ChatGPT
Claude
Perplexity
Gemini
GrokPor quanto tempo uma IES privada pode manter dados de candidatos sob a LGPD?
A Lei Geral de Proteção de Dados (LGPD, Lei 13.709/2018) estabelece, no Artigo 16, as hipóteses em que os dados pessoais podem ser conservados após o término do tratamento: cumprimento de obrigação legal ou regulatória, transferência a terceiro com garantias de conformidade, uso exclusivo do controlador desde que anonimizados, ou autorização expressa do titular. Fora dessas hipóteses, os dados devem ser eliminados.
Para dados de prospecção e captação em educação superior, a Autoridade Nacional de Proteção de Dados (ANPD) alinha-se às boas práticas internacionais e considera 3 anos a partir do último contato ativo como o prazo máximo razoável para registros de candidatos em instituições de ensino superior privadas. Superado esse prazo, nenhuma finalidade legítima de captação pode justificar a conservação continuada dos dados.
Não se trata de uma questão teórica. As IES privadas no Brasil — reguladas pelo MEC e avaliadas pelo INEP — acumulam dados de candidatos em escala crescente por meio de chatbots de captação, formulários de inscrição para vestibulares próprios, plataformas de ENEM/SISU e sequências de e-mail. A maior parte não possui políticas de eliminação automatizada em vigor. Compreender com precisão as obrigações sob a LGPD é o ponto de partida para uma gestão defensável da privacidade nas equipes de captação.
Para o enquadramento completo da proteção de dados em IES privadas, consulte nosso guia completo de proteção de dados estudantis.
O marco legal: LGPD e seus princípios estruturantes
A LGPD entrou em vigor em agosto de 2020 e passou a ter aplicação integral, com as sanções administrativas da ANPD, a partir de agosto de 2021. O Artigo 6.º da lei estabelece dez princípios que regem todo tratamento de dados pessoais, dos quais cinco são diretamente relevantes para a retenção de dados de candidatos:
- Finalidade: o tratamento deve ser realizado para finalidades legítimas, específicas, explícitas e informadas ao titular.
- Adequação: o tratamento deve ser compatível com as finalidades informadas.
- Necessidade: limitação do tratamento ao mínimo necessário para a realização das finalidades.
- Qualidade dos dados: garantia de exatidão, clareza e atualização dos dados.
- Responsabilização e prestação de contas: o controlador deve demonstrar conformidade com as normas.
O princípio da necessidade é o fundamento central da limitação da retenção: os dados de candidatos não convertidos não precisam — e, portanto, não devem — ser conservados além do necessário para as finalidades declaradas na política de privacidade.
Bases legais para retenção após o fim da finalidade primária
O Artigo 16 da LGPD autoriza a conservação de dados pessoais, após encerrado o tratamento, nas seguintes situações:
- Cumprimento de obrigação legal ou regulatória: por exemplo, registros contábeis e fiscais exigidos pela Receita Federal.
- Transferência a terceiro: desde que respeitados os requisitos da LGPD.
- Uso exclusivo do controlador: os dados devem ser anonimizados de forma irreversível.
- Hipóteses do Artigo 7.º ou 11.º: como o legítimo interesse do controlador, desde que devidamente fundamentado.
Para dados de candidatos não matriculados, a base mais comumente invocada é o legítimo interesse para eventual reativação, combinado com a conservação de provas em caso de reclamação. Ambos os fundamentos têm limite temporal: 3 anos do último contato ativo é o prazo considerado proporcional pela ANPD.
