ChatGPT
Claude
Perplexity
Gemini
GrokEste artigo tem caráter informativo. Para questões jurídicas específicas, consulte seu encarregado ou um advogado especializado em proteção de dados.
Quando uma faculdade ou universidade privada no Brasil usa Google Workspace para gerenciar leads do processo seletivo, Meta Ads para captar candidatos via Instagram, e OpenAI para alimentar um chatbot de atendimento, há um ponto em comum: os dados pessoais dos candidatos saem do Brasil e passam por servidores nos Estados Unidos. Isso não é proibido pela Lei Geral de Proteção de Dados (LGPD — Lei nº 13.709/2018) — mas é condicionado a garantias que muitas IES ainda não têm documentadas.
A ANPD (Autoridade Nacional de Proteção de Dados) tem intensificado sua agenda regulatória em 2025 e 2026, com foco explícito em transferências internacionais de dados. O artigo 33 da LGPD estabelece as hipóteses em que essas transferências são legítimas — e "usar um serviço americano popular" não é uma delas por si só. Para o responsável pela captação, o encarregado de dados ou o diretor jurídico de uma IES privada, entender quais ferramentas expõem a instituição a risco e como regularizar essa situação é a agenda de conformidade de 2026.
58% dos candidatos que entram em contato com faculdades privadas são não nativos do português — com a internacionalização do ensino superior no Brasil, ferramentas de IA multilíngue hospedadas nos EUA tornaram-se indispensáveis para o processo seletivo. (Fonte: Detecção automática de idioma em 8.500 conversas do Skolbot, 2025–2026.) Cada uma dessas interações é um tratamento de dados pessoais sujeito à LGPD e, quando envolve servidores no exterior, às regras de transferência internacional do artigo 33.
Para o guia completo de obrigações de proteção de dados para IES, veja nosso guia de dados estudantis para faculdades e universidades. Para os critérios específicos de avaliação de fornecedores de chatbot, consulte Chatbot em conformidade com a LGPD para IES: critérios técnicos e guia de fornecedores 2026.
Quais dados dos seus candidatos saem do Brasil
O fluxo de dados pessoais para o exterior começa antes mesmo do processo seletivo formal. Quando um candidato preenche um formulário de interesse no site da faculdade, interage com um anúncio no Instagram, acessa o chatbot de atendimento ou envia um e-mail para a central de captação, múltiplos sistemas processam e armazenam seus dados — e a maioria deles opera com infraestrutura nos Estados Unidos.
Os dados que tipicamente cruzam fronteiras no contexto do vestibular e do processo seletivo incluem: nome completo, CPF (quando coletado antecipadamente), data de nascimento, e-mail, telefone, cidade de origem, curso de interesse, histórico de interações com o chatbot, comportamento de navegação no site e nos anúncios, e dados de desempenho no processo seletivo. Quando o candidato é estrangeiro em situação de intercâmbio ou pós-graduação, podem aparecer dados de passaporte e informações sobre situação migratória — que a LGPD classifica como dados pessoais sensíveis sob o artigo 11, sujeitos a proteção reforçada.
O ponto crítico é que a IES, como controladora, é responsável por todos esses fluxos — mesmo quando ocorrem em sistemas operados por terceiros. A LGPD não diferencia "dados que saíram por acidente" de "dados transferidos intencionalmente": qualquer transferência internacional de dados pessoais precisa estar ancorada em uma das hipóteses do artigo 33.
LGPD e transferências internacionais: as regras para faculdades e universidades
O artigo 33 da LGPD lista as hipóteses em que a transferência internacional de dados pessoais é permitida. As três mais relevantes para IES privadas que usam ferramentas SaaS americanas são:
Adequação reconhecida pela ANPD (art. 33, I): A ANPD pode reconhecer que um país ou organismo internacional oferece grau de proteção adequado à LGPD. Até junho de 2026, os Estados Unidos não possuem decisão de adequação da ANPD — o que significa que Google, Meta e OpenAI não podem se beneficiar automaticamente dessa hipótese para transferências de dados de brasileiros.
Garantias suficientes mediante cláusulas contratuais padrão (art. 33, II, "b"): A ANPD publicou orientações sobre transferências internacionais e trabalha na regulamentação de cláusulas contratuais padrão (CCPs) reconhecidas. No cenário atual, a IES deve verificar se o fornecedor disponibiliza um Adendo de Processamento de Dados (DPA) com cláusulas que garantam proteção equivalente à LGPD, e documentar essa avaliação internamente.
Consentimento específico do titular (art. 33, II, "a"): O titular pode consentir expressamente com a transferência internacional, desde que seja informado claramente do país de destino e dos riscos envolvidos. Essa hipótese é viável, mas exige que o aviso de privacidade da IES identifique cada país para o qual os dados podem ser transferidos e para qual finalidade — o que a maioria das IES ainda não faz de forma granular.
