A inteligência artificial deixou de ser promessa distante e virou ferramenta de trabalho cotidiana na sala de aula. Professores usam IA na educação para preparar planos de aula, gerar atividades, adaptar materiais para diferentes níveis e até corrigir provas com mais agilidade. Esse ganho de tempo é real e bem-vindo. Mas há um cuidado que costuma passar despercebido no entusiasmo: quase tudo que circula numa escola envolve dados de pessoas, e boa parte dessas pessoas são crianças e adolescentes. É aí que entra a LGPD — a Lei Geral de Proteção de Dados Pessoais. Entender como ela se relaciona com o uso de IA não é burocracia: é a diferença entre adotar uma ferramenta poderosa de forma responsável ou expor alunos, famílias e a própria instituição a riscos que poderiam ser evitados.
Este guia explica, de forma direta e sem juridiquês, o que professores e escolas precisam saber antes de colocar a IA para trabalhar com dados de alunos. Ele descreve princípios e boas práticas. Não substitui orientação jurídica: para casos concretos, a recomendação é sempre consultar o encarregado de dados (DPO) ou o setor jurídico da escola.
Por que a LGPD importa quando se usa IA na escola
A LGPD se aplica sempre que se realiza algum tratamento de dados pessoais — coletar, armazenar, usar, compartilhar, analisar. Quando um professor digita o nome de um aluno num chat de IA, descreve o comportamento de uma turma, faz upload da foto de uma prova manuscrita ou cola um texto produzido por um estudante, está tratando dados pessoais. O fato de a ferramenta ser "só uma ajuda para escrever" não muda isso.
O ponto que torna o ambiente escolar especialmente sensível é a presença de menores de idade. Crianças e adolescentes recebem proteção reforçada na legislação brasileira de proteção de dados, com a exigência de que seu tratamento seja feito sempre no melhor interesse deles. Isso significa que o padrão de cuidado é mais alto do que em outros contextos: o que poderia ser aceitável entre adultos pode não ser quando o titular do dado é uma criança de oito anos.
Além disso, escolas concentram informações que, somadas, desenham um retrato detalhado da vida de uma pessoa em formação: desempenho, dificuldades de aprendizagem, comportamento, frequência, eventualmente situações familiares e de saúde. Um vazamento ou uso indevido desse conjunto tem potencial de dano muito maior do que o de um dado isolado. Por isso, quando a IA entra nesse fluxo, ela precisa entrar com regras claras.
O que é dado pessoal e dado sensível nesse contexto
Dado pessoal é qualquer informação que identifique ou permita identificar uma pessoa. Na escola, isso inclui o óbvio — nome completo, data de nascimento, número de matrícula, foto, e-mail, telefone — e também o menos óbvio, como notas, anotações sobre comportamento ou a combinação de informações que, juntas, apontam para um aluno específico ("o repetente da turma 7B que mora no bairro X"). Mesmo sem o nome, se dá para chegar à pessoa, é dado pessoal.
Dado pessoal sensível é uma categoria mais protegida. Abrange informações sobre saúde, origem racial ou étnica, convicção religiosa, opinião política, vida sexual, dados genéticos ou biométricos, entre outros. No dia a dia escolar, isso aparece com mais frequência do que se imagina: um laudo de transtorno de aprendizagem, a menção a uma deficiência, informações sobre a saúde de um aluno que justificam adaptação de atividade, dados de programas sociais. Esses dados exigem cuidado redobrado e, como regra, hipóteses legais mais restritas para serem tratados.
A consequência prática é simples de enunciar e exige disciplina para cumprir: antes de colocar qualquer informação numa ferramenta de IA, pergunte-se se aquilo identifica um aluno e se há algo sensível ali. Na dúvida, trate como se fosse — e remova ou substitua o que não for indispensável para a tarefa.
O risco dos chats de IA genéricos
Nem toda ferramenta de IA oferece as mesmas garantias. Há uma diferença importante entre usar um serviço pensado para o contexto educacional, com contrato e compromissos definidos, e jogar dados de alunos num chat de IA genérico de uso geral, daqueles gratuitos e abertos ao público.
