Manual da

Lei Geral de
Proteção de
Dados (LGPD)
para Escolas

CESCON, BARRIEU, FLESCH & BARRETO ADVOGADOS

SÃO PAULO | RIO DE JANEIRO | BELO HORIZONTE | BRASÍLIA | SALVADOR
www.cesconbarrieu.com.br
 4 | Introdução

4 | A quem se destina a Lei?

5 | Principais Conceitos

5 | O que é a LGPD?
5 | O que são Dados Pessoais?
6 | Como identificar se há um tratamento de Dados Pessoais?
6 | O que são Dados Pessoais Sensíveis?
6 | Como a Lei aborda o tratamento de Dados de Crianças e Adolescentes?
7 | Os cuidados das Instituições ficam restritos aos Dados dos Alunos?
7 | Quais são os Agentes de Tratamento e qual a importância desta classificação?

SUMÁRIO 8 | Anonimização
8 | Pseudonimização
8 | Privacy by Design e Privacy by Default
8 | Autoridade Nacional de Proteção de Dados
9 | Principais obrigações

9 | Princípios
11 | Medidas de Governança pautadas nos princípios para as Escolas
20 | Perguntas e respostas relacionados ao dia-a-dia Escolar
24 | Bases Legais
28 | Direitos dos Titulares
29 | Notificações de Incidentes
30 | Hipóteses de Transferência Internacional de Dados
31 | Sanções
31 | Orientações para o site das Escolas
32 | Medidas para a conformidade com a LGPD

Introdução
Esta cartilha visa esclarecer os principais conceitos, obrigações e deveres estabelecidos pela Lei Geral
de Proteção de Dados – Lei nº 13.709/2018 (“LGPD”), com destaque para sua aplicação nas Escolas.
Cumpre esclarecer que o início da vigência da LGPD ocorreu em 18 de setembro de 2020, após a
sanção do projeto de lei de conversão da MP nº 959/20 (“MP 959”) pelo Presidente da República,
exceto com relação aos artigos que discorrem sobre as sanções administrativas previstas na Lei, que
entrarão em vigor em 1º de agosto de 2021, nos termos da Lei nº 14.010/2020.
A quem se destina a Lei?
A LGPD será aplicável a qualquer operação de Tratamento de Dados Pessoais realizada no Brasil
ou fora do território nacional, independentemente da localização da sede dos Agentes de Trata-
mento ou da localização geográfica dos dados, contanto que o Tratamento de Dados Pessoais:
(i) vise oferecer bens ou serviços no Brasil; (ii) envolva dados de pessoas localizadas no Brasil;
ou (iii) envolva Dados Pessoais coletados no Brasil.
A Lei se aplicará a qualquer tipo de coleta e uso de Dados Pessoais, tanto on-line quanto off-line.
No contexto das Escolas ocorre o tratamento de dados de estudantes, representantes legais, pais,
funcionários, diretores, docentes, prestadores de serviços (pessoas físicas), terceirizados, e a Lei
Geral de Proteção de Dados é aplicável a todos estes tratamentos.
Excludentes
A LGPD não será aplicável em caso de Tratamento de Dados Pessoais para fins: particulares e não
econômicos; jornalísticos, artísticos; acadêmicos; de segurança pública; defesa nacional; seguran-
ça do Estado ou de investigação e repressão de infrações penais – observados os termos da Lei.
Os Dados Pessoais, quando anonimizados, também não estão sujeitos à LGPD.
MANUAL DA LEI GERAL DE PROTEÇÃO DE DADOS (LGPD) PARA ESCOLAS | 5
Principais Conceitos
O que é a LGPD?
É uma Lei que dispõe sobre a forma correta para o tratamento de dados pessoais. Esta legislação é
aplicável as empresas que lidem com dados pessoais, de tal maneira que mesmo empresas que não
tenham seus modelos de negócios precipuamente baseado em dados terão de se sujeitar à Lei, por
tratarem dados de consumidores, fornecedores, funcionários, por exemplo.
O que são Dados Pessoais?
O conceito de Dados Pessoais abrange quaisquer tipos de dados que identifiquem uma pessoa natu-
ral. Neste sentido, nome, CPF, título de eleitor, são exemplos de dados que podem ser enquadrados
nesta definição. No entanto, o conceito de Dado Pessoal é mais amplo e também abrange aqueles
dados que possam identificar uma pessoa natural caso determinados dados forem analisados em
conjunto com outros dados dentro de um determinado contexto (por exemplo, dados comportamen-
tais, profissão, sexo e padrões que se analisados conjuntamente com um Dado Pessoal resultam na
identificação de uma pessoa). Devem ser considerados, para este propósito, os meios razoavelmente
suscetíveis de serem utilizados para realizar essa análise e identificar um indivíduo.
O contexto educacional atrai o tratamento de dados pessoais de diversos atores, dentre eles:
ŠŠ Dados pessoais dos alunos: identidade, histórico Escolar, informações médicas, endereço, telefo-
ne, e-mail, carteira estudantil, informações sobre necessidades especiais (dados de saúde), dados
gerados no uso de tecnologias e que permitam identificar os alunos e alunas (como a gravação de
imagens por câmeras de segurança ou ), as análises geradas pelo uso de aplicativos educacionais.
ŠŠ Dados de funcionários: identidade, idade, profissão, currículo, avaliação de desempenho, endere-
ço, telefone, e-mail, salário, informações geradas no uso de tecnologias e que permitam identificar
essas pessoas, como a gravação de imagens por câmeras de segurança ou videoaulas, a coleta do
IP do dispositivo móvel utilizado por meio da internet fornecida pela Escola.
ŠŠ Dados de pais/ responsáveis: Renda, situação civil (ex.: casado/a, divorciado/a, falecido/a, etc.),
CPF, profissão, telefone, endereço, e-mail, Escolaridade, relatórios de reuniões, assinaturas.

Como identificar se há um tratamento de Dados Pessoais?
Tratamento entende-se como toda e qualquer operação realizada com Dados Pessoais. O conceito
inclui a coleta, recepção, armazenamento, arquivamento, eliminação, avaliação e transferência de
dados, quer por meios automatizados ou não automatizados. Ou seja, se os Dados Pessoais trafe-
garem no sistema interno de uma organização, haverá Tratamento e a instituição deverá estar em
conformidade com os termos da Lei.
A prestação dos serviços educacionais envolve tratamentos de dados pessoais tais como: matrícu-
la dos estudantes, controle de frequência, boletins Escolares, elaborar relatórios de desempenho,
armazenar históricos Escolares, gravar imagens por câmeras de segurança, entrar em contato com
estudantes e familiares, realizar procedimentos de saúde quando necessário, dentre outros.
O que são Dados Pessoais Sensíveis?
Dados Pessoais Sensíveis são quaisquer Dados Pessoais sobre origem racial ou étnica, convicção
religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou polí-
tico, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculados a uma
pessoa natural. O Tratamento de Dados Pessoais Sensíveis pode implicar riscos às pessoas naturais
titulares dos dados, causando discriminação, por exemplo, ou mesmo criando um identificador ab-
soluto de uma pessoa, como no caso de dados biométricos. Sendo assim, seu tratamento perante a
LGPD é autorizado de forma mais limitada (bases legais mais restritas) e com mais rigor (medidas de
segurança ainda mais contundentes).
Exemplos de dados sensíveis tratados no contexto educacional:
ŠŠ Dados sensíveis dos estudantes: Informações médicas (distúrbios e restrições alimentares),
religião e dados biométricos para acesso à Escola.
ŠŠ Dados sensíveis dos funcionários: Informações sobre raça/cor, informações médicas, opiniões
políticas ou filiação à sindicato.
Como a Lei aborda o tratamento de Dados de Crianças e Adolescentes?
A LGPD determina que o tratamento de dados de crianças e adolescentes deverá ser realizado em
seu melhor interesse, em consonância com o Estatuto da Criança e do Adolescente (Lei 8.069/90 –
ECA) e com Constituição Federal. Em termos de proteção de dados, o melhor interesse significa que
qualquer atividade de tratamento e também a escolha da base legal adequada deve ser pautada pela
proteção e cuidado dos menores e em seu próprio benefício. Os menores, mais do que serem prote-
gidos, precisam ser beneficiados pelo tratamento de dados.
MANUAL DA LEI GERAL DE PROTEÇÃO DE DADOS (LGPD) PARA ESCOLAS | 7
Na medida em que a privacidade e a intimidade estão ligadas ao livre desenvolvimento da persona-
lidade humana isto ganha contornos ainda mais significativos na fase mais vulnerável do desenvol-
vimento humano: adolescência e sobretudo a infância.
Conforme estatui o artigo 2º do ECA considera-se criança a pessoa com até 12 anos de idade incom-
pletos e adolescente de 12 a 18 anos.
Os cuidados das Instituições ficam restritos aos Dados dos Alunos?
Não, pois a Lei resguarda dados pessoais de pessoas naturais, contemplando alunos, pais, professo-
res, fornecedores (pessoas físicas), terceirizados, funcionários.
Quais são os Agentes de Tratamento e qual a importância desta classificação?
Os Agentes de Tratamento são denominados Controladores e Operadores.
Controlador é a pessoa natural ou jurídica, de direito público ou privado, a quem compete as deci-
sões referentes ao Tratamento de Dados Pessoais. Já o Operador é a pessoa natural ou jurídica, de
direito público ou privado, que realiza o Tratamento de Dados Pessoais em nome do Controlador, ou
seja, presta um serviço de Tratamento de Dados em nome do Controlador.
No contexto nas Escolas, como exemplo, podemos pontuar a contratação de empresa de CCTV para
monitoramento do ambiente Escolar. A Escola, Controladora de dados neste contexto, define os
locais onde serão instaladas as câmeras, quem pode acessar a filmagem, por quanto tempo devem
ficar retidas. Como se vê, as decisões sobre o tratamento serão suas. De outro lado, a empresa que
realiza a coleta das imagens e define alguns meios técnicos para viabilizar a prestação dos serviços
será a operadora de dados, posto que age por determinação e nos limites do que definiu a Escola.
ŠŠ Responsabilidade Solidária: A LGPD determina que o Operador responde solidariamente por da-
nos causados a terceiros quando descumprir as obrigações da legislação de proteção de dados ou
quando não tiver seguido as instruções lícitas do controlador. Por este motivo, é extremamente
importante que as regras que regulem o relacionamento entre controlador e operador estejam
bem definidas via contrato, que deve ter os limites do tratamento, as obrigações das partes (con-
siderando a posição que ocupam, sendo controlador ou operador), e a declaração de conformidade
com a LGPD. Além disso, mais do que ter disposições contratuais regendo o acordo sobre o trata-
mento de dados num relacionamento entre controlador e operador, é importante que a empresa
busque se relacionar com outras empresas fornecedoras que de fato sejam comprometidas com
a privacidade e proteção de dados dos titulares.

