Checklist LGPD para OSCs: O Que Auditar Antes de um Edital ou Parceria
Voltar para o blog

Checklist LGPD para OSCs: O Que Auditar Antes de um Edital ou Parceria

E
Equipe Nexus
Autor

30 de junho de 2026

10 min de leitura

Pontos-Chave sobre o Checklist LGPD para OSCs

  • LGPD não é burocracia: é critério de elegibilidade em editais e parcerias
  • Mapeamento de dados sensíveis é o primeiro passo — não dá para proteger o que não se conhece
  • Controle de acesso por perfil é o controle mais cobrado em auditoria
  • Resposta a incidentes com registro e prazo é o que separa conformidade de multa

Por Que "A gente Cuida dos Dados" Já Não Passa em Edital

Durante anos, OSCs responderam a questionamentos de privacidade com afirmações genéricas: "temos cuidado com os dados", "não compartilhamos com terceiros". Funcionou quando editais não pediam comprovação. Hoje, editais públicos e empresas parceiras exigem evidência — mapeamento, base legal, controle de acesso, registro de incidentes.

A pergunta que separa uma OSC elegível de uma OSC desclassificada não é mais "vocês cuidam dos dados?", é "mostrem como".

É aqui que o checklist LGPD entra. Em vez de responder na hora com afirmações vagas, a OSC tem documentação estruturada — o que coleta, com que base legal, quem acessa, como protege, como responde a incidente. Esse é o salto entre "cuidar" e "provar cuidado".

Panorama da LGPD no Terceiro Setor

  • 2.115 requerimentos de fiscalização recebidos pela ANPD em 2024
  • 19 processos administrativos abertos pela ANPD em 2024
  • 8 itens compõem o checklist mínimo de conformidade
  • 3 dias úteis é o prazo legal para reportar incidente de segurança à ANPD

Fontes: ANPD — Lista de processos sancionatórios; Resolução CD/ANPD nº 15/2024 — Comunicação de incidente de segurança; Mobile Time — ANPD recebe 2.115 requerimentos de fiscalização em 2024

O Checklist LGPD em 8 Itens

1. Mapeamento de Dados Sensíveis

OSCs lidam com dados sensíveis por natureza: situação socioeconômica, saúde, documentos de menores, vulnerabilidade. O primeiro passo é mapear quais dados sensíveis a OSC coleta, onde estão, e por quê.

O que auditar:

  • Lista de campos sensíveis nos formulários (CPF, renda, saúde, filiação)
  • Onde cada campo é armazenado (sistema, planilha, papel)
  • Justificativa de cada coleta (por que precisa desse dado?)

Ação se houver lacuna: remova campos que não têm justificativa. Dado não coletado é dado que não vaza.

Toda tratativa de dado precisa de base legal — consentimento, execução de contrato, cumprimento de obrigação legal, tutela de interesses do titular. Para OSCs, a base mais comum é consentimento do atendido ou obrigação legal (prestação de contas a edital).

O que auditar:

  • Termo de consentimento assinado por atendidos (ou responsáveis, quando menores)
  • Base legal documentada para cada tipo de dado coletado
  • Revisão de consentimentos vencidos (consentimento pode ser revogado)

Ação se houver lacuna: implante termo de consentimento no momento do cadastro. O Nexus Social permite registrar consentimento no prontuário do atendido.

3. Controle de Acesso por Perfil

O controle mais cobrado em auditoria. Nem todo coordenador vê dados de saúde; nem todo assistente vê dados financeiros; nem todo voluntário vê lista de atendidos. O acesso segue princípio de menor privilégio.

O que auditar:

  • Perfis de acesso definidos (admin, coordenador, assistente, voluntário)
  • Permissões por perfil documentadas (quem vê o quê)
  • Revisão periódica de acessos (pessoas que saíram ainda têm conta?)

Ação se houver lacuna: configure perfis no sistema. O Nexus Social implementa roles e permissões granulares — cada perfil vê apenas o que precisa para sua função.

4. Criptografia de Dados Sensíveis em Repouso

Dados sensíveis armazenados em texto plano são vulnerabilidade grave. CPF, documentos, saúde — precisam estar criptografados no banco de dados, não apenas em trânsito.

O que auditar:

  • Campos sensíveis criptografados no banco (não em texto plano)
  • Chave de criptografia protegida e rotacionável
  • Backups também criptografados

Ação se houver lacuna: migre para sistema com criptografia nativa. O Nexus Social usa EncryptionTransformer em campos sensíveis — o dado está criptografado mesmo se o banco for comprometido.

