ChatGPT
Claude
Perplexity
Gemini
GrokO que é o Registro de Operações de Tratamento e por que a sua IES precisa dele agora
O artigo 37 da Lei Geral de Proteção de Dados (LGPD, Lei 13.709/2018) é direto: "O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse." Esta não é uma recomendação de boas práticas — é uma obrigação legal com força imediata.
Para uma instituição de ensino superior privada no Brasil, o registro de tratamentos é o documento central de conformidade com a LGPD. Ele demonstra que a IES sabe quais dados pessoais coleta, por que os coleta, com base em qual norma legal, por quanto tempo os retém e com quem os compartilha. Sem esse documento, qualquer notificação da ANPD (Autoridade Nacional de Proteção de Dados) pode evoluir rapidamente para uma sanção administrativa.
A ANPD pode solicitar o registro a qualquer momento — seja em inspeção rotineira, seja em decorrência de uma reclamação de candidato ou aluno. A ausência ou insuficiência do registro é considerada, na jurisprudência regulatória emergente, um indício de que a instituição não exerce controle efetivo sobre seus tratamentos de dados. O impacto reputacional sobre IES privadas — que dependem da confiança de famílias para sustentar suas mensalidades — pode ser significativo.
Para o contexto geral de proteção de dados no ensino superior brasileiro, consulte nosso guia completo LGPD e dados estudantis.
Quem está obrigado: controladores e operadores em uma IES privada
A obrigação do artigo 37 recai sobre dois agentes distintos:
O controlador é a IES privada. Ela determina as finalidades e os meios do tratamento de dados de candidatos, alunos, professores e colaboradores. Faculdades isoladas, centros universitários e universidades privadas — independentemente do porte — são controladores sob a LGPD. Grupos educacionais como Cogna/Kroton, Ânima ou Cruzeiro do Sul, que operam múltiplas entidades jurídicas, devem manter registros tanto a nível corporativo quanto por entidade individual.
O operador é qualquer empresa que trate dados pessoais em nome da IES — por instrução e sob a autoridade do controlador. Para uma IES privada típica em 2026, os operadores incluem:
- Fornecedor de CRM de captação (ex.: Salesforce, RD Station, HubSpot)
- Plataforma de e-mail marketing (ex.: Mailchimp, ActiveCampaign, Brevo)
- Fornecedor de chatbot de IA (ex.: Skolbot, Drift, Intercom)
- Sistema de Gestão Acadêmica — SGA (ex.: Totvs, Lyceum, Sophia)
- Plataforma de Aprendizado (LMS) para EAD (ex.: Moodle, Blackboard, Canvas)
- Processador de pagamentos de mensalidades e taxas de inscrição
O artigo 39 da LGPD exige que o operador trate os dados pessoais apenas conforme as instruções do controlador e mantenha sigilo. Isso precisa estar formalizado em contrato — uma cláusula genérica de confidencialidade não é suficiente.
As categorias de dados que uma IES trata: mapeamento completo
Antes de montar o registro, é preciso mapear todos os fluxos de dados da instituição. As IES privadas no Brasil tratam dados em ao menos quatro grandes categorias de titulares.
Candidatos — inscrição, vestibular próprio e ENEM/SISU
Este é o fluxo mais crítico do ponto de vista de volume e variedade. Uma IES que recebe inscrições via vestibular próprio, ENEM/SISU, PROUNI ou FIES coleta, em diferentes momentos:
- Dados de identificação: nome completo, CPF, RG, data de nascimento
- Dados de contato: e-mail, telefone celular, endereço residencial
- Dados acadêmicos: nota do ENEM, histórico escolar, curso de interesse
- Dados socioeconômicos (para PROUNI/FIES): renda familiar per capita, composição do núcleo familiar, dados bancários
- Dados de saúde ou deficiência: laudos para adaptação de prova, comprovantes de deficiência para cotas específicas
O fluxo do SISU é um caso específico: o MEC transfere à IES os dados dos candidatos aprovados na lista de chamada. A base legal para esse fluxo é o cumprimento de obrigação legal (artigo 7.º, II da LGPD), e o registro de tratamentos deve refletir essa especificidade.
