Auditoria de Acessos: Quem Viu o Quê, Quando e Por Quê
Voltar para o blog

Auditoria de Acessos: Quem Viu o Quê, Quando e Por Quê

E
Equipe Nexus
Autor

09 de julho de 2026

5 min de leitura

Pontos-Chave sobre Auditoria de Acessos

  • A LGPD estabelece que o tratamento de dados pessoais deve ser documentado e rastreável
  • Art. 46 da LGPD exige medidas de segurança, proteção e prevenção a incidentes
  • ONGs lidam com dados sensíveis de beneficiários, doadores, voluntários e parceiros
  • Auditoria de acessos é obrigação legal e sinal de maturidade institucional

Por que a Auditoria de Acessos é Não Negociável

Toda ONG que lida com dados pessoais é responsável por protegê-los. Não é apenas uma questão técnica: é uma questão de confiança. Quando um beneficiário, doador ou voluntário entrega informações à organização, ele espera que essas informações sejam usadas corretamente e acessadas apenas por quem precisa.

A Lei Geral de Proteção de Dados (Lei nº 13.709/2018) define o tratamento de dados pessoais como toda operação realizada com dados pessoais, e o controlador é responsável por adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

Diferencial do Nexus Social: a plataforma registra toda ação sobre dados sensíveis — quem acessou, quando e qual alteração foi feita. A trilha de auditoria é imutável, permitindo relatórios detalhados para gestores, conselho e fiscalização.

Panorama da Segurança e LGPD no Terceiro Setor

  • A LGPD se aplica a toda pessoa jurídica que trate dados pessoais, incluindo ONGs
  • Art. 46 da LGPD exige medidas de segurança, proteção e prevenção a incidentes
  • Art. 37 prevê a indicação de encarregado de dados quando houver tratamento de dados pessoais em larga escala
  • Dados sensíveis de beneficiários, como saúde, origem racial, crença religiosa e condição financeira, exigem proteção reforçada
  • Auditores do TCU identificaram falhas na aplicação da LGPD em organizações federais, reforçando a necessidade de controles

Fontes: Planalto — Lei nº 13.709/2018 (LGPD); TCU — Auditoria sobre Implementação dos Dispositivos da LGPD na União; GIFE — LGPD e o Terceiro Setor

O que a Auditoria de Acessos Registra

Quem Acessou

Cada login, consulta, edição ou exclusão é vinculada a um usuário identificado. Não há ação anônima. Isso permite responsabilizar ações e investigar eventuais incidentes.

Quando Acessou

O timestamp exato de cada acesso permite reconstruir a linha do tempo. Em caso de denúncia ou auditoria, a ONG consegue provar que um dado foi acessado em determinado momento.

O que Foi Visualizado ou Alterado

A auditoria não registra apenas que alguém entrou no sistema. Ela registra qual registro foi acessado, qual campo foi alterado e qual era o valor anterior. Essa granularidade é essencial para investigação e prevenção.

Por Qual Motivo

Sistemas maduros permitem associar o acesso a uma justificativa, como um atendimento, uma doação, uma auditoria ou uma solicitação do titular. Isso fortalece o princípio da finalidade da LGPD.

Os Riscos de Não Ter Auditoria

  1. Acesso indevido sem rastro: um colaborador pode consultar dados de beneficiários sem necessidade operacional, sem que a diretoria saiba.
  2. Alteração indevida: dados sensíveis podem ser modificados, e a ONG não consegue identificar quem foi.
  3. Incidentes sem resposta: em caso de vazamento, falta a trilha necessária para investigar e notificar.
  4. Perda de credibilidade: mantenedores e doadores perdem confiança em uma OSC que não demonstra controle sobre seus dados.
  5. Não conformidade LGPD: a ausência de controles pode resultar em sanções e dificuldade em editais.

Como Aplicar a Auditoria na Prática

Defina Perfis de Acesso

Nem todo mundo precisa ver tudo. Assistentes sociais acessam dados de atendidos; financeiro acessa doações; voluntários veem apenas o que lhes compete. O CRM deve permitir controle por role e permissões.

Registre Acessos a Dados Sensíveis

Toda consulta ou alteração em dados sensíveis — CPF, endereço, saúde, situação socioeconômica — deve gerar log. A diretoria pode auditar periodicamente quem acessou esses dados.

Monitore Padrões Anômalos

Muitos acessos fora do horário, consultas em massa, exportações inesperadas. O CRM pode alertar a equipe de segurança sobre comportamentos suspeitos.

Gere Relatórios para Conselho e Auditoria

A auditoria vira evidência. Relatórios periódicos de acessos, alterações e permissões ajudam a demonstrar governança a conselheiros, mantenedores e órgãos fiscalizadores.

Diferencial do Nexus Social: a plataforma oferece auditoria de acessos integrada, com logs imutáveis, alertas de comportamentos anômalos e relatórios prontos para auditoria. Roles e permissões granulares garantem que cada usuário acesse apenas o que precisa.

Perguntas Frequentes

A LGPD se aplica a ONGs pequenas?

Sim. A LGPD se aplica a toda pessoa jurídica que trate dados pessoais, independentemente de porte ou finalidade lucrativa. ONGs pequenas devem adotar medidas proporcionais ao risco.

O que acontece se uma ONG não tiver controle de acessos?

Além do risco de vazamento e uso indevido, a ONG pode enfrentar dificuldades em editais, perda de credibilidade e, em casos graves, sanções da ANPD.

Auditoria de acessos é invasão de privacidade dos colaboradores?

Não. A auditoria rastreia ações dentro do sistema da organização, não a vida pessoal do colaborador. É prática padrão de segurança da informação e é compatível com a LGPD.

Quais dados devem ser auditados prioritariamente?

Dados sensíveis de beneficiários (saúde, situação econômica, endereço), dados de doadores, informações financeiras e qualquer dado que identifique crianças e adolescentes.

Conclusão

A auditoria de acessos é uma camada de proteção para a ONG, para o beneficiário e para a credibilidade da instituição. Ela transforma o CRM em uma ferramenta de governança, permitindo que a organização prove, a qualquer momento, quem viu o quê, quando e por quê.

Quer implementar auditoria de acessos na sua OSC? Fale com a equipe do Nexus Social e conheça nossos controles de segurança.


Fontes e Referências


E
Escrito por Equipe Nexus

Equipe Nexus Social dedicada a compartilhar conhecimento e tecnologia para o fortalecimento do terceiro setor.