5. Backup e Recuperação

LGPD exige proteção contra perda, não apenas contra vazamento. Backup automático, redundância geográfica e capacidade de recuperação são parte da conformidade.

O que auditar:

  • Backup automático com frequência documentada
  • Redundância geográfica (backup fora da região principal)
  • Teste de recuperação realizado nos últimos 6 meses

Ação se houver lacuna: implante backup automático. O Nexus Social oferece redundância geográfica e recuperação testada — não promessa, processo.

6. Registro de Acesso e Auditoria

Quem acessou o quê, quando. Em caso de incidente, o registro de auditoria é o que permite investigar. Sem log, a OSC não consegue nem confirmar se houve acesso indevido.

O que auditar:

  • Log de acesso a dados sensíveis (quem abriu qual prontuário)
  • Log de mutações (quem alterou qual campo, quando)
  • Retenção de logs por período adequado (mínimo 6 meses)

Ação se houver lacuna: ative log de auditoria. O Nexus Social registra automaticamente acesso e mutação em audit_logs — sem ação manual da equipe.

7. Resposta a Incidentes

Incidente acontece — a diferença entre conformidade e multa é a resposta. Plano de resposta documentado, com prazo de reporte à ANPD em 3 dias úteis e comunicação ao titular afetado.

O que auditar:

  • Plano de resposta a incidente documentado
  • Responsável designado para acionar o plano
  • Fluxo de reporte à ANPD em 3 dias úteis
  • Fluxo de comunicação ao titular afetado

Ação se houver lacuna: documente o plano. Não precisa ser complexo — precisa existir. Designe o responsável, defina o fluxo, revise semestralmente.

8. Encarregado de Dados (DPO)

A LGPD exige um encarregado de tratamento de dados (DPO). Para OSCs pequenas, pode ser alguém da própria equipe; o ponto é ter um ponto de contato claro para titulares e para a ANPD.

O que auditar:

  • DPO designado e identificado (nome e canal de contato)
  • Canal de comunicação do titular com o DPO (e-mail, formulário)
  • DPO com conhecimento mínimo de LGPD (curso, capacitação)

Ação se houver lacuna: designe o DPO. Pode ser o coordenador, o diretor — desde que tenha canal claro e capacitação. O ponto não é o título, é a função.

Diferencial do Nexus Social: o sistema entrega 6 dos 8 itens do checklist nativamente — controle de acesso por perfil, criptografia em repouso, backup com redundância, log de auditoria, mapeamento de campos sensíveis e base legal registrada no prontuário. A OSC documenta o plano de resposta e designa o DPO; o sistema cuida do resto.

Como Aplicar o Checklist na Prática

Etapa 1: Faça o Mapeamento Completo

Liste todos os dados sensíveis que a OSC coleta, em todos os formulários e sistemas. Inclua papel — fichas físicas também são dado. O mapeamento é a base de tudo; sem ele, os outros itens não têm onde se apoiar.

Para cada tipo de dado, documente a base legal. Se for consentimento, garanta que o termo existe e está assinado. Se for obrigação legal (edital, prestação de contas), cite a obrigação. Dado sem base legal é dado que precisa ser descartado.

Etapa 3: Configure Controle de Acesso

Revise quem tem acesso ao quê. Pessoas que saíram da OSC ainda têm conta? Perfis têm permissões coerentes com a função? O Nexus Social torna essa revisão rápida — o painel mostra acessos por perfil e por pessoa.

Etapa 4: Valide Criptografia e Backup

Confirme que dados sensíveis estão criptografados em repouso (não apenas em trânsito) e que backup é automático com redundância. Se a OSC ainda usa planilha, a migração é urgente — planilha não criptografa, não loga, não controla acesso.

Etapa 5: Documente Resposta a Incidente e DPO

Escreva o plano de resposta (pode ser uma página) e designe o DPO. Revise semestralmente. O ponto não é ter um plano perfeito — é ter um plano que existe e que a equipe conhece.