Anonimização
Anonimização de dados significa a dissociação irreversível entre o dado e o indivíduo realizada
mediante a utilização de meios técnicos.
Esse conceito é muito importante porque o dado anonimizado não está sujeito às regras da LGPD.
Sua aplicabilidade no dia-a-dia pode ser implementada quando, por exemplo, a Escola tem interesse
de entender o progresso de aprovação no vestibular de seus alunos ao longo dos anos. É possível que
a informação sobre percentuais de aprovação no vestibular seja obtida, sem que, contudo, informa-
ções pessoais estejam vinculadas.
Pseudonimização
Pseudonimização é definida pela LGPD como o tratamento por meio do qual um dado perde a pos-
sibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional
mantida separadamente pelo controlador em ambiente controlado e seguro. É uma técnica que po-
tencializa a segurança da informação, uma vez que em caso de vazamentos, por exemplo, é possível
que os dados afetados sejam apenas aqueles não diretamente vinculados à uma pessoa natural, já
que dados complementares estão segregados e seguros.
Privacy by Design e Privacy by Default
Os conceitos acima não foram definidos ou mencionados pela LGPD, mas são inerentes à aplicação
dos princípios e cumprimento das obrigações previstas na Lei.
Entende-se por Privacy by Design a adoção de medidas adequadas às normas de privacidade em
todos os projetos da empresa, desde a concepção até a implementação; Privacy by Default, por sua
vez, é entendido como a adoção, por padrão, de procedimentos e medidas técnicas e organizacionais
que sejam adequadas à proteção de Dados e à privacidade do titular do Dado Pessoal – por exemplo,
considerar que o consentimento depende de ação ativa do titular do dado, ao invés de incluir em
configurações padrão um consentimento pré-selecionado para uso de dados pessoais.
Autoridade Nacional de Proteção de Dados
Em 9 de julho de 2019, foi publicada no Diário Oficial da União a Lei nº 13.853/2019, a criação da
Autoridade Nacional de Proteção de Dados (“ANPD” ou “Autoridade Nacional”), com diversas compe-
tências relevantes para a aplicação da LGPD.
MANUAL DA LEI GERAL DE PROTEÇÃO DE DADOS (LGPD) PARA ESCOLAS | 9
A Lei nº 13.853/2019 lista as competências da ANPD, dentre as quais estão as seguintes:
(i) Editar normas e procedimentos sobre o tema;
(ii) Interpretar a LGPD na esfera administrativa;
(iii) Solicitar informações sobre o Tratamento de Dados Pessoais aos Controladores e Operadores;
(iv) Registrar reclamações para averiguação de infrações à LGPD;
(v) Fiscalizar e aplicar sanções mediante instauração de processo administrativo;
(vi) Promover o conhecimento pela sociedade sobre as normas e políticas públicas sobre o tema;
(vii) Elaborar estudos sobre as práticas nacionais e internacionais sobre o tema e firmar parcerias
com autoridades de outros países para cooperação técnica;
(viii) Realizar consultas públicas sobre o tema, inclusive a oitiva de entidades ou órgãos da adminis-
tração pública; e
(ix) Articular-se com autoridades públicas para exercer suas competências.
Principais Obrigações
Princípios
O Tratamento de Dados Pessoais deve ser orientado pelos seguintes princípios, que tal como as de-
mais disposições da Lei, caso infringidos, são passíveis de penalidades:
a. Finalidade: Dados Pessoais podem ser tratados somente para propósitos legítimos, específicos,
explícitos e informados previamente ao titular. Como regra geral, não é possível a utilização do
Dado Pessoal coletado para finalidade distinta;
Por exemplo, o compartilhamento de dados fornecidos durante a matrícula na Escola para uma
loja de brinquedos infantis para envio de e-mail marketing viola o princípio da finalidade, pois o
fornecimento do dado se deu para finalidade distinta e incompatível com as finalidades informa-
das para justificar o tratamento de dados.
b. Adequação: compatibilidade entre as finalidades informadas ao titular e o contexto do Tratamento;
c. Necessidade: coletar Dados Pessoais pertinentes e não excessivos para realizar a finalidade infor-
mada ao titular;

Como exemplo, a Escola pode coletar e tratar dados de saúde de forma restrita aqueles que sejam
relevantes para a adoção de protocolos de atendimento diferenciados, para que a Escola tenha
ciência e saiba lidar com eventuais situações emergenciais referentes à uma condição de saúde
(finalidades). A coleta ou tratamento de algum dado que não é relevante para a Escola, como por
exemplo se um aluno é portador da doença Vitiligo fere este princípio.
d. Livre Acesso: consulta facilitada e gratuita pelo titular, inclusive sobre a forma e duração do Tra-
tamento;
Na Escola, o acesso aos dados pode se dar por meio de pedido de ex-aluno que deseje saber quais
dados ainda são mantidos a seu respeito e como o tratamento de seus dados se dá. A Escola deve
ser capaz de fornecer informações completas, justificar a duração das operações realizadas e o
motivo do armazenamento.
e. Qualidade dos Dados: exatidão, clareza, relevância e atualização dos dados, a fim de evitar impre-
cisão de informações que prejudiquem o titular;
f. Transparência: informações claras, precisas e facilmente acessíveis sobre o Tratamento dos Dados
Pessoais, observados os segredos comercial e industrial e sobre os Agentes de Tratamento;
A persecução deste princípio no ambiente Escolar, em especial quanto ao tratamento de dados de
menores, é cumprida pela obrigação de que as informações sobre o tratamento de dados deverão
ser fornecidas de maneira simples, clara e acessível, considerando as características físico-mo-
toras, perceptivas, sensoriais, intelectuais e mentais do usuário. Em suma, os pais, responsáveis
legais e também as crianças e adolescentes devem compreender as operações de tratamentos de
seus dados (na medida do razoável).
g. Segurança: medidas técnicas e administrativas aptas a proteger os dados de acidentes de
segurança da informação e Tratamento irregular; dentre as possíveis medidas a serem adotadas,
citamos a Pseudonimização e Anonimização dos dados;
Portais dos alunos (com disponibilização de notas dos alunos e outros dados como identidade,
frequência, etc) devem ter programações de segurança para que tais dados somente possam ser
acessados de modo restrito, permitindo que pessoas autorizadas, munidas de login e senha, os
analisem.
h. Prevenção: prevenir a ocorrência de danos decorrentes do Tratamento de dados;
i. Não Discriminação: proibido tratar para fins discriminatórios ilícitos ou abusivos, que envolvam
segregação social, racial ou de gênero. Quando o tratamento envolver dados de crianças e ado-
lescentes, deverão também ser observadas as disposições do ECA, que preleciona que crianças e
adolescentes devem ser tratados sem discriminação em relação à situação familiar, idade, sexo,
etnia, religião, deficiência, raça, condição pessoal de desenvolvimento e aprendizagem, condição
econômica, local de moradia, etc.
MANUAL DA LEI GERAL DE PROTEÇÃO DE DADOS (LGPD) PARA ESCOLAS | 11
j. Responsabilização e Prestação de Contas: demonstração da adoção de medidas eficazes e capa-
zes de comprovar a observância da LGPD.
Para endereçar o cumprimento deste princípio deve haver, com recorrência, a realização de es-
tudos para fins de análise dos impactos e riscos envolvendo os tratamentos de dados pessoais
realizados durante as atividades Escolares.
Portanto, será sempre necessário garantir informações específicas ao titular do Dado Pessoal
sobre os propósitos do Tratamento, assim como será necessário demonstrar a adoção de medidas
eficazes para cumprimento das normas de proteção de dados e prevenção de danos em virtude
do Tratamento.
Medidas de Governança pautadas nos princípios para as Escolas
a. Finalidade
A Escola deverá prover meios para que o titular de dados e/ou seu responsável legal tenha sido in-
formado das finalidades para as quais serão tratados seus dados, de uma maneira tal que o titular
possa entender como seus dados serão utilizados.
Como implementar na prática este princípio?
ŠŠ Identifique e documente seus propósitos legítimos para o tratamento de dados.
ŠŠ Estabeleça quais dados necessários para cumprir com a finalidade identificada, devendo ser estes
dados serem adequados e realmente necessários para a finalidade informada.
ŠŠ Não basta indicar a finalidade que justifica o tratamento, este deve, além de legítimo e centrado no
melhor interesse dos menores, ser apropriado considerando o risco advindo do tratamento efetuado.
ŠŠ Informe aos titulares ou seu responsável legal de forma clara a finalidade que justifica o tratamen-
to do dado.
ŠŠ Questione se as razões que justificam o tratamento de dados são o que uma pessoa razoável
(cliente típico, pais e mães, funcionário, aluno) poderia esperar ou considerar apropriado na rela-
ção negocial da prestação de serviços educacionais, ou em um contrato de trabalho.
ŠŠ Identifique de forma clara se a coleta de dados pessoais e todas as demais formas de tratamento
de dados pessoais realmente são essenciais para o fornecimento dos serviços contratados e as
finalidades para sua viabilização.
ŠŠ Mantenha os registros de tratamentos de dados atualizados. Isto é: crie um inventário descrevendo
os dados, as razões que justificam seu tratamento e as bases legais que autorizam o tratamento.

