ChatGPT
Claude
Perplexity
Gemini
GrokO que a LGPD exige para os seus sistemas de IA
A LGPD (Lei Geral de Proteção de Dados, Lei 13.709/2018) é o principal marco regulatório que rege hoje o uso de sistemas de inteligência artificial em instituições de ensino superior (IES) privadas no Brasil. Em vigor desde setembro de 2020, a LGPD regula qualquer operação de tratamento de dados pessoais — incluindo as realizadas por sistemas automatizados e ferramentas de IA.
A ANPD (Autoridade Nacional de Proteção de Dados) é a autoridade competente para fiscalizar o cumprimento da LGPD e aplicar sanções. A multa máxima por infração é de 2% do faturamento da empresa no Brasil no seu último exercício, limitada a R$ 50 milhões por infração. A ANPD tem intensificado sua atuação fiscalizadora desde 2022, com processos administrativos sancionatórios concluídos em diferentes setores — e o educacional não é exceção.
Obrigações concretas para sistemas de IA nas IES
A LGPD não trata especificamente de inteligência artificial, mas seus princípios — finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação e responsabilização — aplicam-se integralmente ao tratamento automatizado de dados. A ANPD confirmou essa interpretação em suas orientações públicas. As obrigações concretas para uma IES que usa chatbot de admissão, ferramenta de scoring de candidatos ou plataforma de seleção automatizada incluem:
- Aviso de privacidade: obrigatório antes de qualquer coleta de dados. Deve descrever as finalidades do tratamento automatizado, as transferências previstas e os direitos do titular.
- Base legal documentada: todo tratamento de dados por IA deve ter base legal identificada nos termos do artigo 7º (dados comuns) ou artigo 11 (dados sensíveis) da LGPD.
- Artigo 20 — revisão humana: o titular tem direito de solicitar revisão humana de decisões tomadas exclusivamente com base em tratamento automatizado. Nenhuma decisão de admissão, bolsa de estudos ou resultado de processo seletivo pode ser produzida por IA sem que o candidato possa requerer análise por um ser humano.
- Operadores e contratos: todo fornecedor de IA que processa dados em nome da IES é um operador nos termos do artigo 39 da LGPD. O contrato com o operador deve incluir cláusulas de proteção de dados, confidencialidade, segurança e responsabilidades em caso de incidente.
Para os critérios técnicos a exigir dos seus fornecedores de chatbot e IA, consulte nosso guia sobre chatbot RGPD-compliant para escolas.
O Regulamento IA europeu se aplica à sua IES?
O Regulamento IA da UE (Regulamento 2024/1689) não é legislação brasileira — mas tem alcance extraterritorial: aplica-se a qualquer sistema de IA cujos resultados sejam utilizados no território da União Europeia, independentemente de onde o fornecedor ou o usuário está estabelecido. IES brasileiras não são automaticamente imunes.
A tabela abaixo permite ao Encarregado de Dados ou Compliance Officer determinar em quais cenários o Regulamento IA europeu alcança a sua instituição.
| Cenário | Regulamento IA europeu se aplica? | Obrigação prioritária |
|---|---|---|
| IES com campus exclusivo no Brasil, apenas candidatos brasileiros | Não se aplica diretamente | LGPD + ANPD apenas |
| IES que recruta candidatos residentes na UE para graduação ou EAD | Sim, para esses processos específicos | Art. 26 (deployer) + obrigações do Regulamento IA para o sistema usado |
| IES com dupla titulação ou convênio com universidade europeia | Sim, se dados de candidatos com residência na UE são processados | Documentação técnica + supervisão humana para sistemas de alto risco |
| IES que usa fornecedor de IA europeu com servidores na UE | Sim, se o fornecedor está sujeito ao Regulamento IA | Verificar cláusulas de conformidade no contrato com o fornecedor |
| IES com polo de EAD ou representação em país da UE (Portugal, Espanha etc.) | Sim, para operações nessa representação | Obrigações completas de deployer sob o Regulamento IA |
| IES puramente nacional sem vínculos com a UE | Não se aplica | LGPD + boas práticas alinhadas ao Regulamento IA |
Para IES dentro do âmbito do Regulamento IA europeu, a data crítica é 2 de agosto de 2026: nesse dia entram em vigor as obrigações completas para sistemas de alto risco e as obrigações de transparência do artigo 50 para chatbots de risco limitado. A guia de classificação de risco detalhada está disponível em nosso artigo sobre classificação de risco IA para escolas.