Prazos de retenção por categoria de dado: tabela de referência
Os prazos abaixo refletem a LGPD, as orientações da ANPD e as boas práticas estabelecidas para IES privadas no Brasil. Representam o prazo máximo defensável, não uma meta. Quando a IES puder justificar um prazo mais curto, ele deve ser adotado.
| Categoria de dado | Prazo de retenção | Marco inicial | Base legal / fonte |
|---|---|---|---|
| Dados de contato do candidato (não matriculado) | 3 anos | Último contato ativo | LGPD Art. 16 / orientações ANPD |
| Registros de conversa de chatbot (candidato identificado) | 3 anos | Último contato ativo | Parte do registro do candidato |
| Inscrição em evento / vestibular / feira educacional | 3 anos (sem conversão) | Último contato ativo | Princípio da necessidade LGPD |
| Dados de inscrição — candidato não aprovado | 2 anos | Data da decisão de não aprovação | Prazo prescricional / ANPD |
| Dados de inscrição — candidato desistente | 2 anos | Data da desistência | Orientações ANPD |
| Prontuário do aluno matriculado | 5 anos | Término dos estudos | Normativas MEC / INEP |
| Registros financeiros e contábeis | 10 anos | Encerramento do exercício | Código Tributário Nacional / Lei 9.430/1996 |
| Dados de pagamento com cartão | 13–18 meses | Data da transação | PCI DSS |
| Analítica web / cookies | 13 meses | Instalação do cookie | Orientações ANPD |
Dois pontos merecem atenção específica. Primeiro, o prazo de 3 anos para dados de contato de candidatos conta a partir do último contato ativo — não da data de coleta original. Uma interação por chatbot, uma participação em evento, ou uma resposta a um e-mail reinicia o contador. Segundo, os registros de conversa de chatbot vinculados a um candidato identificado fazem parte do prontuário desse candidato e seguem o mesmo prazo máximo de 3 anos. Dados anonimizados de forma irreversível deixam de ser dados pessoais.
O ciclo de vida dos dados: três fases
Fase 1 — Tratamento ativo
Um candidato que solicita informações sobre uma graduação ou pós-graduação em uma IES privada — seja via formulário do site, chatbot de captação, estande em feira educacional ou inscrição em dia aberto — entra na fase de tratamento ativo a partir da data de coleta. O prazo corre a partir do último contato significativo.
Para candidatos que não realizam o vestibular ou não finalizam a inscrição pelo SISU/PROUNI, o tratamento ativo não deve se estender além de 12 a 18 meses do último contato. O prazo máximo de 3 anos não é uma autorização para conservar dados passivamente — é o limite absoluto dentro do qual o contato ativo pode ser justificado.
Fase 2 — Conservação para fins específicos
Após o encerramento do tratamento ativo, os dados podem ser conservados com acesso restrito para finalidades específicas: resposta a reclamações, auditorias regulatórias do MEC/INEP, ou atendimento de obrigações legais. Nesta fase, os dados não estão disponíveis para atividades de marketing ou captação. O acesso é controlado e registrado.
Para dados de inscrição de candidatos não aprovados, esta fase cobre os 2 anos durante os quais uma contestação ao processo seletivo poderia ser apresentada. Para dados de candidatos que apenas fizeram contato sem inscrição formal, a conservação para fins específicos raramente é necessária.
Fase 3 — Eliminação ou anonimização
Ao final do prazo de retenção, os dados pessoais devem ser eliminados de forma segura e irreversível ou anonimizados. A anonimização irreversível é uma alternativa válida à eliminação sob a LGPD: dados genuinamente anonimizados deixam de ser pessoais e podem ser conservados como métricas agregadas. Dados pseudonimizados — onde a reidentificação é possível com uma chave de referência — continuam sendo dados pessoais e permanecem sujeitos à LGPD.
A eliminação automatizada configurada no CRM e na plataforma de e-mail é o mecanismo mais confiável. Processos manuais de eliminação em múltiplos sistemas são suscetíveis a erros e criam lacunas de conformidade que a ANPD pode identificar em inspeções.
A ANPD e as obrigações de documentação
O Artigo 37 da LGPD exige que o controlador e o operador mantenham registro das operações de tratamento de dados pessoais, especialmente quando baseado no legítimo interesse. Para IES privadas, isso significa manter um registro de atividades de tratamento que inclua, para cada atividade envolvendo dados de candidatos:
- As categorias de titulares (candidatos, participantes de eventos, usuários do chatbot)
- As categorias de dados pessoais (nome, e-mail, telefone, curso de interesse, registros de conversa)
- As finalidades do tratamento (captação, marketing, acompanhamento de inscrição)
- Os prazos de retenção de cada atividade
- As medidas técnicas e organizacionais de segurança adotadas
A ausência de documentação é um risco em auditorias da ANPD. Quando um inspetor ou um titular pergunta há quanto tempo a IES conserva dados de candidatos, "não definimos" não é uma resposta conformante.