Alunos matriculados
Após a matrícula, o universo de dados amplia-se consideravelmente: contrato de prestação de serviços educacionais, histórico acadêmico, registros de presença, dados do serviço de assistência estudantil (incluindo dados sensíveis de saúde e situação socioeconômica), dados financeiros de mensalidades e parcelamentos, e registros de atividades de extensão e pesquisa.
Prospecção e marketing de captação
A equipe de captação e marketing trata dados de prospectos — pessoas que ainda não iniciaram uma inscrição, mas demonstraram interesse. Esses dados chegam por múltiplos canais: formulários de contato no site institucional, inscrições em dias abertos, downloads de materiais com identificação, participação em feiras educacionais como ENEM+Faculdade, e interações com redes sociais nos perfis institucionais.
Chatbot de IA — um operador com obrigações específicas
O chatbot de IA responde automaticamente a 72% das perguntas dos candidatos — perguntas sobre mensalidades, prazos de inscrição, grades curriculares, modalidades EAD — enquanto apenas 7% das interações requerem intervenção humana (Fonte: Análise Skolbot, 12.000 conversas, 2025). Isso representa uma enorme produtividade para as equipes de captação, mas também um fluxo de dados pessoais que deve estar integralmente documentado no registro de tratamentos.
Cada conversa de chatbot gera dados pessoais: nome fornecido voluntariamente, e-mail para continuidade do contato, curso de interesse, perguntas sobre situação financeira ou disponibilidade de bolsas. O fornecedor do chatbot é um operador nos termos do artigo 39 da LGPD, e o contrato com ele deve especificar: finalidades permitidas para o tratamento, proibição de uso para fins próprios do operador, obrigação de eliminação ao término do prazo de retenção, e medidas de segurança adotadas.
Se o chatbot utilizar técnicas de inteligência artificial para personalizar respostas, fazer triagem de candidatos ou inferir perfil de interesse, a IES deve avaliar a necessidade de um Relatório de Impacto à Proteção de Dados (RIPD) nos termos do artigo 38 da LGPD.
Modelo de Registro de Operações de Tratamento: tabela completa para IES privadas
O modelo abaixo cobre as principais operações de tratamento de uma IES privada brasileira. Cada linha do registro corresponde a uma operação distinta. O encarregado da IES deve revisar e adaptar o modelo à realidade específica da instituição.
| Operação de Tratamento | Finalidade | Base Legal LGPD | Categorias de Dados | Operadores Terceiros | Prazo de Retenção | Transferência Internacional |
|---|---|---|---|---|---|---|
| Formulário de inscrição — vestibular próprio | Processo seletivo de candidatos | Art. 7.º, V (execução de contrato/pré-contrato) | Identificação, contato, histórico escolar, dados de saúde/deficiência (se aplicável) | SGA; plataforma de inscrição online | 2 anos após decisão (não aprovado); duração do curso (matriculado) + 5 anos | Não (salvo SGA em nuvem fora do BR) |
| Inscrição via ENEM/SISU | Seleção de candidatos aprovados pelo MEC | Art. 7.º, II (obrigação legal) | Dados MEC: nome, CPF, nota ENEM, curso, modalidade | MEC/INEP; SGA | Duração do curso + 5 anos | Não |
| Prospecção via chatbot de IA | Captação de leads; resposta a dúvidas de candidatos | Art. 7.º, IX (legítimo interesse) | Nome, e-mail, telefone, curso de interesse, perguntas formuladas | Fornecedor de chatbot de IA | 3 anos a partir do último contato ativo | Possível (se servidor fora do BR — documentar Art. 33) |
| CRM de captação e nutrição por e-mail | Marketing de captação; nurturing de prospectos | Art. 7.º, IX (legítimo interesse) | Nome, e-mail, telefone, histórico de interações, origem do lead | CRM (ex.: RD Station); plataforma de e-mail | 3 anos a partir do último contato ativo | Possível (documentar Art. 33) |
| Inscrição em dia aberto / evento | Gestão de evento; acompanhamento de prospectos | Art. 7.º, IX (legítimo interesse) | Nome, e-mail, telefone, curso de interesse | CRM de captação; plataforma de eventos | 3 anos sem conversão | Não |
