TOGETHER Logo
Voltar para o blog
dados de estudantes
08 de junho de 2026
Together Team

Caso Illuminate: dados de estudantes, EdTechs e LGPD

Caso Illuminate: dados de estudantes, EdTechs e LGPD

Por que o caso Illuminate merece atenção no Brasil

Em junho de 2026, a Federal Trade Commission (FTC), autoridade norte-americana de proteção ao consumidor, finalizou uma ordem contra a Illuminate Education, empresa de tecnologia educacional que presta serviços em nuvem para escolas e distritos escolares.

Segundo a FTC, falhas de segurança da empresa contribuíram para um vazamento envolvendo dados pessoais de aproximadamente 10,1 milhões de estudantes. As informações acessadas incluíam e-mails, endereços, datas de nascimento, registros escolares e informações relacionadas à saúde.

O caso aconteceu nos Estados Unidos e não significa, por si só, aplicação direta da legislação norte-americana ao Brasil. Mas ele traz lições muito relevantes para escolas, redes de ensino, EdTechs e fornecedores que tratam dados de estudantes sob a lógica da LGPD.

A principal mensagem é simples: quando uma instituição contrata uma tecnologia educacional, ela não está contratando apenas uma plataforma. Ela está criando uma cadeia de tratamento de dados pessoais que precisa ser governada.

O que a FTC alegou contra a Illuminate

De acordo com a FTC, a Illuminate vendia produtos educacionais baseados em nuvem para escolas e distritos escolares e mantinha informações pessoais de estudantes em nome dessas instituições.

A autoridade alegou que a empresa:

  • prometia proteger dados pessoais de estudantes;
  • falhou na implementação de medidas razoáveis de segurança;
  • manteve dados em bancos de dados em nuvem com vulnerabilidades;
  • teria sido alertada por fornecedor terceirizado sobre falhas de segurança quase dois anos antes do incidente;
  • não teria corrigido adequadamente essas vulnerabilidades;
  • falhou em notificar algumas escolas em tempo adequado, apesar de promessas contratuais ou públicas;
  • deveria limitar coleta e retenção de dados e excluir informações desnecessárias.

A decisão final determinou, entre outros pontos, a implementação de um programa de segurança, a limitação da coleta e retenção de dados e a exclusão de dados que não fossem mais necessários.

Para o contexto brasileiro, essas lições dialogam diretamente com princípios da LGPD como necessidade, segurança, prevenção, transparência e responsabilização.

Dados de estudantes não são dados “comuns” na prática

A LGPD define categorias específicas de dados pessoais sensíveis. Nem todo dado educacional será automaticamente sensível pela lei. Ainda assim, na prática, dados de estudantes podem representar risco elevado, especialmente quando envolvem crianças e adolescentes, saúde, desempenho escolar, comportamento, necessidades especiais, histórico familiar ou informações socioeconômicas.

Em ambientes educacionais, uma plataforma pode tratar:

  • nome, e-mail e identificação do aluno;
  • dados de responsáveis legais;
  • endereço e contato;
  • data de nascimento;
  • notas e desempenho;
  • frequência;
  • registros disciplinares;
  • laudos, necessidades educacionais ou informações de saúde;
  • comportamento em plataformas digitais;
  • histórico de acesso;
  • comunicações entre escola, aluno e família;
  • dados de pagamento ou contratos, quando aplicável.

Esse conjunto pode afetar privacidade, reputação, segurança e direitos de crianças, adolescentes e famílias. Por isso, escolas e EdTechs precisam tratar esses dados com uma lógica mais cuidadosa do que tratariam uma simples lista de contatos.

A retenção excessiva é um risco silencioso

Um dos pontos mais importantes do caso Illuminate é a determinação para limitar a coleta e retenção de dados, além de excluir informações desnecessárias.

Esse é um problema comum em ambientes educacionais. Muitas plataformas acumulam dados por anos sem uma revisão clara sobre o que ainda é necessário. Escolas mudam de sistema, alunos se formam, contratos terminam, fornecedores são substituídos — mas os dados continuam armazenados.

A retenção excessiva aumenta o impacto de qualquer incidente. Se uma base antiga é comprometida, dados que já poderiam ter sido excluídos também entram no vazamento.

No contexto da LGPD, retenção não deve ser definida por conveniência. A empresa precisa conectar cada categoria de dado a uma finalidade e a um prazo razoável, considerando obrigações legais, necessidade operacional, defesa de direitos e riscos aos titulares.

Perguntas importantes:

  • Por quanto tempo a escola precisa manter cada tipo de registro?
  • O fornecedor armazena dados após o fim do contrato?
  • Existe rotina de exclusão ou anonimização?
  • Dados de alunos inativos continuam acessíveis?
  • Backups têm prazo de retenção?
  • O fornecedor consegue comprovar a exclusão?
  • Há diferença entre retenção para operação, obrigação legal e histórico pedagógico?

