
O Ministério da Educação determinou que qualquer tratamento de dados pessoais de crianças e adolescentes deverá observar o melhor interesse e a máxima proteção desses titulares. A regra está na nova Política Interna de Proteção de Dados Pessoais do MEC, aprovada pela Resolução nº 4, de 13 de julho de 2026, que estabelece procedimentos obrigatórios para todas as unidades, servidores, colaboradores e empresas contratadas que tenham acesso a informações pessoais mantidas pelo ministério.
A norma ganha relevância porque o MEC administra sistemas, programas e bases de dados que reúnem informações de milhões de estudantes da educação básica e superior. Além dos dados cadastrais, essas bases podem conter informações sobre desempenho escolar, frequência, situação socioeconômica, deficiência, saúde, raça, participação em programas sociais e outros registros considerados sensíveis pela Lei Geral de Proteção de Dados.
Pela nova política, o tratamento de dados de crianças e adolescentes deverá seguir o artigo 14 da LGPD e as demais legislações específicas. O ministério terá de fornecer informações sobre a utilização dos dados de forma simples, clara e acessível, levando em conta a capacidade de compreensão do público envolvido. A resolução considera criança a pessoa com até 12 anos incompletos e adolescente aquela com idade entre 12 e 18 anos.
A proteção não se limita à forma de apresentação das informações. Operações envolvendo dados de crianças e adolescentes passam a ser classificadas entre aquelas suscetíveis de gerar elevado risco aos direitos e às garantias fundamentais dos titulares. Por essa razão, projetos, sistemas ou processos que utilizem essas informações poderão exigir a elaboração prévia de um Relatório de Impacto à Proteção de Dados Pessoais, o RIPD.
Esse relatório deverá ser preparado antes do início da operação de maior risco. O documento terá de detalhar quais dados serão coletados, a finalidade do tratamento, a base legal utilizada, o período de conservação das informações, os eventuais compartilhamentos e transferências, os riscos para os titulares e as medidas técnicas e administrativas adotadas para evitar danos.
A unidade responsável também deverá avaliar se os dados solicitados são realmente necessários. A resolução determina que o MEC colete apenas as informações essenciais à execução de suas atribuições ou à prestação do serviço requerido. Também deverá evitar pedir novamente dados confiáveis que já estejam disponíveis em suas próprias bases.
A diretriz vale especialmente para sistemas educacionais, formulários, pesquisas, inscrições em programas, plataformas digitais e projetos que utilizem cruzamento de informações. Quando houver combinação de bases distintas, tratamento massivo, biometria, dados de saúde, decisões automatizadas ou qualquer possibilidade de limitação dos direitos dos titulares, a análise de risco deverá ser reforçada.
A política determina ainda que a privacidade seja considerada desde a concepção dos sistemas e processos, segundo os princípios de proteção de dados desde o projeto e por padrão. Assim, novos sistemas do MEC deverão ser desenvolvidos com mecanismos de segurança, limitação de acesso, minimização da coleta e proteção das informações já incorporados à arquitetura tecnológica.
Os sistemas que já estiverem em funcionamento na data de publicação da resolução deverão ser adaptados gradualmente. A ordem de adequação dependerá dos riscos associados ao tratamento e das prioridades definidas pelas áreas responsáveis.
Procedimentos obrigatórios
A resolução cria um roteiro de adequação que deverá ser seguido por todas as unidades administrativas do MEC envolvidas no tratamento de dados pessoais. O primeiro passo será identificar todas as atividades, sistemas, projetos, contratos e processos que utilizem informações de pessoas físicas.
Cada unidade deverá elaborar sua parte do Inventário de Dados Pessoais. O documento funcionará como um mapa das operações realizadas pelo ministério e deverá informar quais dados são coletados, onde estão armazenados, quem possui acesso, para que são utilizados, com quem são compartilhados e em que momento devem ser eliminados.
O inventário deverá cobrir todo o ciclo de vida dos dados, desde a coleta até a exclusão, passando pelo armazenamento, processamento, utilização, transferência e compartilhamento. A atualização será obrigatória a cada 12 meses ou sempre que houver mudança significativa no tratamento realizado.