ŠŠ Seja específico quando for divulgar as finalidades atreladas ao tratamento de dados, evitando
finalidades genéricas ou vagas, “como atender o cliente” ou “e outros usos que julgar pertinentes”.
ŠŠ Treine os funcionários, em especial aqueles que estão na linha de frente da coleta dos dados, como
aqueles que trabalham na secretaria/ recepção para que sejam capazes de explicar as finalidades
e motivos pelos quais solicitam os dados.
ŠŠ Forneça aos titulares, por meio de política de privacidade ou declaração por escrito, por exemplo,
informações precisas sobre as finalidades para as quais está tratando seus dados. Certifique-se
que a linguagem utilizada no documento que contém tais informações seja simples e acessível e o
material esteja de fácil acesso, como no site da Escola, uma cópia na secretaria.
b. Adequação
Significa que deve haver uma correspondência entre a finalidade informada e o tratamento efetiva-
do. O tratamento de dados por uma finalidade diversa daquela originalmente informada ao titular
somente é possível se compatível com a finalidade original, se se obtiver o consentimento ou caso
haja uma autorização legal específica.
Como implementar na prática este princípio?
ŠŠ Identifique claramente a finalidade para a qual está tratando cada tipo de dados pessoais;
ŠŠ Especifique quais tipos de dados pessoais estão sendo coletados e/ou tratados nas políticas de
tratamento de dados pessoais da Escola, de forma mais transparente possível;
ŠŠ Colete dados pessoais apenas por meios idôneos, obedecendo o princípio da boa-fé (sem induzir
a erro ou enganar o titular).
ŠŠ Os propósitos legítimos para a coleta e demais tratamentos e aquilo que é informado na sua
política de privacidade, precisam corresponder ao tratamento que realiza;
ŠŠ Documente a finalidade para a qual está tratando os dados pessoais, por meio de registro de
tratamento de dados (RoPA). Desta maneira cria-se uma trilha auditável de dados pessoais;
ŠŠ Trate dados pessoais observando se os procedimentos realizados são compatíveis com as finali-
dades informadas ao titular dos dados pessoais;
ŠŠ Análise regularmente seus processos internos e, quando necessário, atualize sua documentação
de registro de tratamento de dados, seu Registro de Tratamento de Dados (RoPA), bem como
a política de privacidade;
ŠŠ Delimite o período em que deve persistir um tratamento de dados pessoais para que não sejam
tratados por prazo superior ao da finalidade e base legal que subsidiam o tratamento
MANUAL DA LEI GERAL DE PROTEÇÃO DE DADOS (LGPD) PARA ESCOLAS | 13
c. Necessidade
A Escola deve garantir que os dados pessoais que estão sendo tratados sejam limitados ao estrita-
mente necessário para a finalidade informada. Ou seja, que não possui mais do que precisa para a
finalidade declarada aos titulares, além daqueles suficientes para cumprir adequadamente o objeti-
vo declarado.
Como implementar na prática este princípio?
ŠŠ Limite a coleta e demais procedimentos de tratamento de dados pessoais (quantitativa e quali-
tativamente) ao que é necessário para a finalidade declarada ao titular. Desta maneira está-se
pensando na implementação da Privacidade desde a Concepção, o que é uma boa prática com
relação à LGPD;
ŠŠ Determine por que sua Escola coleta dados pessoais e quais as quantidades mínimas e tipos de
dados necessários para cumprir essas finalidades;
ŠŠ Uma boa maneira de endereçar este princípio é questionando para cada dado coletado se obri-
gatório ou opcional para atingir a finalidade indicada. Alguns dados-chave são necessários para
fornecer um produto ou serviço, enquanto outros podem ser úteis, mas não imprescindíveis. Caso
haja um real interesse em um dado útil, mas não necessário sua coleta deve ser facultada à esco-
lha do Titular de Dados;
ŠŠ Sempre que cabível, faça uso de anonimização de dados, o que os torna “não pessoais” ou, ainda,
pseudonimização de dados para, por exemplo, identificar um cliente por um número em vez de
um nome;
ŠŠ Tenha processos internos e treine os funcionários para coleta de dados pessoais e certifique-se de
que todos compreendem e respeitam os limites da coleta;
d. Livre Acesso
Este princípio assegura a transparência com relação ao tratamento de dados, afinal os dados não
são da Escola, são dos titulares, e podem ser acessados por eles para que tenham ciência da forma,
duração, e quais dados a seu respeito são tratados. Este princípio assegura o exercício dos direi-
tos dos titulares de dados. Assim, deve ser assegurada consulta facilitada e gratuita sobre a forma
e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais.
Como implementar na prática este princípio?
ŠŠ A instituição deve estar preparada, através de treinamos e processos internos pré-estabelecidos,
para receber um pedido do titular, observando os prazos e termos previstos em regulamento,
a ser expedido pela ANPD, sem qualquer custo ao titular.

ŠŠ Quais são os pedidos que a Escola deve esperar? Confirmação se há ou não tratamento de dados
do titular, o acesso a quais dados possui a respeito do titular, informar as finalidades para as quais
os dados são utilizados, forma e duração do tratamento, compartilhamento de dados pelo contro-
lador e a finalidade, quais são os direitos dos titulares.
ŠŠ Caso seja impossível o cumprimento imediato de algum dos direitos dos titulares (como elimina-
ção dos dados, portabilidade, bloqueio, revogação do consentimento) a Escola deverá responder
o titular, nos seguintes termos, conforme for a situação fática: comunicar que não é o agente de
tratamento do dado e, tanto quanto possível, indicar quem é o agente, indicar as razões de fato
e direito que impedem a adoção das medidas.
ŠŠ Garanta que os dados estejam organizados e sejam rastreáveis, incluindo seu compartilhamento
com terceiros. Assim, quando um titular exercer algum de seus direitos será possível respondê-lo
de maneira rápida e assertiva.
ŠŠ Informe àqueles com quem tenha eventualmente compartilhado o dado a correção, eliminação,
anonimização, para que repitam o procedimento solicitado pelo titular. Esta comunicação somen-
te não será necessária caso impossível ou implique em esforço desproporcional.
ŠŠ Garanta por meio das políticas de privacidade (interna e externa) quais os procedimentos para
o atendimento dos direitos dos titulares;
ŠŠ Defina os responsáveis por processar pedidos de acesso e que estas pessoas tenham consciência
de suas responsabilidades, dos procedimentos e prazos a serem observados. Além disso devem
ter consciência de que alguns direitos não poderão ser atendidos, mas o titular precisa ser respon-
dido com a justificativa pertinente. Ex: pedido de eliminação de dados de histórico não pode ser
atendido pois há uma determinação legal de guarda.
ŠŠ Considerando que o pedido de eliminação dos dados não é absoluto, é importante que se tenha
uma política de retenção de dados, que defina os períodos que cada tipo de dado deve ser retido,
com a justificativa (finalidade) para sua retenção. Esta finalidade que irá subsidiar a retenção do
dado também deverá ter respaldo em uma base legal, afinal, armazenar dado também é tratar
dado. Muitas vezes a retenção se justifica pelo dever legal de guarda. Ex: dever de guarda perma-
nente de Livro de Registro de Diploma e de Certificado.
ŠŠ A existência de um dever de guarda de dados permanente não significa que o dado deve restar
guardado e com acesso irrestrito e facilitado por todos. Acompanhado do dever de guarda, sur-
ge para a instituição o dever de manter o dado armazenado, com restrição de acesso (afinal não
é necessário ao dia a dia da instituição).
ŠŠ Um dever atraído pelo exercício do direito de livre acesso pelos titulares é a confirmação de legiti-
midade daquele que manifestou o pedido. Por isso é preciso que haja protocolo de exercício de tais
direitos. O primeiro passo é a confirmação da identidade e legitimidade de quem fez um pedido,
MANUAL DA LEI GERAL DE PROTEÇÃO DE DADOS (LGPD) PARA ESCOLAS | 15
sob pena de dar acesso a um dado a uma pessoa que não deve tê-lo, o que configura um incidente
envolvendo dados pessoais. Caso o exercício do direito do titular se dê presencialmente a Escola
deve checar cautelosamente os documentos pessoais de quem demandou o acesso. Caso se dê
via e-mail, o solicitante deve comprovar sua identidade, por exemplo, mediante e-mail cadastrado
e, se for o caso, envio de documento pessoal que ateste a identidade (este documento deve ser
apagado tão logo a identidade seja confirmada).
e. Qualidade dos Dados
Este princípio visa garantir que o tratamento se dê com dados corretos, atualizados, precisos, sob o
prisma de análise da finalidade que justifica seu tratamento. A importância de se garantir a qualida-
de dos dados se dá pois o uso de dados pessoais imprecisos, incompletos ou desatualizados podem
influenciar negativamente decisões sobre um titular de dados, prejudicando-o.
Como implementar na prática este princípio?
ŠŠ Mantenha um nível de rotina de atualização dos dados;
ŠŠ Determine os parâmetros para manutenção da qualidade dos dados: o rigor quanto à rotina de
atualização dos dados é diretamente proporcional aos possíveis danos aos titulares decorrentes
do tratamento de dados impreciso;
ŠŠ O dever de atualização dos dados pessoais persiste apenas tanto quanto necessário para cumprir
as finalidades para as quais foram coletados e serão tratados;
ŠŠ Tenha em mente a importância de manter dados íntegros e exatos nos casos em que o uso de
dados pessoais imprecisos, incompletos ou desatualizados puderem influenciar negativamente
decisões sobre um titular de dados, especialmente quando puderem prejudicá-lo;
ŠŠ Avalie em quais casos a Escola pode provocar os titulares/pais/responsáveis para corrigir ou atualizar
seus próprios dados pessoais, como endereço, formas de contato, e crie procedimentos para isso;
ŠŠ Certifique-se de que a sua estrutura de Governança de Dados Pessoais inclui procedimentos que
especifiquem: os tipos de dados pessoais que precisam ser atualizados e a frequência, requisitos,
procedimentos para uma rotina de verificação quanto à exatidão dos dados pessoais tratados;
ŠŠ Estabeleça processos e canais para que os titulares possam questionar a acurácia dos seus dados
pessoais e como podem alterar suas informações (ex: portal do aluno com possibilidade de atuali-
zação dos dados e avisos programados para sua efetivação periódica).
f. Transparência
A Escola, ao realizar tratamento de dados seja dos pais/responsáveis, funcionários ou quaisquer
outros titulares, deve ser transparente sobre como e quais dados serão tratados.

