ChatGPT
Claude
Perplexity
Gemini
GrokOs seus candidatos têm direitos antes mesmo de se inscreverem
A conformidade com a LGPD não começa na matrícula. Começa no primeiro contato. No momento em que um candidato compartilha o seu email, nome ou telefone — através de um formulário, chatbot, feira educativa ou evento no campus — a instituição se torna controladora de dados nos termos da LGPD (Fonte: ANPD — Autoridade Nacional de Proteção de Dados, orientações sobre controladores de dados, atualizadas 2025).
Isso é importante porque as equipes de admissões e marketing tratam dados de candidatos muito antes da fase de vestibular ou inscrição formal. E esses dados são frequentemente os menos protegidos de todo o sistema de informação: planilhas do Excel compartilhadas por email, listas de contatos exportadas de feiras sem consentimento documentado, conversas de chatbot armazenadas sem política de retenção.
62% das instituições pesquisadas não têm um procedimento documentado para o tratamento de dados de candidatos (Fonte: pesquisa Skolbot com 62 responsáveis de marketing de instituições, dezembro 2025). Este guia operacional preenche essa lacuna.
Para uma visão global da conformidade LGPD no ensino superior, consulte o nosso guia LGPD completo para dados estudantis.
Bases legais para o tratamento de dados de candidatos
A LGPD (Lei 13.709/2018) exige uma base legal para cada tratamento de dados pessoais. No contexto da captação estudantil, três bases são relevantes.
Consentimento (artigo 7º, inciso I)
O consentimento é a base mais utilizada — e a mais mal implementada. Para ser válido, deve ser livre (não obrigar ao consentimento de marketing para receber uma brochura), específico (um consentimento por finalidade, não um "aceito tudo"), informado (informação visível no momento da coleta, não apenas um link) e inequívoco (ação afirmativa clara, não uma caixa pré-marcada).
Erro frequente: coletar emails em uma feira educativa com um tablet que diz "Deixe o seu email para mais informações" não constitui consentimento LGPD válido.
Legítimo interesse (artigo 7º, inciso IX)
O legítimo interesse permite o tratamento sem consentimento explícito — acompanhamento de formulários abandonados, informação complementar sobre um curso de interesse. Não justifica comunicações não solicitadas, compartilhamento com parceiros ou perfilagem comportamental. Cada utilização deve ser documentada em um relatório de impacto à proteção de dados pessoais (RIPD).
A ANPD publicou orientações detalhadas sobre legítimo interesse que são leitura obrigatória para qualquer equipe de admissões que se apoie nessa base.
Execução de medidas pré-contratuais (artigo 7º, inciso V)
Quando um candidato submete uma inscrição formal no vestibular ou processo seletivo, o tratamento do seu dossiê é necessário para a execução de medidas pré-contratuais. Base sólida, mas limitada à fase de inscrição formal.
O que você coleta — e o que não deveria coletar
O princípio da minimização dos dados
A LGPD exige que apenas sejam coletados os dados estritamente necessários para a finalidade declarada. Na prática, cada campo de formulário deve ser justificável.
Dados necessários para um pedido de informação: nome, sobrenome, email, curso de interesse. Quatro campos bastam.
Dados questionáveis: data de nascimento (para que antes da inscrição?), endereço (você realmente envia brochuras impressas?), telefone (você realmente vai ligar?).
Dados problemáticos: nacionalidade (salvo se relevante para requisitos de admissão internacional), situação familiar, renda dos pais. Por vezes coletados "para o caso", mas constituem um risco LGPD sem justificativa documentada.
Cada campo adicional no formulário reduz a taxa de conclusão em 5 a 8% (Fonte: análise Skolbot de 45 formulários de contato de instituições, 2025). A minimização dos dados não é apenas uma obrigação legal — é uma alavanca de conversão. O nosso artigo sobre benchmarks de conversão de sites universitários confirma essa correlação.