A ANPD publicou em 2023 e 2024 comunicados reforçando que a mera incorporação de DPAs genéricos de fornecedores estrangeiros não é suficiente: a IES precisa avaliar ativamente se as garantias oferecidas são adequadas ao contexto brasileiro e ao perfil de risco dos dados dos candidatos. O Relatório de Impacto à Proteção de Dados Pessoais (RIPD) é o instrumento indicado para documentar essa avaliação.
Google Workspace, Meta Ads, OpenAI — conformidade com a LGPD em 2026
| Fornecedor | Mecanismo | Residência de dados | DPA disponível | Risco principal | Status 2026 |
|---|---|---|---|---|---|
| Google Workspace | SCCs (Standard Contractual Clauses) adaptadas para LGPD; Adendo de Processamento de Dados para Brasil | Configurável; opção de residência na América do Sul (Região de São Paulo — us-east1 adjacente) | Sim — DPA em português disponível no Admin Console | Dados de candidatos em e-mails e planilhas sem criptografia end-to-end | Documentação robusta; DPA adequado se corretamente assinado e aplicado |
| Meta Ads | Termos LGPD incorporados nos Termos de Uso de Negócios; pixel com dados comportamentais | Servidores nos EUA (sem opção de residência no Brasil) | Sim — Termos de Processamento de Dados LGPD disponíveis | Pixel rastreando candidatos sem aviso de privacidade claro no site da IES | Aceitável com aviso de cookies explícito e consentimento de rastreamento documentado |
| OpenAI (API) | DPA enterprise com cláusulas de processamento; opção de zero retenção de dados via API | EUA por padrão; residência na Europa disponível para planos enterprise | Sim — DPA disponível para clientes API enterprise | Conteúdo de conversações de candidatos processado nos EUA; risco de retenção para treinamento de modelo | API com zero retenção: dados não usados para treinamento; requer plano e configuração adequados |
| Microsoft 365 / Azure | DPA LGPD; Microsoft EU Data Boundary extensível; residência de dados no Brasil (região East US 2 + Brasil South) | Brasil South (São Paulo) disponível | Sim — Adendo de Proteção de Dados da Microsoft em português | Dados em backups automáticos podem migrar para regiões fora do Brasil sem configuração explícita | Conformidade viável com configuração de residência de dados e DPA assinado |
| HubSpot / Salesforce CRM | SCCs; DPA LGPD disponível | EUA por padrão; regiões EU disponíveis | Sim — para ambas as plataformas | CRM com dados completos de candidatos (CPF, histórico, documentos) transferidos em massa | Aceitável com DPA assinado e aviso de privacidade atualizado; CPF requer atenção especial |
A tabela acima reflete a situação em junho de 2026. As políticas de privacidade e os mecanismos de transferência de grandes fornecedores mudam com frequência — verifique sempre a versão atual do DPA no site do fornecedor antes de concluir sua avaliação de conformidade.
5 passos para sua faculdade estar em conformidade com a LGPD
Passo 1 — Mapeie os fluxos de dados internacionais
Antes de qualquer ação, a IES precisa saber quais dados saem do Brasil, para onde vão e com qual finalidade. Elabore um inventário de todos os sistemas SaaS utilizados na captação de candidatos e no processo seletivo, identificando para cada um: o país de processamento, as categorias de dados transferidos, a base legal aplicada e a existência de DPA assinado. Esse mapeamento é também o ponto de partida obrigatório para um RIPD sobre transferências internacionais.
Passo 2 — Assine os DPAs disponíveis
Google, Meta, Microsoft, OpenAI e HubSpot disponibilizam DPAs (Adendos de Processamento de Dados) com cláusulas específicas para LGPD. Assinar esses documentos não é um formalismo: é a documentação da garantia contratual que ancora a transferência internacional na hipótese do artigo 33, inciso II da LGPD. Muitos DPAs precisam ser aceitos ativamente no painel de administração da plataforma — não basta ter uma conta no serviço.
Passo 3 — Atualize o aviso de privacidade do site e do processo seletivo
O aviso de privacidade da IES deve identificar, de forma clara e acessível, que dados pessoais dos candidatos podem ser transferidos para os Estados Unidos, para qual finalidade e com quais garantias. Frases genéricas como "podemos compartilhar seus dados com parceiros" não atendem ao requisito de transparência do artigo 9º da LGPD. Para candidatos estrangeiros cujos dados podem incluir informações de passaporte ou situação migratória — dados sensíveis sob o artigo 11 — o aviso deve ser ainda mais específico, com consentimento destacado.
