Sua OSC protege os dados das famílias atendidas? Entenda a LGPD no terceiro setor
Voltar para o blog

Sua OSC protege os dados das famílias atendidas? Entenda a LGPD no terceiro setor

E
Equipe Nexus
Autor

19 de junho de 2026

8 min de leitura

Pontos-Chave sobre Dados Sensíveis no Terceiro Setor

  • OSCs tratam dados sensíveis — saúde, vulnerabilidade social, documentos de menores — com o mesmo peso de uma empresa privada
  • Dados de crianças e adolescentes recebem proteção reforçada pela LGPD e pelo ECA
  • Criptografia AES-256 é o padrão técnico mínimo para campos como CPF, laudos e documentos
  • Nexus Social já entrega criptografia, isolamento por tenant e trilha de auditoria prontos, tirando esse peso das costas dos diretores

Por que OSCs são alvo de proteção de dados

Existe um mito recorrente no terceiro setor: "a LGPD é coisa de empresa grande, de banco, de plano de saúde". A realidade é bem diferente. Uma assistente social que cadastra uma família em situação de rua coleta mais dados sensíveis do que muitos comércios: endereço, composição familiar, renda, histórico de saúde mental, registros de violência doméstica, documentos de menores.

A Lei Geral de Proteção de Dados (LGPD), Lei nº 13.709/2018, não faz distinção entre setor lucrativo e sem fins lucrativos. O que importa é o tipo de dado tratado — e OSCs lidam justamente com a categoria mais protegida pela lei: os dados pessoais sensíveis (art. 11), que incluem informações sobre saúde, vida sexual, origem racial, filiação sindical e convicções religiosas.

Em outras palavras: sua OSC precisa de segurança digital tanto quanto uma empresa privada. Talvez até mais, porque a população atendida costuma estar em situação de vulnerabilidade — e um vazamento pode significar exposição, discriminação ou até risco físico.

Quais dados das famílias atendidas são considerados sensíveis

Nem todo dado é "sensível" pela LGPD. Nome e telefone, por exemplo, são dados pessoais comuns. Os sensíveis são aqueles cujo tratamento indevido pode gerar discriminação ou violação de direitos. No dia a dia de uma OSC, isso inclui:

  • Dados de saúde — laudos psiquiátricos, tratamentos de dependência química, HIV, deficiências, histórico de internação
  • Vulnerabilidade social — situação de rua, violência doméstica, medidas protetivas, acolhimento institucional
  • Documentos de menores — CPF, certidão de nascimento, registros escolares, fotos de crianças e adolescentes
  • Origem racial e religião — frequentemente coletados em formulários de assistência e relatórios para editais
  • Situação jurídica — passagens pela justiça, medidas socioeducativas, histórico de acolhimento

Para cada um desses, a LGPD exige base legal específica, consentimento expresso quando aplicável e medidas de segurança proporcionais ao risco. O guia completo de LGPD para ONGs detalha as obrigações gerais; aqui o foco é o que muda quando o dado é sensível.

O caso especial de crianças e adolescentes

O ECA (Estatuto da Criança e do Adolescente) e a LGPD se combinam: o tratamento de dados de menores de 18 anos exige consentimento específico e destacado dos responsáveis, e a melhor interesse da criança deve prevalecer sobre qualquer finalidade da organização. Isso significa:

  • Termos de consentimento separados dos adultos
  • Restrição de acesso a fotos e imagens de menores
  • Limites de retenção mais curtos quando possível
  • Controle rigoroso sobre quem, dentro da OSC, pode visualizar esses registros

O risco real: o que acontece quando dados sensíveis vazam

Vazamento de dados de uma família em situação de vulnerabilidade não é um problema "de TI". É um problema humano. Um atendido com histórico de violência doméstica exposto pode ser localizado pelo agressor. Um adolescente com laudo psiquiátrico vazado pode sofrer bullying. Uma família em situação de rua pode ter seus documentos usados em fraudes.

Para a OSC, as consequências também são graves:

  • Multa de até R$ 50 milhões por infração, proporcional ao faturamento
  • Bloqueio ou eliminação do banco de dados pela ANPD
  • Perda de editais e convênios — muitos exigem comprovação de conformidade
  • Perda de confiança de doadores e da própria comunidade atendida
  • Responsabilidade civil em ações de indenização por danos morais

Por isso, a segurança digital deixa de ser um "custo extra" e passa a ser parte da missão institucional da OSC. Proteger dados é proteger pessoas.

5 cuidados práticos com dados sensíveis das famílias

1. Criptografe campos sensíveis em repouso

CPF, documentos, laudos e anexos não podem ficar em texto puro no banco. O padrão técnico é AES-256, aplicado por coluna — não no banco inteiro, o que seria ineficiente. Assim, mesmo em caso de acesso indevido ao servidor, o conteúdo permanece ilegível sem a chave.

