas do ENEM, informações financeiras do FIES e ProUni, dados de saúde do serviço de assistência estudantil, e relatórios para o INEP (Instituto Nacional de Estudos e Pesquisas Educacionais) — simplesmente não se enquadra como agente de pequeno porte. Para esse universo, a indicação do Encarregado é obrigatória sem margem para dúvida.
O setor privado representa 87% das instituições de ensino superior no Brasil (Censo INEP 2024). Grupos como Cogna/Kroton, Anhanguera e Unip processam dados de milhões de estudantes em arquiteturas de dados complexas. Mas a obrigação se aplica igualmente à faculdade regional com 800 alunos: o volume de dados sensíveis tratados — prontuários de saúde, situação socioeconômica, dados financeiros — ativa os critérios da LGPD.
Para o quadro completo de conformidade com a LGPD no ensino superior, consulte o nosso guia completo de dados estudantis.
Quem precisa indicar um Encarregado? Os critérios da LGPD aplicados às IES
O artigo 41 da LGPD não define critérios de dispensa — exceto a flexibilização regulatória prevista na Resolução ANPD nº 2/2022 para agentes de pequeno porte. A análise prática para uma IES privada é a seguinte.
Volume e escala de dados tratados: uma IES que recebe candidaturas via ENEM/SISU, opera vestibular próprio, gerencia contratos de ProUni e FIES, e mantém registros acadêmicos de centenas de alunos trata dados em escala significativa. O SISU transfere dados de candidatos aprovados do MEC para as instituições participantes; o FIES envolve compartilhamento de dados socioeconômicos sensíveis com a Caixa Econômica Federal e o MEC. Cada um desses fluxos cria obrigações que o Encarregado precisa supervisionar.
Dados pessoais sensíveis: a LGPD (artigo 5º, II) define dado sensível como aquele sobre saúde, biometria, origem racial, convicção religiosa, filiação a sindicato, vida sexual, dado genético. Uma IES que mantém prontuários de assistência estudantil, registros de deficiência para adaptações de prova, dados socioeconômicos para bolsas institucionais e laudos médicos tratados pelo Núcleo de Apoio à Inclusão enquadra-se nessa categoria. O artigo 11 da LGPD impõe bases legais específicas e proteções reforçadas para dados sensíveis — o que exige supervisão especializada de um Encarregado.
Reportes regulatórios ao MEC e INEP: o Censo da Educação Superior, operado pelo INEP, exige a transmissão periódica de dados sobre matrículas, vagas, concluintes e docentes. A base legal é o cumprimento de obrigação legal (artigo 7º, II da LGPD), mas o fluxo precisa estar documentado no registro de tratamentos e supervisionado pelo Encarregado.
Prospecção e marketing com chatbot: chatbots de IA respondem automaticamente a 72% das perguntas de prospectos (Fonte: Análise Skolbot, 12.000 conversas, 2025). Cada interação gera dados pessoais — nome, e-mail, CPF quando fornecido, preferência de curso, perguntas sobre mensalidades e financiamento — que exigem base legal documentada, aviso de privacidade e prazo de retenção definidos. O Encarregado valida e monitora esse fluxo continuamente.
| Critério LGPD art. 41 | Aplicação à IES privada | Encarregado obrigatório |
|---|---|---|
| Controlador de dados | Todas as IES que coletam dados de candidatos e alunos | Sim |
| Dados sensíveis em escala | Saúde, deficiência, situação socioeconômica | Sim |
| Fluxos com MEC/INEP/CAIXA | Censo, FIES, ProUni, SISU | Sim |
| Agente de pequeno porte | IES com alto volume de dados sensíveis | Não se aplica |
| Prospecção CRM + chatbot IA | Pipeline admissões com >1.000 candidatos/ano | Sim |
O que faz concretamente um Encarregado externo?
O Encarregado externo exerce as mesmas atribuições que um Encarregado interno, no âmbito de um contrato de prestação de serviços. Suas competências estão definidas no artigo 41 da LGPD e nos orientações da ANPD — e não podem ser restringidas contratualmente.
