skolbot.Chatbot IA para escolas
ProdutoPreços
Demo gratuita
Demo gratuita
Guia LGPD para a proteção de dados de estudantes no ensino superior
  1. Início
  2. /Blog
  3. /Conformidade
  4. /LGPD e dados de estudantes: guia completo para instituições de ensino superior
Voltar ao blog
Conformidade15 min read

LGPD e dados de estudantes: guia completo para instituições de ensino superior

Tudo o que as instituições de ensino superior brasileiras precisam saber sobre a LGPD aplicada aos dados de estudantes: bases legais, consentimento, DPO, IA e obrigações regulatórias.

S

Equipa Skolbot · 23 de janeiro de 2026

Resumir este artigo com

ChatGPTChatGPTClaudeClaudePerplexityPerplexityGeminiGeminiGrokGrok

Índice

  1. 01A LGPD se aplica a cada dado que a sua instituição coleta sobre um candidato ou estudante
  2. 02Categorias de dados pessoais tratados por uma instituição
  3. Dados dos candidatos (pré-matrícula)
  4. Dados dos estudantes matriculados
  5. Dados dos alumni
  6. 03Bases legais aplicáveis no ensino superior
  7. As 10 bases legais da LGPD e sua aplicação às instituições
  8. Erro frequente: o consentimento como base padrão
  9. 04O consentimento no contexto educativo
  10. Consentimento de menores
  11. Consentimento e chatbot com IA
  12. 05Direitos dos titulares dos dados
  13. Os direitos que a sua instituição deve garantir
  14. A eliminação em cascata: um desafio técnico
  15. 06O DPO: papel e obrigações para as instituições
  16. Quando é obrigatória a indicação de um Encarregado (DPO)?
  17. DPO interno ou externo?
  18. 07IA no ensino superior: regulamentação e boas práticas
  19. O cenário regulatório da IA no Brasil
  20. Boas práticas para instituições brasileiras
  21. 08O contexto regulatório brasileiro
  22. ANPD — Autoridade Nacional de Proteção de Dados
  23. ENEM, SISU e vestibulares: fluxo de dados na admissão
  24. Código de Defesa do Consumidor (CDC) e ensino privado
  25. 09Segurança dos dados: medidas técnicas e organizativas
  26. O princípio da minimização
  27. Medidas técnicas indispensáveis
  28. Relatório de Impacto à Proteção de Dados Pessoais (RIPD)

A LGPD se aplica a cada dado que a sua instituição coleta sobre um candidato ou estudante

Desde setembro de 2020, a Lei Geral de Proteção de Dados (LGPD — Lei 13.709/2018) regula todo o tratamento de dados pessoais no Brasil. Para uma instituição de ensino superior, o escopo vai muito além do processo de matrícula: formulários de contato, interações com chatbot, analytics do site, inscrições em vestibulares e dias abertos, resultados acadêmicos, dados de saúde e até fotografias de eventos no campus.

O descumprimento não é um risco teórico. A ANPD (Autoridade Nacional de Proteção de Dados) tem intensificado a sua atuação fiscalizadora e já aplicou sanções administrativas a organizações em diferentes setores. As penalidades previstas na LGPD — multa de até 2% do faturamento, limitada a R$ 50 milhões por infração — tornam os riscos tangíveis para qualquer instituição.

Este guia cobre as obrigações concretas para as instituições de ensino superior no Brasil: tipos de dados, bases legais, consentimento, direitos dos titulares, papel do Encarregado de Proteção de Dados (DPO), e as implicações do uso de inteligência artificial em ferramentas de admissão e chatbots.

Categorias de dados pessoais tratados por uma instituição

Dados dos candidatos (pré-matrícula)

Os dados coletados antes da matrícula constituem o primeiro perímetro LGPD de uma instituição:

  • Dados de identificação — nome, e-mail, número de celular, CPF, coletados através de formulários de contato, chatbot ou inscrição em vestibulares e processos seletivos
  • Dados de navegação — páginas visitadas, tempo de permanência, origem do tráfego, coletados pelo Google Analytics ou ferramentas equivalentes
  • Dados conversacionais — perguntas feitas ao chatbot, histórico de conversação, idioma utilizado
  • Dados de candidatura — currículo, carta de motivação, histórico escolar, nota do ENEM, documentos de identificação

89% dos candidatos perguntam sobre as mensalidades e 78% se informam sobre estágios ou programas de empregabilidade (Fonte: análise de 12.000 conversas de chatbot Skolbot, set. 2025 — fev. 2026). Essas interações constituem dados pessoais assim que um identificador (nome, e-mail, CPF) é associado à conversa.