Como implementar na prática este princípio?
ŠŠ Disponibilize de forma facilitada políticas de governança de dados (documento interno contendo
regras e boas práticas de proteção de dados e diretrizes de gestão a serem implementadas pela
Escola e seus funcionários, com definições de responsabilidades e atribuições) e políticas de priva-
cidade, que é o meio pelo qual a Escola explica, de forma clara, precisa e facilmente acessível aos
titulares as formas de utilização dos dados pessoais.
ŠŠ O que deve conter nas políticas de privacidade externas? Que tipo de informações são coletadas,
como os dados são coletados, finalidades do tratamento, informações sobre o compartilhamento
de dados, quem são os agentes de tratamento envolvidos, as características do tratamento. Além
disso, deve-se informar o titular sobre procedimentos para o exercício dos seus direitos, com de-
talhes sobre o canal pelo qual estes direitos podem ser exercidos.
ŠŠ A política também deve demonstrar quem é o Encarregado de dados pessoais, pois este profissio-
nal será aquele para quem o público poderá dirigir reclamações a respeito da violação de privaci-
dade ou pedidos acerca dos tratamentos de seus dados pessoais realizado na instituição.
ŠŠ A informação precisa estar disponível e abranger todos os dados e possibilidades de usos e divul-
gações de dados pessoais tratados na Escola e também em seus sites, com medidas adequadas
para notificar os usuário de todas as informações coletadas on-line pela Escola e por terceiros,
notadamente, o uso de “cookies” ou outras ferramentas de monitoramento não visíveis, esclare-
cendo tais práticas em termos compreensíveis.
ŠŠ É uma boa-prática a inclusão de instruções sobre a retirada do consentimento, nos casos em que
esta for a base legal que legitimar o tratamento de dados.
g. Segurança
Este é um princípio que determina a aplicação técnica de procedimentos que assegurem a proteção
de dados pessoais. Em caso de um eventual vazamento será verificado se a Escola implementou
meios técnicos razoáveis de proteção de dados ou se foi negligente quanto a este ponto. A segurança
se desdobra em algumas frentes: medidas que restrinjam o acesso físico aos dados, medidas tecno-
lógicas, e medidas organizacionais.
Como implementar na prática este princípio?
ŠŠ Como medidas físicas para proteger os dados temos: armários trancados com acesso restrito
àqueles que precisem acessar o dado para o desempenho de suas funções, política de mesa limpa,
acesso restrito/privilegiado aos dados pessoais (conforme a função desempenhada), sistema de
alarme e monitoramento, nível mais elevado na proteção de dados sensíveis, método de armaze-
namento pré-definido e adequado;
MANUAL DA LEI GERAL DE PROTEÇÃO DE DADOS (LGPD) PARA ESCOLAS | 17
ŠŠ Medidas tecnológicas: como o uso e incentivo de senhas apropriadas pelos funcionários ao aces-
sarem os sistemas, registros transacionais e logs de acesso aos sistemas, criptografia para dados
armazenados e em trânsito , backups, canais seguros para transmissão de dados pessoais,
firewalls e procedimentos para detecção de intrusão e demais medidas de TI e SI;
ŠŠ Medidas organizacionais: através do estabelecimento de processos internos, como privilégio de
acesso aos dados pessoais conforme o cargo ocupado. A ideia é que só acesse um determinado
dado aquele que precisar fazê-lo para atingir a finalidade que justifica seu tratamento. Estabe-
lecimento de acordo/ cláusulas de confidencialidade, treinamento em segurança da informação,
monitoramento recorrente dos sistemas interno quanto aos níveis de segurança;
ŠŠ Assalvaguardas devem sempre ser contextuais, isto é, adequadas com o tipo de dado trata-
do (dados sensíveis precisam de uma camada extra de segurança e maior limitação de acesso),
a quantidade de informação, o formato do dado (físico ou digital);
ŠŠ Adote técnicas administrativas e organizacionais de segurança apropriadas. Isso deve ser garan-
tido tanto nos sistemas e procedimentos internos de manipulação e armazenamento de dados
quanto externamente, por meio da contratação de parceiros que garantam meios seguros para
tratar dados pessoais;
ŠŠ Proteja tanto os dados pessoais físicos quanto os digitais;
ŠŠ Adeque processos internos e sistemas para proteger dados pessoais contra perda ou roubo,
destruição, bem como acesso não autorizado, divulgação, cópia, uso ou modificação;
ŠŠ Grande parte dos incidentes ou tratamentos inadequados de dados pessoais parte de erros de
pessoas. Sendo assim, os funcionários, sobretudo aqueles que lidem diretamente com dados no
exercício de suas funções, precisam estar conscientes da importância da privacidade e proteção
de dados pessoais e do dever de confidencialidade quanto aos dados aos quais têm acesso;
ŠŠ Tenha métodos eficazes de eliminação de dados pessoais, evitando, por exemplo, sua manutenção
indevida em backups;
ŠŠ Estabeleça ou reveja sua política de Segurança da Informação para que determine se a sua or-
ganização está cumprindo com métodos desejáveis de proteção e segurança dos dados. Adote
medidas apropriadas, como descritas nas normas ISO 2700.
h. Prevenção
O agente de tratamento de dados precisa adotar (e demonstrar que adotou) medidas técnicas e
organizacionais para prevenir danos em virtude de tratamento de dados pessoais, antes mesmo de
iniciar a coleta, ou seja, endereçando a privacidade desde a concepção e por padrão. A ideia aqui é
que condutas de proativas e que visem evitar quaisquer problemas envolvendo o tratamento inade-
quado de dados ou vazamentos.