O chatbot e a dimensão da IA
72% das perguntas de candidatos são FAQ simples automatizáveis; 7% requerem intervenção humana (Fonte: análise Skolbot de 12.000 conversas de chatbot, 2025; source_ref: content/zpd-bank.json#question-complexity-distribution). A maioria das interações de chatbot gera registros de conversa sem divulgações pessoais complexas — mas esses registros constituem dados pessoais quando vinculados a um candidato identificado ou identificável.
Três regras regem os dados gerados por chatbots sob a LGPD:
Aviso de privacidade antes da coleta: antes de o candidato fornecer dados pessoais ao chatbot, a IES deve apresentar informações sobre a identidade do controlador, as finalidades do tratamento e como exercer os direitos previstos na LGPD. Uma mensagem de abertura na interface do chatbot com link para a política de privacidade satisfaz esse requisito.
Redação automática de dados sensíveis: candidatos frequentemente compartilham informações sobre condição de saúde, situação financeira ou deficiências em conversas de chatbot. Esses dados são categorias especiais sob o Artigo 11 da LGPD e exigem consentimento específico e destacado para tratamento. A redação ou anonimização automática em 30 dias é a prática recomendada para quaisquer divulgações sensíveis espontâneas.
Eliminação coordenada ao término do prazo: os registros de conversa do chatbot devem ser eliminados simultaneamente ao prontuário do candidato no CRM ao final do prazo de retenção. O contrato com o fornecedor do chatbot deve confirmar a capacidade de eliminação individual por candidato. Para uma análise detalhada do processo de eliminação, consulte nossa guia sobre direito ao apagamento de dados de candidatos.
PROUNI, FIES e mensalidades: retenção de dados financeiros
As IES privadas que participam do PROUNI ou do FIES têm obrigações específicas de guarda de documentação perante o MEC e a Caixa Econômica Federal. Para beneficiários do PROUNI, os registros de concessão e renovação devem ser mantidos por, no mínimo, 5 anos após o encerramento do benefício. Para contratos FIES, o prazo estende-se pelo período do contrato mais 10 anos, em consonância com as regras do Código Tributário Nacional.
Dados de mensalidades e cobranças de candidatos que não se matricularam (por exemplo, taxas de inscrição em vestibular próprio) seguem o prazo contábil de 10 anos. Esses dados financeiros devem ser armazenados separadamente dos dados de marketing e captação, com controles de acesso distintos.
Erros frequentes de retenção em IES privadas
Erro 1 — A planilha da feira educacional. Dados coletados em um estande em evento como o Enem+Faculdade são exportados para Excel, enviados por e-mail à equipe de captação e importados para o CRM sem política de privacidade nem registro de consentimento. Múltiplas obrigações da LGPD são violadas em um único fluxo de trabalho.
Erro 2 — O CRM sem depuração. Registros de candidatos de 2022 e 2023 permanecem ativos no banco de dados, recebendo e-mails de nutrição. Dependendo da data do último contato, muitos desses registros já superam o prazo máximo de 3 anos.
Erro 3 — Ausência de registro de atividades de tratamento. A política de privacidade existe no site da IES, mas não há mapeamento interno das atividades de tratamento com os respectivos prazos. O princípio da responsabilização exige alinhamento entre política documentada e prática operacional.
Erro 4 — Confusão entre prazos de candidatos e alunos. Dados de candidatos não matriculados (sujeitos ao prazo de 3 anos) são misturados com dados de alunos matriculados (sujeitos a prazos mais longos por obrigação regulatória do MEC). Categorias distintas exigem gestão distinta.