Quanto ao PL 2338/2023 — o Marco Legal da IA brasileiro —, em junho de 2026 o projeto ainda aguarda votação no Senado. Seu texto já permite antecipar as principais obrigações: classificação de risco (mínimo, limitado, alto e excessivo), supervisão humana obrigatória para sistemas de alto risco e transparência para sistemas de risco limitado. Adotar suas diretrizes desde já antecipa a conformidade e fortalece a posição da IES perante a ANPD.
Checklist de documentação obrigatória
O checklist a seguir integra as obrigações da LGPD (vigentes) com as do Regulamento IA europeu (aplicáveis se sua IES está dentro de seu âmbito) e antecipa os requisitos do PL 2338/2023. Cada categoria indica o marco que a origina.
1. Aviso de privacidade para sistemas de IA (LGPD)
- ☐ O aviso de privacidade descreve explicitamente o uso de sistemas automatizados no processo de admissão ou de contato com candidatos
- ☐ Estão especificadas as finalidades do tratamento automatizado (responder dúvidas, qualificar candidatos, personalizar comunicações)
- ☐ Constam as transferências de dados a fornecedores de IA — incluindo a localização dos servidores (especialmente relevante para fornecedores nos EUA)
- ☐ O aviso informa como o candidato pode exercer seus direitos, incluindo o direito à revisão humana (art. 20 LGPD)
- ☐ O aviso está disponível em linguagem clara, acessível antes de qualquer interação com sistema de IA
2. Contratos com operadores — fornecedores de IA (LGPD, art. 39)
- ☐ Existe contrato assinado com cada fornecedor de IA que processa dados de candidatos ou alunos
- ☐ O contrato limita o uso dos dados estritamente às finalidades acordadas com a IES
- ☐ Estão incluídas cláusulas de confidencialidade, segurança e notificação obrigatória de incidentes
- ☐ Os suboperadores do fornecedor (provedores de nuvem, APIs de terceiros) estão identificados e cobertos pelo contrato
- ☐ O contrato prevê a exclusão ou devolução dos dados ao término do contrato
3. Identificação do sistema de IA como IA (Regulamento IA europeu, art. 50; PL 2338/2023; princípio de transparência LGPD)
- ☐ O chatbot se identifica claramente como assistente automatizado na primeira mensagem ao usuário
- ☐ O nome do chatbot ou sua interface visual indica de forma inequívoca que não é um ser humano
- ☐ O candidato pode a qualquer momento solicitar atendimento por um consultor humano
- ☐ A identificação como IA está documentada na política de privacidade e nos termos de uso do sistema
4. Documentação técnica do sistema de IA (Regulamento IA europeu, Anexo IV — sistemas de alto risco)
Este bloco aplica-se apenas se sua IES está sujeita ao Regulamento IA europeu e utiliza sistemas de alto risco (scoring de candidatos, seleção automatizada, avaliação com efeitos na admissão). O Anexo III foi prorrogado para 2 de dezembro de 2027 pelo regulamento omnibus de maio de 2026, mas a documentação técnica para sistemas de alto risco fora do Anexo III mantém a data de 2 de agosto de 2026.
