WhatsApp

Ação civil pública do MP-PR contra chamada escolar por IA expõe riscos da LGPD no tratamento de dados biométricos de crianças na educação.

 

Artigo · Educacao

Chamada Escolar por Inteligência Artificial e a LGPD: o que a ação civil pública do Ministério Público do Paraná revela sobre o tratamento de dados de crianças na educação

Introdução

O uso de tecnologias de reconhecimento automatizado em ambientes escolares avança com velocidade superior à maturidade regulatória das instituições que as adotam. Sistemas de chamada baseados em inteligência artificial, que identificam a presença de alunos por biometria facial, análise comportamental ou outros métodos de inferência automatizada, prometem eficiência operacional e redução de fraudes de frequência. O que frequentemente fica fora do escopo das contratações, porém, é a pergunta fundamental que a Lei Geral de Proteção de Dados Pessoais impõe: com qual base legal, sob qual finalidade declarada e com qual nível de proteção esses dados são coletados de crianças e adolescentes em ambiente de ensino?

Em 1º de junho de 2026, o Ministério Público do Paraná ajuizou ação civil pública imputando possíveis violações à LGPD a um sistema de chamada escolar que utiliza inteligência artificial, com pedido de indenização fixado em R$ 15 milhões. A notícia foi capturada via Google Alerts com texto truncado, o que impede a identificação pública do réu, seja escola, rede de ensino ou fornecedor de tecnologia. Ainda assim, os contornos jurídicos e operacionais da controvérsia são suficientemente nítidos para uma análise de autoridade: o caso condensa os principais pontos de risco regulatório enfrentados por qualquer agente que trate dados de menores em contexto educacional com recursos automatizados.

A tese central deste artigo é que a implantação de sistemas de IA para controle de frequência escolar envolve, quase inevitavelmente, o tratamento de dados sensíveis de crianças e adolescentes sem as salvaguardas exigidas pelos artigos 11 e 14 da LGPD, e que a omissão de uma governança contínua de privacidade converte risco jurídico latente em passivo concreto, como demonstra a iniciativa do MP-PR. O escopo da análise abrange a moldura legal brasileira aplicável, os deveres específicos do controlador em contexto educacional, os precedentes regulatórios da ANPD e as implicações práticas para DPOs, gestores escolares e jurídico.

Método

Este artigo adota revisão normativa e análise de precedentes regulatórios e judiciais. Foram examinados os dispositivos da Lei nº 13.709/2018 (LGPD), o Estatuto da Criança e do Adolescente (Lei nº 8.069/1990), a Resolução CD/ANPD nº 2/2022, a Resolução CD/ANPD nº 4/2023 e o Guia Orientativo da ANPD sobre o tema de dados de crianças e adolescentes, além de relatórios institucionais e cobertura jornalística verificável. A ação civil pública do MP-PR é tratada como caso-âncora a partir da cobertura disponível; na ausência de identificação do réu, a análise se apoia nos elementos fáticos confirmados (tecnologia utilizada, valor do pedido, estado, data de ajuizamento) e projeta as consequências jurídicas prováveis com base na legislação vigente.

Resultados e Análise

A natureza dos dados em jogo: por que chamada por IA não é registro de presença comum

O ponto de partida para qualquer análise jurídica correta do caso é a qualificação dos dados tratados. Um sistema tradicional de chamada, em que o professor anota manualmente a presença, produz um registro administrativo de frequência. Um sistema que utiliza IA para identificar o aluno, seja por reconhecimento facial, análise de voz, leitura de padrões biométricos ou inferência comportamental a partir de câmeras, produz algo radicalmente diferente: dado biométrico que, quando permite identificar individualmente uma pessoa natural, é classificado como dado pessoal sensível pelo art. 5º, inciso II, da LGPD [1].