Dados dos estudantes matriculados

Após a matrícula, o estudante gera um volume de dados consideravelmente maior:

  • Dados acadêmicos — notas, frequência, progressão, diplomas
  • Dados financeiros — mensalidades, planos de pagamento, bolsas (PROUNI, FIES, bolsas institucionais)
  • Dados de vida no campus — acesso a prédios (carteirinha de estudante), restaurante universitário, moradia estudantil
  • Dados sensíveis — deficiência, situação socioeconômica, dados de saúde (serviços de assistência estudantil, núcleo de acessibilidade)

Os dados sensíveis (artigo 11 da LGPD) exigem proteções reforçadas: base legal específica, limitação estrita do acesso e proibição de tratamento automatizado para efeitos de tomada de decisão discriminatória.

Dados dos alumni

O tratamento de dados de alumni (diretório, doações, eventos de networking) requer uma base legal distinta da utilizada durante a formação. O consentimento dado para a matrícula não cobre automaticamente o contato pós-formatura.

Bases legais aplicáveis no ensino superior

As 10 bases legais da LGPD e sua aplicação às instituições

A LGPD (artigo 7º) define dez bases legais para o tratamento de dados pessoais. No ensino superior, quatro são utilizadas de forma predominante:

  • Execução de contrato (artigo 7º, V) — A base mais sólida para os dados relacionados com a matrícula, a formação e a cobrança de mensalidades. O contrato de prestação de serviços educacionais justifica o tratamento dos dados necessários à sua execução.

  • Legítimo interesse (artigo 7º, IX) — Aplicável ao marketing de captação (envio de materiais, follow-ups) e à analytics do site. Exige um relatório de impacto documentado: o interesse da instituição não deve prevalecer sobre os direitos do titular. A ANPD recomenda documentação formal dessa análise para cada tratamento.

  • Consentimento (artigo 7º, I) — Exigido para newsletters de marketing, cookies não essenciais e compartilhamento de dados com terceiros. O consentimento deve ser livre, específico, informado e inequívoco. Um formulário de contato com uma caixa pré-marcada "Desejo receber comunicações" não constitui consentimento válido.

  • Cumprimento de obrigação legal ou regulatória (artigo 7º, II) — Abrange a transmissão de dados ao MEC (Ministério da Educação), ao INEP (Instituto Nacional de Estudos e Pesquisas Educacionais) para o Censo da Educação Superior, e a conservação de diplomas durante o prazo legal conforme a LDB (Lei 9.394/1996).

Erro frequente: o consentimento como base padrão

Muitas instituições utilizam o consentimento como base legal única para todos os tratamentos. É um erro estratégico. O consentimento é revogável a qualquer momento (artigo 8º, § 5º), o que significa que, se um estudante revogar o consentimento, a instituição perde o direito de tratar os seus dados — incluindo os necessários à sua formação.

A abordagem correta: utilizar a execução do contrato para os tratamentos ligados à formação, a obrigação legal para as transmissões regulatórias, o legítimo interesse para a captação (com relatório de impacto documentado) e o consentimento apenas para o marketing e os cookies.

O consentimento no contexto educativo

Consentimento de menores

A LGPD (artigo 14) estabelece que o tratamento de dados pessoais de crianças e adolescentes deve ser realizado em seu melhor interesse, com consentimento específico de pelo menos um dos pais ou responsável legal. No ensino superior, a maioria dos candidatos é maior de idade (18 anos), mas cursos técnicos e programas de acesso especial podem incluir candidatos menores de 18 anos.

Para candidatos menores: o consentimento dos pais ou responsáveis legais é necessário para qualquer tratamento baseado no consentimento (newsletter de marketing, cookies de marketing). Os formulários devem prever um mecanismo de verificação (e-mail dos responsáveis, dupla confirmação).

Consentimento e chatbot com IA

Um chatbot com IA que colete dados pessoais deve informar o candidato antes do início da conversa:

  • Que está interagindo com uma inteligência artificial (obrigação de transparência)
  • Quais os dados coletados e para que finalidade
  • Como exercer os seus direitos (acesso, retificação, eliminação)
  • O prazo de conservação das conversas

Um banner informativo ao iniciar o chatbot, com link para a política de privacidade, cumpre essa obrigação. O chatbot não deve condicionar o acesso à informação ao fornecimento de dados pessoais: um candidato deve poder fazer perguntas sobre os cursos sem informar o nome ou o e-mail.