Passo 4 — Elabore ou atualize o RIPD de captação de candidatos
O Relatório de Impacto à Proteção de Dados Pessoais (RIPD) é o instrumento pelo qual a IES documenta a avaliação dos riscos e das medidas de mitigação para tratamentos de alto risco. O uso de sistemas de IA para atendimento de candidatos, a coleta de dados durante o vestibular e o uso de pixels de rastreamento para campanhas de mídia paga são tratamentos que justificam um RIPD. Para faculdades que nunca elaboraram esse documento, o encarregado de dados deve ser o responsável pela condução — em colaboração com as áreas de TI, jurídico e marketing.
Passo 5 — Identifique e informe publicamente o encarregado de dados
O artigo 41 da LGPD torna obrigatória a designação de um encarregado de dados (equivalente ao DPO do GDPR) para os controladores. O encarregado deve ser indicado publicamente — no mínimo no aviso de privacidade e no site institucional da IES — com nome ou denominação e endereço de contato. A ANPD tem verificado ativamente o cumprimento dessa obrigação; faculdades que ainda não designaram um encarregado estão em infração desde agosto de 2021. Veja as orientações da ANPD sobre prazos de retenção de dados de candidatos para entender as obrigações conexas.
Perguntas frequentes
O Google Workspace está em conformidade com a LGPD?
O Google disponibiliza um Adendo de Processamento de Dados (DPA) específico para LGPD, com cláusulas sobre finalidade do tratamento, medidas de segurança, direitos dos titulares e transferências internacionais. A conformidade com a LGPD, porém, não é automática ao contratar o serviço: a IES precisa aceitar ativamente o DPA no painel do Google Admin, configurar as opções de residência de dados disponíveis, e atualizar seu aviso de privacidade para refletir que dados podem ser processados por servidores do Google nos Estados Unidos. O DPA assinado é a garantia contratual que sustenta a transferência internacional conforme o artigo 33, inciso II da LGPD.
O uso do Meta Ads para captar candidatos é legal sob a LGPD?
O Meta Ads é legal sob a LGPD quando usado com as devidas garantias. O pixel do Meta instalado no site da IES coleta dados comportamentais dos candidatos (páginas visitadas, cursos consultados, formulários preenchidos) e os transfere para servidores nos EUA. Para que esse tratamento seja lícito, a IES precisa: (1) incluir no banner de cookies um aviso claro sobre o uso do pixel de rastreamento e obter consentimento antes de ativá-lo; (2) identificar o Meta como destinatário de dados no aviso de privacidade; (3) aceitar os Termos de Processamento de Dados LGPD disponíveis no Gerenciador de Negócios do Meta. Usar o pixel sem aviso de privacidade e sem consentimento para rastreamento é a infração mais comum — e mais visível para a ANPD.
Posso usar a API do OpenAI para o chatbot de candidatos sem violar a LGPD?
Sim, com a configuração correta. A OpenAI disponibiliza, para clientes da API, um DPA com opção de zero retenção de dados — o que significa que as conversações dos candidatos não são armazenadas nem usadas para treinar modelos da OpenAI. Para IES que usam a API diretamente (não o ChatGPT Plus ou planos de consumo individual), a contratação do plano enterprise com essa configuração é essencial. O aviso de privacidade da IES também deve informar que dados das conversações são processados por servidores da OpenAI nos Estados Unidos, com as garantias contratuais aplicadas.
O que é o RIPD e quando minha faculdade é obrigada a elaborá-lo?
O Relatório de Impacto à Proteção de Dados Pessoais (RIPD) é o equivalente brasileiro do DPIA (Data Protection Impact Assessment) do GDPR. A LGPD prevê no artigo 38 que a ANPD pode solicitar ao controlador a elaboração do RIPD para tratamentos que possam gerar riscos às liberdades civis e aos direitos fundamentais. A ANPD pode solicitar o documento a qualquer momento — mas, mesmo sem solicitação formal, elaborar um RIPD para o processo de captação de candidatos (que envolve IA, rastreamento comportamental, e transferências internacionais) é uma demonstração de accountability prevista no artigo 6º, inciso X da LGPD. Faculdades com processos seletivos de alto volume e uso de IA devem priorizar esse documento.
A ANPD pode multar minha faculdade pelo uso de ferramentas americanas sem DPA?
Sim. A ANPD tem competência para aplicar sanções administrativas previstas no artigo 52 da LGPD, que incluem advertência, multa de até 2% do faturamento no último exercício (limitada a R$ 50 milhões por infração), bloqueio dos dados em desconformidade e divulgação pública da infração. O uso de ferramentas americanas sem DPA assinado, sem aviso de privacidade adequado e sem documentação de transferência internacional é uma infração ao artigo 33 da LGPD — e o perfil de risco de uma IES privada que coleta dados de candidatos em volume é exatamente o tipo de caso que a ANPD tem monitorado desde 2024. O caminho mais seguro é documentar a conformidade antes de uma notificação, não depois.
Teste o Skolbot na sua faculdade em 30 segundos