Como implementar na prática este princípio?
ŠŠ Antes de começar um tratamento considere antecipadamente a proteção de dados e privacidade
como um norte. Do mesmo modo, ao idealizar um novo serviço, pense em sua implementação a
partir de um prisma de proteção de dados e vá aperfeiçoando os detalhes que não se encaixarem
nos preceitos de proteção de dados. Após esta análise ponha o serviço disponível aos seus clientes.
ŠŠ Antecipe riscos e eventos invasivos antes que ocorram, adotando as medidas adequadas para
evitar danos aos titulares de dados pessoais.
ŠŠ Proporcione salvaguardas para proteção padronizada de dados pessoais nos sistemas tecnoló-
gicos utilizados ou práticas de gestão, comerciais, de atendimento para que o titular não precise
adotar medidas para proteger seus dados. O padrão estabelecido deve ser o da não coleta de
dados úteis (não necessários) ou não declarados ao titular incialmente.
ŠŠ Deve haver padrões de privacidade fortes, opções e controles fáceis de usar e que cumpram com
as preferências do usuário.
ŠŠ Quando da utilização de sistemas ou serviços externos nas suas atividades de tratamento de da-
dos pessoais, há que se verificar se seus sistemas e serviços consideram questões de privacidade
e proteção de dados são considerados em sua arquitetura/desenvolvimento.
i. Não Discriminação
Ao efetuar o tratamento de dados pessoais a Escola precisa proteger os direitos da personalidade,
promovendo igualdade material, evitando qualquer estigmatização baseada no tratamento de dados
pessoais em razão de eventual classificação e segmentação.
Como implementar na prática este princípio?
ŠŠ Evite estabelecer padrão de tratamento de dados por meio de condições que estigmatizam, criam
estereótipos ou segregam determinadas categorias de titulares, limitando sua atuação ou forçan-
do condutas.
ŠŠ Tenha finalidades bem definidas, documentadas, respaldadas em bases legais adequadas
e restrinja o tratamento dos dados sensíveis às finalidades informadas.
j. Responsabilização e Prestação de Contas
Este princípio trata da responsabilidade pelo que faz perante os titulares dos dados pessoais e como
cumpre com os princípios da LGPD, adotando medidas e registros apropriados para mostrar sua con-
formidade. A ideia é adotar boas práticas e demonstrá-las aos titulares e também à ANPD.
MANUAL DA LEI GERAL DE PROTEÇÃO DE DADOS (LGPD) PARA ESCOLAS | 19
Como implementar na prática este princípio?
ŠŠ Realize e documente treinamentos periódicos sobre o tema para a equipe. Isso demonstra que
a sua Escola valoriza o tema e difunde a cultura de proteção de dados aos seus colaboradores;
ŠŠ Treine a equipe e mantenha-a informada para que possa responder perguntas sobre políticas
e práticas de proteção de dados e privacidade dentro da Escola, como, por exemplo, para qual
finalidade um dado é coletado, os efeitos advindos da retirada do consentimento (quando esta for
a base legal adotada), como a impossibilidade de prestação de um determinado serviço;
ŠŠ Desenvolva e Implemente políticas e práticas que persigam a adoção dos princípios ora tratados,
como Política de Privacidade, Regras de Governança, Compromisso de Confidencialidade, etc;
ŠŠ Revise e/ou implemente meios contratuais que definam um nível apropriado de proteção pelos
terceiros (operadores) que tratam dados em nome da Escola;
ŠŠ Os contratos com estes terceiros devem conter: cláusulas de proteção de privacidade e proteção
de dados, para assegurar que terceiros, a quem os dados pessoais são transferidos para trata-
mento, forneçam um nível adequado de proteção de dados, equiparado àquele que a controlado-
ra fornece. O operador deve utilizar métodos de segurança apropriados para proteger os dados
pessoais transferidos. Além disso, o uso dos dados por estes terceiros precisa estar limitado aos
fins expressamente autorizados pelo controlador. Ainda, os terceiros operadores devem: encami-
nhar eventuais pedidos de titulares de dados em prazo razoável, ter a utilização dos dados limita-
da àquilo que foi autorizado pela Controladora, e emitir relatórios sobre a adequação dos dados
pessoais e, se for o caso, permitir que a controladora realize auditoria para aferir a adequação do
tratamento objeto do contrato;
ŠŠ Documente informações sobre padrões de segurança e de gestão para assegurar que os dados
pessoais estejam salvaguardados contra a sua divulgação não autorizada, modificação, interrup-
ção de acesso, remoção ou destruição;
ŠŠ Documente procedimentos de identificação, avaliação e elaboração de relatórios para corrigir as
causas de violação de privacidade, como a perda do uso de dados ou seu uso inadequado;
ŠŠ Elabore e mantenha disponível uma política de privacidade interna que se aplique a toda a Escola.
Este documento será um direcionamento sobre as práticas de proteção de dados a serem adota-
das pelos colaboradores;
ŠŠ Desenvolva e dissemine informações (através de materiais didáticos) que expliquem, em lingua-
gem simples, as políticas de privacidade de proteção de dados adotadas pela empresa e práticas
e protocolos adotados com os dados dos clientes/público.

ŠŠ Quando for o caso de tratamentos de dados pessoais que podem gerar riscos aos direitos
e liberdades fundamentais, elabore um Relatório de Impacto a Proteção de Dados, que é compos-
to, minimamente, por: descrição da natureza, escopo, contexto e finalidade do tratamento, docu-
mentação se o processamento é necessário e proporcional aos propósitos, como a Escola garante
a conformidade com os princípios que devem reger os tratamentos de dados, verificação objetiva
da probabilidade e severidade de qualquer risco aos direitos ou interesses dos titulares, medidas
para eliminar ou mitigar riscos elevados identificados.
ŠŠ Elaborar teste de legítimo interesse ou relatório de impacto, quando o Tratamento for respaldado
na base legal do legítimo interesse ou quando o tratamento for passível de gerar riscos considerá-
veis aos direitos e liberdades fundamentais dos titulares, respectivamente.
Perguntas e respostas relacionados ao dia-a-dia Escolar
Os questionamentos e respostas abaixo pressupõem o prévio enquadramento na Base Legal ade-
quada, conforme item relativo às Bases Legais1, além de um dever de transparência assegurado pela
informação do tratamento de dados por meio de Política de Privacidade.
Que dados as Escolas podem coletar?
A Lei legitima as Escolas de coletar dados pessoais para a função de ensino e orientação dos alunos
no que se refere a (i) Origem e ambiente familiar e social. (ii) As características ou condições pessoais.
(iii) O desenvolvimento e os resultados da sua Escolarização. (iv) As circunstâncias cujo conhecimen-
to é necessário para educar e orientar os alunos.
Portanto, a Lei legitima centros educacionais para coletar e processar os dados de alunos e seus pais
ou responsáveis, incluindo também categorias especiais de dados, como saúde ou religião, quando ne-
cessário para o desempenho da função de ensino e orientação. Mas uma série de precauções também
devem ser levadas em consideração: (i) Os dados pessoais não podem ser usados para outros fins que
não educacionais (ensino e orientação). (ii) O corpo docente e demais pessoas que acessem os dados
pessoais dos alunos ou de suas famílias estão sujeitos ao dever de manter o dever de confidencialidade.
É importante ter em mente que dados excessivos para esse fim não podem ser coletados. Por exemplo,
no caso de candidaturas a uma vaga em curso especial, não é necessário recolher dados bancários para
pagar as atividades extracurriculares até que o processo seja resolvido e o aluno seja admitido.
Podem ser coletados dados sobre a situação familiar dos pais dos alunos?
Caso os pais dos alunos não sejam casados, sejam divorciados ou mesmo não tenham qualquer tipo
de relação, é importante que a Escola saiba quem possui a guarda da criança e seja avisada sobre
1
Vide explicação sobre Bases Legais na página 24.
MANUAL DA LEI GERAL DE PROTEÇÃO DE DADOS (LGPD) PARA ESCOLAS | 21
quaisquer mudanças de escala ou restrições legais acerca do relacionamento com as crianças, para
que consiga, dentro de sua atuação e nos limites de sua responsabilidade, ajudar a evitar qualquer
inconveniente que possa afetar adversamente o aluno.
Os dados de saúde podem ser coletados?
Sim, na medida em que sejam necessários ao exercício da função educativa, e mediante prévia coleta
do consentimento. Podem-se distinguir os seguintes momentos: (i) na inscrição do aluno: deficiência,
doenças crônicas, TDAH, intolerâncias alimentares ou alergias; (ii) durante o ano letivo: o tratamento
médico que um aluno recebe através do serviço médico ou de enfermagem do centro ou os relatórios
dos centros de saúde para os quais foi transferido em consequência de acidentes ou indisposições so-
fridos no centro ou dos relatórios de equipes de orientação psicopedagógica. Em todos os casos, a co-
leta destes dados traz uma série de obrigações ao controlador, como (i) manutenção de acesso restrito
aos profissionais que necessitam da informação, (ii) confidencialidade, e (iii) segurança, por exemplo.
É possível utilizar os dados pessoais para outros fins que não a função educacional em si?
É recomendável que os contratos a serem celebrados com os pais e/ou a política de privacidade das
Escolas apresentem de forma clara e concisa as hipóteses de tratamento de dados pessoais, incluin-
do as que excederem a finalidade da prestação dos serviços educacionais. Isto pode ocorrer, por
exemplo para a organização de eventos esportivos, culturais, feiras de matemática, organização de
viagens da Escola, e outros eventos cuja organização passe por decisões da própria Escola.
Os professores podem criar grupos com aplicativos de mensagens instantâneas com os alunos?
Em geral, as comunicações entre professores e alunos devem ocorrer no âmbito da função educativa
e não através de aplicações de mensagens instantâneas. Caso seja necessário estabelecer canais de
comunicação específicos, devem ser utilizados os meios e ferramentas estabelecidas pelo centro
educacional e disponibilizados a alunos e professores (por exemplo, áreas específicas na intranet do
centro ou utilização de plataformas ou por e-mail). Em situações específicas, como o desempenho
de determinada tarefa ou trabalho, por exemplo devido à participação em concurso Escolar, ou re-
forços que se façam necessários, poderão ser criados em caráter excepcional, sempre obtendo-se
prévia aprovação da Escola, e sendo aconselhável evitar qualquer compartilhamento de material ou
qualquer comunicação não relacionados ao trabalho em questão e a exclusão do grupo assim que
atingida a sua finalidade.
Os professores podem criar grupos com aplicativos de mensagens instantâneas para que os pais
dos alunos de suas turmas sejam membros?
A título preliminar, e à semelhança do caso anterior, as comunicações entre os professores e os pais
dos alunos devem ser efetuadas através dos meios postos à disposição de ambos pelas Escolas.
Excepcionalmente, e desde que obtido o consentimento dos pais e da Escola, seria possível a criação

desses grupos, dos quais fariam parte apenas os pais que o consentiram. Em qualquer caso, seria
preferível que os grupos fossem geridos pelos próprios pais (por exemplo, através de um adminis-
trador, representante do Conselho de Pais) e a incorporação no grupo não dependesse diretamente
dos professores.
Os professores podem gravar imagens de alunos e divulgá-las por meio de aplicativos de
mensagens instantâneas para os pais?
É sempre importante lembrar que tanto para crianças quanto para adolescentes, o tratamento de
dados deverá ser realizado em seu melhor interesse. Portanto, via de regra, é improvável que este
tipo de ação ocorra com frequência. Havendo situações em que o compartilhamento de imagens possa
ser enquadrado como um tratamento para a proteção da vida ou da incolumidade física do titular, ou
mesmo quando isto for solicitado pelos pais de crianças, o compartilhamento poderia ser justificado.
Uma Escola pode anunciar as listas de alunos aprovados?
Sim. A Escola deve informar sobre os alunos que foram aprovados, na medida em que a admissão
é feita por meio de um procedimento de concurso em que certas circunstâncias são avaliadas e
pontuadas. No entanto, a publicidade deve ser efetuada de forma que não implique no acesso in-
discriminado à informação, por exemplo, publicando a lista dos alunos aprovados nos quadros de
avisos da Escola ou numa página web de acesso restrito aos que concorreram. Esta publicação deve
conter apenas o resultado final da Escola, não resultados parciais. Além disso, deve-se ter cuidado
com informações que possam revelar informações sensíveis ou a capacidade econômica da família.
Essas informações, entretanto, estarão à disposição dos interessados que exercerem seu direito de
reclamação. Quando essas listas deixarem de ser necessárias, devem ser retiradas, sem prejuízo da
sua conservação pelo Colégio para o atendimento de eventuais reclamações.
Os alunos-professores podem usar dados pessoais dos alunos para seus próprios trabalhos
universitários?
Na medida em que os dados não estão em um contexto de processamento para a formação dos
alunos, mas para outro fim, como a formação dos professores, é aconselhável que procedam à dis-
sociação dos dados para que os alunos não possam ser identificados. Caso contrário, eles terão que
buscar o consentimento.
Os professores podem fornecer notas oralmente em sala de aula?
Não existe regulamentação sobre a forma de comunicar as aprovações. Embora seja preferível que
as notas sejam transmitidas para os alunos, seus pais ou responsáveis por meio de plataforma com
acesso individualizado, sob a ótica da proteção de dados pessoais, seria possível declará-las oral-
mente, evitando comentários adicionais que possam afetar pessoalmente o aluno.
MANUAL DA LEI GERAL DE PROTEÇÃO DE DADOS (LGPD) PARA ESCOLAS | 23
Os pais podem acessar informações sobre faltas Escolares de seus filhos?
Sim, os pais, enquanto sujeitos titulares do poder familiar, entre as quais a obrigação de os educar
e dar uma formação integral, têm acesso à informação sobre a evasão dos filhos. As Escolas podem
fornecer essas informações por meio de uma mensagem enviada ao número do celular fornecido
pelos pais ou responsáveis.
Tal como acontece com as notas Escolares, os pais podem ser informados da evasão dos filhos
maiores de idade quando forem estes os responsáveis por suas despesas com educação ou alimen-
tação, visto existir um interesse legítimo derivado da sua manutenção.
Acesso a informações acadêmicas por pais separados: Nos casos de autoridade parental comparti-
lhada, independentemente de quem tem a guarda, ambos os pais têm o direito de receber a mesma
informação sobre as circunstâncias que concorram no processo educacional do filho, o que obriga
as Escolas a garantir a duplicação de informações relacionadas com o processo educacional de seus
filhos, a menos haja decisão judicial que estabeleça a privação do poder paternal a qualquer dos pais
ou algum tipo de medida penal proibindo a comunicação com o menor ou sua família. Em caso de
conflito entre os pais quanto ao acesso aos dados acadêmicos de seus filhos, o mesmo deverá ser
apresentado ao juiz competente em matéria de família.
Os dados podem ser comunicados a instituições, entidades ou empresas que vão ser visitadas por
alunos em atividade extracurricular, por exemplo, uma exposição, um museu, uma fábrica ou um
clube desportivo?
Recomendamos a coleta de consentimento prévio e inequívoco como condição para compartilha-
mento dos dados pessoais para fins de organização a idas a teatro, museu, exposição ou fábrica, por
exemplo. A comunicação, se autorizada, implicaria a possibilidade de tratamento dos dados exclusi-
vamente para os fins que foram indicados, uma vez que isso é necessário para que o aluno participe
nessa atividade. Além disso, é recomendável que um contrato regule e limite o tratamento destes
dados por terceiros.
Os familiares dos alunos que participam de um evento aberto às famílias podem registrar
imagens do evento?
Sim, desde que se trate de imagens captadas exclusivamente para uso pessoal e doméstico, caso
em que atividade estará excluída da aplicação das normas de proteção de dados. Se as imagens
captadas por familiares fossem divulgadas fora da esfera privada, familiar e de amizade, por exem-
plo, publicando-as na Internet acessível aberta, os familiares assumiriam a responsabilidade pela
comunicação das imagens a terceiros, e não poderiam realizar a menos que tivessem obtido o con-
sentimento prévio das partes interessadas. Seria aconselhável que a Escola informasse os familiares
de sua responsabilidade caso as imagens fossem divulgadas nos ambientes abertos que acabamos
de mencionar. Recomenda-se que o centro avise aos participantes dos eventos que as imagens dos
 MANUAL DA LEI GERAL DE PROTEÇÃO DE DADOS (LGPD) PARA ESCOLAS | 25

alunos podem ser gravadas apenas para uso pessoal, familiar e de amizade. Este tipo de gravação
DADOS PESSOAIS DADOS PESSOAIS SENSÍVEIS
não deve ser publicado na internet aberta, a menos que tenha o consentimento de todos aqueles que
aparecem nas imagens. Quando necessário para execução de contrato ou Não há base legal de execução do contrato para Trata-
etapas anteriores a assinatura do contrato do qual mento de Dados Pessoais Sensíveis.
o titular seja parte, a pedido do titular. Exemplo: ce-
Bases Legais lebração de contrato para a prestação de serviços
educacionais, onde a informação do aluno será usada
para adequá-lo ao ano letivo correto.
O Tratamento dos Dados Pessoais estará em conformidade com a LGPD se fundamentado em uma
das hipóteses legais sintetizadas no quadro abaixo. Neste sentido, considerando que existem diver- Exercício regular de direitos em processo judicial, ad- Exercício regular de direitos, inclusive em contrato
sas finalidades para o Tratamento dentro de uma Escola e diversos tipos de titulares de dados (alu- ministrativo ou arbitral. Exemplo: na defesa da insti- e em processo judicial, administrativo e arbitral.
nos, funcionários, etc.), é necessário analisar qual base será a mais adequada para cada finalidade, tuição em eventual ação judicial proposta pelo aluno
ou responsável.
de forma a legitimar o uso dos Dados Pessoais.
Para a proteção da vida ou da incolumidade física do Para a proteção da vida ou da incolumidade física do
Para o tratamento de dados pessoais de crianças, é preciso o consentimento específico e em desta- titular ou de terceiro. Exemplo: Aluno se acidenta e a titular ou de terceiro.
que dado por pelo menos um dos pais ou responsável legal, sem o qual o dado não deve ser tratado. Escola precisa manipular dados sobre eventual plano
A LGPD prevê como exceção à necessidade de coleta do consentimento caso a finalidade seja con- de saúde para encaminhá-lo para atendimento médico.
tatar os pais ou o responsável legal, o que pode acontecer uma única vez e sem armazenamento, e
Para a tutela da saúde em procedimento realizado Para a tutela da saúde, em procedimento realizado
para a proteção da criança. por profissionais da saúde ou por entidades sanitárias. por profissionais da saúde ou por entidades sanitárias.

Para o tratamento de dados de adolescentes a LGPD traz, além do consentimento, mais nove bases Quando necessário para atender os legítimos interes- Não há base legal do legítimo interesse para Trata-
legais que poderão justificar a coleta e tratamento de seus dados pessoais. Além disso, em qualquer ses do Controlador ou de terceiro, exceto se prevale- mento de Dados Pessoais Sensíveis.
tratamento a premissa do “melhor interesse” deverá orientar a escolha da base legal bem como a cerem os direitos e liberdades fundamentais do titular.

atividade de tratamento.
DADOS PESSOAIS
Consentimento do titular, o qual deve ser livre, infor-
mado, inequívoco e para finalidade determinada. Au-
torizações genéricas serão nulas. Exemplos: quando o
responsável pelo aluno preenche sua ficha de cadastro.
Quando a Escola deseja usar a foto de uma aluna crian-
ça (menor de 12 anos) que ganhou olimpíada de ciências
para fins de publicidade em seu site oficial Nesse caso,
é recomendável coletar o consentimento dos familiares
ou responsáveis para usar essa imagem.
Cumprimento de obrigação legal ou regulatória pelo
Controlador. Exemplo: Lei 13.803, de 2019, obrigação
de notificar de forma imediata os conselhos tutelares
no caso de faltas excedentes à 30% do percentual
permitido pela legislação em vigor, no caso de alunos
do ensino fundamental e médio.
Realização de estudos por órgãos de pesquisa, deven-
do os dados serem anonimizados sempre que possível.
DADOS PESSOAIS SENSÍVEIS
Consentimento do titular, que deve ser específico e
destacado, além de livre, informado, inequívoco e para
finalidade determinada. Exemplo: quando a Escola
coleta dados de saúde por meio de ficha de cadastro
para destinação de cuidados alimentares específicos,
ou condições de saúde que demandem um acompa-
nhamento pedagógico específico.
Cumprimento de obrigação legal ou regulatória pelo
Controlador. Exemplo: o Estatuto da Criança e do Ado-
lescente, em seu artigo 13 e 245, determina a obrigato-
riedade de comunicação dos casos de suspeita ou con-
firmação de maus-tratos contra criança ou adolescente
ao Conselho Tutelar da respectiva localidade.
Realização de estudos por órgãos de pesquisa, deven-
do os dados serem anonimizados sempre que possível.
Para a proteção do crédito. Exemplo: consulta a ban- Para a garantia de prevenção à fraude e segurança do
cos de dados de inadimplentes (SPC/ Serasa) para li- titular, nos processos de identificação e autenticação
beração de pedido de matrícula, a partir dos dados de cadastro em sistemas eletrônicos.
dos contratantes.
Pela administração pública, em alguns casos específicos Pela administração pública, em alguns casos específicos
Dados pessoais de crianças, em regra, só podem ser tratados mediante consentimento especí-
fico e em destaque, dado por pelo menos um dos pais ou pelo responsável legal. O tratamento
sem esse consentimento só é admitido se for necessário para a proteção da criança; ou para
contatar os pais ou responsável legal, caso em que poderá ser realizado uma única vez, sem
armazenamento. O compartilhamento dos dados com terceiros, como parceiros de negócios,
sem o consentimento dos pais ou responsável legal é proibido em qualquer situação.
No entanto, outras Bases Legais, que autorizam o tratamento de dados de crianças, como tutela
da saúde, a proteção da vida e da incolumidade física, a obrigação legal ou regulatória e o exercício
regular de direitos, além de compatíveis com o melhor interesse em certos contextos, são os mais
adequados sob o ponto de vista técnico. Não é viável, por exemplo, condicionar o compartilhamento
 MANUAL DA LEI GERAL DE PROTEÇÃO DE DADOS (LGPD) PARA ESCOLAS | 27

de dados pela Escola com o Conselho Tutelar em caso de faltas que excedam 30% do limite legal
QUESTIONAMENTOS
(Lei 13.803/19) ao consentimento dos pais, enquanto isto for uma obrigação legal da Escola – sem ETAPAS COMENTÁRIOS
A SEREM CONSIDERADOS
prejuízo do direito, é recomendável, em observância ao princípio da transparência, que isso seja
(i) Qual a finalidade do Tratamento? Se as respostas às perguntas não eviden-
informado em Política de Privacidade. .
(ii) Para quem o Tratamento é ciarem uma finalidade excessiva ou des-
importante e quais são os necessária do Controlador ou abusos da
Assim, a análise sobre a base legal adequada é casuística sendo que o consentimento específico e em
Existência de benefícios? legítima expectativa do Titular, a Escola
destaque prepondera no tratamento de dados de crianças, mas não de forma absoluta. poderá passar para a próxima etapa.
Legítimo Interesse (iii) O que aconteceria se a atividade de
Qualificação do Consentimento: Tratamento não ocorresse?
(iv) O Tratamento é suscetível de ser
O consentimento é uma manifestação (deverá envolver uma ação positiva de aceite) do(a) titular na antiético ou ilegal?
qual concorda que seus dados sejam usados para determinada finalidade. Esse consentimento pre-
(i) O Tratamento é necessário para Se não houver outra forma de atingir a fi-
cisa ser: livre, informado e inequívoco. Quando no contexto de consentimento para o tratamento de objetivos comerciais ou objetivos do nalidade do Tratamento (ou se outra forma
dados de crianças, ele também deve ser: específico e em destaque. Em caso de tratamento de dados negócio? for possível, porém implicar em esforços
sensíveis, o consentimento precisa ser também destacado das demais previsões contratuais. (ii) Existe alguma outra forma menos desproporcionais), a Escola poderá passar
intrusiva de Tratar os dados para a próxima etapa.
Necessidade de
pessoais? Se houver outra forma de atingir a finalida-
Tratamento
No que tange aos dados dos adolescentes, em regra, a LGPD traz, além do consentimento, outras (iii) O Tratamento almejado é razoável? de do Tratamento, a Escola deverá avaliar
nove bases legais que poderão justificar a coleta e tratamento de seus dados pessoais. No entan- as legítimas expectativas do Titular e os
to, ao eleger a base legal que subsidiará o tratamento, deve-se priorizar o seu melhor interesse. riscos associados com o Tratamento para
decidir se continuará utilizando o legítimo
interesse como Base Legal.
A LGPD não é clara com relação a este ponto: a princípio o consentimento em relação ao tratamento
(i) O Tratamento está dentro do legítimo Mediante a análise das perguntas de
dos dados dos adolescentes poderá ser realizado sem representação ou assistência dos pais, direta- interesse do Titular? tais questões, a Escola poderá decidir
mente pelos maiores de 12 anos. No entanto, se escolhida outra base legal que não o consentimento, (ii) A Companhia está confortável se respaldará o Tratamento no legítimo
é imprescindível que os cuidados quanto à clareza da redação e esforços para garantir a plena com- em explicar ao Titular as razões e interesse.
preensão dos titulares dos dados sejam tomados e registrados pela Escola. Caso contrário, pode-se métodos do Tratamento? Se identificarem riscos ao Titular, nós
comprometer a adjetivação do consentimento “informado”. Ou seja, pode-se entender que o consen- (iii) O Tratamento provavelmente será recomendamos que encontrem outra
considerado intrusivo pelo Titular? Base Legal.
timento não se deu de forma suficientemente compreensível pelo menor.
(iv) A Companhia está coletando a menor Caso a conclusão evidencie que outra
Teste de Base Legal possa ser usada para a mesma
Para casos de Legítimo Interesse, é recomendada a realização de uma análise específica (Legitimate quantidade possível de dados para
Balanceamento finalidade ou que haja risco às liberdades
Interest Impact Assessment – LIA) para demonstrar que não há excesso ou prejuízo do titular do dado. atingir a finalidade do Tratamento?
civis e direitos fundamentais de tal Titu-
(v) Quais são os potenciais riscos ao
A condução de LIA para respaldar a utilização do legítimo interesse deverá ser orientado pela ANPD. lar, um Relatório de Impacto à Proteção
Titular?
de Dados Pessoais também deverá ser
Considerando a ausência de uma instrução formal, recomendamos que a LIA seja conduzida à luz das (vi) A Companhia pode adotar medidas
conduzido.
melhores práticas adotadas por autoridades estrangeiras. Por conseguinte, recomendamos a adoção de segurança para minimizar o
de um teste em três partes para avaliar se se aplica ou não, com base na tabela abaixo: impacto?
(vii) A Companhia pode oferecer um opt-
out para o Titular?

Direitos dos Titulares
Os seguintes direitos dos titulares de Dados Pessoais estão previstos na LGPD:
ŠŠ Liberdade, intimidade, privacidade;
ŠŠ Correção dos dados que estiverem incompletos, inexatos ou desatualizados;
ŠŠ Confirmação da existência de Tratamento e acesso aos dados que estão sendo tratados;
ŠŠ Anonimização ou eliminação dos dados desnecessários, excessivos ou tratados em desconformi-
dade com a LGPD;
ŠŠ Portabilidade dos dados fornecidos a um Controlador para outro fornecedor de serviço ou produto;
ŠŠ Eliminação dos dados tratados com o consentimento do titular após o término do seu Tratamen-
to – favor notar que a informação poderá ser retida para fins de (i) cumprimento de obrigação
legal ou regulatória, (ii) estudo por órgão de pesquisa, (iii) transferência a terceiro, desde que
respeitados os requisitos da LGPD; e (iv) de forma anonimizada para uso exclusivo do Controlador
(proibido o acesso por terceiro);
ŠŠ Informaçõessobre a possibilidade de não fornecer o consentimento para Tratamento de seus
Dados Pessoais e sobre as consequências da negativa;
ŠŠ Revogação do consentimento fornecido para o Tratamento dos seus dados;
ŠŠ Revisão de decisões automatizadas e recebimento de informações claras sobre os critérios utiliza-
dos pelo Controlador para tomada de decisões com base em Tratamento automatizado.
Um dos passos essenciais para a conformidade com a LGPD é a criação de um canal de contato
para possibilitar aos titulares de dados o exercício de seus direitos. Para responder a essas so-
licitações, entidades educacionais que realizam operações com dados pessoais devem manter
estruturas facilitadas e procedimentos para o relacionamento com os titulares a respeito de
seus dados.
A adoção de um canal de interação, como endereço de e-mail (do Encarregado), um setor es-
pecífico no site institucional para trocas sobre o tratamento de dados, são exemplos de formas
de procedimentalizar os direitos dos titulares.
MANUAL DA LEI GERAL DE PROTEÇÃO DE DADOS (LGPD) PARA ESCOLAS | 29
A LGPD dispõe que a existência de Tratamento ou acesso aos Dados Pessoais pode ser con-
firmada (i) imediatamente, de forma simplificada; e (ii) em até 15 dias contados do pedido do
titular do dado, por meio de declaração completa, indicando a origem dos dados, a finalidade
do Tratamento e a inexistência de registro, se for o caso. É recomendável que se mantenha o
contato com o titular explicando, por exemplo, as razões que eventualmente impeçam a ado-
ção de providencias imediatas, ou que impeçam o cumprimento de alguma solicitação como
pedido de exclusão de dados que devem ser mantidos por dever legal da instituição.
Notificação de Incidentes
Qualquer incidente de segurança envolvendo Dados Pessoais que possa acarretar um risco ou
dano relevante aos direitos dos titulares deverá ser comunicado à Autoridade Nacional e ao titular
em prazo razoável.
O que é um Incidente de segurança?
É uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a
alteração, a divulgação ou o acesso, de forma não autorizada, a dados pessoais tratados pela Escola.
A Política de Segurança da Informação da Escola irá estabelecer as previsões a serem observadas
internamente para evitar quaisquer ocorrências desta natureza. No entanto, acidentes e incidentes
podem ocorrer mesmo em casos em que os cuidados são observados. Por este motivo, recomenda-
mos que sejam realizados treinamentos e que haja orientação clara sobre o que os responsáveis pela
Escola devem fazer diante destes acontecimentos.
Tivemos um incidente, e agora?
A LGPD determina que o Controlador deverá comunicar à autoridade nacional e ao titular a ocorrên-
cia de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.
Portanto, em um primeiro momento, é necessário mobilizar os esforços para entender se houve
acesso indevido a dados pessoais, natureza dos dados, titulares de dados envolvidos, extensão do
dano e possíveis consequências.
Decidido que há risco ou dano relevante aos titulares, o controlador deverá comunicar à ANPD e aos
titulares afetados sobre o ocorrido.
O comunicado deverá incluir (i) a indicação de quais Dados Pessoais foram afetados; (ii) quais medi-
das estão sendo utilizadas para proteção dos Dados Pessoais; (iii) os riscos relacionados ao inciden-
te; (iv) os motivos da demora na comunicação, caso não tenha sido feita de forma imediata; e (v) as
medidas tomadas para reverter ou mitigar os efeitos do incidente.