Direitos dos titulares dos dados

Os direitos que a sua instituição deve garantir

A LGPD (artigo 18) confere aos titulares dos dados (candidatos, estudantes, alumni) direitos fundamentais. A sua instituição deve dispor de procedimentos operacionais para responder a cada um em prazo razoável:

  • Direito de acesso (artigo 18, II) — O estudante pode solicitar a confirmação da existência de tratamento e o acesso a todos os dados que a instituição detém sobre ele.
  • Direito de retificação (artigo 18, III) — Correção de dados incompletos, inexatos ou desatualizados.
  • Direito de eliminação (artigo 18, VI) — Eliminação dos dados pessoais tratados com base no consentimento. Limitado pelas obrigações legais de conservação (diplomas, contabilidade).
  • Direito à portabilidade (artigo 18, V) — Transferência dos dados a outro fornecedor de serviço, conforme regulamentação da ANPD.
  • Direito de oposição (artigo 18, IV) — Oposição ao tratamento realizado com base em hipótese de descumprimento da LGPD.
  • Direito à informação sobre compartilhamento (artigo 18, VII) — Informação sobre entidades públicas e privadas com as quais o controlador compartilhou dados.
  • Direito de revogação do consentimento (artigo 18, IX) — A qualquer momento, mediante procedimento gratuito e facilitado.
  • Direito à revisão de decisões automatizadas (artigo 20) — Fundamental para ferramentas de admissão que utilizam IA.

A eliminação em cascata: um desafio técnico

Quando um candidato exerce o seu direito à eliminação, todos os dados que lhe dizem respeito devem ser removidos de todos os sistemas: CRM, chatbot, ferramenta de e-mail marketing, analytics nominativa, backups. O custo de captação por estudante matriculado situa-se entre R$ 4.500 e R$ 8.000 no Brasil (Fonte: estimativas baseadas em dados do Censo da Educação Superior/INEP, ABMES e análises de mercado). Cada pedido de eliminação representa uma perda de investimento em marketing — razão adicional para minimizar a coleta de dados desde o início.

A eliminação deve ser efetiva em prazo razoável. Um processo de eliminação em cascata documentado, testado periodicamente, é indispensável.

O DPO: papel e obrigações para as instituições

Quando é obrigatória a indicação de um Encarregado (DPO)?

A LGPD (artigo 41) determina que todo controlador de dados deve indicar um Encarregado pelo tratamento de dados pessoais (DPO). Embora a ANPD tenha flexibilizado essa exigência para agentes de tratamento de pequeno porte (Resolução CD/ANPD nº 2/2022), as instituições de ensino superior — que tratam dados de milhares de candidatos e estudantes — dificilmente se enquadram nessa exceção.

Para uma instituição de ensino superior, a indicação de um DPO é, na prática, sempre obrigatória. As universidades federais e estaduais estão abrangidas enquanto órgãos públicos; as instituições privadas, pelo volume e sensibilidade dos dados tratados.

DPO interno ou externo?

Ambas as opções são válidas. Um DPO interno conhece melhor os processos da instituição, mas corre o risco de conflito de interesses se acumular funções decisórias (diretor de TI, diretor jurídico). Um DPO externo traz experiência especializada e independência garantida, mas necessita de tempo para compreender as especificidades do ensino superior.

O DPO deve ter acesso direto à direção, não pode ser prejudicado pelo exercício das suas funções e deve dispor de meios suficientes (orçamento, tempo, ferramentas).

IA no ensino superior: regulamentação e boas práticas

O cenário regulatório da IA no Brasil

O Brasil está avançando na regulamentação de inteligência artificial. O Projeto de Lei nº 2338/2023 (Marco Legal da IA) está em tramitação no Congresso Nacional e prevê a classificação de sistemas de IA por nível de risco, semelhante à abordagem europeia. Para o ensino superior, dois cenários são relevantes:

Alto risco — Os sistemas de IA utilizados para admissão, avaliação de candidaturas ou classificação automatizada de provas tendem a ser classificados como de alto risco. Isso implica:

  • Um sistema documentado de gestão de riscos
  • Conjuntos de dados de treinamento de qualidade, representativos e sem vieses
  • Supervisão humana efetiva (a IA recomenda, o ser humano decide)
  • Transparência completa perante os candidatos
  • Avaliação de impacto algorítmico

Risco limitado — Os chatbots informativos na fase de pré-admissão enquadram-se no risco limitado. A obrigação principal é a transparência: o candidato deve saber que está interagindo com IA. Sem avaliação de conformidade obrigatória, mas com uma obrigação clara de informação.

