Conversar WhatsApp
LGPD · LGPD · 6 min de leitura

Escola na LGPD: foto de aluno, plano de saúde e o consentimento falso

Escola posta foto de aluno no Instagram com o consentimento genérico da matrícula. Repassa laudo psicológico ao plano de saúde por WhatsApp. Usa plataforma de ensino terceirizada sem uma linha de proteção de dados no contrato. Cada um desses atos já é infração à LGPD, e o art. 14 eleva o nível de exigência quando os titulares são menores de 18 anos.

Escola na LGPD: foto de aluno, plano de saúde e o consentimento falso
Leonardo Ribeiro
Escrito por
Leonardo Ribeiro
Sócio · Ribeiro Sociedade de Advogados
Publicado em

Diretora de escola recebe reclamação formal porque postou foto de formatura no Instagram sem autorização específica. Creche perde o prazo pra responder pedido de uma mãe que quer saber quais dados do filho foram repassados ao plano de saúde. Aplicativo de comunicação com os pais sofre vazamento e expõe informações de 300 famílias. Esses três casos têm uma coisa em comum: o consentimento colhido na matrícula não cobria nada daquilo.

Escola e creche tratam dados de menores de 18 anos. Isso já eleva o nível de cuidado exigido pela LGPD. Não é alarmismo: é o que está no art. 14 da Lei 13.709/2018, e a ANPD tem dado cada vez mais atenção a esse setor.

Dado de aluno menor não é dado de adulto: o art. 14 que a gestão escolar ignora

O art. 14 da LGPD trata dados de crianças e adolescentes com cuidado redobrado. O princípio central é o melhor interesse da criança, não a conveniência administrativa da escola. Na prática, qualquer tratamento que vá além do operacional básico, como manter o aluno matriculado ou cumprir obrigação legal com o MEC, precisa de base legal sólida e, muitas vezes, de consentimento específico dos pais.

O problema é que as escolas costumam tratar consentimento como uma caixinha a marcar uma vez na matrícula. Um formulário genérico assinado em fevereiro não autoriza a escola a postar foto do aluno nos Stories em junho, compartilhar boletim com o plano de saúde em agosto, ou usar dados do filho em plataforma terceirizada que o pai nem conhece.

Nossa leitura: consentimento de responsável por menor precisa ser específico por finalidade. "Autorizo o uso de dados do meu filho" é vazio para qualquer uso que não esteja expressamente descrito. E vazio, na LGPD, quer dizer inválido.

Foto na festa junina e vídeo na aula: quando a escola vira controladora de dado sensível

Foto de rosto pode ser dado biométrico. Quando a escola usa reconhecimento facial para controle de entrada, isso é dado sensível por definição (art. 5º, II), com exigências ainda mais rígidas. Mas mesmo fotos comuns, quando publicadas com nome e identificação do aluno, são dados pessoais que exigem base legal clara para cada uso.

Publicar foto de aluno no Instagram da escola, no grupo de WhatsApp da turma, ou no site institucional requer consentimento específico dos pais para aquela finalidade. Não vale o "o pai assinou na matrícula": o documento precisa descrever que as fotos serão publicadas em redes sociais públicas, com identificação do aluno.

  • Foto em acervo interno (uso pedagógico, nunca publicada): base legal é execução de contrato ou legítimo interesse documentado.
  • Foto publicada em rede social pública: consentimento específico dos responsáveis, por escrito, descrevendo a plataforma.
  • Vídeo de aula gravado e armazenado: trata como dado de todos os alunos que aparecem no vídeo.
  • Reconhecimento facial para acesso: dado sensível, consentimento qualificado, DPO ativo e política de retenção definida.

Falando sério: a maioria das escolas no Vale do Itajaí que a gente assessora não tem essa separação clara. O resultado é consentimento que não cobre nada e vulnerabilidade total se um pai resolver notificar a ANPD.

Aquele formulário de matrícula: o que ele cobre e o que não cobre

Na matrícula, a escola coleta nome, CPF, endereço, dados de saúde como alergias, contato de emergência e dados dos responsáveis. Boa parte está coberta por execução de contrato (art. 7º, V) e cumprimento de obrigação legal (art. 7º, II). Não precisa de consentimento adicional pra manter o aluno matriculado e o serviço funcionando.