Informação e orientação: o Encarregado orienta a direção da IES, a coordenação de admissões, o setor de TI e o departamento de marketing sobre as obrigações da LGPD. É a referência interna para dúvidas de conformidade — mesmo quando atua remotamente. Seu parecer deve ser solicitado antes de qualquer novo tratamento de dados: implantação de um novo CRM, lançamento de chatbot, uso de ferramenta de IA no processo seletivo.
Supervisão do tratamento de dados: o Encarregado verifica que os tratamentos realizados pela IES respeitam a LGPD — bases legais, informação aos titulares, prazos de retenção, segurança. Conduz ou supervisiona auditorias periódicas de conformidade, cuja estrutura está descrita na nossa checklist de auditoria LGPD para universidades.
Relatório de Impacto à Proteção de Dados (RIPD): o artigo 38 da LGPD prevê que a ANPD pode exigir o RIPD para tratamentos de alto risco. Na prática, as IES devem produzir um RIPD para: implementação de chatbot com IA, uso de ferramenta de scoring em admissões, videomonitoramento do campus, ou perfis de candidatos para marketing segmentado. O Encarregado coordena ou revisa cada RIPD.
Interface com a ANPD: o Encarregado é o ponto de contato oficial com a ANPD. Em caso de fiscalização, notificação de incidente ou reclamação de um estudante, é ele quem gerencia a comunicação com a autoridade, elabora as respostas e coordena as medidas corretivas. A ANPD tem intensificado sua atuação fiscalizadora desde 2022 — ter um Encarregado ativo e documentado é o primeiro sinal de boa-fé perante a autoridade.
Atendimento de direitos dos titulares: o Encarregado supervisiona o atendimento às solicitações de acesso, retificação, eliminação, portabilidade e revogação de consentimento formuladas por candidatos, alunos e egressos. O prazo razoável para resposta é considerado, na prática regulatória brasileira, de até 15 dias úteis. Chatbots de IA respondem automaticamente a 72% das perguntas de prospectos (Fonte: Análise Skolbot, 12.000 conversas, 2025) — mas as solicitações de exercício de direitos exigem intervenção humana supervisionada pelo Encarregado.
Contratos com operadores: toda empresa que trata dados em nome da IES — fornecedor de CRM, plataforma de e-mail marketing, provedor de chatbot, sistema de gestão acadêmica — é um operador nos termos da LGPD. O artigo 39 impõe obrigações a esses operadores, que devem ser formalizadas em contrato. O Encarregado revisa e aprova cada um desses contratos, garantindo cláusulas de proteção de dados adequadas.
Custo: quanto custa um Encarregado externo para uma IES privada?
Os custos variam de acordo com o porte da instituição, o volume e a sensibilidade dos dados tratados, e o nível de serviço contratado. Os valores abaixo refletem o mercado brasileiro em 2026.
| Modalidade | Perfil da IES | Custo mensal (BRL) | O que está incluído |
|---|---|---|---|
| Encarregado-as-a-Service (básico) | Faculdade isolada <500 alunos, poucos dados sensíveis | R$3.000–R$5.000 | Registro de tratamentos, atendimento de direitos, consultas pontuais |
| Encarregado externo padrão | IES média 500–3.000 alunos | R$5.000–R$8.000 | Registro, auditorias anuais, RIPD, interface ANPD, treinamento de equipes |
| Encarregado externo premium | IES grande >3.000 alunos, grupos educacionais | R$8.000–R$12.000 | Acompanhamento trimestral, auditorias completas, gestão de incidentes, suporte jurídico |
| Encarregado interno (CLT) | IES com necessidade de presença contínua | R$8.000–R$15.000/mês (salário) | Presença no local, resposta imediata, conhecimento profundo dos processos |
Atenção ao custo total: o valor do retrato mensal geralmente não cobre intervenções pontuais cobradas separadamente — RIPD específico para novo sistema, gestão de incidente de segurança, comunicação a ANPD, apoio em fiscalização. Antes de assinar, peça o detalhamento do escopo incluído e as condições de faturamento para serviços fora do pacote.
