Checklist LGPD para OSCs: O Que Auditar Antes de um Edital ou Parceria
Equipe Nexus
Autor30 de junho de 2026
10 min de leitura
Pontos-Chave sobre o Checklist LGPD para OSCs
- LGPD não é burocracia: é critério de elegibilidade em editais e parcerias
- Mapeamento de dados sensíveis é o primeiro passo — não dá para proteger o que não se conhece
- Controle de acesso por perfil é o controle mais cobrado em auditoria
- Resposta a incidentes com registro e prazo é o que separa conformidade de multa
Por Que "A gente Cuida dos Dados" Já Não Passa em Edital
Durante anos, OSCs responderam a questionamentos de privacidade com afirmações genéricas: "temos cuidado com os dados", "não compartilhamos com terceiros". Funcionou quando editais não pediam comprovação. Hoje, editais públicos e empresas parceiras exigem evidência — mapeamento, base legal, controle de acesso, registro de incidentes.
A pergunta que separa uma OSC elegível de uma OSC desclassificada não é mais "vocês cuidam dos dados?", é "mostrem como".
É aqui que o checklist LGPD entra. Em vez de responder na hora com afirmações vagas, a OSC tem documentação estruturada — o que coleta, com que base legal, quem acessa, como protege, como responde a incidente. Esse é o salto entre "cuidar" e "provar cuidado".
Panorama da LGPD no Terceiro Setor
- 2.115 requerimentos de fiscalização recebidos pela ANPD em 2024
- 19 processos administrativos abertos pela ANPD em 2024
- 8 itens compõem o checklist mínimo de conformidade
- 3 dias úteis é o prazo legal para reportar incidente de segurança à ANPD
Fontes: ANPD — Lista de processos sancionatórios; Resolução CD/ANPD nº 15/2024 — Comunicação de incidente de segurança; Mobile Time — ANPD recebe 2.115 requerimentos de fiscalização em 2024
O Checklist LGPD em 8 Itens
1. Mapeamento de Dados Sensíveis
OSCs lidam com dados sensíveis por natureza: situação socioeconômica, saúde, documentos de menores, vulnerabilidade. O primeiro passo é mapear quais dados sensíveis a OSC coleta, onde estão, e por quê.
O que auditar:
- Lista de campos sensíveis nos formulários (CPF, renda, saúde, filiação)
- Onde cada campo é armazenado (sistema, planilha, papel)
- Justificativa de cada coleta (por que precisa desse dado?)
Ação se houver lacuna: remova campos que não têm justificativa. Dado não coletado é dado que não vaza.
2. Base Legal da Tratativa
Toda tratativa de dado precisa de base legal — consentimento, execução de contrato, cumprimento de obrigação legal, tutela de interesses do titular. Para OSCs, a base mais comum é consentimento do atendido ou obrigação legal (prestação de contas a edital).
O que auditar:
- Termo de consentimento assinado por atendidos (ou responsáveis, quando menores)
- Base legal documentada para cada tipo de dado coletado
- Revisão de consentimentos vencidos (consentimento pode ser revogado)
Ação se houver lacuna: implante termo de consentimento no momento do cadastro. O Nexus Social permite registrar consentimento no prontuário do atendido.
3. Controle de Acesso por Perfil
O controle mais cobrado em auditoria. Nem todo coordenador vê dados de saúde; nem todo assistente vê dados financeiros; nem todo voluntário vê lista de atendidos. O acesso segue princípio de menor privilégio.
O que auditar:
- Perfis de acesso definidos (admin, coordenador, assistente, voluntário)
- Permissões por perfil documentadas (quem vê o quê)
- Revisão periódica de acessos (pessoas que saíram ainda têm conta?)
Ação se houver lacuna: configure perfis no sistema. O Nexus Social implementa roles e permissões granulares — cada perfil vê apenas o que precisa para sua função.
4. Criptografia de Dados Sensíveis em Repouso
Dados sensíveis armazenados em texto plano são vulnerabilidade grave. CPF, documentos, saúde — precisam estar criptografados no banco de dados, não apenas em trânsito.
O que auditar:
- Campos sensíveis criptografados no banco (não em texto plano)
- Chave de criptografia protegida e rotacionável
- Backups também criptografados
Ação se houver lacuna: migre para sistema com criptografia nativa. O Nexus Social usa EncryptionTransformer em campos sensíveis — o dado está criptografado mesmo se o banco for comprometido.
5. Backup e Recuperação
LGPD exige proteção contra perda, não apenas contra vazamento. Backup automático, redundância geográfica e capacidade de recuperação são parte da conformidade.