Depois de mapear a operação, a unidade deverá identificar a base legal que autoriza o tratamento. Na maior parte das atividades do MEC, a justificativa deverá estar vinculada ao cumprimento de obrigação legal, à execução de políticas públicas ou ao exercício das competências institucionais.
O consentimento somente poderá ser usado em situações excepcionais e devidamente justificadas. Quando essa base legal for utilizada, a autorização deverá ser clara, específica e informada. O termo terá de explicar a finalidade da coleta, os tratamentos previstos e as formas de revogação do consentimento e de exclusão dos dados.
O passo seguinte será avaliar a necessidade de cada informação. A unidade não poderá coletar dados excessivos ou sem relação direta com a finalidade declarada. Também deverá verificar se a informação já existe em outra base confiável do próprio ministério, evitando duplicidade de solicitações.
Em seguida, deverão ser definidos os controles de acesso. Somente pessoas autorizadas e que necessitem dos dados para desempenhar suas atividades poderão consultá-los. Servidores, colaboradores e terceiros terão a obrigação de preservar a confidencialidade, a integridade e a segurança das informações.
Nos casos em que fornecedores, empresas de tecnologia, consultorias, fundações, instituições de ensino ou outros parceiros realizem o tratamento em nome do MEC, deverão existir contratos, convênios ou instrumentos equivalentes com cláusulas específicas de proteção de dados.
Esses documentos deverão definir as obrigações de cada agente, a finalidade do tratamento, as condições de acesso, os mecanismos de segurança, os procedimentos para resposta a incidentes e a obrigação de devolver, conservar ou eliminar as informações ao término da relação contratual.
Os operadores contratados terão de seguir as instruções do MEC, manter registros rastreáveis das atividades realizadas e demonstrar que adotam medidas técnicas e administrativas de segurança. Também deverão informar imediatamente qualquer risco, ameaça ou incidente, sem aguardar a conclusão de verificações internas.
A norma permite que o MEC solicite, a qualquer momento, informações e evidências sobre o tratamento realizado por seus fornecedores, respeitados o sigilo empresarial e as demais garantias legais.
Avaliação de risco
Após a identificação da base legal e da finalidade, cada unidade deverá avaliar o grau de risco da operação. O RIPD será necessário nos casos em que o tratamento possa afetar liberdades civis, direitos fundamentais ou os princípios gerais da proteção de dados.
A resolução cita como operações de maior risco aquelas que envolvam dados de crianças e adolescentes, dados sensíveis, biométricos ou genéticos, informações que possam ameaçar a vida, a saúde ou a segurança, cruzamento de diferentes bases, tratamento massivo de dados públicos e decisões automatizadas.
O relatório deverá descrever a operação, identificar riscos e apresentar salvaguardas, medidas de segurança e controles técnicos. A unidade responsável deverá manter monitoramento contínuo para detectar novos riscos e atualizar o documento sempre que o contexto, a tecnologia ou a finalidade do tratamento forem alterados. Os RIPDs serão publicados em transparência ativa, salvo nos trechos protegidos por restrições de acesso previstas na Lei de Acesso à Informação.
Compartilhamento
O compartilhamento de dados pessoais somente poderá ocorrer para finalidades específicas de execução de políticas públicas ou para o cumprimento de atribuições legais. Cada operação deverá observar os princípios de finalidade, adequação e necessidade. As unidades do MEC somente poderão compartilhar dados com base nas orientações do encarregado pelo tratamento de dados pessoais. O compartilhamento com terceiros não autorizados ou a concessão indevida de acesso ficam expressamente proibidos.
Uma regulamentação específica ainda deverá detalhar o fluxo de compartilhamento, as responsabilidades dos participantes, os requisitos técnicos, as medidas de segurança e os procedimentos de controle.
Nos casos de transferência internacional de dados, o MEC terá de cumprir a LGPD e o regulamento aprovado pela Autoridade Nacional de Proteção de Dados. A exigência poderá alcançar serviços digitais, armazenamento em nuvem, plataformas educacionais e fornecedores que processem informações fora do Brasil.