Erro 5 — Cookies sem prazo definido. Dados analíticos e pixels de remarketing conservados sem limite temporal, porque a plataforma de gestão de consentimento foi configurada no lançamento do site e nunca revisada. Para uma análise abrangente, consulte nossa guia de consentimento de cookies para IES.
Checklist de eliminação para equipes de captação
- Prazos de retenção documentados no registro de atividades de tratamento para cada categoria de dado
- CRM configurado com eliminação automatizada ao término do prazo de cada categoria
- Listas de e-mail sincronizadas com a eliminação no CRM: registros excluídos são descadastrados simultaneamente
- Fornecedor do chatbot confirmou capacidade de eliminação individual por candidato
- Registros de inscrição em eventos e vestibulares: revisados e eliminados em 3 anos do evento (sem conversão)
- Dados de inscrição de candidatos não aprovados: eliminados 2 anos após a decisão
- Registros de taxas de inscrição e dados financeiros: conservados 10 anos (CTN)
- Dados analíticos e de cookies: revisados em 13 meses
- Equipe de captação ciente dos prazos e sem cópias em planilhas locais
- Aviso de privacidade presente em todos os pontos de coleta (formulários, chatbot, eventos)
- Processo documentado para atendimento dos direitos dos titulares (acesso, correção, eliminação, portabilidade)
- Responsável pelo tratamento de dados (DPO ou encarregado) designado e identificado na política de privacidade
Para o enquadramento completo de conformidade, consulte nossa guia sobre proteção de dados de candidatos em IES privadas.
Descubra como as IES melhoram o seu processo de captaçãoPerguntas frequentes
Qual é o prazo padrão de retenção de dados de candidatos no Brasil?
As orientações da ANPD, alinhadas ao Artigo 16 da LGPD e às boas práticas internacionais, apontam para 3 anos a partir do último contato ativo como prazo máximo razoável para dados de prospecção e marketing em ensino superior. Trata-se de um teto, não de uma meta mínima: se o candidato claramente abandonou o projeto de inscrição, um prazo mais curto é mais defensável. O contador é reiniciado a cada vez que o candidato tem um contato ativo (interação por chatbot, inscrição em evento, resposta a e-mail).
Abrir um e-mail de captação reinicia o prazo de retenção?
Abrir um e-mail é um comportamento passivo e não constitui um contato ativo para fins de reinício do prazo. Uma resposta ao e-mail, uma inscrição em evento, um download de material com identificação, ou uma conversa por chatbot — ações que exigem uma iniciativa afirmativa do candidato — são os eventos adequados para reiniciar o prazo de 3 anos.
A política de privacidade deve indicar o prazo de retenção?
Sim. O Artigo 9.º da LGPD exige que o titular seja informado sobre o período de tratamento, ou os critérios utilizados para definir esse período. Uma política de privacidade que indica apenas "os dados serão conservados pelo tempo necessário" sem especificar critérios não atende a esse requisito. A ANPD espera especificidade suficiente para que o titular possa compreender quanto tempo seus dados serão mantidos.
Uma IES pode manter dados de candidatos indefinidamente se o titular não solicitar eliminação?
Não. O princípio da necessidade da LGPD opera de forma independente ao exercício dos direitos pelo titular. A IES deve aplicar proativamente sua própria política de retenção documentada. A ausência de uma solicitação de eliminação não constitui base legal para conservação indefinida — a finalidade do tratamento é o fator determinante.
Quais são as sanções da ANPD por descumprimento dos prazos de retenção?
A ANPD pode aplicar sanções administrativas que incluem: advertência com prazo para adoção de medidas corretivas; multa simples de até 2% do faturamento da pessoa jurídica no Brasil, limitada a R$ 50 milhões por infração; multa diária com o mesmo limite; publicização da infração; bloqueio dos dados pessoais; e eliminação dos dados. Além das sanções, há o risco reputacional: IES privadas que dependem da confiança de famílias e candidatos para manter suas mensalidades são particularmente vulneráveis ao impacto de decisões sancionatórias públicas da ANPD.