Comparativo: "Cuidamos dos Dados" vs Checklist Documentado

CritérioAfirmação genéricaChecklist documentado
Mapeamento de dados sensíveis"Cuidamos de tudo"Lista por campo e por sistema
Base legalImplícitaDocumentada por tipo de dado
Controle de acesso"Só a equipe vê"Perfis e permissões auditáveis
Criptografia"É seguro"Em repouso, com chave protegida
Resposta a incidente"A gente resolve"Plano com prazo de 3 dias úteis
DPO"Não precisamos"Designado com canal de contato
Resultado em editalDesclassificaçãoElegibilidade

O Risco de Tratar LGPD como Formalidade

Tratar LGPD como formalidade é pior que não tratar — porque gera a aparência de conformidade sem a substância. Os dois erros mais comuns:

  1. Mapeamento só na cabeça: quando o mapeamento de dados sensíveis vive na memória da coordenadora, a OSC não consegue responder a um questionamento em 3 dias úteis. O mapeamento precisa estar documentado — em sistema, não em cabeça. O Nexus Social registra campos sensíveis no prontuário, tornando o mapeamento consultável.

  2. Controle de acesso "todo mundo vê tudo": quando todos da OSC acessam todos os dados, qualquer incidente vira incidente de toda a base. O controle de acesso por perfil isola o impacto — um acesso indevido de um voluntário não expõe dados financeiros. O princípio de menor privilégio não é burocracia, é contenção.

E, como sempre, dados de famílias atendidas são os mais sensíveis que uma OSC trata — vulnerabilidade social, documentos de menores, saúde. A conformidade com a LGPD não é sobre a ANPD, é sobre as pessoas que confiaram seus dados à OSC.

Perguntas Frequentes

Checklist LGPD serve para OSCs pequenas?

Sim — e é mais urgente. OSCs pequenas costumam tratar dados sensíveis com planilha e papel, que são os meios mais vulneráveis. O checklist não é proporcional ao porte da OSC, é proporcional à sensibilidade dos dados — e OSCs pequenas tratam os mesmos dados sensíveis que as grandes. O Nexus Social escala a conformidade para qualquer porte.

Preciso de um DPO externo e contratado?

Não. A LGPD exige um encarregado, não um profissional contratado. Pode ser alguém da equipe, desde que tenha canal de contato claro e conhecimento mínimo. Para OSCs pequenas, o coordenador ou diretor pode ser o DPO. O ponto é a função existir, não o título.

Quanto custa adequar a OSC à LGPD?

Depende do ponto de partida. Se a OSC usa planilha, a migração para um sistema com criptografia e controle de acesso é o custo principal — e é investimento que se paga em credibilidade. Se a OSC já usa sistema adequado (como o Nexus Social), a adequação é documentação: mapeamento, base legal, plano de resposta. O custo de não adequar — multa e desclassificação em edital — é maior.

Incidente sempre vira multa?

Não. A ANPD avalia a resposta da OSC — se houve plano, se o reporte foi em 3 dias úteis, se o titular foi comunicado. Incidente bem respondido pode não gerar multa; incidente mal respondido (ou não reportado) gera multa e reputação. O plano de resposta é o que separa incidente de crise.

Checklist LGPD substitui o guia de conformidade?

Não — ele complementa. O guia de conformidade explica os conceitos; o checklist é a versão acionável para auditoria. As duas peças juntas formam a documentação que a OSC apresenta em edital — conceito e execução.

Conclusão: Conformidade é Evidência, Não Afirmação

Cuidar dos dados é o mínimo. Provar cuidado é o que aprova em edital. Em um cenário onde editais desclassificam por lacuna de LGPD e empresas parceiras exigem comprovação antes de assinar, a conformidade documentada é o que separa uma OSC elegível de uma OSC desclassificada.

O Nexus Social entrega 6 dos 8 itens do checklist nativamente — controle de acesso por perfil, criptografia em repouso, backup com redundância, log de auditoria, mapeamento de campos sensíveis e base legal registrada. A OSC documenta o plano de resposta e designa o DPO; o sistema mantém a trilha que prova conformidade.

Pronto para passar em auditoria de LGPD sem surpresa? Agende uma demonstração gratuita e veja como estruturar mapeamento, controle de acesso, criptografia e auditoria em uma única plataforma.

Saiba mais sobre o Nexus Social e como a conformidade estruturada com a LGPD pode transformar a elegibilidade da sua OSC em editais e parcerias.


Fontes e Referências


E
Escrito por Equipe Nexus

Equipe Nexus Social dedicada a compartilhar conhecimento e tecnologia para o fortalecimento do terceiro setor.