| Dados financeiros — mensalidades e FIES | Gestão de contrato; cobrança; cumprimento FIES/MEC | Art. 7.º, II e V (obrigação legal; contrato) | Dados bancários, renda familiar, histórico de pagamentos, CPF | Processador de pagamentos; Caixa Econômica Federal (FIES) | 10 anos (CTN) | Não |
| Prontuário acadêmico do aluno | Registro oficial de vida acadêmica; relatórios MEC/INEP | Art. 7.º, II e V (obrigação legal; contrato) | Histórico, notas, presença, TCC, diplomas | SGA; MEC/INEP (Censo) | 5 anos após conclusão/desligamento (normativa MEC) | Não |
| Assistência estudantil e dados de saúde | Suporte ao aluno; inclusão; acessibilidade | Art. 11.º, II (obrigação legal; proteção da saúde) | Dados sensíveis: saúde, deficiência, situação socioeconômica | Serviço médico terceirizado (se houver) | Duração do vínculo + 5 anos | Não |
| Analytics e cookies do site institucional | Análise de audiência; otimização de conversão | Art. 7.º, I (consentimento via banner de cookies) | IP, navegador, páginas visitadas, origem do tráfego | Google Analytics; plataforma de anúncios | 13 meses | Sim (documentar Art. 33) |
| Videomonitoramento do campus | Segurança patrimonial e de pessoas | Art. 7.º, IX (legítimo interesse) | Imagens com dados biométricos potenciais | Empresa de segurança terceirizada | 30 dias (sobrescrição automática) | Não |
Como usar esta tabela: cada operação listada deve ser individualizada na planilha interna da sua IES. Adicione uma coluna de "Medidas de Segurança" (criptografia, controle de acesso, anonimização) e uma coluna de "Data da Última Revisão". A ANPD não exige formato padronizado, mas espera que o registro seja completo, atualizado e acessível ao encarregado.
Bases legais da LGPD mais utilizadas em IES privadas
Diferente do contexto europeu (RGPD), a LGPD prevê dez hipóteses de bases legais no artigo 7.º. Para IES privadas, três são centrais:
Consentimento (Art. 7.º, I): o titular fornece declaração livre, informada e inequívoca. É a base aplicável para cookies não essenciais, envio de e-mails marketing para prospectos que não tiveram contato prévio, e tratamento de dados sensíveis fora das hipóteses específicas do artigo 11.º. O consentimento deve ser documentado com data, versão do texto e canal de coleta. Ele pode ser revogado a qualquer momento — e a IES deve ter mecanismo operacional para honrar essa revogação.
Execução de contrato ou procedimentos preliminares (Art. 7.º, V): abrange o tratamento de dados necessário para formalizar a matrícula, executar o contrato de prestação de serviços educacionais, ou atender à solicitação do candidato antes da contratação. É a base para o processamento de dados de inscrição no vestibular próprio — o candidato solicita a participação no processo seletivo, que é pré-contratual.
Legítimo interesse (Art. 7.º, IX): permite tratamento quando necessário para os interesses legítimos do controlador ou de terceiros, desde que não prevaleçam os direitos e liberdades dos titulares. É a base mais invocada para prospecção e marketing de captação. A LGPD exige que o legítimo interesse seja documentado — a IES deve ser capaz de demonstrar o teste de balanceamento (interesse legítimo vs. impacto nos direitos do titular). O registro de tratamentos é o local natural para essa documentação.
Atenção especial para dados sensíveis (saúde, deficiência, dados biométricos, situação socioeconômica): o artigo 11.º da LGPD impõe bases legais específicas e mais restritivas. O consentimento específico e destacado, ou o cumprimento de obrigação legal, são as hipóteses mais aplicáveis em contexto educacional.
O papel do encarregado na manutenção do registro
O encarregado de proteção de dados — equivalente ao DPO europeu, mas denominado pela LGPD — é o responsável primário pela manutenção e atualização do registro de tratamentos. O artigo 41 da LGPD determina que toda IES com volume significativo de dados pessoais sensíveis deve indicar formalmente um encarregado e publicar seus dados de contato no site institucional.