O que auditar:
- Backup automático com frequência documentada
- Redundância geográfica (backup fora da região principal)
- Teste de recuperação realizado nos últimos 6 meses
Ação se houver lacuna: implante backup automático. O Nexus Social oferece redundância geográfica e recuperação testada — não promessa, processo.
6. Registro de Acesso e Auditoria
Quem acessou o quê, quando. Em caso de incidente, o registro de auditoria é o que permite investigar. Sem log, a OSC não consegue nem confirmar se houve acesso indevido.
O que auditar:
- Log de acesso a dados sensíveis (quem abriu qual prontuário)
- Log de mutações (quem alterou qual campo, quando)
- Retenção de logs por período adequado (mínimo 6 meses)
Ação se houver lacuna: ative log de auditoria. O Nexus Social registra automaticamente acesso e mutação em audit_logs — sem ação manual da equipe.
7. Resposta a Incidentes
Incidente acontece — a diferença entre conformidade e multa é a resposta. Plano de resposta documentado, com prazo de reporte à ANPD em 3 dias úteis e comunicação ao titular afetado.
O que auditar:
- Plano de resposta a incidente documentado
- Responsável designado para acionar o plano
- Fluxo de reporte à ANPD em 3 dias úteis
- Fluxo de comunicação ao titular afetado
Ação se houver lacuna: documente o plano. Não precisa ser complexo — precisa existir. Designe o responsável, defina o fluxo, revise semestralmente.
8. Encarregado de Dados (DPO)
A LGPD exige um encarregado de tratamento de dados (DPO). Para OSCs pequenas, pode ser alguém da própria equipe; o ponto é ter um ponto de contato claro para titulares e para a ANPD.
O que auditar:
- DPO designado e identificado (nome e canal de contato)
- Canal de comunicação do titular com o DPO (e-mail, formulário)
- DPO com conhecimento mínimo de LGPD (curso, capacitação)
Ação se houver lacuna: designe o DPO. Pode ser o coordenador, o diretor — desde que tenha canal claro e capacitação. O ponto não é o título, é a função.
Diferencial do Nexus Social: o sistema entrega 6 dos 8 itens do checklist nativamente — controle de acesso por perfil, criptografia em repouso, backup com redundância, log de auditoria, mapeamento de campos sensíveis e base legal registrada no prontuário. A OSC documenta o plano de resposta e designa o DPO; o sistema cuida do resto.
Como Aplicar o Checklist na Prática
Etapa 1: Faça o Mapeamento Completo
Liste todos os dados sensíveis que a OSC coleta, em todos os formulários e sistemas. Inclua papel — fichas físicas também são dado. O mapeamento é a base de tudo; sem ele, os outros itens não têm onde se apoiar.
Etapa 2: Documente a Base Legal
Para cada tipo de dado, documente a base legal. Se for consentimento, garanta que o termo existe e está assinado. Se for obrigação legal (edital, prestação de contas), cite a obrigação. Dado sem base legal é dado que precisa ser descartado.
Etapa 3: Configure Controle de Acesso
Revise quem tem acesso ao quê. Pessoas que saíram da OSC ainda têm conta? Perfis têm permissões coerentes com a função? O Nexus Social torna essa revisão rápida — o painel mostra acessos por perfil e por pessoa.
Etapa 4: Valide Criptografia e Backup
Confirme que dados sensíveis estão criptografados em repouso (não apenas em trânsito) e que backup é automático com redundância. Se a OSC ainda usa planilha, a migração é urgente — planilha não criptografa, não loga, não controla acesso.
Etapa 5: Documente Resposta a Incidente e DPO
Escreva o plano de resposta (pode ser uma página) e designe o DPO. Revise semestralmente. O ponto não é ter um plano perfeito — é ter um plano que existe e que a equipe conhece.
Comparativo: "Cuidamos dos Dados" vs Checklist Documentado
| Critério | Afirmação genérica | Checklist documentado |
|---|---|---|
| Mapeamento de dados sensíveis | "Cuidamos de tudo" | Lista por campo e por sistema |
| Base legal | Implícita | Documentada por tipo de dado |
| Controle de acesso | "Só a equipe vê" | Perfis e permissões auditáveis |
| Criptografia | "É seguro" | Em repouso, com chave protegida |
| Resposta a incidente | "A gente resolve" | Plano com prazo de 3 dias úteis |
| DPO | "Não precisamos" | Designado com canal de contato |
| Resultado em edital | Desclassificação | Elegibilidade |
O Risco de Tratar LGPD como Formalidade
Tratar LGPD como formalidade é pior que não tratar — porque gera a aparência de conformidade sem a substância. Os dois erros mais comuns:
-
Mapeamento só na cabeça: quando o mapeamento de dados sensíveis vive na memória da coordenadora, a OSC não consegue responder a um questionamento em 3 dias úteis. O mapeamento precisa estar documentado — em sistema, não em cabeça. O Nexus Social registra campos sensíveis no prontuário, tornando o mapeamento consultável.
