Auditoria de Acessos: Quem Viu o Quê, Quando e Por Quê
Equipe Nexus
Autor09 de julho de 2026
5 min de leitura
Pontos-Chave sobre Auditoria de Acessos
- A LGPD estabelece que o tratamento de dados pessoais deve ser documentado e rastreável
- Art. 46 da LGPD exige medidas de segurança, proteção e prevenção a incidentes
- ONGs lidam com dados sensíveis de beneficiários, doadores, voluntários e parceiros
- Auditoria de acessos é obrigação legal e sinal de maturidade institucional
Por que a Auditoria de Acessos é Não Negociável
Toda ONG que lida com dados pessoais é responsável por protegê-los. Não é apenas uma questão técnica: é uma questão de confiança. Quando um beneficiário, doador ou voluntário entrega informações à organização, ele espera que essas informações sejam usadas corretamente e acessadas apenas por quem precisa.
A Lei Geral de Proteção de Dados (Lei nº 13.709/2018) define o tratamento de dados pessoais como toda operação realizada com dados pessoais, e o controlador é responsável por adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Diferencial do Nexus Social: a plataforma registra toda ação sobre dados sensíveis — quem acessou, quando e qual alteração foi feita. A trilha de auditoria é imutável, permitindo relatórios detalhados para gestores, conselho e fiscalização.
Panorama da Segurança e LGPD no Terceiro Setor
- A LGPD se aplica a toda pessoa jurídica que trate dados pessoais, incluindo ONGs
- Art. 46 da LGPD exige medidas de segurança, proteção e prevenção a incidentes
- Art. 37 prevê a indicação de encarregado de dados quando houver tratamento de dados pessoais em larga escala
- Dados sensíveis de beneficiários, como saúde, origem racial, crença religiosa e condição financeira, exigem proteção reforçada
- Auditores do TCU identificaram falhas na aplicação da LGPD em organizações federais, reforçando a necessidade de controles
Fontes: Planalto — Lei nº 13.709/2018 (LGPD); TCU — Auditoria sobre Implementação dos Dispositivos da LGPD na União; GIFE — LGPD e o Terceiro Setor
O que a Auditoria de Acessos Registra
Quem Acessou
Cada login, consulta, edição ou exclusão é vinculada a um usuário identificado. Não há ação anônima. Isso permite responsabilizar ações e investigar eventuais incidentes.
Quando Acessou
O timestamp exato de cada acesso permite reconstruir a linha do tempo. Em caso de denúncia ou auditoria, a ONG consegue provar que um dado foi acessado em determinado momento.
O que Foi Visualizado ou Alterado
A auditoria não registra apenas que alguém entrou no sistema. Ela registra qual registro foi acessado, qual campo foi alterado e qual era o valor anterior. Essa granularidade é essencial para investigação e prevenção.
Por Qual Motivo
Sistemas maduros permitem associar o acesso a uma justificativa, como um atendimento, uma doação, uma auditoria ou uma solicitação do titular. Isso fortalece o princípio da finalidade da LGPD.
Os Riscos de Não Ter Auditoria
- Acesso indevido sem rastro: um colaborador pode consultar dados de beneficiários sem necessidade operacional, sem que a diretoria saiba.
- Alteração indevida: dados sensíveis podem ser modificados, e a ONG não consegue identificar quem foi.
- Incidentes sem resposta: em caso de vazamento, falta a trilha necessária para investigar e notificar.
- Perda de credibilidade: mantenedores e doadores perdem confiança em uma OSC que não demonstra controle sobre seus dados.
- Não conformidade LGPD: a ausência de controles pode resultar em sanções e dificuldade em editais.
Como Aplicar a Auditoria na Prática
Defina Perfis de Acesso
Nem todo mundo precisa ver tudo. Assistentes sociais acessam dados de atendidos; financeiro acessa doações; voluntários veem apenas o que lhes compete. O CRM deve permitir controle por role e permissões.
Registre Acessos a Dados Sensíveis
Toda consulta ou alteração em dados sensíveis — CPF, endereço, saúde, situação socioeconômica — deve gerar log. A diretoria pode auditar periodicamente quem acessou esses dados.
Monitore Padrões Anômalos
Muitos acessos fora do horário, consultas em massa, exportações inesperadas. O CRM pode alertar a equipe de segurança sobre comportamentos suspeitos.
Gere Relatórios para Conselho e Auditoria
A auditoria vira evidência. Relatórios periódicos de acessos, alterações e permissões ajudam a demonstrar governança a conselheiros, mantenedores e órgãos fiscalizadores.
Diferencial do Nexus Social: a plataforma oferece auditoria de acessos integrada, com logs imutáveis, alertas de comportamentos anômalos e relatórios prontos para auditoria. Roles e permissões granulares garantem que cada usuário acesse apenas o que precisa.
Perguntas Frequentes
A LGPD se aplica a ONGs pequenas?
Sim. A LGPD se aplica a toda pessoa jurídica que trate dados pessoais, independentemente de porte ou finalidade lucrativa. ONGs pequenas devem adotar medidas proporcionais ao risco.
O que acontece se uma ONG não tiver controle de acessos?
Além do risco de vazamento e uso indevido, a ONG pode enfrentar dificuldades em editais, perda de credibilidade e, em casos graves, sanções da ANPD.
Auditoria de acessos é invasão de privacidade dos colaboradores?
Não. A auditoria rastreia ações dentro do sistema da organização, não a vida pessoal do colaborador. É prática padrão de segurança da informação e é compatível com a LGPD.
Quais dados devem ser auditados prioritariamente?
Dados sensíveis de beneficiários (saúde, situação econômica, endereço), dados de doadores, informações financeiras e qualquer dado que identifique crianças e adolescentes.
Conclusão
A auditoria de acessos é uma camada de proteção para a ONG, para o beneficiário e para a credibilidade da instituição. Ela transforma o CRM em uma ferramenta de governança, permitindo que a organização prove, a qualquer momento, quem viu o quê, quando e por quê.
Quer implementar auditoria de acessos na sua OSC? Fale com a equipe do Nexus Social e conheça nossos controles de segurança.
Fontes e Referências
- Planalto — Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais) — Base legal para proteção de dados pessoais no Brasil
- TCU — Auditoria sobre Implementação dos Dispositivos da LGPD na União — Relatório de auditoria sobre aplicação da LGPD em organizações federais
- GIFE — LGPD e o Terceiro Setor — Análise sobre impactos da LGPD para organizações sociais
Escrito por Equipe Nexus
Equipe Nexus Social dedicada a compartilhar conhecimento e tecnologia para o fortalecimento do terceiro setor.