O primeiro risco dos serviços genéricos é o uso dos dados para treinamento. Muitas plataformas de IA de consumo, em suas configurações padrão, podem utilizar o que os usuários digitam para aprimorar seus próprios modelos. Isso significa que o texto colado — incluindo nomes, redações e observações sobre alunos — pode ser incorporado a um sistema sobre o qual a escola não tem nenhum controle, sem possibilidade de recuperar ou apagar depois. Para dados de menores, esse cenário é particularmente delicado.
O segundo risco é a ausência de contrato. Quando uma escola adota uma ferramenta institucional, deveria existir um acordo que defina responsabilidades, finalidade do tratamento, medidas de segurança e o que acontece em caso de incidente. Com um chat genérico usado por iniciativa individual do professor, não há nada disso: ninguém assumiu obrigação de proteger aqueles dados, e a escola — que continua responsável perante a lei e perante as famílias — perde a visibilidade sobre onde a informação foi parar.
O terceiro risco é a localização e a retenção. Muitos serviços armazenam dados em servidores no exterior, por prazos indefinidos, sob regras que o usuário comum não consegue auditar. Nada disso inviabiliza automaticamente o uso de IA, mas mostra por que a escolha da ferramenta não é um detalhe técnico — é uma decisão que envolve a proteção de quem está sob a guarda da escola.
Base legal e o papel da escola como controladora
Todo tratamento de dados pessoais precisa de uma base legal — uma justificativa prevista na lei que o autorize. A LGPD lista várias hipóteses, e o consentimento é apenas uma delas. Em muitos contextos escolares, o tratamento se apoia em outras bases, como a execução do contrato educacional ou o cumprimento de obrigações legais e regulatórias. Definir qual base se aplica a cada situação é justamente o tipo de análise que cabe ao DPO ou ao jurídico, porque depende de detalhes concretos de cada instituição.
O que importa o professor entender é o papel da escola na cadeia. Em geral, a instituição de ensino atua como controladora dos dados dos alunos: é ela quem decide por que e como esses dados são tratados, e é dela a responsabilidade principal de zelar por eles. Os fornecedores de tecnologia que processam dados a mando da escola — incluindo plataformas de IA — costumam atuar como operadores, executando o tratamento segundo as instruções e nos limites definidos pela controladora.
Essa distinção tem efeitos práticos. Significa que a escola não pode simplesmente terceirizar a responsabilidade dizendo "o problema é do fornecedor de IA". Cabe a ela escolher fornecedores adequados, firmar os contratos certos e orientar seus professores. E significa que o professor, ao usar uma ferramenta por conta própria sem passar pela governança da escola, pode estar criando um tratamento de dados à margem da estrutura que deveria protegê-lo. Centralizar essas decisões na instituição não é controle excessivo: é o caminho para que a responsabilidade fique onde a lei a coloca.
Princípios que orientam o uso responsável
Mais do que decorar regras, vale interiorizar os princípios que a LGPD coloca no centro. Três deles guiam quase todas as boas decisões no uso de IA na escola.
A finalidade exige que os dados sejam usados para propósitos específicos, legítimos e informados, e não para qualquer coisa que se queira depois. Os dados coletados para gerir a vida escolar de um aluno não deveriam alimentar, sem mais, o treinamento de um modelo de IA comercial.
A minimização pede que se trate apenas o que é necessário para a finalidade pretendida. Se um plano de aula pode ser gerado sem o nome do aluno, não há razão para incluí-lo. Cada dado a menos é um risco a menos.
A transparência estabelece que titulares — alunos e responsáveis — devem ter informações claras sobre como seus dados são tratados. Famílias têm o direito de saber, em linguagem acessível, que ferramentas a escola usa e com que propósito.
Esses princípios não exigem que ninguém seja advogado. Exigem bom senso aplicado com consistência.
Boas práticas para o professor
No nível individual, alguns hábitos reduzem drasticamente o risco sem atrapalhar o trabalho.
Minimize os dados. Antes de enviar qualquer coisa para a IA, retire o que não for indispensável. Para gerar uma atividade, descreva a turma de forma genérica ("8º ano, dificuldade em frações") em vez de citar alunos por nome. Para pedir feedback sobre um texto, é quase sempre possível remover a identificação do autor.