-
Controle de acesso "todo mundo vê tudo": quando todos da OSC acessam todos os dados, qualquer incidente vira incidente de toda a base. O controle de acesso por perfil isola o impacto — um acesso indevido de um voluntário não expõe dados financeiros. O princípio de menor privilégio não é burocracia, é contenção.
E, como sempre, dados de famílias atendidas são os mais sensíveis que uma OSC trata — vulnerabilidade social, documentos de menores, saúde. A conformidade com a LGPD não é sobre a ANPD, é sobre as pessoas que confiaram seus dados à OSC.
Perguntas Frequentes
Checklist LGPD serve para OSCs pequenas?
Sim — e é mais urgente. OSCs pequenas costumam tratar dados sensíveis com planilha e papel, que são os meios mais vulneráveis. O checklist não é proporcional ao porte da OSC, é proporcional à sensibilidade dos dados — e OSCs pequenas tratam os mesmos dados sensíveis que as grandes. O Nexus Social escala a conformidade para qualquer porte.
Preciso de um DPO externo e contratado?
Não. A LGPD exige um encarregado, não um profissional contratado. Pode ser alguém da equipe, desde que tenha canal de contato claro e conhecimento mínimo. Para OSCs pequenas, o coordenador ou diretor pode ser o DPO. O ponto é a função existir, não o título.
Quanto custa adequar a OSC à LGPD?
Depende do ponto de partida. Se a OSC usa planilha, a migração para um sistema com criptografia e controle de acesso é o custo principal — e é investimento que se paga em credibilidade. Se a OSC já usa sistema adequado (como o Nexus Social), a adequação é documentação: mapeamento, base legal, plano de resposta. O custo de não adequar — multa e desclassificação em edital — é maior.
Incidente sempre vira multa?
Não. A ANPD avalia a resposta da OSC — se houve plano, se o reporte foi em 3 dias úteis, se o titular foi comunicado. Incidente bem respondido pode não gerar multa; incidente mal respondido (ou não reportado) gera multa e reputação. O plano de resposta é o que separa incidente de crise.
Checklist LGPD substitui o guia de conformidade?
Não — ele complementa. O guia de conformidade explica os conceitos; o checklist é a versão acionável para auditoria. As duas peças juntas formam a documentação que a OSC apresenta em edital — conceito e execução.
Conclusão: Conformidade é Evidência, Não Afirmação
Cuidar dos dados é o mínimo. Provar cuidado é o que aprova em edital. Em um cenário onde editais desclassificam por lacuna de LGPD e empresas parceiras exigem comprovação antes de assinar, a conformidade documentada é o que separa uma OSC elegível de uma OSC desclassificada.
O Nexus Social entrega 6 dos 8 itens do checklist nativamente — controle de acesso por perfil, criptografia em repouso, backup com redundância, log de auditoria, mapeamento de campos sensíveis e base legal registrada. A OSC documenta o plano de resposta e designa o DPO; o sistema mantém a trilha que prova conformidade.
Pronto para passar em auditoria de LGPD sem surpresa? Agende uma demonstração gratuita e veja como estruturar mapeamento, controle de acesso, criptografia e auditoria em uma única plataforma.
Saiba mais sobre o Nexus Social e como a conformidade estruturada com a LGPD pode transformar a elegibilidade da sua OSC em editais e parcerias.
Fontes e Referências
- ANPD — Lista de processos sancionatórios — Relação atualizada dos processos administrativos sancionatórios instaurados pela ANPD
- Resolução CD/ANPD nº 15/2024 — Regulamento de Comunicação de Incidente de Segurança — Estabelece o prazo de 3 dias úteis para reporte de incidentes à ANPD
- Mobile Time — ANPD recebe 2.115 requerimentos de fiscalização em 2024 — Dados consolidados sobre fiscalização da ANPD em 2024 (19 processos administrativos abertos)
- Lei nº 13.709/2018 (LGPD) — Planalto — Texto legal da LGPD, incluindo art. 48 (comunicação de incidentes) e art. 52 (sanções)
Escrito por Equipe Nexus
Equipe Nexus Social dedicada a compartilhar conhecimento e tecnologia para o fortalecimento do terceiro setor.