2. Restrinja acesso por papel e por contexto

Um voluntário de oficina não precisa ver o histórico de saúde de um atendido. Um assistente social deve acessar apenas os casos sob sua responsabilidade. O princípio do menor privilégio é a primeira barreira contra vazamentos internos — que, segundo pesquisas, respondem por boa parte dos incidentes. Veja como implementar controle de acesso granular.

3. Mantenha trilha de auditoria de quem acessou o quê

Saber quem abriu o prontuário de uma família, quando e de onde é essencial para investigar incidentes e para responder à ANPD. A auditoria deve ser automática, sem depender de registros manuais em planilha, e deve registrar até mesmo visualizações — não apenas edições.

4. Defina prazos de retenção e elimine o que não precisa mais

A LGPD exige que dados sejam eliminados quando a finalidade do tratamento é atingida. Manter prontuários de famílias desligadas há 10 anos "por precaução" é, na verdade, um risco — mais dados retidos, mais superfície de exposição. Defina uma política de retenção por tipo de dado e automatize a eliminação segura.

5. Isolamento entre organizações (multitenancy seguro)

Se sua OSC usa um sistema compartilhado com outras organizações (como acontece em redes e federações), é fundamental que os dados de uma nunca sejam acessíveis por outra. O isolamento deve ser garantido em nível de banco de dados, não apenas em nível de aplicação — é o que se chama Row Level Security (RLS).

Como o Nexus Social tira esse peso das costas dos diretores

A boa notícia é que a diretoria da OSC não precisa virar especialista em criptografia, RLS e trilhas de auditoria. O Nexus Social foi construído desde o início com segurança por design, incorporando essas práticas como padrão da plataforma:

  • Criptografia AES-256 aplicada automaticamente em CPF, documentos e campos sensíveis — sem configuração manual
  • Row Level Security (RLS) no PostgreSQL, garantindo isolamento total entre tenants
  • Controle de acesso por rolesadmin, diretor, coordenador, assistente_social, oficineiro, voluntário — com permissões granulares por módulo
  • Auditoria automática de todas as mutações, com metadados de sessão, IP e geolocalização, pronta para responder à ANPD
  • Gestão de consentimentos registrada por titular, com possibilidade de revogação
  • Backup com redundância geográfica e plano de resposta a incidentes

Tudo isso já vem pronto. O diretor da OSC não precisa contratar um time de segurança, configurar chaves de criptografia ou revisar políticas de RLS — a plataforma entrega a conformidade técnica como parte do serviço. Conheça a tecnologia por trás do Nexus Social e por que ela é diferente.

Comparativo: dados sensíveis sem e com Nexus Social

Cuidado com dados sensíveisSem Nexus SocialCom Nexus Social
Criptografia de CPF e documentosManual, propenso a erroAutomática (AES-256)
Acesso restrito por papelSenhas compartilhadas6 roles nativas com permissões granulares
Trilha de auditoriaPlanilha manual, desatualizadaAutomática, com IP e geolocalização
Isolamento entre organizaçõesRisco de cruzamento de dadosRow Level Security por tenant
Consentimento de menoresPapel avulso, sem rastreioRegistro digital por titular, revogável
Resposta à ANPD em 15 diasBusca manual em arquivosExportação automática dos dados do titular

Conformidade como parte da missão institucional

Quando uma OSC protege os dados das famílias que atende, ela não está apenas cumprindo uma lei — está honrando a confiança que essas famílias depositaram nela ao compartilhar suas histórias, seus documentos e sua vulnerabilidade. A segurança digital é, no fundo, uma extensão do cuidado que a organização já oferece no mundo físico.

A diferença é que, no mundo físico, a OSC já tem rotinas consolidadas: portas com fechadura, arquivos em gavetas com chave, conversas reservadas. No mundo digital, muitas vezes faltam essas barreiras básicas — e é justamente aí que o risco é maior.

O Nexus Social existe para fechar essa lacuna: levar para o terceiro setor o mesmo nível de proteção que uma empresa privada de grande porte teria, sem exigir da OSC conhecimento técnico ou orçamento de TI. Entenda por que a centralização dos dados é o primeiro passo para a segurança e como dar esse passo sem dor de cabeça.

Próximos passos para sua OSC

  1. Mapeie quais dados sensíveis sua organização coleta hoje (saúde, vulnerabilidade, menores)
  2. Verifique se esses dados estão criptografados e com acesso restrito
  3. Defina uma política de retenção e consentimento por tipo de dado
  4. Adote uma plataforma que já entregue essas práticas por padrão

Agende uma demonstração gratuita e veja na prática como o Nexus Social protege os dados das famílias que sua organização atende — com criptografia, isolamento e auditoria prontos, sem colocar esse peso sobre a diretoria.

E
Escrito por Equipe Nexus

Equipe Nexus Social dedicada a compartilhar conhecimento e tecnologia para o fortalecimento do terceiro setor.