O custo do Encarregado externo precisa ser ponderado em relação ao custo da não conformidade: a LGPD prevê multa de até 2% do faturamento, limitada a R$ 50 milhões por infração. Em 2024 e 2025, a ANPD concluiu processos administrativos sancionatórios em diferentes setores. Para uma IES privada, o impacto reputacional de uma sanção pública junto a candidatos e suas famílias costuma superar o valor da multa.
Alternativas ao Encarregado externo
Encarregado interno (colaborador): um funcionário da IES é designado Encarregado. A vantagem é o conhecimento dos processos internos. As restrições são significativas: o Encarregado não pode exercer função que gere conflito de interesses — o Diretor de TI, o Advogado-Geral ou o Diretor de Admissões não podem ser Encarregados dos tratamentos que eles próprios conduzem. A competência técnica exigida é elevada e a rotatividade administrativa nas IES é um risco real para a continuidade da função.
Encarregado compartilhado entre unidades de um grupo: grupos educacionais como Cogna ou Ânima podem designar um Encarregado para múltiplas entidades jurídicas do grupo, desde que ele seja acessível a cada uma delas. Essa configuração reduz o custo por instituição em 30 a 50%, mas exige que o Encarregado tenha capacidade real para atender todas as unidades com a devida atenção.
Responsável interno sem designação formal: algumas IES de menor porte designam um "responsável pela privacidade" internamente, sem seguir o rito formal da LGPD. Essa figura não substitui o Encarregado legalmente obrigatório e não oferece as garantias de independência que a LGPD exige. Se a ANPD verificar a ausência de Encarregado formalizado, a IES estará em situação de descumprimento.
Consultoria jurídica pontual: alguns escritórios especializados em direito digital são contratados apenas para projetos específicos — implantação de novo sistema, resposta a fiscalização, revisão de contratos. Essa abordagem é insuficiente como substituto ao Encarregado: não cobre o acompanhamento contínuo que a LGPD impõe ao controlador.
Para as medidas operacionais de proteção de dados de candidatos, consulte nosso guia sobre proteção de dados de candidatos. Para o ciclo completo de auditoria, veja nossa checklist de auditoria LGPD para universidades.
Como escolher o Encarregado externo: 5 critérios fundamentais
1. Experiência setorial em ensino superior privado no Brasil: a LGPD aplicada a uma IES privada tem especificidades que apenas quem já trabalhou no setor conhece a fundo — fluxo ENEM/SISU, bases legais para dados do FIES e ProUni, obrigações com o Censo do INEP, tratamento de dados sensíveis no Núcleo de Apoio à Inclusão, gestão de contratos com operadores de plataformas EAD. Peça referências em IES de porte semelhante ao da sua instituição, não apenas em empresas do setor privado em geral.
2. Independência garantida contratualmente: o artigo 41, §2º da LGPD veda que o Encarregado receba instruções que dificultem o exercício independente de suas funções. Um contrato com cláusula de rescisão imediata por conveniência do contratante compromete essa independência. O contrato deve prever prazo mínimo e condições de rescisão que protejam a capacidade do Encarregado de emitir pareceres desfavoráveis quando necessário.
3. Prazos de resposta definidos contratualmente: quando ocorre um incidente de segurança, a ANPD espera comunicação em prazo razoável (Resolução CD/ANPD nº 15/2024 define parâmetros). Um Encarregado externo que leva três dias úteis para responder a uma urgência não está em condições de cumprir esse prazo. O contrato deve especificar SLAs: resposta no mesmo dia para urgências, até 48 horas para demandas padrão.