Não exponha nome, foto ou identificação de aluno sem necessidade real. Foto de prova, redação manuscrita e observações nominais são especialmente sensíveis. Se a tarefa pode ser feita sem esses elementos, faça sem. Quando forem realmente necessários — como na correção de uma prova específica —, use uma ferramenta institucional que ofereça garantias, não um chat aberto.
Prefira ferramentas com política clara. Antes de adotar um serviço, verifique se ele tem política de privacidade compreensível, se explica o que faz com os dados e se declara não usá-los para treinar modelos de terceiros. A ausência dessas informações já é um sinal de alerta.
Passe pela governança da escola. Não adote ferramentas novas para tratar dados de alunos por iniciativa solitária. Leve a sugestão à coordenação ou ao DPO. Isso protege o professor tanto quanto a instituição.
Cuidado com dados sensíveis. Laudos, informações de saúde e situações familiares pedem o nível máximo de cautela. Em caso de dúvida sobre se algo pode ser inserido numa ferramenta, a resposta prudente é não inserir até confirmar com quem responde pela proteção de dados na escola.
O que perguntar a um fornecedor de IA educacional
Quando a escola avalia adotar uma ferramenta de IA, algumas perguntas separam fornecedores sérios de soluções improvisadas. Vale exigir respostas por escrito.
Onde ficam os dados? Em quais servidores e regiões a informação é armazenada e processada. Transferência internacional de dados tem requisitos próprios e merece atenção.
Os dados são usados para treinar modelos? A resposta ideal é que o conteúdo dos clientes — e especialmente material de turma — não é utilizado para treinar modelos de IA, próprios ou de terceiros. Esse compromisso deveria constar do contrato, não só do discurso comercial.
Como os dados são protegidos? Se há criptografia em trânsito e em repouso, controle de acesso, registro de atividades e práticas de segurança documentadas.
Qual a política de retenção e exclusão? Por quanto tempo os dados ficam guardados, como são apagados quando deixam de ser necessários e como a escola pode solicitar a exclusão.
Existe contrato adequado de tratamento de dados (DPA)? Um acordo que formalize o papel de operador do fornecedor, suas obrigações de segurança, o dever de notificar incidentes e os limites de uso dos dados. Sem esse instrumento, a escola assume sozinha um risco que deveria ser compartilhado.
Como a ferramenta lida com dados de menores? Se há cuidados específicos, dado o regime reforçado de proteção a crianças e adolescentes.
Fornecedores que tratam proteção de dados como prioridade respondem a essas perguntas com naturalidade. Quem hesita ou responde de forma vaga está, na prática, dizendo algo importante.
Checklist prático
Para fechar, um roteiro rápido que professores e gestores podem usar antes de cada decisão:
- O dado que vou inserir identifica algum aluno? Se sim, ele é realmente necessário para a tarefa?
- Há algo sensível envolvido (saúde, laudo, situação familiar)? Em caso afirmativo, redobre a cautela e consulte a escola.
- A ferramenta tem política de privacidade clara e declara não usar os dados para treinar modelos?
- Existe contrato entre a escola e o fornecedor, com papel de operador definido?
- A adoção da ferramenta passou pela governança da instituição (coordenação, DPO, jurídico)?
- As famílias têm informação adequada sobre as ferramentas usadas?
- Dá para fazer a mesma tarefa com menos dados pessoais? Se sim, faça.
No Didata, esses princípios fazem parte do projeto desde o início: os dados são tratados conforme a LGPD e o conteúdo das turmas não é utilizado para treinar modelos de terceiros. Mais do que escolher uma ferramenta específica, porém, o que protege alunos e escolas é a postura: tratar a proteção de dados como parte inseparável do uso pedagógico da inteligência artificial. A tecnologia é uma aliada valiosa do professor. Cabe a cada instituição garantir que ela trabalhe a favor dos estudantes — inclusive na hora de cuidar das informações deles. Para situações concretas e decisões que envolvam responsabilidade legal, o caminho certo continua sendo conversar com o encarregado de dados ou o jurídico da escola.