Na prática, o encarregado deve:
- Revisar o registro ao menos uma vez por ano, ou sempre que um novo tratamento for implementado (novo fornecedor, novo sistema, nova campanha de captação)
- Validar os contratos com operadores antes da implementação de qualquer nova ferramenta digital que trate dados pessoais
- Conduzir o RIPD para tratamentos de alto risco — incluindo chatbots com IA, ferramentas de scoring de candidatos, ou sistemas de videomonitoramento biométrico
- Servir de interface com a ANPD em caso de notificação, fiscalização ou incidente de segurança
IES privadas de menor porte (até 500 alunos) podem considerar a contratação de um encarregado externo, com custo entre R$ 3.000 e R$ 8.000/mês, como alternativa ao encarregado interno CLT. O custo precisa ser ponderado frente às sanções da ANPD: multa de até 2% do faturamento, limitada a R$ 50 milhões por infração — sem contar o impacto sobre a reputação da instituição junto a famílias e candidatos.
Transferência internacional de dados: um risco invisível para IES privadas
A maioria das IES privadas utiliza, em 2026, ao menos um fornecedor com servidores fora do Brasil: Google Analytics, plataformas de e-mail marketing norte-americanas, CRMs hospedados nos EUA, ou chatbots com infraestrutura em nuvem europeia. O artigo 33 da LGPD estabelece que a transferência internacional de dados pessoais só é permitida em situações específicas — entre elas, países com grau adequado de proteção reconhecido pela ANPD, ou mediante garantias contratuais específicas (cláusulas padrão ou regras corporativas globais).
A coluna de "Transferência Internacional" no registro de tratamentos não é decorativa — ela obriga a IES a investigar onde cada operador processa e armazena os dados. Contratos de DPA (Data Processing Agreement) com fornecedores internacionais devem ser revisados pelo encarregado e arquivados junto ao registro. Para o fluxo completo de orientações sobre transferências internacionais, consulte nosso guia sobre transferência de dados de candidatos fora do Brasil.
Sanções da ANPD: o que está em jogo
A ANPD tem intensificado sua atuação desde 2022, com processos administrativos sancionatórios concluídos em diferentes setores. Para IES privadas, os riscos são proporcionalmente elevados:
- Multa simples: até 2% do faturamento da entidade no Brasil no último exercício, limitada a R$ 50 milhões por infração
- Multa diária: com o mesmo teto, até cessação da irregularidade
- Publicização da infração: decisão divulgada publicamente, com impacto direto sobre a reputação da IES junto a candidatos, alunos e suas famílias
- Bloqueio ou eliminação dos dados: a ANPD pode determinar a suspensão do tratamento ou a eliminação dos dados irregularmente tratados
- Proibição parcial ou total do tratamento: em casos graves, a IES pode ser impedida de tratar determinadas categorias de dados
A ausência de registro de tratamentos é tratada pela ANPD como indicativo de descumprimento sistêmico — não apenas pontual. Em processos administrativos, a presença de um registro atualizado, com encarregado designado e contratos com operadores revisados, é o primeiro elemento de boa-fé que a autoridade verifica.
Checklist de implementação: primeiros passos práticos
Para IES que ainda não possuem registro de tratamentos estruturado, o caminho de implementação pode ser organizado em três etapas:
Etapa 1 — Mapeamento (2 a 4 semanas): levantar todos os sistemas que tratam dados pessoais, todos os fornecedores (operadores) e todos os fluxos de transferência de dados — incluindo transferências entre departamentos internos e para terceiros. Entrevistar coordenadores de admissões, TI, marketing, financeiro e assistência estudantil.
Etapa 2 — Documentação (2 a 3 semanas): preencher o registro de tratamentos com base no mapeamento. Identificar lacunas de base legal, prazos de retenção não definidos e contratos com operadores inexistentes ou incompletos. O modelo da tabela desta página é um ponto de partida, não um destino.
Etapa 3 — Regularização e manutenção (contínua): corrigir as lacunas identificadas: atualizar contratos com operadores, implementar avisos de privacidade nos pontos de coleta, configurar rotinas de eliminação automatizada no CRM, e definir o processo de atualização periódica do registro.
O encarregado — interno ou externo — deve revisar e assinar o registro ao final de cada etapa e assumir a responsabilidade pela sua manutenção contínua.
Solicitar uma demonstração personalizadaPerguntas frequentes
O artigo 37 da LGPD é obrigatório para IES privadas de qualquer porte?