Todos estão passíveis de algum tipo de incidente envolvendo dados. No entanto, as empresas
são responsáveis por adotar e comprovar que adotaram as melhores práticas considerando o que
dispõe o mercado, o tipo de dados tratados e o porte da empresa. Assim, os sistemas utilizados para
o tratamento de dados pessoais devam atender a requisitos de segurança, padrões de boas práticas
e de governança e aos princípios gerais previstos na LGPD.
A partir da investigação do que a instituição fez para prevenir o incidente, e de que forma ela en-
dereçou a crise, com medidas de mitigação do risco e controle do incidente e comunicação sobre
o ocorrido, a ANPD irá ponderar para atribuição de eventual penalidade.
Hipóteses de Transferência Internacional de Dados
Os Dados Pessoais somente poderão ser transferidos para outros países nos seguintes casos:
ŠŠ Para países ou organismos internacionais que proporcionem grau de proteção de Dados Pessoais
adequado ao previsto na LGPD;
ŠŠ Se o Controlador assegurar comprometimento com os termos da LGPD, por meio de cláusulas-
-padrão contratuais; normas corporativas globais; e/ou selos, certificados e códigos de conduta
regularmente emitidos; os quais garantam o cumprimento da LGPD;
ŠŠ Quando a transferência for necessária para cooperação jurídica internacional entre órgãos públi-
cos de inteligência e investigação ou for necessária para a implementação de políticas públicas;
ŠŠ Quando necessário para a proteção da vida ou incolumidade física do titular ou de terceiro;
ŠŠ Quando a Autoridade Nacional autorizar a transferência;
ŠŠ Quando a transferência resultar em compromisso assumido em acordo de cooperação internacional;
ŠŠ Quando a transferência for necessária para a execução de política pública ou atribuição legal do
serviço público;
ŠŠ Se o titular tiver dado o seu consentimento específico e em destaque, de forma separada das ou-
tras finalidades, para a transferência, com informações sobre o caráter internacional da operação;
ŠŠ Para cumprimento de obrigação legal ou regulatória pelo Controlador;
ŠŠ Quando necessário para execução de contrato ou etapas anteriores à assinatura do contrato do
qual o titular seja parte, a pedido do titular;
ŠŠ Exercício regular de direitos em processo judicial, administrativo ou arbitral.
MANUAL DA LEI GERAL DE PROTEÇÃO DE DADOS (LGPD) PARA ESCOLAS | 31
Sanções
A Autoridade Nacional poderá aplicar as seguintes sanções como consequências do descumprimento
da LGPD:
ŠŠ Advertência e indicação de prazo para adoção de medidas corretivas;
ŠŠ Multa simples ou diária de até 2% do faturamento no seu último exercício, limitada ao total de
R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
ŠŠ Publicização de infração após devidamente apurada e confirmada a sua ocorrência;
ŠŠ Bloqueio dos Dados Pessoais a que se refere a infração até a sua regularização;
ŠŠ Eliminação dos Dados Pessoais a que se refere a infração;
ŠŠ Suspensão parcial e temporária do funcionamento do banco de dados e do exercício da atividade
de tratamento dos dados pessoais a que se refere a infração; e
ŠŠ Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
ŠŠ Serão considerados diversos fatores na aplicação das multas, como: gravidade e natureza das
infrações; boa-fé do infrator; reincidência; cooperação do infrator; adoção de política de boas
práticas e governança; pronta adoção de medidas corretivas e procedimentos internos capazes de
minimizar os dados; entre outros.
Orientações para o site das Escolas
Os sites potencialmente captam uma série de dados, tais como, dados de cadastro, IP, data e
hora de acesso, cookies, geolocalização, tipo de navegador, rede e servidor, preferência de idioma
e definição do país, nome, e-mail.
De que forma estes dados são coletados nos sites?
Na aba “fale conosco”, através de cookies, através de login e senha a serem fornecidos para acesso, etc.
Assim, para que o site das Escolas opere em conformidade com a Lei Geral de Proteção de Dados
deve-se cumprir com os seguintes pontos.
ŠŠ Adote o Privacy by Default: as configurações mais seguras de privacidade do site deverão ser
aplicadas por padrão, sem nenhuma entrada manual do visitante. 
ŠŠ Tenha uma política de cookies que descreva os tipos de cookies, as finalidades para seu uso, infor-
mações obtidas por meio dos cookies e as maneiras de controle e acesso às informações obtidas
por meio de cookies, detalhes sobre o compartilhamento destas informações com terceiros.
 MANUAL DA LEI GERAL DE PROTEÇÃO DE DADOS (LGPD) PARA ESCOLAS | 33

ŠŠ Tenha uma política de privacidade que inclua os dados coletados por meio do site, com fácil aces- ŠŠ Realização de due diligence na contratação de Operadores de Dados Pessoais que tratem dados
so, indicando um canal para dúvida e para o exercício dos direitos dos titulares pessoais cujo acesso indevido cause riscos aos envolvidos;

ŠŠ Tenha um termo de consentimento que dê ao usuário a possibilidade de escolher e consentir de ŠŠ Implementação de medidas técnicas e organizacionais adequadas;
fato quanto aos dados coletados. Recomenda-se que este termo de consentimento seja granular,
podendo o usuário pontuar especificamente quais os dados ele permite e quais os dados ele não ŠŠ Elaboração de planos para mitigação de riscos de incidentes e notificação à ANPD; e
permite que sejam coletados.
ŠŠ Implementação de Ongoing compliance, revisitando constantemente as atividades de tratamento
ŠŠ Com a coleta do consentimento, é preciso que este consentimento seja armazenado corretamente de dados pessoais e mantendo a equipe de colaboradores e operadores informada sobre cuidados
para comprovar sua obtenção, caso o tratamento seja questionado. Importante lembrar que os inerentes a esta atividade.
dados obtidos por meio do consentimento podem ter o consentimento revogado a qualquer tem-
po, de tal maneira que é necessário ter meios de deletá-los em caso de solicitação.

ŠŠ No site, cabem todas as regras e princípios insculpidos na LGPD. Persiste aqui o dever de mini-
mização (coleta dos dados no mínimo para as finalidades informadas), adstrição ao princípio da
finalidade (você só vai poder usar o dado para a finalidade informada ou alguma outra compatível
com a finalidade informada), segurança (precisa garantir meios de segurança que impeçam a per-
da, acesso indevido aos dados), necessidade de vinculação do tratamento de dados obtidos por
meio do site à uma base legal.

Medidas para a conformidade com a LGPD

Toda a organização deve estar envolvida no processo de conformidade com a LGPD e a conscientiza-
ção interna e de todos os stakeholders facilitará muito a adoção de quaisquer medidas neste sentido.

Dentre as medidas que as organizações adotam com esta finalidade, destacamos:

ŠŠ Treinamentos internos e criação de comitês para se aprofundar e disseminar a cultura de proteção

de dados dentro das organizações;

ŠŠ Implementação de Privacy by Design/Privacy by Default nos modelos de negócios;

ŠŠ Mapeamento do Fluxo de Dados Pessoais (dados enviados, recebidos e tratados internamente);
ŠŠ Indicação de Encarregado;
ŠŠ Elaboração de Relatório de Impacto à Proteção de Dados Pessoais (se as atividades representa-
rem riscos a liberdades civil e a direitos fundamentais);

ŠŠ Implementação de canal para atendimento dos titulares com relação aos seus direitos previstos
na LGPD;

ŠŠ Revisão de políticas e modelos de contratação de colaboradores e terceiros;

 MANUAL DA LEI GERAL DE PROTEÇÃO DE DADOS (LGPD) PARA ESCOLAS – GVE | 35

CONTATO CESCON BARRIEU

Luiz Felipe Di Sessa

+55 11 3089 6116
luiz.sessa@cesconbarrieu.com.br

Este manual não tem intenção de ser exaustivo e não representa aconselhamento legal. Os interessa-
dos devem consultar seus consultores e advogados ao avaliarem riscos e oportunidades neste setor.
CESCON, BARRIEU, FLESCH & BARRETO ADVOGADOS
SÃO PAULO | RIO DE JANEIRO | BELO HORIZONTE | BRASÍLIA | SALVADOR

www.cesconbarrieu.com.br