Dados coletados pelo chatbot
Um chatbot coleta mais dados do que um formulário. Os candidatos compartilham espontaneamente informação sensível (deficiência, dificuldades financeiras, saúde). Três medidas são indispensáveis: informação prévia de que a conversa é gravada, eliminação automática de dados sensíveis e acesso restrito aos históricos de conversa.
Prazos de conservação: a zona cinzenta
A conservação é o ponto mais fraco da maioria das instituições. A ANPD recomenda que dados de candidatos sejam eliminados quando encerrada a finalidade do tratamento (Fonte: ANPD, orientações sobre retenção de dados pessoais). A legislação brasileira não fixa um prazo exato, mas a boa prática setorial estabelece limites claros.
Prazos recomendados por tipo de dados
Dados de primeiro contato (formulário, chat): 12 meses após o último contato se o candidato não se inscreveu. Para além disso, o projeto formativo está provavelmente abandonado.
Dados de inscrição incompleta: 24 meses após o último contato. O candidato pode se inscrever no semestre ou ano letivo seguinte.
Dados de candidatura rejeitada: 6 meses após a notificação de rejeição. Conservar mais tempo não tem justificativa operacional.
Conversas de chatbot: 12 meses, com anonimização automática de dados sensíveis aos 30 dias.
Dados de eventos (feiras de profissões, visitas ao campus): 12 meses após o evento se o candidato não realizou nenhuma ação posterior.
O erro de "guardar tudo"
47% das instituições conservam dados de candidatos indefinidamente (Fonte: pesquisa Skolbot, dezembro 2025). Duplo risco: regulatório (sanções previstas na LGPD incluem multa de até 2% do faturamento, limitada a R$ 50 milhões por infração) e operacional (entregabilidade degradada, métricas falseadas, superfície de ataque ampliada).
Direitos dos candidatos: o que a sua equipe deve saber responder
A LGPD confere diversos direitos aos titulares dos dados (artigo 18). Na prática, quatro são regularmente exercidos por candidatos estudantis.
Direito de acesso (art. 18, II): o candidato pode solicitar quais dados a instituição detém. Resposta obrigatória em prazo razoável (a ANPD recomenda 15 dias úteis), o que implica saber onde estão armazenados (CRM, chatbot, planilhas, emails).
Direito de retificação (art. 18, III): correção de dados inexatos, propagada a todos os sistemas.
Direito ao apagamento (art. 18, VI): eliminação de todos os dados tratados com base no consentimento. Absoluto quando o tratamento se baseia no consentimento e não há obrigação legal de retenção. A eliminação deve ser efetiva em todos os sistemas: CRM, plataforma de email, chatbot, planilhas compartilhadas.
Direito de oposição (art. 18, IV — revogação do consentimento): a revogação do consentimento é absoluta e não exige justificativa. Um candidato que diz "parem de me enviar emails" deve ser removido imediatamente da lista de comunicações.
O caso dos menores
No Brasil, a LGPD estabelece que o tratamento de dados pessoais de crianças (menores de 12 anos) requer consentimento específico de pelo menos um dos pais ou responsável legal (artigo 14, § 1º). Para adolescentes (12–18 anos), o tratamento deve considerar o melhor interesse do menor. Para campanhas de orientação vocacional em escolas de ensino médio e em redes sociais dirigidas a menores de 18 anos, inclua uma pergunta sobre a idade nos seus formulários e tenha preparado um fluxo de consentimento adequado. A Lei 8.069/1990 (ECA — Estatuto da Criança e do Adolescente) reforça essas proteções.