Boas práticas para instituições brasileiras

Mesmo antes da aprovação do marco legal, instituições que adotam boas práticas de IA responsável se protegem:

  • Informe candidatos quando estão interagindo com IA
  • Garanta supervisão humana em decisões de admissão
  • Documente os critérios utilizados por sistemas automatizados
  • Realize avaliações de impacto algorítmico
  • Mantenha registros de decisões automatizadas para revisão

O MEC e o INEP ainda não publicaram orientações específicas sobre IA nos processos de admissão, mas a LGPD já garante ao titular o direito de revisão de decisões automatizadas (artigo 20).

O contexto regulatório brasileiro

ANPD — Autoridade Nacional de Proteção de Dados

A ANPD é a autoridade responsável por zelar pela proteção de dados pessoais no Brasil. Para além da LGPD, regulamentações complementares impõem obrigações adicionais:

  • Comunicação de incidentes de segurança à ANPD e aos titulares afetados em prazo razoável (Resolução CD/ANPD nº 15/2024)
  • Relatórios de Impacto à Proteção de Dados Pessoais (RIPD) para tratamentos de alto risco
  • A ANPD tem publicado guias orientativos sobre diversos temas, incluindo tratamento de dados por agentes de tratamento de pequeno porte
  • As instituições devem respeitar os prazos de conservação previstos na legislação brasileira para diplomas e registros acadêmicos

O MEC exige a transmissão de dados sobre matrículas, vagas e formados através do Censo da Educação Superior (INEP) — essa transmissão se baseia na obrigação legal e não requer consentimento dos estudantes.

ENEM, SISU e vestibulares: fluxo de dados na admissão

O sistema de admissão ao ensino superior brasileiro envolve múltiplos fluxos de dados pessoais:

  • ENEM — O candidato fornece dados ao INEP, que os compartilha com as instituições via SISU
  • SISU — O sistema do MEC transfere dados de candidatos aprovados para as universidades federais e estaduais participantes
  • Vestibular próprio — Cada instituição é controladora dos dados coletados em seus processos seletivos
  • PROUNI e FIES — Programas federais que envolvem compartilhamento de dados socioeconômicos sensíveis entre MEC, CAIXA e instituições privadas

Cada um desses fluxos requer base legal documentada e informação clara ao titular sobre como seus dados são tratados.

Código de Defesa do Consumidor (CDC) e ensino privado

As instituições privadas de ensino superior estão sujeitas ao Código de Defesa do Consumidor (CDC — Lei 8.078/1990) nas relações com seus estudantes. O CDC complementa a LGPD ao exigir transparência nas práticas comerciais, incluindo a comunicação clara sobre o uso de dados pessoais em ações de marketing e captação.

Segurança dos dados: medidas técnicas e organizativas

O princípio da minimização

O artigo 6º, III da LGPD impõe que sejam coletados apenas os dados estritamente necessários para a finalidade declarada. Para um chatbot, isso significa: não exigir nome, e-mail ou CPF para responder a uma pergunta sobre os cursos. A coleta de identificadores só se justifica quando o candidato deseja ser recontactado.

Medidas técnicas indispensáveis

  • Criptografia — Em trânsito (TLS 1.3) e em repouso (AES-256) para todos os dados pessoais
  • Hospedagem em território nacional ou com garantias adequadas — Servidores no Brasil ou em países com nível adequado de proteção, conforme decisões da ANPD sobre transferência internacional (artigo 33 da LGPD)
  • Pseudonimização — Separação de identificadores diretos e dados comportamentais
  • Registro de acessos — Rastreabilidade de quem acessa quais dados e quando
  • Backups criptografados — Com testes periódicos de recuperação
  • Eliminação automatizada — Purga de dados além do prazo de conservação definido

Relatório de Impacto à Proteção de Dados Pessoais (RIPD)

O artigo 38 da LGPD prevê que a ANPD pode determinar a elaboração de um RIPD. Para uma instituição, situações que tipicamente exigem um RIPD incluem:

  • A implementação de um chatbot com IA que coleta dados pessoais
  • A utilização de ferramentas de IA para avaliação de candidaturas
  • Videomonitoramento do campus
  • Definição de perfis de candidatos para marketing

O RIPD deve descrever o tratamento, avaliar a sua necessidade e proporcionalidade, identificar os riscos e propor medidas de mitigação.

67% das interações com candidatos ocorrem fora do horário comercial (Fonte: registros de interação Skolbot, 200.000 sessões, out. 2025 — fev. 2026). Isso significa que um chatbot operacional 24/7 processa dados pessoais de forma contínua — e que as medidas de segurança devem ser igualmente robustas fora do horário de funcionamento.