Dados biométricos de crianças e adolescentes recebem dupla camada de proteção no ordenamento brasileiro. A primeira decorre do art. 11 da LGPD, que restringe o tratamento de dados sensíveis a um conjunto taxativo de hipóteses legais, entre elas o consentimento específico e destacado dado pelo titular ou por seu responsável legal, ou o cumprimento de obrigação legal pelo controlador. A segunda decorre do art. 14 da LGPD, que subordina qualquer tratamento de dados de crianças ao melhor interesse do menor e exige, em regra, consentimento específico dado por pelo menos um dos pais ou pelo responsável legal [1]. A obrigação não é formal: o controlador precisa demonstrar que o consentimento foi colhido de forma clara, que a finalidade foi informada de maneira acessível à compreensão da criança e de seus responsáveis, e que a base legal é robusta o suficiente para suportar o uso de tecnologia com capacidade de identificação biométrica.

A questão prática para redes de ensino é direta: se o sistema de chamada por IA capta imagens ou padrões biométricos dos alunos para gerar o registro de frequência, ele está tratando dados sensíveis de menores, e a exigência legal é mais rigorosa do que a maioria dos contratos de tecnologia educacional prevê. A ausência de um termo de consentimento adequado, de uma política de privacidade adaptada ao vocabulário de pais e responsáveis e de um registro de atividades de tratamento atualizado constitui, por si só, infração passível de sanção pela ANPD e, como demonstra o caso do Paraná, de ação civil pública com pedido indenizatório expressivo.

O quadro sancionatório e o pedido de R$ 15 milhões: proporcionalidade e efeito dissuasório

O pedido de indenização de R$ 15 milhões fixado pelo MP-PR merece análise sob dois ângulos: o limite máximo de multa administrativa previsto na LGPD e o regime de responsabilidade civil coletiva acionável pelo Ministério Público.

No plano administrativo, o art. 52 da LGPD autoriza a ANPD a aplicar multa simples de até 2% do faturamento da pessoa jurídica no Brasil, limitada a R$ 50 milhões por infração [1]. A multa administrativa e a responsabilidade civil são vias independentes: a empresa pode ser multada pela ANPD e, simultaneamente, ser condenada a indenizar coletivamente os titulares em ação civil pública.

O art. 22 da LGPD atribui ao controlador o ônus de demonstrar que adotou medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados [1]. Em se tratando de dados de crianças, o art. 14, parágrafo 6º, determina que as informações sobre o tratamento devem ser mantidas em formato que facilite o exercício dos direitos dos titulares. A inversão do ônus probatório é, portanto, estrutural: cabe ao réu demonstrar conformidade, não ao MP provar negligência ponto a ponto.

O valor de R$ 15 milhões, embora ainda a ser apreciado pelo Poder Judiciário, reflete a dimensão coletiva do dano alegado. Em contexto escolar, o universo de titulares afetados pode incluir centenas ou milhares de alunos em uma única instituição ou rede. Aplicada à proteção de dados, essa lógica amplifica o risco financeiro de cada infração.

Deveres específicos do controlador em ambiente educacional: RIPD, encarregado e minimização

O caso paranaense também ilumina três obrigações de governança que, na prática, são sistematicamente subestimadas por instituições de ensino: a realização do Relatório de Impacto à Proteção de Dados Pessoais (RIPD), a designação de encarregado (DPO) e a aplicação efetiva do princípio da minimização de dados.

O RIPD, previsto no art. Um sistema de chamada por IA que atende centenas de alunos diariamente enquadra-se nessa obrigação sem margem para dúvida. O RIPD não é documento meramente formal: ele deve mapear as ameaças concretas ao tratamento (acesso não autorizado, uso secundário dos dados biométricos, compartilhamento com o fornecedor de tecnologia sem cláusulas contratuais adequadas), avaliar a proporcionalidade do tratamento em relação à finalidade declarada e documentar as medidas mitigadoras adotadas. A ausência do RIPD é, por si só, indício de negligência organizacional relevante em eventual processo administrativo ou judicial.

