1. Apresentação
Esta página descreve, de forma transparente, como o EduPrep realiza o tratamento de dados pessoais em conformidade com a Lei Geral de Proteção de Dados (LGPD — Lei nº 13.709/2018) e com as diretrizes da Autoridade Nacional de Proteção de Dados (ANPD).
2. Bases Legais para o Tratamento
O tratamento de dados no EduPrep é fundamentado nas seguintes hipóteses do art. 7º da LGPD:
| Base Legal | Art. 7º | Aplicação |
|---|---|---|
| Execução de contrato | Inciso V | Prestação do serviço educacional ao estudante e à escola parceira (acesso à plataforma, simulados, histórico) |
| Cumprimento de obrigação legal | Inciso II | Manutenção de registros de matrícula e inscrição exigidos pela legislação educacional |
| Legítimo interesse | Inciso IX | Segurança da plataforma, prevenção a fraudes e melhoria contínua do serviço — sempre de forma compatível com os direitos dos titulares |
| Consentimento | Inciso I | Geração de planos de estudo por IA a partir de diagnóstico (funcionalidade opcional, acionada pelo próprio usuário) |
3. Categorias de Dados Tratados
| Dado | Forma de Armazenamento | Base Legal | Prazo de Retenção |
|---|---|---|---|
| Nome completo | Texto plano (criptografado em trânsito) | Execução de contrato | Vigência da conta + 5 anos |
| Texto plano | Execução de contrato | Vigência da conta + 5 anos | |
| CPF | Hash criptográfico irreversível — o número original não é armazenado | Execução de contrato (verificação de unicidade) | Vigência da conta + 5 anos |
| Papel institucional | Enum: estudante, professor, coordenador, admin | Execução de contrato | Vigência da conta |
| Respostas a simulados e pontuações | Banco de dados relacional | Execução de contrato | Vigência da conta + 5 anos |
| Dados de inscrição (processo seletivo) | Banco de dados relacional + JSONB de histórico | Cumprimento de obrigação legal | 5 anos após encerramento do processo |
| IP, data/hora de acesso | Logs de auditoria | Legítimo interesse (segurança) | 90 dias |
4. Fluxo de Dados e Compartilhamento
O fluxo de dados pessoais envolve os seguintes agentes:
- Controlador: operador da instância da plataforma (escola parceira ou entidade responsável).
- Operador — Infraestrutura: provedor de hospedagem e banco de dados. Atua sob contrato de processamento de dados compatível com a LGPD. Os dados não saem do território nacional sem base legal adequada (art. 33 da LGPD).
- Operador — IA: provedor de modelo de linguagem (LLM) utilizado para geração de planos de estudo. Recebe exclusivamente dados de desempenho pseudonimizados (sem nome, e-mail ou CPF). O contrato proíbe o uso dos dados para treinamento de modelos sem consentimento.
- Professores e coordenadores da escola: acessam o desempenho dos estudantes da própria turma. Esse acesso é condição da prestação do serviço educacional (execução de contrato).
5. Medidas de Segurança Implementadas
- Senhas armazenadas com BCrypt (hash + salt);
- CPF armazenado apenas como hash — impossível reverter ao número original;
- Todas as comunicações protegidas por TLS 1.2+;
- Controle de acesso por papel (RBAC) com políticas de autorização (Pundit);
- Impersonação de usuários registrada em log de auditoria (
ImpersonationLog); - Histórico de decisões de inscrição preservado em log imutável (JSONB);
- Separação de ambientes: produção, homologação e desenvolvimento isolados.
6. Direitos dos Titulares
Nos termos do art. 18 da LGPD, os titulares de dados pessoais tratados pelo EduPrep têm os seguintes direitos, exercíveis a qualquer tempo pelo e-mail privacidade@educaprep.com.br:
- Confirmação e acesso: saber se seus dados são tratados e obter cópia;
- Correção: solicitar a atualização de dados incorretos ou desatualizados;
- Anonimização ou eliminação: de dados desnecessários ou tratados em excesso;
- Portabilidade: receber seus dados em formato estruturado para outro fornecedor;
- Revogação do consentimento: para funcionalidades baseadas em consentimento (ex.: geração de plano de estudo por IA);
- Oposição: contestar tratamento realizado com base em legítimo interesse;
- Informação sobre compartilhamento: saber com quais entidades seus dados foram compartilhados.
As solicitações serão respondidas em até 15 dias úteis.
7. Tratamento de Dados de Menores
Conforme o art. 14 da LGPD, o tratamento de dados de crianças (até 12 anos incompletos) e adolescentes (entre 12 e 18 anos) exige:
- Para menores de 16 anos: consentimento expresso do responsável legal;
- Para maiores de 16 e menores de 18 anos: consentimento pode ser prestado pelo próprio menor.
Os dados de menores são tratados exclusivamente para a prestação do serviço educacional e não são utilizados para perfilamento publicitário ou qualquer finalidade alheia ao objetivo pedagógico da plataforma.
8. Resposta a Incidentes
Em caso de incidente de segurança com potencial de causar risco ou dano relevante aos titulares, o EduPrep adotará as seguintes medidas:
- Contenção imediata do incidente e preservação de evidências;
- Avaliação do escopo e dos dados potencialmente afetados;
- Comunicação à ANPD no prazo de até 72 horas (conforme art. 48 da LGPD);
- Notificação aos titulares afetados com informações claras sobre o incidente e as medidas tomadas.
9. Encarregado de Dados (DPO)
O EduPrep designou um Encarregado de Dados (Data Protection Officer — DPO), responsável por receber reclamações, orientar os colaboradores e comunicar-se com a ANPD:
- Nome: [a definir — preencher antes de ir para produção]
- E-mail: dpo@educaprep.com.br
10. Autoridade Nacional de Proteção de Dados
Caso considere que seu direito como titular não foi atendido adequadamente, você pode registrar uma reclamação junto à ANPD:
- Site: www.gov.br/anpd
- Ouvidoria: www.gov.br/anpd/pt-br/canais_atendimento/ouvidoria