Sem essas respostas, a empresa pode estar mantendo mais dados do que precisa — e assumindo mais risco do que imagina.

Fornecedor EdTech também precisa ser governado

Muitas escolas acreditam que, ao contratar uma plataforma conhecida, transferem o problema para o fornecedor. Mas, na prática, a contratação de tecnologia educacional exige governança dos dois lados.

A escola ou rede de ensino precisa entender quais dados são tratados, com qual finalidade, onde ficam armazenados, quem acessa, quais subfornecedores participam e como o fornecedor responde a incidentes.

A EdTech, por sua vez, precisa demonstrar segurança, transparência, controles internos e capacidade de atender obrigações contratuais e regulatórias.

Um contrato genérico não resolve. É recomendável revisar pontos como:

  • papéis das partes na LGPD;
  • finalidade do tratamento;
  • categorias de dados pessoais;
  • tratamento de dados de crianças e adolescentes, quando aplicável;
  • suboperadores e terceiros;
  • armazenamento em nuvem;
  • transferência internacional de dados;
  • medidas de segurança;
  • criptografia e controle de acesso;
  • gestão de vulnerabilidades;
  • prazo de notificação de incidentes;
  • cooperação para atender titulares;
  • retenção e exclusão ao fim do contrato;
  • auditoria ou evidências de conformidade.

O caso Illuminate mostra que promessas de segurança precisam ser sustentadas por práticas reais. Dizer que protege dados não basta. É preciso provar que controles existem, são monitorados e são corrigidos quando falham.

Vulnerabilidades conhecidas não podem ficar sem dono

Segundo a FTC, a Illuminate teria sido alertada por um fornecedor terceirizado sobre diversas vulnerabilidades quase dois anos antes do vazamento, mas não teria tomado medidas adequadas para corrigi-las.

Esse ponto é especialmente relevante para empresas brasileiras porque muitas falhas de segurança não acontecem por desconhecimento total. Elas acontecem porque um risco conhecido fica sem prioridade, sem responsável ou sem prazo.

Na prática, escolas, redes e EdTechs deveriam ter um processo claro para:

  • registrar vulnerabilidades identificadas;
  • classificar criticidade;
  • definir responsável;
  • estabelecer prazo de correção;
  • acompanhar pendências;
  • validar correção;
  • documentar exceções;
  • reportar riscos relevantes à liderança.

Se um fornecedor recebe um relatório de vulnerabilidade e não age, a falha deixa de ser apenas técnica. Ela passa a ser também uma falha de governança.

Credenciais antigas e acessos esquecidos

Na ação original, a FTC apontou que o acesso indevido envolveu credenciais de um ex-funcionário que teria deixado a empresa anos antes. Esse detalhe é um alerta importante.

Contas antigas, usuários inativos, tokens esquecidos e acessos de ex-colaboradores são causas recorrentes de incidentes.

Para fornecedores educacionais e instituições de ensino, controles básicos fazem diferença:

  • desativação imediata de acessos no desligamento;
  • revisão periódica de contas ativas;
  • autenticação multifator;
  • controle de privilégios administrativos;
  • logs de acesso;
  • separação entre ambientes;
  • rotação de credenciais;
  • bloqueio de contas sem uso;
  • revisão de acessos de terceiros.

Essas medidas parecem simples, mas muitas vezes são negligenciadas. E quando a base envolve estudantes, o impacto potencial é muito maior.

Comunicação de incidentes: promessa precisa virar processo

A FTC também alegou que a Illuminate falhou em notificar escolas sobre o incidente de forma tempestiva, apesar de promessas feitas.

No Brasil, a LGPD e a regulamentação da ANPD sobre incidentes de segurança exigem avaliação estruturada quando houver risco ou dano relevante aos titulares. A comunicação, quando aplicável, deve ser feita com informações adequadas e em prazo compatível com a regulamentação.

Mesmo quando a obrigação formal depende da análise do caso concreto, a empresa precisa ter processo antes do incidente acontecer.

Um plano de resposta deve definir:

  • quem identifica o incidente;
  • quem avalia risco aos titulares;
  • quem aciona jurídico, segurança, comunicação e DPO;
  • quem notifica clientes, escolas, famílias ou autoridades, quando aplicável;
  • quais informações precisam ser preservadas;
  • quais medidas de contenção serão adotadas;
  • como registrar a decisão tomada.

No caso de fornecedores EdTech, o contrato deve prever claramente prazos e responsabilidades. A escola não pode descobrir tarde demais que o fornecedor não tinha processo de comunicação estruturado.