A designação de encarregado pelo tratamento de dados, obrigatória para controladores nos termos do art. 41 da LGPD [1], adquire importância particular em redes de ensino que adotam tecnologias de IA. O encarregado é o canal de comunicação com a ANPD e com os titulares, e sua ausência significa que, na prática, não há ponto de contato interno capacitado para receber reclamações de pais, orientar fornecedores sobre as exigências contratuais de privacidade ou acionar um protocolo de resposta a incidentes quando o sistema sofre uma falha.

O princípio da minimização, art. 6º, inciso III, da LGPD [1], obriga o controlador a coletar apenas os dados estritamente necessários para a finalidade declarada. No caso de chamada escolar, a finalidade é registrar presença. A pergunta que o RIPD deveria ter respondido antes da implantação do sistema é: o reconhecimento biométrico por IA é estritamente necessário para registrar presença, ou existe método menos invasivo que alcance o mesmo resultado? A resposta a essa pergunta determina se o tratamento é proporcionado ou excessivo. Se a finalidade pode ser cumprida por cartão de identificação, assinatura eletrônica ou registro manual, a coleta biométrica pode ser considerada desproporcional e, portanto, ilegal, independentemente do consentimento obtido.

Impacto para fornecedores de tecnologia educacional: responsabilidade do operador e cláusulas contratuais

Um aspecto pouco discutido em cobertura jornalística, mas central para o ecossistema de edtech, é a posição jurídica do fornecedor do sistema de IA. A LGPD distingue controlador, quem decide sobre o tratamento, do operador, quem realiza o tratamento em nome do controlador, nos termos do art. 5º, incisos VI e VII [1]. O fornecedor de tecnologia que processa os dados biométricos dos alunos para gerar o registro de frequência é, em regra, operador. Mas o art. 42, parágrafo 1º, inciso I, da LGPD estabelece que o operador responde solidariamente com o controlador quando descumpre as obrigações da legislação de proteção de dados ou as instruções lícitas do controlador [1].

Isso significa que, identificado o fornecedor do sistema de chamada, ele pode ser incluído no polo passivo da ação e responder pela parcela do dano que lhe for atribuível, especialmente se o contrato não continha cláusulas de proteção de dados adequadas, se os dados eram armazenados em infraestrutura sem certificação de segurança, ou se havia compartilhamento com terceiros não previsto na política de privacidade da escola.

Contratos de tecnologia educacional que não atribuem claramente ao fornecedor obrigações de notificação, auditoria e cooperação com o encarregado deixam a instituição de ensino como único polo de responsabilidade, quando o risco operacional real está distribuído entre as duas partes.

Discussão

Para DPOs, gestores de redes de ensino e jurídico, o caso do MP-PR funciona como mapa de risco imediato. As implicações práticas se organizam em três planos.

No plano preventivo, qualquer instituição que opere ou contrate sistema de controle de frequência com componente automatizado de identificação deve, antes de qualquer outra medida, verificar se o tratamento envolve dado biométrico conforme a definição do art. 5º, II da LGPD. Em caso afirmativo, a cadeia obrigatória é: realização do RIPD, revisão da base legal (consentimento específico dos responsáveis legais é a hipótese mais robusta para dados de crianças, mas precisa ser documentado de forma rastreável), atualização da política de privacidade em linguagem acessível a pais e alunos, e inclusão de cláusulas de proteção de dados no contrato com o fornecedor. Cada uma dessas etapas precisa gerar evidência auditável, não apenas ter sido executada informalmente.

No plano reativo, a existência de uma ação civil pública com pedido de R$ 15 milhões exige que o réu demonstre, com documentação, que agiu de boa-fé e com diligência. A diferença entre uma condenação integral e uma redução substancial do valor indenizatório pode residir na qualidade das evidências de governança produzidas antes do litígio: RIPD datado, termos de consentimento assinados, registros de treinamento do pessoal, contratos revisados com cláusulas de proteção de dados, e registros de atividades de tratamento atualizados. Sem esses documentos, a defesa técnica fica fragilizada mesmo que o sistema tenha sido implantado com boas intenções.