O que não está coberto automaticamente:

  • Compartilhar laudos médicos e relatórios psicopedagógicos com o plano de saúde
  • Passar dados para plataforma de ensino terceirizada
  • Enviar boletim e frequência para a empresa empregadora dos pais
  • Usar foto ou vídeo do aluno em material de marketing da escola
  • Compartilhar dados com outras unidades da rede ou com a franqueadora

Cada uso precisa de base legal própria. Às vezes é consentimento específico. Às vezes é legítimo interesse documentado. Às vezes é obrigação legal, como notificação compulsória de doença ao sistema público de saúde. Mas precisa estar documentado antes de acontecer, não depois de o pai reclamar.

Plataforma de ensino terceirizada: a escola continua sendo a responsável

Quando a escola contrata um aplicativo de comunicação com pais, uma plataforma de ensino online ou um sistema de gestão escolar, ela continua sendo a controladora dos dados. A empresa terceirizada é operadora. A responsabilidade primária perante os titulares, alunos e pais, é da escola.

Isso tem implicação direta. A escola precisa de contrato com a plataforma que inclua cláusulas de proteção de dados. O art. 39 da LGPD exige que o operador siga as instruções do controlador. Se a plataforma sofrer um vazamento e dados de 200 alunos forem expostos, quem responde perante os pais e perante a ANPD é a escola, além do fornecedor.

Na prática: antes de contratar qualquer sistema que vá receber dados de alunos menores, verifique a política de privacidade do fornecedor, inclua DPA no contrato e informe os responsáveis sobre a transferência. Não é opcional.

Laudo para o plano de saúde: dado sensível com regra própria

Dado de saúde é dado sensível (art. 5º, II). O tratamento está sujeito às regras mais rígidas do art. 11 da LGPD. Em geral, exige consentimento específico e destacado dos responsáveis, ou amparo em obrigação legal expressa.

Compartilhar laudos psicológicos, relatórios de terapia ocupacional ou diagnósticos com o plano de saúde exige:

  • Consentimento específico dos responsáveis, descrevendo o que será compartilhado e com quem
  • Finalidade declarada: por que o compartilhamento é necessário
  • Canal seguro de transmissão: laudo por WhatsApp sem criptografia é exposição de dado sensível de menor
  • Registro do compartilhamento no controle interno de operações

Nossa leitura: escola que manda laudo de aluno por e-mail comum ou WhatsApp para o plano de saúde, sem consentimento escrito, está em infração com dado sensível de menor. A multa pode chegar a 2% do faturamento anual, limitada a R$ 50 milhões por infração. Sem contar ação civil por dano moral dos responsáveis.

O que fazer nas próximas duas semanas

  • Revise o formulário de matrícula: separe o que é obrigação legal, o que é execução de contrato, e o que vai além dos dois.
  • Crie um termo de consentimento específico para imagem: separado da matrícula, descrevendo onde fotos e vídeos dos alunos poderão aparecer.
  • Liste todas as plataformas que recebem dados de alunos e verifique se há cláusula de proteção de dados no contrato com cada fornecedor.
  • Crie um canal formal para os responsáveis exercerem os direitos do art. 18. O prazo de resposta é 15 dias (art. 19) e precisa funcionar de verdade.
  • Nomeie um encarregado (DPO): pode ser interno ou terceirizado. A escola é controladora e o art. 41 se aplica. Escolas de pequeno porte têm regime simplificado pela Resolução CD/ANPD 02/2022, mas ter alguém com nome e contato público é inegociável.
  • Pare de compartilhar laudos por canais inseguros enquanto não tiver consentimento escrito documentado.

Escola que trata dado de aluno menor precisa de adequação mais cuidadosa do que um escritório contábil, não menos. O art. 14 da LGPD existe porque a vulnerabilidade de menor é reconhecida pelo legislador. A ANPD tem competência para autuar qualquer controlador, incluindo escolas privadas de pequeno porte. O tamanho reduz algumas formalidades. Não elimina a responsabilidade.

Precisa de orientação?

Fale com um advogado da RSA.

Diagnóstico objetivo em até 24h úteis.

WhatsApp direto Formulário de contato
Continue lendo sobre LGPD

Artigos relacionados

LGPD para SaaS: o bug de multi-tenant que vira incidente
LGPD
LGPD para SaaS: o bug de multi-tenant que vira incidente
 LGPD em M&A: a dívida de dados que o comprador herda
LGPD
LGPD em M&A: a dívida de dados que o comprador herda
 Seu RH coleta dado sensível todo dia. A maioria sem base legal.
LGPD
Seu RH coleta dado sensível todo dia. A maioria sem base legal.
Ver todos os artigos de LGPD →