FAQ

Um chatbot com IA está em conformidade com a LGPD?

Sim, desde que sejam respeitadas quatro obrigações: informar o candidato de que está interagindo com IA (transparência), coletar apenas os dados estritamente necessários (minimização), disponibilizar acesso, retificação e eliminação de forma simples (direitos dos titulares) e garantir a segurança dos dados armazenados. Um chatbot em conformidade informa antes de coletar e não condiciona o acesso à informação ao fornecimento de dados pessoais.

Por quanto tempo podem ser conservados os dados de um candidato não matriculado?

A LGPD não define prazos específicos, mas estabelece que os dados devem ser conservados apenas durante o período necessário para a finalidade do tratamento. Na prática, para dados de prospecção, o limite recomendado situa-se entre 2 e 3 anos após o último contato. Para um candidato cuja inscrição não foi efetivada: conservação do processo durante 1 ano (eventual contencioso), seguido de eliminação. Esses prazos devem constar do registro de atividades de tratamento.

O marco legal da IA proíbe o uso de IA nas admissões?

Não. O projeto de lei em tramitação não proíbe, mas tende a classificar como alto risco os sistemas de IA usados para admissão e avaliação educacional. Isso implica obrigações reforçadas: gestão de riscos, qualidade dos dados de treinamento, supervisão humana efetiva, transparência perante os candidatos e avaliação de impacto. A IA pode recomendar, mas a decisão final de admissão deve ser humana. A LGPD já garante o direito de revisão de decisões automatizadas (artigo 20).

É obrigatório indicar um DPO em uma instituição com 500 estudantes?

Na prática, sim. A LGPD exige a indicação de um Encarregado (DPO) para todo controlador de dados, com exceções para agentes de pequeno porte (Resolução ANPD nº 2/2022). Uma IES que trata dados de centenas de estudantes (notas, dados financeiros, saúde) dificilmente se enquadra como agente de pequeno porte. A indicação de um DPO é praticamente sempre obrigatória para instituições de ensino superior, independentemente do seu porte. O DPO pode ser compartilhado entre várias instituições ou terceirizado.

Como gerenciar um pedido de eliminação de dados de um estudante formado?

A eliminação não pode ser total: a instituição tem a obrigação legal de conservar os comprovantes de emissão do diploma (obrigação regulatória do MEC e da LDB). Os dados financeiros estão sujeitos a prazos de conservação contábil e fiscal (5 a 10 anos, conforme legislação tributária). Contudo, os dados de vida no campus, de navegação e de comunicação de marketing devem ser eliminados. Documente a resposta por escrito, discriminando quais dados foram eliminados e quais foram conservados com a respectiva base legal.

A conformidade com a LGPD não é um projeto pontual. É um processo contínuo que atravessa todos os departamentos da sua instituição — admissões, secretaria acadêmica, marketing, TI, direção. As instituições que integram a proteção de dados desde a concepção das suas ferramentas (privacy by design) protegem os seus estudantes e protegem a si mesmas.

Para compreender como a regulamentação de IA impacta especificamente as obrigações das instituições de ensino, consulte o nosso artigo sobre o Regulamento de IA e o ensino superior. Para as medidas técnicas de proteção, descubra o nosso guia sobre a proteção de dados dos candidatos.

Artigos relacionados

Fluxo de dados internacionais entre o Brasil e os EUA com cadeado LGPD e símbolo ANPD
Conformidade

Transferência internacional de dados: obrigações LGPD para faculdades privadas

Guia operacional de proteção de dados de candidatos no ensino superior
Conformidade

Proteger os dados dos seus candidatos: guia operacional LGPD para instituições de ensino superior

Direito ao apagamento LGPD instituições de ensino superior privadas Brasil: guia para equipes de admissões
Conformidade

Direito ao apagamento LGPD: o que fazer quando um candidato solicita a eliminação dos seus dados

IA viés recrutamento estudantil riscos salvaguardas LGPD ANPD Brasil
Conformidade

IA e viés no recrutamento estudantil: riscos e salvaguardas para IES brasileiras

Chatbot IA e LGPD coleta de dados IES: quais informações um assistente virtual pode coletar em faculdades e universidades privadas brasileiras
Conformidade

Chatbot IA e LGPD: que dados sua IES pode coletar?

Voltar ao blog

RGPD · Lei da IA da UE · Alojamento UE

skolbot.

SoluçãoPreçosBlogEstudos de casoComparativoAI CheckFAQEquipaAviso legalPolítica de privacidade

© 2026 Skolbot