Conformidade legal

LGPD e Proteção de Dados

Versão: 1.0 (minuta) Última atualização: março de 2026 Vigência: a definir após revisão jurídica

Documento em revisão jurídica Este texto é uma minuta preparatória. O documento definitivo sobre LGPD será publicado após revisão e aprovação por advogado especializado em direito digital e proteção de dados.

01 O que é a LGPD

A Lei Geral de Proteção de Dados Pessoais (LGPD — Lei nº 13.709/2018) é a legislação brasileira que regula o tratamento de dados pessoais por pessoas físicas e jurídicas, de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade.

A lei se aplica a qualquer operação realizada com dados pessoais — coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação, controle, modificação, comunicação, transferência, difusão ou extração.

O edupay foi desenvolvido com a LGPD como requisito de projeto desde sua concepção, não como adaptação posterior.

02 Papéis e Responsabilidades

Controlador (art. 5º, VI): pessoa natural ou jurídica que toma as decisões sobre o tratamento dos dados. No contexto do edupay, a Estúdio Site é controladora dos dados do Tenant (dados de conta, cobrança, uso). O Tenant é controlador dos dados de seus alunos.
Operador (art. 5º, VII): pessoa natural ou jurídica que realiza o tratamento em nome do controlador. A Estúdio Site atua como operadora dos dados dos alunos inseridos pelo Tenant.
Titular (art. 5º, V): pessoa natural a quem se referem os dados pessoais objeto do tratamento. No edupay, os titulares são os Tenants (gestores da instituição) e os alunos cadastrados.
Encarregado — DPO (art. 5º, VIII): pessoa indicada pelo controlador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a ANPD. A Estúdio Site indicará seu DPO antes do lançamento público da plataforma.

03 Princípios do Tratamento

O tratamento de dados no edupay observa os princípios estabelecidos no art. 6º da LGPD:

Finalidade: tratamento apenas para propósitos legítimos, específicos e explicitamente informados ao titular
Adequação: compatibilidade do tratamento com as finalidades informadas
Necessidade: limitação ao mínimo necessário para as finalidades
Livre acesso: garantia de consulta facilitada sobre a forma e duração do tratamento
Qualidade dos dados: garantia de exatidão, clareza, relevância e atualização
Transparência: informações claras e acessíveis sobre o tratamento
Segurança: medidas técnicas e administrativas para proteger os dados
Prevenção: adoção de medidas para prevenir danos
Não discriminação: impossibilidade de uso para fins discriminatórios ilícitos
Responsabilização: demonstração da adoção de medidas eficazes de conformidade

04 Base Legal

O art. 7º da LGPD estabelece dez hipóteses de base legal para tratamento de dados pessoais. O edupay utiliza as seguintes:

Execução de contrato (inciso V): tratamento necessário para a execução do contrato de serviço do edupay com o Tenant
Legítimo interesse (inciso IX): tratamento de dados de uso e segurança para proteção e melhoria da plataforma, observada a minimização de dados
Obrigação legal ou regulatória (inciso II): retenção de registros conforme exigências do Marco Civil da Internet e legislação tributária

O Tenant, como controlador dos dados de seus alunos, é responsável por identificar e documentar a base legal aplicável ao tratamento que realiza.

05 Dados Coletados e Finalidades

Dados do Tenant tratados pela Estúdio Site:

Dados cadastrais: nome/razão social, CNPJ/CPF, e-mail, telefone
Dados de pagamento: referência à conta Stripe (cartão não é armazenado pela Estúdio Site)
Dados de acesso: logs, IPs, dispositivo, horários de sessão

Dados dos alunos tratados pela Estúdio Site (como operadora, em nome do Tenant):

Dados pessoais: nome, CPF, e-mail, telefone, endereço
Dados financeiros: valores de parcelas, datas de vencimento, status de pagamento
Dados contratuais: conteúdo do contrato, data/hora/IP de aceite, hash SHA-256

Não são coletados dados sensíveis (art. 5º, II) no contexto do edupay.

