LGPD para ONGs: Como um CRM Ajuda a Proteger Dados Sensíveis
Voltar para o blog

LGPD para ONGs: Como um CRM Ajuda a Proteger Dados Sensíveis

E
Equipe Nexus
Autor

09 de julho de 2026

7 min de leitura

Pontos-Chave sobre LGPD e CRM

  • LGPD se aplica a toda OSC que trata dados pessoais, independentemente de porte ou faturamento
  • Dados sensíveis de atendidos — saúde, vulnerabilidade, origem racial, religião — exigem proteção reforçada
  • Multa de até R$ 50 milhões pode ser aplicada por infração grave
  • Prazo de 15 dias para responder a solicitações dos titulares sobre seus dados
  • Um CRM adequado automatiza criptografia, controle de acesso e auditoria

A LGPD não Dispensou as OSCs

Muitas organizações sociais ainda acreditam que a Lei Geral de Proteção de Dados (LGPD) vale apenas para empresas grandes e tecnológicas. O art. 1º da Lei nº 13.709/2018 deixa claro: a lei se aplica a qualquer pessoa natural ou jurídica que trate dados pessoais, inclusive organizações sem fins lucrativos. Se sua OSC coleta nome, CPF, endereço, dados de saúde ou situação de vulnerabilidade, a LGPD vale para você.

A dificuldade das OSCs é que elas lidam diariamente com dados sensíveis e muitas vezes não têm equipe jurídica ou de TI dedicada. É aí que entra o CRM: uma plataforma bem construída aplica boa parte dos requisitos técnicos e organizacionais da LGPD automaticamente.

Panorama de Conformidade e Fiscalização

  • 2.115 requerimentos de fiscalização foram recebidos pela ANPD em 2024
  • 19 processos administrativos foram abertos pela ANPD em 2024
  • R$ 50 milhões é o teto da multa por infração grave previsto no art. 52 da LGPD
  • 15 dias é o prazo máximo para fornecer declaração completa de acesso aos dados do titular
  • 879.326 OSCs ativas existem no Brasil, segundo o Mapa das OSCs/IPEA

Fontes: ANPD — Sanções Administrativas; Mobile Time — ANPD recebe 2.115 requerimentos em 2024; Planalto — Lei nº 13.709/2018 (LGPD); ANPD — Direito dos Titulares; IPEA — Mapa das OSCs

Como um CRM Ajuda a Proteger Dados Sensíveis

Um CRM voltado para OSCs deve incorporar por padrão mecanismos de segurança e governança. A seguir, os principais requisitos LGPD e como a tecnologia os atende.

1. Criptografia de Dados Sensíveis

A LGPD, art. 46, exige que controladores adotem medidas técnicas e administrativas para proteger dados pessoais. Para dados sensíveis, a exigência é ainda maior. A criptografia AES-256 em campos como CPF, documentos, laudos e anotações de saúde torna a informação ilegível mesmo em caso de acesso indevido ao banco de dados.

Diferencial do Nexus Social: criptografia AES-256 por coluna em campos sensíveis do cadastro de atendidos, doadores, voluntários e parceiros, com chaves gerenciadas por ambiente.

2. Controle de Acesso por Papel

A ANPD orienta a implementação de controle de acesso com níveis de permissão na proporção da necessidade de trabalhar com o sistema. No contexto de uma OSC, isso significa que o voluntário de oficina não vê o prontuário de saúde do atendido; o assistente social vê apenas as famílias sob sua responsabilidade; o administrador vê configurações, mas não necessariamente conteúdo sensível sem justificativa.

Diferencial do Nexus Social: sistema de roles e permissões granular, com Row Level Security (RLS) no PostgreSQL, garantindo que cada profissional acesse apenas os dados necessários para sua função.

3. Trilha de Auditoria

O art. 37 da LGPD determina que controlador e operador mantenham registro das operações de tratamento. A trilha de auditoria deve registrar quem acessou, quando, de onde, o que visualizou e qual ação realizou. Isso é essencial para investigar incidentes e responder a solicitações de titulares.