Sim. O artigo 37 não prevê dispensa por porte da instituição — ao contrário da Resolução CD/ANPD nº 2/2022, que flexibilizou algumas obrigações para agentes de tratamento de pequeno porte, mas não eliminou a exigência de registro de tratamentos para entidades que processam dados pessoais sensíveis em escala. Uma IES privada que trata dados de saúde, dados socioeconômicos e dados de menores de 18 anos (candidatos do ensino médio) não se qualifica como agente de pequeno porte para fins de dispensa do registro. A obrigação é universal para o setor.
Quais são as bases legais aplicáveis ao tratamento de dados de candidatos no processo seletivo?
As principais bases legais para o processo seletivo são o artigo 7.º, V (execução de contrato ou procedimentos preliminares a pedido do titular — aplicável ao vestibular próprio e inscrição direta) e o artigo 7.º, II (cumprimento de obrigação legal — aplicável ao fluxo ENEM/SISU/PROUNI regulado pelo MEC). Para a etapa de captação e prospecção anterior à inscrição formal, o artigo 7.º, IX (legítimo interesse) é a base mais utilizada, desde que devidamente fundamentado no registro de tratamentos. O consentimento (Art. 7.º, I) é necessário para o tratamento de dados sensíveis fora das hipóteses específicas do artigo 11.º e para o envio de comunicações de marketing a prospectos sem relação prévia.
A IES precisa indicar um encarregado (DPO) para manter o registro?
Sim, para a grande maioria das IES privadas. O artigo 41 da LGPD obriga o controlador a indicar um encarregado. Embora a Resolução ANPD nº 2/2022 tenha criado flexibilização para agentes de pequeno porte, uma IES que processa dados sensíveis de saúde, deficiência e situação socioeconômica de centenas ou milhares de candidatos e alunos não se enquadra nessa dispensa. O encarregado deve ser identificado publicamente no site da instituição, com nome e e-mail de contato. Para a análise completa das obrigações e custos do encarregado externo, consulte nosso artigo específico sobre encarregado externo para IES privadas.
Por quanto tempo devemos manter os dados de candidatos não matriculados?
As orientações da ANPD, alinhadas ao artigo 16 da LGPD e às boas práticas internacionais, apontam 3 anos a partir do último contato ativo como prazo máximo razoável para dados de prospecção e captação. Para candidatos que se inscreveram formalmente em processo seletivo mas não foram aprovados ou desistiram, o prazo é de 2 anos a partir da decisão — suficiente para cobrir eventuais contestações ao processo seletivo. Esses prazos devem estar explicitamente documentados no registro de tratamentos e refletidos nas políticas de retenção dos sistemas de CRM e SGA. Consulte nosso guia detalhado sobre prazos de retenção de dados de candidatos sob a LGPD para a tabela completa por categoria de dado.
O chatbot de IA deve constar do registro de tratamentos?
Sim, obrigatoriamente. O chatbot de IA é um operador de dados pessoais nos termos da LGPD: trata dados de candidatos (nome, e-mail, curso de interesse, perguntas formuladas) por instrução e em benefício da IES controladora. O registro de tratamentos deve conter uma linha específica para as operações de tratamento realizadas via chatbot, incluindo: finalidade (captação, atendimento de dúvidas), base legal (legítimo interesse, com fundamentação), categorias de dados tratados, prazo de retenção dos logs de conversa, identificação do fornecedor como operador, e indicação de eventual transferência internacional de dados (se os servidores do chatbot estiverem fora do Brasil). O contrato com o fornecedor do chatbot deve ser revisado pelo encarregado e arquivado junto ao registro. Se o chatbot utilizar IA para personalização ou triagem de candidatos, avalie a necessidade de RIPD.
Este artigo tem caráter informativo geral e não constitui consultoria jurídica. Para decisões sobre as obrigações específicas da sua IES perante a LGPD, consulte um profissional especializado em direito de proteção de dados ou o seu encarregado indicado.
Para aprofundar a conformidade da sua IES, consulte também nosso guia completo LGPD e dados estudantis, o guia sobre prazos de retenção de dados de candidatos e o artigo sobre o encarregado externo para IES privadas.
Fontes e referências:
