Ir para o conteúdo
Aulla
LGPD para escolas: o que você realmente precisa fazer para não tomar multa
Conteúdos

LGPD para escolas: o que você realmente precisa fazer para não tomar multa

Sua escola guarda CPF, telefone, endereço e dados de crianças. Isso te coloca dentro da LGPD, queira você ou não. A boa notícia: estar em ordem é mais simples do que parece. Veja o que importa de verdade, em linguagem de quem gere escola.

7 min de leitura

Um responsável manda uma mensagem pedindo "todos os dados que vocês têm da minha filha" e diz que quer que você apague tudo depois. No mesmo dia, você lembra que os cadastros dos alunos estão numa planilha aberta no computador da recepção, que qualquer pessoa da equipe abre, e que o backup disso, se existe, está num pen drive na gaveta. Bate aquela dúvida: a escola está fazendo certo? E se isso virar um problema?

A LGPD (Lei Geral de Proteção de Dados) não foi feita para perseguir escola pequena. Ela existe para proteger as pessoas cujos dados as empresas guardam. Só que escola guarda muito dado sensível: nome completo, CPF, endereço, telefone, dados financeiros e, com frequência, informações de crianças e adolescentes, que recebem proteção reforçada na lei. Isso coloca a sua escola dentro do jogo. A questão não é "se" a LGPD se aplica a você, é o quanto você já está em ordem.

Este post é um guia prático, de gestor para gestor. Não substitui orientação jurídica, e cada caso pode ter detalhes que pedem um especialista. Mas cobre o essencial que toda escola deveria ter resolvido.

Primeiro, entenda o que você tem

Você não consegue proteger o que não sabe que tem. O primeiro passo é o mais ignorado e o mais importante: mapear quais dados a escola coleta, onde eles ficam e quem tem acesso.

Faça um levantamento simples:

  • Quais dados você pede na matrícula (do aluno e do responsável)?
  • Onde esses dados moram hoje (sistema, planilha, papel, WhatsApp, e-mail)?
  • Quem da equipe consegue acessar cada um deles?
  • Para quê cada dado é usado de fato?

Esse exercício costuma revelar surpresas: dados espalhados em cinco lugares, cópias antigas que ninguém lembrava, planilhas que circulam por e-mail. Só de enxergar isso, você já sabe onde está o risco.

Colete só o necessário e diga para quê

A LGPD trabalha com a ideia de finalidade: você coleta um dado para um motivo específico e legítimo, e não para "ter ali, vai que precisa". Na prática, isso quer dizer pedir o que a escola realmente usa e ser transparente sobre o porquê.

Se você pede o CPF do responsável, é para emitir contrato e cobrança. Se pede o telefone, é para comunicar sobre as aulas e os pagamentos. Diga isso de forma clara, num aviso de privacidade simples, na matrícula. Não precisa ser um documento jurídico gigante: precisa ser honesto e compreensível, dizendo o que você coleta, para quê e por quanto tempo guarda.

E evite a tentação de pedir dado a mais "por garantia". Cada dado extra que você guarda é uma responsabilidade extra que você assume.

Tenha uma base legal para cada uso

A lei pede que todo tratamento de dado tenha uma base legal. Para escola, as mais comuns são duas, e dá para entender sem virar advogado:

  • Execução de contrato: para tudo que é necessário para prestar o serviço que a família contratou. Cobrar a mensalidade, registrar presença, comunicar sobre as aulas. Isso normalmente já está amparado pelo próprio contrato de matrícula.
  • Consentimento: para o que vai além do contrato, em especial marketing. Mandar campanha de matrícula, promoção, novidade. Aqui você precisa do "sim" explícito da pessoa, registrado, e com a opção de sair quando quiser.

A confusão mais comum é tratar tudo como se exigisse consentimento, ou o contrário, sair disparando campanha sem permissão. Separar essas duas situações resolve a maior parte das dúvidas do dia a dia.

Segurança não é luxo, é obrigação

A lei exige que você proteja os dados com medidas de segurança razoáveis. Aqui mora o maior risco de escola pequena, porque é justamente onde o improviso impera: planilha aberta, senha compartilhada, dados trafegando por WhatsApp pessoal, sem backup.

O básico que toda escola deveria ter:

  • Acesso controlado: cada pessoa da equipe vê só o que precisa para o trabalho dela. O professor não precisa ver o financeiro da escola inteira.
  • Senhas individuais e, de preferência, autenticação em duas etapas (2FA) para quem acessa o sistema.
  • Dados trafegando de forma criptografada (o famoso cadeado, o TLS, na conexão).
  • Backups regulares, para não perder tudo num problema de equipamento.
  • Fim do dado vivendo solto em planilha que qualquer um abre.

Um sistema sério já entrega essa segurança pronta, e essa é uma das maiores vantagens de sair da planilha: você troca um ambiente exposto por um controlado, sem ter que virar especialista em tecnologia.

Cuidado redobrado com dados de crianças

Boa parte das escolas de idiomas, música e cursos livres atende menores de idade, e a LGPD dá proteção especial a esses dados. O consentimento, em geral, é dado pelos pais ou responsáveis, e o cuidado com o uso e a comunicação precisa ser ainda maior.

Na prática: avisos sobre o aluno menor devem chegar ao responsável, o consentimento para comunicações que vão além do contrato deve vir de quem responde pela criança, e a coleta de dados desses alunos pede o mesmo critério de "só o necessário", com atenção extra.

Olhe para os seus fornecedores

Esse ponto pega muita escola de surpresa. Quando você usa um sistema de gestão, uma ferramenta de cobrança ou um serviço de e-mail, você está compartilhando dados dos seus alunos com esses fornecedores. Eles passam a ser operadores dos dados, e você continua responsável pela escolha de com quem trabalha.

O que olhar num fornecedor:

  • Ele declara conformidade com a LGPD?
  • Os dados de cada cliente ficam isolados, ou tudo fica misturado num banco só?
  • Existe criptografia, controle de acesso e backup?
  • Há um contrato ou termo que define as responsabilidades de cada lado?

Escolher um fornecedor descuidado é assumir o risco dele junto com o seu. Por isso vale priorizar sistemas que tratam isso a sério desde o início.

Como o Aulla se encaixa nisso

O Aulla foi construído com a LGPD em mente e atua como operador dos dados que a sua escola trata. Na prática, isso aparece em coisas concretas: os dados de cada escola ficam isolados (cada escola opera em ambiente próprio, sem mistura com outras), a conexão é criptografada em trânsito (TLS), há autenticação em duas etapas (2FA), controle de acesso por papel (RBAC, em que cada pessoa vê só o que precisa) e backups regulares.

Isso não te isenta das suas obrigações como escola, mas resolve boa parte do trabalho pesado de segurança, que seria difícil e caro montar sozinho. Você fica responsável pelo que é seu (avisar, pedir consentimento, coletar só o necessário) e conta com uma base técnica que já vem em ordem.

Por onde começar

Não tente resolver a LGPD inteira num fim de semana. Comece pelo mapeamento: descubra que dados você tem e onde estão. Depois, tire o dado sensível da planilha aberta e leve para um ambiente controlado. Em seguida, ajuste o aviso de privacidade e o consentimento na matrícula. Esses três passos já colocam a sua escola num patamar muito melhor do que a média.

Para situações específicas, principalmente se a escola é grande ou trata dados em volume, vale procurar orientação especializada, porque a lei tem nuances que um post não cobre. Mas a maior parte do risco de uma escola pequena ou média vem do básico não feito, e o básico está ao seu alcance.

Quer entender como deixar a sua escola em ordem com a LGPD?

Converse com um especialista do Aulla e veja como dados isolados por escola, criptografia, 2FA e controle de acesso ajudam a proteger as informações dos seus alunos sem virar um projeto de tecnologia.

Falar com um especialista
Voltar para o blog

Leia também

Documento legal

Termos de uso

Vigentes a partir de 20 de maio de 2026.

1. Sobre estes termos

Estes Termos de Uso (“Termos”) regulam a utilização da plataforma Aulla (“Plataforma”), oferecida por Aulla Tecnologia Educacional. Ao contratar, acessar ou utilizar a Plataforma, a escola contratante (“Cliente”) declara ter lido, compreendido e aceitado integralmente as condições aqui descritas.

2. Cadastro e responsabilidade do Cliente

O Cliente é responsável pela veracidade das informações fornecidas no cadastro, pela confidencialidade das credenciais de acesso e por todas as ações realizadas em sua conta. Cada usuário cadastrado deve utilizar credenciais individuais e intransferíveis.

3. Licença de uso

A Aulla concede ao Cliente uma licença não exclusiva, intransferível e revogável para acessar e utilizar a Plataforma de acordo com o plano contratado, pelo período de vigência da assinatura.

4. Planos, pagamento e cancelamento

Os planos são contratados na modalidade mensal, sem fidelidade. O Cliente pode cancelar a assinatura a qualquer momento, mantendo o acesso até o fim do ciclo já pago. O não pagamento em até 10 (dez) dias após o vencimento poderá implicar suspensão do acesso até a regularização.

5. Dados do Cliente

Os dados inseridos na Plataforma (alunos, turmas, financeiro etc.) são de titularidade do Cliente. A Aulla atua como operadora de tratamento, nos termos da LGPD, executando o tratamento conforme a finalidade contratada. Detalhes sobre o tratamento estão descritos na Política de Privacidade.

6. Disponibilidade e suporte

A Plataforma é disponibilizada em regime de melhor esforço, com meta de disponibilidade mensal de 99,5%. Janelas programadas de manutenção serão comunicadas com antecedência sempre que possível.

7. Condutas vedadas

É vedado ao Cliente: (i) utilizar a Plataforma para fins ilícitos; (ii) tentar burlar medidas de segurança; (iii) realizar engenharia reversa do software; (iv) compartilhar credenciais com terceiros não autorizados; (v) utilizar a Plataforma para envio de comunicações não solicitadas (spam).

8. Propriedade intelectual

Todos os direitos de propriedade intelectual sobre a Plataforma, incluindo código-fonte, marca, layout, textos e elementos visuais, pertencem à Aulla Tecnologia Educacional e estão protegidos pela legislação aplicável.

9. Limitação de responsabilidade

A Aulla não se responsabiliza por danos indiretos, lucros cessantes ou consequências decorrentes do uso indevido da Plataforma pelo Cliente, falhas em serviços de terceiros (provedores de internet, gateways de pagamento, APIs de WhatsApp) ou eventos de força maior.

10. Alterações destes Termos

Estes Termos podem ser atualizados periodicamente. Alterações relevantes serão comunicadas com pelo menos 30 (trinta) dias de antecedência por e-mail e/ou pela própria Plataforma.

11. Foro

Fica eleito o foro da Comarca da sede da Aulla Tecnologia Educacional para dirimir qualquer controvérsia decorrente destes Termos, com renúncia a qualquer outro, por mais privilegiado que seja.

12. Contato

Dúvidas sobre estes Termos devem ser encaminhadas para contato@aulla.com.br.

Documento legal

Política de privacidade

Vigente a partir de 20 de maio de 2026 · LGPD (Lei 13.709/2018).

1. Quem somos

A Aulla Tecnologia Educacional (“Aulla”) é a controladora dos dados pessoais coletados em seu site institucional e operadora dos dados pessoais inseridos na plataforma pelas escolas contratantes.

2. Quais dados coletamos

A Aulla trata dois grupos de dados pessoais:

  • Dados de contato (site): nome, telefone/WhatsApp, e-mail e tipo de escola, fornecidos pelo formulário de solicitação de acesso.
  • Dados operacionais (plataforma): cadastros de alunos, responsáveis, professores, turmas, presenças, anotações, materiais e informações financeiras inseridos pela escola contratante para a operação do sistema.

3. Para que usamos seus dados

  • Estabelecer contato comercial e enviar a proposta de configuração;
  • Prestar o serviço contratado de gestão pedagógica;
  • Emitir cobranças, conciliar pagamentos e enviar comprovantes;
  • Disparar comunicações operacionais (lembrete de aula, aviso de cobrança) pelos canais autorizados pela escola;
  • Cumprir obrigações legais, regulatórias e contratuais;
  • Melhorar a Plataforma com base em dados agregados e anonimizados.

4. Bases legais

Tratamos dados pessoais com fundamento nas bases legais previstas na LGPD, notadamente: execução de contrato, cumprimento de obrigação legal, legítimo interesse e consentimento, conforme aplicável a cada finalidade.

5. Compartilhamento

A Aulla compartilha dados pessoais somente com operadores estritamente necessários à prestação do serviço, sob contratos com obrigação de confidencialidade. Os principais são:

  • Gateway de pagamento (cobrança e conciliação);
  • Provedor de mensageria WhatsApp (envio de notificações pela escola);
  • Infraestrutura de hospedagem em nuvem (armazenamento e processamento);
  • Provedores de e-mail transacional.

6. Isolamento dos dados por escola

Cada escola contratante opera em banco de dados próprio. Dados de uma escola não são acessíveis por outras escolas em hipótese alguma.

7. Segurança

Aplicamos controles técnicos e organizacionais razoáveis para proteger os dados contra acesso não autorizado, perda, alteração ou destruição: criptografia em trânsito (TLS), controle de acesso por função, registro de auditoria, backups regulares e segregação de ambientes.

8. Retenção

Os dados são mantidos enquanto a relação contratual estiver ativa e pelos prazos legais exigidos após o término (notadamente para fins contábeis, fiscais e regulatórios). Após esses prazos, os dados são eliminados ou anonimizados.

9. Direitos do titular

Em conformidade com a LGPD, o titular pode, a qualquer momento, solicitar:

  • Confirmação da existência de tratamento;
  • Acesso aos dados;
  • Correção de dados incompletos, inexatos ou desatualizados;
  • Anonimização, bloqueio ou eliminação de dados desnecessários;
  • Portabilidade dos dados;
  • Informação sobre uso compartilhado;
  • Revogação do consentimento.

Para exercer estes direitos, basta enviar uma solicitação para contato@aulla.com.br.

10. Cookies

Utilizamos cookies estritamente necessários ao funcionamento do site e da Plataforma (autenticação, sessão e proteção contra fraudes), além de cookies de analítica em base agregada para entender o uso e melhorar o serviço.

11. Encarregado (DPO)

Contato do Encarregado pelo Tratamento de Dados Pessoais: contato@aulla.com.br.

12. Atualizações desta Política

Esta Política pode ser atualizada para refletir mudanças legais, contratuais ou operacionais. A versão vigente está sempre disponível neste site, com a data da última atualização indicada no topo do documento.