No plano estrutural, o caso reforça que “adequação à LGPD” não é evento pontual. Sistemas de IA evoluem, escopo de coleta de dados se expande, fornecedores mudam de política. A governança contínua de privacidade, com revisões periódicas do RIPD, monitoramento de incidentes, atualização de inventário de dados e treinamento recorrente, é o único modelo que sustenta a conformidade ao longo do tempo. Organizações que tratam dados de crianças em contexto educacional enfrentam um standard mais elevado do que o mercado em geral, e a atuação do Ministério Público, que tem legitimidade ativa para ajuizar ação civil pública na defesa de direitos difusos e coletivos de crianças e adolescentes nos termos do art. 201 do ECA [6], torna esse standard juridicamente exigível na prática.

Para o C-level, a mensagem é de gestão de risco: o custo de uma estrutura de governança contínua de privacidade é previsível e controlável. O custo de uma ação civil pública com pedido de R$ 15 milhões, somado ao risco de sanção administrativa pela ANPD e ao dano reputacional em um setor cujo capital é a confiança de famílias, é imprevisível e potencialmente existencial para uma instituição de médio porte. A decisão de investir em governança não é escolha entre custo e benefício difuso; é arbitragem entre passivo certo no futuro e investimento mensurável no presente.

Bibliografia

[1] Brasil. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Presidência da República. https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm [6] Brasil. Lei nº 8.069, de 13 de julho de 1990. Estatuto da Criança e do Adolescente. Art. 201. Presidência da República. https://www.planalto.gov.br/ccivil_03/leis/l8069.htm [8] Ministério Público do Paraná. Portal institucional de ações e comunicados. https://www.mppr.mp.br [9] Brasil. Lei nº 13.709/2018, art. 52. Sanções administrativas aplicáveis pela ANPD. Presidência da República. https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm

LGPD2U — serviços gerenciados de privacidade e governança contínua.

Compartilhar:

LGPD2U

FORM PRINCIPAL

Okto Full

O Okto Full é a solução completa para empresas que desejam terceirizar integralmente a governança de privacidade, contando com a experiência e a estrutura da LGPD2U em todas as etapas do programa.

Além de incluir tudo o que já está presente nos outros planos, o Okto Full se diferencia pela execução completa das atividades operacionais pela nossa equipe. Nós estruturamos, gerenciamos e executamos todas as frentes de trabalho contratadas, participando ativamente do planejamento, condução de reuniões, comitês e tomadas de decisão.

É ideal para organizações que não possuem equipe dedicada ou que desejam focar seus esforços em outras áreas do negócio.

Também podemos ser formalmente nomeados como Encarregada de Proteção de Dados (DPO), oferecendo suporte técnico, jurídico e consultivo de ponta a ponta.

Okto Smart

Ideal para empresas que já possuem uma estrutura interna, o Okto Smart combina tecnologia com apoio estratégico e consultivo. Além do uso da plataforma DPOnet, o plano inclui consultoria contínua para estruturação e gestão da governança de privacidade, abrangendo mapeamentos, políticas, planos, relatórios e suporte técnico e jurídico reativo.

Realizamos reuniões regulares com o cliente, oferecendo orientação especializada em cada etapa da jornada. A execução operacional permanece sob responsabilidade da empresa, enquanto a LGPD2U estrutura, acompanha, orienta e gerencia todas as frentes do programa.

Também podemos ser formalmente nomeados como Encarregada de Proteção de Dados (DPO), conforme a necessidade da organização.

Okto Base

O Okto Base é ideal para empresas que desejam operar de forma autônoma na gestão da privacidade, com baixo custo e acesso a ferramentas confiáveis. Este plano inclui o fornecimento da plataforma DPOnet, com suporte técnico e jurídico focado exclusivamente no uso da solução.

É a escolha certa para organizações com estrutura interna e foco em uma gestão independente, que não demandam apoio consultivo, estruturação de governança ou participação em reuniões e comitês. Os indicadores, relatórios e planos de ação disponíveis são os gerados diretamente pela plataforma.

Neste plano, todas as atividades são executadas pela própria empresa, com suporte da LGPD2U apenas para o uso adequado da tecnologia contratada.