- ☐ Descrição geral do sistema: propósito, capacidades, limitações conhecidas
- ☐ Dados de treinamento: fontes, critérios de seleção, medidas de qualidade e eliminação de viés
- ☐ Resultados de testes de viés por gênero, renda familiar, tipo de escola de origem, região geográfica
- ☐ Descrição do sistema de gestão de riscos (art. 9 do Regulamento IA)
- ☐ Descrição das medidas de supervisão humana (art. 14): quem supervisiona, com que frequência, com que capacidade de intervenção
- ☐ Registro de incidentes e ações corretivas adotadas
- ☐ Instruções de uso para a equipe de admissões que opera o sistema
5. Relatório de Impacto à Proteção de Dados — RIPD (LGPD; Regulamento IA europeu, art. 35)
- ☐ Foi verificado se o sistema de IA requer RIPD (critérios ANPD: tecnologia nova, larga escala, dados sensíveis, decisões com impacto significativo)
- ☐ Se aplicável: o RIPD está elaborado, documenta os riscos residuais e as medidas de mitigação
- ☐ O RIPD foi supervisionado pelo Encarregado de Proteção de Dados antes da implantação do sistema
- ☐ Se o risco residual é alto: a ANPD foi consultada (boa prática recomendada) ou a autoridade europeia competente foi notificada (obrigatório sob Regulamento IA)
6. Mapeamento de tratamentos (LGPD)
- ☐ Registro atualizado de todos os sistemas de IA em uso: chatbot, CRM com scoring, plataforma de admissão, proctoring de EAD, ferramentas de análise de candidatos
- ☐ Para cada sistema: dados tratados, base legal, finalidades, prazo de retenção, destinatários, transferências internacionais
- ☐ O Encarregado de Proteção de Dados tem acesso ao mapeamento e o revisa pelo menos anualmente
7. Procedimento de exercício de direitos (LGPD, art. 18 e art. 20)
- ☐ O candidato pode exercer seus direitos por canal claro e acessível (formulário web, e-mail, módulo no site)
- ☐ O prazo de resposta às solicitações é de 15 dias (LGPD, art. 19)
- ☐ O processo inclui a revisão humana de decisões automatizadas quando requerida pelo titular (art. 20)
- ☐ A supresão de dados cobre todos os sistemas: chatbot, CRM, plataforma de admissão e analytics nominativas
Calendário e prazos para a sua IES
| Data | Obrigação | Marco regulatório | Status recomendado |
|---|---|---|---|
| Desde setembro de 2020 | LGPD em vigor: base legal, aviso de privacidade, direitos dos titulares, contratos com operadores | LGPD | Deve estar cumprido |
| 2 de agosto de 2026 | Transparência de chatbots (art. 50), obrigações completas para sistemas de alto risco (exceto Anexo III) | Regulamento IA europeu | Completar antes de 2 agosto |
| 2 de dezembro de 2027 | Documentação técnica completa para IA de alto risco em educação (Anexo III, prorrogado pelo omnibus de maio de 2026) | Regulamento IA europeu — Anexo III | Planejar durante 2026-2027 |
| Aguardando votação no Senado | PL 2338/2023 — Marco Legal da IA: classificação de risco, supervisão humana, transparência | Legislação brasileira | Monitorar e antecipar |
| Permanente | Atualização do mapeamento de tratamentos, revisão de contratos, auditorias anuais | LGPD + Regulamento IA | Processo contínuo |
A prorrogação do Anexo III — que inclui sistemas de IA em educação — para 2 de dezembro de 2027 foi introduzida pelo regulamento omnibus de maio de 2026. No entanto, as obrigações do artigo 50 (transparência de chatbots de risco limitado) e as obrigações gerais para sistemas de alto risco fora do Anexo III mantêm a data de 2 de agosto de 2026. É essencial não confundir os dois marcos temporais ao elaborar o plano de conformidade da IES.
O impacto prático para o seu chatbot de admissões
Um chatbot de admissões é simultaneamente o canal de maior eficiência no atendimento a candidatos e o ponto onde a IES está mais exposta às obrigações de conformidade da LGPD — e, se aplicável, do Regulamento IA europeu. A boa notícia: um chatbot bem configurado não exige adicionar atrito à experiência do candidato para cumprir com a regulação.
72% das perguntas feitas aos chatbots de instituições de ensino são FAQ simples automatizáveis (Fonte: análise Skolbot, 12.000 conversas, 2025-2026). A grande maioria das interações — mensalidades em reais, datas de inscrição para o vestibular, requisitos de graduação, mestrado ou especialização, processo de ENEM/SISU/FIES/PROUNI — é resolvida sem que o candidato forneça dados sensíveis ou seja submetido a decisões automatizadas com efeitos significativos. Para essas interações, a documentação exigida é mínima: aviso de privacidade claro, identificação como IA, canal de contato humano disponível.