Checklist para escolas antes de contratar ou renovar uma EdTech

Antes de contratar ou renovar uma plataforma educacional, a instituição deve avaliar:

  1. Quais dados de estudantes serão tratados?
  2. Há dados de crianças ou adolescentes?
  3. Existe dado de saúde, comportamento, laudos ou necessidade educacional?
  4. Qual é a finalidade de cada categoria de dado?
  5. O fornecedor usa os dados para analytics, melhoria de produto ou IA?
  6. Os dados ficam no Brasil ou fora do país?
  7. Quais subfornecedores participam?
  8. O contrato define retenção e exclusão?
  9. Há evidências de segurança?
  10. O fornecedor possui controle de acesso e MFA?
  11. Existe processo de gestão de vulnerabilidades?
  12. Há prazo contratual para comunicação de incidentes?
  13. O fornecedor coopera com pedidos de titulares?
  14. Há logs e trilhas de auditoria?
  15. O fim do contrato prevê devolução ou exclusão dos dados?

Esse checklist não substitui uma avaliação jurídica e técnica completa, mas ajuda a transformar proteção de dados em rotina de contratação.

Checklist para EdTechs que tratam dados de estudantes

Para EdTechs, o caso Illuminate também traz uma mensagem clara: privacidade e segurança precisam estar no produto e na operação.

Boas práticas incluem:

  • mapear dados por módulo do produto;
  • reduzir coleta ao necessário;
  • definir prazos de retenção;
  • implementar exclusão e anonimização;
  • documentar suboperadores;
  • revisar contratos com clientes;
  • manter programa de segurança;
  • corrigir vulnerabilidades com SLA;
  • usar criptografia quando adequado;
  • restringir acessos administrativos;
  • monitorar logs;
  • treinar equipes;
  • testar resposta a incidentes;
  • manter evidências de conformidade.

A EdTech que consegue demonstrar essas práticas ganha vantagem comercial. Em um mercado cada vez mais sensível a dados de crianças, adolescentes e famílias, proteção de dados também é fator de confiança.

Como o DPO as a Service ajuda nesse cenário

Nem toda escola ou EdTech tem uma equipe interna dedicada a privacidade. Ainda assim, as decisões envolvendo dados de estudantes continuam acontecendo: contratação de plataformas, uso de aplicativos, implantação de IA, comunicação com famílias, gestão de fornecedores e resposta a incidentes.

O DPO as a Service pode apoiar de forma prática em:

  • inventário de dados educacionais;
  • revisão de contratos com fornecedores;
  • avaliação de riscos por plataforma;
  • definição de retenção e exclusão;
  • orientação sobre dados de crianças e adolescentes;
  • políticas internas para uso de tecnologia;
  • treinamento de equipes;
  • apoio em incidentes;
  • documentação de decisões;
  • canal de titulares e relacionamento com a ANPD, quando aplicável.

A ideia não é transformar a escola em uma área jurídica. É criar uma rotina simples, documentada e proporcional ao risco.

Conclusão: dados de estudantes exigem governança contínua

O caso Illuminate mostra que o risco não está apenas no vazamento em si. Está no conjunto de fatores que permite que um incidente tenha impacto maior: dados retidos por tempo demais, vulnerabilidades conhecidas sem correção, credenciais antigas, contratos pouco claros e promessas de segurança sem evidência.

Para escolas, redes de ensino e EdTechs brasileiras, a lição é direta: proteção de dados precisa fazer parte da seleção, contratação, operação e encerramento de fornecedores.

A TOGETHER apoia instituições de ensino e empresas de tecnologia educacional na construção dessa governança, com foco em LGPD, segurança, retenção, contratos, fornecedores e DPO as a Service.

Referências

  • FTC — Final approval order against Illuminate Education: https://www.ftc.gov/news-events/news/press-releases/2026/06/ftc-gives-final-approval-order-against-illuminate-settling-allegations-it-failed-secure-students
  • FTC — Action against education technology provider for failing to secure students’ personal data: https://www.ftc.gov/news-events/news/press-releases/2025/12/ftc-takes-action-against-education-technology-provider-failing-secure-students-personal-data
  • LGPD — Lei nº 13.709/2018: https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
Compartilhar

Precisa de um DPO?

Garanta a conformidade da sua empresa hoje mesmo.

Falar com especialista

Continue Lendo.

Banner TOGETHER sobre compartilhamento de dados no caso Claro e Serasa
ANPD12 de junho de 2026

Caso Claro e Serasa: o alerta da ANPD sobre compartilhamento de dados

Banner da TOGETHER sobre Marco Civil 2026, plataformas digitais, fraudes, anúncios e privacidade
fraudes digitais08 de junho de 2026

Marco Civil 2026: novas regras para plataformas e fraudes

Banner da TOGETHER sobre agentes de IA, controle de acesso e dados pessoais na LGPD
governança de IA08 de junho de 2026

Agentes de IA: quem controla o acesso a dados pessoais?

Padrão de Qualidade Together

O custo do risco
é maior que
o da prevenção.

Agendar Diagnóstico
Tempo de respostaEm até 2 horas úteis

Canais Executivos

Fale diretamente com nosso time de DPOs e especialistas.

WhatsApp Estratégico

(11) 5178-3235

E-mail Corporativo

[email protected]

Sede de Operações

Berrini, 1681 - SP

Confiança de empresas líderesTogether Centro Estratégico // 2026