Checklist operacional para equipes de admissões
Coleta de dados
- Cada formulário apresenta a informação obrigatória (identidade do controlador, finalidade, prazo de conservação, direitos do titular)
- As caixas de consentimento não estão pré-marcadas
- Os consentimentos são granulares (um por finalidade)
- O chatbot se identifica como IA e informa que as conversas são gravadas
- Os formulários de feiras incluem avisos de proteção de dados
- Apenas os dados necessários são coletados (princípio da minimização)
Armazenamento e acesso
- Os dados de candidatos estão armazenados em um CRM com controle de acesso baseado em funções
- Nenhuma planilha com dados pessoais circula por email
- Os acessos aos dados são registrados
- Os dados sensíveis (deficiência, situação familiar) estão isolados com acesso restrito
- As senhas do CRM cumprem as recomendações da ANPD (12+ caracteres, MFA ativado)
Conservação e eliminação
- Uma política de conservação está documentada e é aplicada
- A eliminação automática está configurada no CRM
- Os candidatos sem interação durante 12 meses são eliminados ou entram em uma sequência de reativação antes da eliminação
- Os dados de candidaturas rejeitadas são eliminados aos 6 meses
Exercício de direitos
- Um procedimento para tratar pedidos de acesso, retificação e apagamento está documentado
- A equipe de admissões sabe quem contatar internamente
- O prazo de resposta é monitorado e cumprido
- As remoções de marketing são processadas imediatamente
Os cinco erros LGPD mais frequentes nas admissões
Erro 1: a planilha da feira. Coletar 200 emails em uma feira, enviar o arquivo para si mesmo por email e depois importar para o CRM sem consentimento documentado. Tripla infração.
Erro 2: opt-in por padrão. Caixa pré-marcada "Aceito receber comunicações". Consentimento inválido.
Erro 3: conservação infinita. Dados de candidatos de 2019 ainda no CRM. Infração mais métricas falseadas por contatos inativos.
Erro 4: resposta tardia. Um pedido de apagamento circulando entre três departamentos durante três semanas. Prazo razoável ultrapassado.
Erro 5: o chatbot sem aviso. O chatbot coleta nome, email, curso de interesse sem informar sobre o tratamento. Violação do princípio da transparência.
O dividendo da confiança: para além da conformidade
73% dos jovens de 18 a 24 anos declaram que a proteção dos seus dados influencia a escolha de instituição (Fonte: pesquisa Harris Interactive para a CNIL, 2025 — dados consistentes com estudos do INEP e da ABMES no Brasil). A conformidade com a LGPD não é apenas uma obrigação legal — é um sinal de profissionalismo que influencia diretamente a captação de estudantes.
FAQ
O consentimento obtido em uma feira é válido?
Apenas se estiver documentado, for específico e informado. Um scan de crachá ou uma assinatura em um tablet sem menção das finalidades do tratamento não constitui consentimento LGPD válido. Prepare um formulário em papel ou digital com as menções obrigatórias e conserve a prova do consentimento.
Pode-se enviar um email de acompanhamento sem consentimento de marketing?
Sim, em determinados casos, com base no legítimo interesse. Se o candidato iniciou uma inscrição sem completá-la, um email de acompanhamento relacionado com esse processo específico é justificável. Contudo, uma newsletter ou a promoção de outro curso exige consentimento explícito.
O que fazer em caso de vazamento de dados de candidatos?
Notificar a ANPD em prazo razoável se o incidente puder acarretar risco ou dano relevante aos titulares (artigo 48 da LGPD). Informar os candidatos afetados quando o risco for elevado. Documentar o incidente (natureza, dados afetados, medidas tomadas). O procedimento deve ser conhecido por todos os colaboradores com acesso a dados.
Um subcontratado (CRM, fornecedor de chatbot) é responsável em caso de vazamento?
A instituição continua sendo a controladora dos dados. Um contrato com o operador (artigo 39 da LGPD) deve ser assinado com cada fornecedor, especificando medidas de segurança e procedimentos de notificação de incidentes. A responsabilidade solidária entre controlador e operador é prevista nos artigos 42 e 43 da LGPD.
Como capacitar equipes sem DPO interno?
Planeje uma sessão de conscientização de duas horas por ano, centrada em casos práticos (coleta em feiras, formulários, acompanhamentos). Designe um encarregado de proteção de dados (DPO), conforme exige o artigo 41 da LGPD. A ANPD disponibiliza orientações e ferramentas gratuitas especificamente concebidas para organizações que precisam se adequar à legislação.