06 Direitos dos Titulares

O art. 18 da LGPD garante ao titular dos dados os seguintes direitos, que podem ser exercidos a qualquer momento:

Confirmação: saber se existe tratamento de seus dados pessoais
Acesso: obter cópia dos dados pessoais tratados
Correção: solicitar a correção de dados incompletos, inexatos ou desatualizados
Anonimização, bloqueio ou eliminação: de dados desnecessários, excessivos ou tratados em desconformidade
Portabilidade: transferência dos dados a outro fornecedor de serviço
Eliminação: dos dados pessoais tratados com consentimento
Informação: sobre entidades públicas e privadas com as quais foram realizados compartilhamentos
Revogação do consentimento: quando o tratamento se basear nessa hipótese
Oposição: ao tratamento realizado com fundamento em outras bases legais, em caso de descumprimento
Revisão de decisões automatizadas: solicitação de revisão de decisões tomadas unicamente com base em tratamento automatizado

07 Como Exercer os Direitos

Tenants — direitos sobre dados de conta: Acesse o canal de suporte disponível na plataforma ou envie solicitação para o e-mail do DPO. Responderemos em até 15 dias úteis, conforme o art. 19 da LGPD.
Alunos — direitos sobre dados inseridos pelo Tenant: O aluno deve contatar diretamente a instituição de ensino (Tenant) responsável pelo seu cadastro. O Tenant, como controlador, é responsável por atender às solicitações de seus alunos. A Estúdio Site apoiará o Tenant no atendimento das solicitações que requeiram ação técnica na plataforma.

Caso a solicitação não seja atendida, o titular pode apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD) em gov.br/anpd.

08 Medidas de Segurança

O edupay implementa as seguintes medidas técnicas e organizacionais de segurança:

Criptografia TLS 1.2+ para todos os dados em trânsito
Criptografia em repouso para campos sensíveis no banco de dados
Arquitetura multi-tenant com isolamento completo de dados entre instituições
Controle de acesso baseado em funções (RBAC) com princípio do menor privilégio
Autenticação com proteção contra força bruta e bloqueio de sessões suspeitas
Logs de auditoria com registro de ações sensíveis (aceite de contrato, alteração de dados)
Backups criptografados com política de retenção controlada
Revisões periódicas de segurança e atualização de dependências

09 Notificação de Incidentes

Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares (art. 48 da LGPD), a Estúdio Site:

Notificará o Tenant afetado no menor prazo possível, com descrição do incidente e das medidas adotadas
Comunicará a ocorrência à Autoridade Nacional de Proteção de Dados (ANPD) em prazo razoável, conforme regulamentação vigente
Manterá registro do incidente e das ações de resposta para fins de prestação de contas

Incidentes causados por negligência do próprio Tenant (ex.: compartilhamento indevido de credenciais) são de responsabilidade do Tenant.

10 Transferência Internacional

Os dados pessoais tratados pelo edupay podem ser armazenados em servidores localizados fora do Brasil (ex.: Amazon AWS, infraestrutura da Stripe). Essas transferências internacionais são realizadas em conformidade com o art. 33 da LGPD:

Para países com grau de proteção de dados reconhecido como adequado pela ANPD
Com garantias contratuais adequadas (cláusulas padrão, acordos de processamento de dados)

A Stripe Inc. possui certificações e adequação ao GDPR europeu, o que serve como referência de nível de proteção equivalente.

11 Obrigações do Tenant

Ao utilizar o edupay para gerenciar dados de alunos, o Tenant assume as seguintes obrigações como controlador:

Identificar e documentar a base legal para cada finalidade de tratamento dos dados dos alunos
Elaborar e disponibilizar aviso de privacidade aos alunos informando sobre o tratamento de dados realizado por meio da plataforma
Atender às solicitações de direitos dos alunos (titulares) em prazo adequado
Garantir que os contratos utilizados na plataforma estejam em conformidade com o Código de Defesa do Consumidor e a legislação educacional aplicável
Manter registro das atividades de tratamento realizadas, conforme art. 37 da LGPD (obrigatório para controladores com mais de 250 colaboradores ou que realizem tratamento de alto risco)
Notificar a Estúdio Site caso tome conhecimento de qualquer uso indevido dos dados dos alunos que envolva a plataforma

A Estúdio Site disponibiliza, mediante solicitação, um Contrato de Processamento de Dados (DPA — Data Processing Agreement) para formalizar as obrigações entre controlador (Tenant) e operador (Estúdio Site).

12 Encarregado (DPO) e ANPD

Encarregado (DPO): A Estúdio Site indicará formalmente seu Encarregado de Proteção de Dados antes do lançamento público da plataforma, conforme exigido pelo art. 41 da LGPD. O nome e o canal de contato do DPO serão publicados nesta página.
Autoridade Nacional de Proteção de Dados (ANPD): A ANPD é o órgão responsável por zelar pelo cumprimento da LGPD no Brasil. Titulares que acreditam ter seus direitos violados podem apresentar reclamação diretamente à ANPD pelo portal gov.br/anpd.

Para dúvidas sobre LGPD, conformidade ou exercício de direitos, utilize o canal de suporte disponível na plataforma (após login) ou o e-mail de contato publicado no site da Estúdio Site.