Diferencial do Nexus Social: auditoria automática de mutações e acessos a dados sensíveis, com metadados de usuário, IP, dispositivo, geolocalização e timestamp — conforme art. 37 da LGPD.

4. Isolamento por Organização (Multitenancy)

Se o CRM é usado por uma rede de OSCs, os dados de uma organização nunca podem ser acessados por outra. O isolamento deve ser garantido em nível de banco de dados, não apenas de interface. O RLS no PostgreSQL do Nexus Social assegura esse isolamento.

5. Resposta a Solicitações de Titulares

A LGPD garante ao titular direitos como acesso, correção, eliminação e portabilidade. Um CRM adequado deve permitir exportar os dados de um atendido, voluntário ou doador de forma estruturada, dentro do prazo de 15 dias. O Nexus Social oferece exportação de dados pessoais do titular para atendimento a esses pedidos.

Exemplo Prático: OSC em Conformidade com LGPD

A OSC Casa do Bem coleta dados de 800 famílias atendidas, incluindo CPF, endereço, condições de saúde e histórico de atendimento. Antes do CRM, a informação vivia em planilhas compartilhadas por e-mail, com senhas fracas e sem controle de acesso.

Com o Nexus Social:

  • CPFs e dados de saúde são criptografados automaticamente
  • Acesso é limitado por função: assistente social, psicóloga, coordenadora e admin
  • Toda ação é registrada na trilha de auditoria
  • Consentimentos são coletados e armazenados vinculados ao titular
  • Solicitações de titulares são respondidas com exportação automática de dados

Em uma auditoria interna, a OSC consegue demonstrar em minutos quem acessou o prontuário de uma família e por quê, atendendo a exigências do art. 37 e art. 46 da LGPD.

Comparativo: Gestão Manual vs CRM com Proteção LGPD

Requisito LGPDPlanilha / e-mailCRM com proteção LGPD
Criptografia de dados sensíveisInexistenteAES-256 por coluna
Controle de acessoCompartilhamento de senhaRoles granulares + RLS
Trilha de auditoriaNão existeRegistro automático de acessos e alterações
Resposta a titulares (15 dias)Busca manualExportação automática de dados
Isolamento entre equipesInexistenteMultitenancy por tenant
Risco de vazamentoAltoReduzido com múltiplas camadas

Perguntas Frequentes

Uma OSC pequena precisa se preocupar com a LGPD?

Sim. A LGPD não exige porte mínimo para se aplicar. Organizações que tratam dados pessoais, mesmo sem fins lucrativos, devem adotar medidas de segurança e transparência. Um CRM adequado reduz o esforço de conformidade.

O que são dados sensíveis em uma OSC?

Dados sobre origem racial, convicção religiosa, opinião política, filiação sindical, saúde, vida sexual, dado genético ou biométrico. Para OSCs, também são sensíveis informações sobre violência doméstica, medidas protetivas, dependência química, situação de rua e documentos de menores.

E se o titular pedir para apagar os dados?

O direito à eliminação (art. 18, IV da LGPD) deve ser observado, mas existem exceções. A OSC pode ter obrigação legal de reter prontuários ou registros de atendimento por prazo determinado. Veja nosso guia sobre retenção e descarte de dados.

Conclusão: Conformidade LGPD é viabilidade para a OSC

Proteger dados não é apenas evitar multa. É preservar a confiança das pessoas atendidas, manter a reputação da organização e garantir acesso a editais e parcerias. OSCs que não conseguem demonstrar segurança de dados ficam fora de seleções de fornecedores e perdem oportunidades de financiamento.

O Nexus Social foi desenvolvido com segurança e LGPD em sua arquitetura: criptografia AES-256, controle de acesso granular, auditoria automática, RLS no banco de dados e multitenancy seguro. Agende uma demonstração e veja como proteger os dados sensíveis da sua OSC.

Saiba mais sobre o Nexus Social e como a conformidade com a LGPD pode ser automatizada na gestão do terceiro setor.


Fontes e Referências


E
Escrito por Equipe Nexus

Equipe Nexus Social dedicada a compartilhar conhecimento e tecnologia para o fortalecimento do terceiro setor.