Um chatbot de IA responde em 3 segundos, 24 horas por dia, contra 72 horas para um formulário de contato (Fonte: análise Skolbot, 12.000 conversas, 2025-2026). Esse diferencial de tempo de resposta tem impacto direto na taxa de conversão de prospectos em candidatos inscritos. A conformidade regulatória bem desenhada não compromete essa vantagem. Um aviso de abertura do tipo «Sou o assistente automatizado de [Instituição]. Seus dados são tratados conforme nossa [política de privacidade]. Como posso ajudar?» cobre simultaneamente as obrigações de transparência da LGPD e do artigo 50 do Regulamento IA europeu — em menos de 20 palavras.
Para a guia completa de proteção de dados de candidatos sob a LGPD, consulte nosso recurso dedicado a dados estudantis.
Perguntas frequentes
O Regulamento IA europeu obriga IES brasileiras sem vínculos com a UE?
Não. O Regulamento IA europeu só se aplica quando os resultados de um sistema de IA são utilizados no território da União Europeia. Uma IES brasileira que recruta exclusivamente candidatos brasileiros para programas ministrados no Brasil, sem filiais nem representações na UE e sem processar dados de residentes europeus, não está sob o âmbito de aplicação do regulamento. A avaliação dos vínculos institucionais — parcerias com universidades europeias, programas de EAD acessíveis a candidatos da UE, fornecedores de IA com sede na Europa — deve ser feita caso a caso com assessoria jurídica especializada.
O que a LGPD exige especificamente para um chatbot de admissão?
A LGPD exige: base legal documentada para o tratamento de dados iniciado pelo chatbot (geralmente execução de contrato preliminar ou legítimo interesse, conforme art. 7º), aviso de privacidade acessível antes da primeira interação, contrato com o operador (fornecedor do chatbot), mapeamento do tratamento no registro interno, e mecanismo para que o candidato exerça seus direitos. O direito à revisão humana (art. 20) aplica-se se o chatbot influenciar decisões com efeitos significativos sobre o candidato. O RIPD é recomendado para chatbots que processam dados de grande volume de candidatos com tecnologia nova.
Qual é a diferença prática entre chatbot de admissão (risco limitado) e sistema de scoring de candidatos (alto risco)?
Um chatbot que responde dúvidas sobre mensalidades, vestibular, graduação, mestrado ou PROUNI é um sistema de risco limitado sob o Regulamento IA europeu e sob o PL 2338/2023: sua principal obrigação adicional é identificar-se como IA. Um sistema que classifica, pontua ou filtra candidatos automaticamente e cujos resultados influenciam a decisão de admissão é de alto risco: exige documentação técnica completa, gestão de riscos, supervisão humana obrigatória e, a partir de 2 de dezembro de 2027, conformidade com o Anexo III do Regulamento IA europeu. A distinção prática é se o sistema produz ou influencia decisões com efeitos significativos sobre direitos do candidato.
O que acontece se a IES não garantir revisão humana para sistemas de seleção automatizada?
A IES estará em violação do artigo 20 da LGPD, que já está em vigor. A ANPD pode instaurar processo administrativo, aplicar advertência, determinar bloqueio de dados e impor multa de até 2% do faturamento da instituição (máximo R$ 50 milhões por infração). Além da sanção administrativa, há risco de ação civil por candidatos prejudicados por decisões exclusivamente automatizadas. Com a eventual aprovação do PL 2338/2023, a ausência de supervisão humana em sistemas de alto risco terá enquadramento regulatório ainda mais explícito e penalidades adicionais previstas.
Avalie gratuitamente a visibilidade IA da sua IES Teste o Skolbot na sua IES em 30 segundos
Este artigo tem caráter informativo geral e não constitui consultoria jurídica. Para decisões sobre as obrigações específicas da sua IES perante a LGPD, o PL 2338/2023 e o Regulamento IA europeu, consulte o Encarregado de Proteção de Dados da sua instituição ou um profissional especializado em direito de proteção de dados.