Transparência
O MEC terá de criar uma seção específica em seu portal para divulgar informações detalhadas sobre suas operações de tratamento. Deverão ser apresentadas as bases legais utilizadas, as finalidades, os órgãos e empresas com os quais os dados são compartilhados e a relação dos operadores contratados pelo ministério.
Também deverão ser divulgados os casos de transferência internacional, os direitos dos titulares, os canais para exercício desses direitos, os termos de uso dos serviços públicos e a própria política interna de proteção de dados. O titular poderá solicitar acesso, correção e demais providências por meio da plataforma Fala.BR. Os pedidos deverão ser encaminhados ao encarregado de proteção de dados, mesmo quando recebidos inicialmente por outra unidade.
O atendimento será gratuito, mas o requerente deverá comprovar sua identidade antes de ter acesso às informações pessoais. Nos pedidos de acesso, serão aplicados os prazos e procedimentos da Lei de Acesso à Informação, observadas as exceções legais relacionadas a sigilo e informações de acesso restrito.
A política atribui responsabilidades específicas a todos os níveis da estrutura do MEC. O ministério será o controlador dos dados e responderá pelas decisões sobre as operações de tratamento. O encarregado de proteção de dados atuará como canal de comunicação com os titulares e com a ANPD. Também deverá coordenar a adequação à LGPD, orientar servidores, acompanhar o cumprimento da política e elaborar um Programa de Governança em Privacidade.
Para evitar conflito de interesses, o encarregado não poderá estar lotado na área de tecnologia da informação, administrar sistemas ou acumular funções estratégicas relacionadas às decisões sobre o tratamento. Deverá ocupar uma unidade que garanta autonomia e independência funcional.
O Subcomitê de Privacidade e Proteção de Dados ficará responsável por diagnosticar o uso de informações pessoais nas bases e nos contratos, propor normas, apoiar a elaboração dos inventários e relatórios de impacto e acompanhar o programa de conformidade.
A Secretaria da Gestão da Informação, Inovação e Avaliação de Políticas Educacionais coordenará o inventário, supervisionará os RIPDs e apoiará a implementação das políticas de privacidade. As chefias deverão manter o encarregado informado sobre as operações realizadas em suas unidades, garantir a organização das bases, promover capacitação e comunicar qualquer irregularidade ou incidente. Servidores, colaboradores e terceiros deverão conhecer e cumprir as normas, preservar a confidencialidade, evitar compartilhamentos não autorizados e comunicar imediatamente qualquer suspeita de violação.
Resposta a incidentes
A resolução estabelece um procedimento formal para vazamentos, acessos indevidos, perda de informações ou qualquer incidente capaz de causar risco ou dano relevante. O primeiro passo será a comunicação imediata ao encarregado de proteção de dados. A obrigação vale para incidentes confirmados e também para simples suspeitas.
O encarregado, com o apoio do Subcomitê de Privacidade, deverá avaliar o impacto e adotar medidas técnicas para conter o problema. Também deverá comunicar a autoridade máxima do MEC, a ANPD e os titulares afetados.
A corregedoria deverá ser notificada para avaliar a abertura de sindicância. A resolução prevê responsabilização administrativa, civil e penal para quem utilizar dados para fins próprios, transferi-los a terceiros sem autorização ou permitir acessos indevidos.
A política ainda determina que todos os portais e sistemas que utilizem cookies ou outras tecnologias de rastreamento forneçam transparência e mecanismos de controle aos usuários.
Com a resolução, o MEC transforma a proteção de dados em uma obrigação distribuída por toda a sua estrutura. A efetividade da política, no entanto, dependerá da conclusão do inventário, da adaptação dos sistemas existentes, da publicação dos relatórios de impacto e da capacidade do ministério de fiscalizar contratos, compartilhamentos e tratamentos que envolvam crianças, adolescentes e outros titulares em situação de maior vulnerabilidade.