4. Cobertura do perímetro digital e de IA: em 2026, uma IES privada opera CRM, plataforma de e-mail marketing, chatbot com IA, sistema de gestão acadêmica (SGA), LMS para EAD, e potencialmente ferramentas de IA no processo seletivo. O Encarregado precisa dominar: RIPD para sistemas de IA, conformidade de cookies, contratos com operadores internacionais, bases legais para transferência internacional de dados (artigo 33 da LGPD). Chatbots de IA respondem automaticamente a 72% das perguntas de prospectos (Fonte: Análise Skolbot, 12.000 conversas, 2025) — e cada interação gera dados que exigem cadeia de tratamento documentada e validada pelo Encarregado.
5. Seguro de responsabilidade civil profissional: o Encarregado externo assume responsabilidade profissional pelas orientações que emite. Verifique que ele possui seguro de responsabilidade civil profissional cobrindo especificamente funções de encarregado de proteção de dados, com limite compatível com o porte da sua IES e o volume de dados que ela processa.
FAQ
Um Encarregado externo pode atender IES concorrentes?
Sim, desde que não haja conflito de interesses. A LGPD não proíbe expressamente que um mesmo Encarregado atenda múltiplos controladores. Porém, se duas faculdades disputam o mesmo mercado regional de candidatos e o Encarregado tem acesso aos dados de prospecção de ambas, configura-se um potencial conflito. Pergunte ao prestador qual é a sua política de gestão de conflitos e quais outras IES ele atende.
A IES fica responsável por sanções da ANPD mesmo tendo um Encarregado contratado?
Sim. O controlador — a IES — é o primeiro responsável perante a ANPD. O Encarregado externo pode ter responsabilidade profissional por falhas no cumprimento de suas obrigações de orientação e supervisão, mas a sanção da ANPD é direcionada à instituição. Por isso, o contrato de prestação deve delimitar claramente o que está dentro e fora do escopo do Encarregado — e quais ações de conformidade são de responsabilidade operacional da IES.
Qual deve ser a duração mínima do contrato com o Encarregado externo?
A LGPD não define prazo mínimo, mas contratos anuais renováveis são a prática de mercado. Prazos muito curtos fragilizam a independência do Encarregado — quem tem o contrato vencendo em dois meses pode hesitar em emitir pareceres desfavoráveis sobre projetos da direção. A rescisão antecipada deve ser condicionada a critérios objetivos que não permitam à IES afastar o Encarregado por discordância de posicionamentos de conformidade.
A implantação de um chatbot com IA exige RIPD supervisionado pelo Encarregado?
Sim. O chatbot representa um novo tratamento de dados pessoais que utiliza tecnologia nova e, em escala, processa dados de milhares de candidatos. Esses dois critérios — tecnologia nova e dados em larga escala — ativam a necessidade de RIPD conforme as orientações da ANPD. O Encarregado deve ser consultado antes da implantação, não depois. Se o chatbot incorporar personalização, scoring ou triagem automatizada de candidatos, o RIPD deve cobrir também os riscos do artigo 20 da LGPD (decisão automatizada).
O que acontece se a IES não indicar um Encarregado sendo obrigada a isso?
A ausência de Encarregado é um descumprimento direto do artigo 41 da LGPD, passível de sanção administrativa pela ANPD. Em processos administrativos sancionatórios, a ANPD verifica o histórico de conformidade da organização — e a ausência de Encarregado é frequentemente acompanhada de outras lacunas (falta de registro de tratamentos, ausência de bases legais documentadas, ausência de política de privacidade). A indicação formal do Encarregado e sua publicação no site da IES — com nome e dados de contato acessíveis a qualquer titular — é a primeira ação de conformidade a ser concluída.
Este artigo tem caráter informativo geral e não constitui consultoria jurídica. Para decisões sobre as obrigações específicas da sua IES perante a LGPD, consulte um profissional especializado em direito de proteção de dados ou o seu Encarregado indicado.
Para aprofundar a conformidade do seu ecossistema digital, consulte também a nossa checklist de auditoria LGPD para universidades e o nosso guia sobre proteção de dados de candidatos.
Solicite uma demonstração personalizada
