LGPD para ONGs: Guia Completo de Conformidade para OSCs
Equipe Nexus
Autor11 de junho de 2026
Pontos-Chave sobre LGPD para OSCs
- LGPD se aplica a TODAS as OSCs que tratam dados pessoais, independente do porte
- Multas de até R$ 50 milhões por infração, além de bloqueio de dados e suspensão de atividades
- Prazo de 15 dias para responder solicitações de titulares (acesso, correção, eliminação)
- Nexus Social automatiza 80% dos requisitos técnicos de conformidade LGPD
O que é a LGPD e por que ela importa para OSCs
A Lei Geral de Proteção de Dados (LGPD), Lei nº 13.709/2018, estabelece regras claras sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais no Brasil. Contrário ao que muitas organizações sociais acreditam, a LGPD se aplica a todas as entidades que tratam dados pessoais, independente do porte ou setor de atuação.
Organizações da Sociedade Civil (OSCs) e ONGs lidam diariamente com informações sensíveis: dados de atendidos, voluntários, doadores, parceiros e colaboradores. A conformidade com a LGPD não é apenas uma obrigação legal, mas também uma demonstração de compromisso com a privacidade e segurança das pessoas que sua organização atende. Conheça a história do Nexus Social e como ele nasceu para resolver problemas de segurança no terceiro setor.
O Nexus Social foi desenvolvido especificamente para ajudar OSCs a gerenciar esses dados de forma segura e em conformidade com a lei.
Panorama da Conformidade no Terceiro Setor
- 67% das OSCs ainda não estão em conformidade com a LGPD
- 234 processos administrativos abertos pela ANPD em 2024
- R$ 8.2M em multas aplicadas pela ANPD desde 2021
- 15 dias prazo máximo para responder solicitações de titulares
Fonte: Dados consolidados da ANPD e pesquisas do terceiro setor (2023-2024)
6 Obrigações LGPD que Sua OSC Precisa Cumprir Agora
1. Obrigações de Transparência
Sua OSC deve informar claramente quais dados coleta, para que finalidades e com quem compartilha.
Exemplo prático: Ao cadastrar um atendido, sua OSC deve exibir: "Coletamos nome, CPF e endereço para prestação de assistência social. Seus dados não serão compartilhados com terceiros sem seu consentimento."
2. Direitos dos Titulares
Atendidos, voluntários e doadores têm direito de acessar, corrigir, eliminar seus dados e revogar consentimentos em até 15 dias.
Exemplo prático: Um atendido solicita acesso aos seus dados. Sua OSC deve fornecer relatório completo em até 15 dias úteis, incluindo histórico de tratamentos realizados.
3. Segurança de Dados
Adotar medidas técnicas e administrativas para proteger dados contra acessos não autorizados, vazamentos e perdas.
Exemplo prático: CPFs e documentos sensíveis devem ser criptografados (AES-256). Apenas usuários autorizados podem acessar dados de atendidos, com senha forte e autenticação em dois fatores.
4. Base Legal para Tratamento
Toda coleta de dados precisa de uma base legal válida: consentimento, cumprimento de obrigação legal, execução de políticas públicas, estudos de pesquisa ou legítimo interesse.
Exemplo prático: Coleta de CPF de atendidos: base legal = "execução de políticas públicas" (sua OSC atende população vulnerável). Coleta de e-mail para newsletter: base legal = "consentimento".
5. Registro de Operações
Manter registro de todas as operações de tratamento de dados, incluindo finalidade, categorias de dados e compartilhamentos.
Exemplo prático: Documentar: "Sistema de gestão de atendidos coleta nome, CPF, endereço. Finalidade: prestação de assistência. Compartilhamento: nenhum. Retenção: 5 anos após encerramento do atendimento."
6. Relatórios de Impacto
Para tratamentos de alto risco, elaborar Relatório de Impacto à Proteção de Dados Pessoais (RIPD).
Exemplo prático: OSC que trata dados de saúde (HIV, dependência química) deve elaborar RIPD documentando riscos de discriminação e medidas de mitigação (criptografia, acesso restrito).
Penalidades por Não Conformidade
- Multa de até 2% do faturamento - Limitada a R$ 50 milhões por infração
- Advertência com prazo para correção - Com necessidade de demonstrar adoção de medidas
- Bloqueio ou eliminação de dados - Paralisação das atividades de tratamento
- Suspensão de banco de dados - Por até 6 meses, prorrogável por igual período
- Suspensão de atividades - Da entidade que descumprir a LGPD
Checklist de Conformidade LGPD para OSCs
Use este checklist para avaliar o nível de conformidade da sua OSC com a LGPD:
- Política de privacidade acessível ao público
- Termos de uso claros e específicos
- Registro de todas as operações de tratamento de dados
- Mapeamento de bases legais para cada coleta de dados
- Processo para responder solicitações de titulares (15 dias)
- Medidas de segurança técnica (criptografia, controle de acesso)
- Medidas de segurança administrativa (treinamento, políticas)
- Relatório de Impacto (RIPD) para tratamentos de alto risco
- Designação de Encarregado (DPO) quando necessário
- Plano de resposta a incidentes de segurança
- Procedimentos para eliminação segura de dados
- Contratos com parceiros incluindo cláusulas de proteção de dados
💡 O Nexus Social automatiza 9 dos 12 itens deste checklist, reduzindo significativamente o esforço de conformidade.
Agende uma demonstração gratuita e veja na prática como nossa plataforma simplifica a gestão de dados da sua OSC.
Como o Nexus Social Ajuda na Conformidade LGPD
O Nexus Social é uma plataforma completa de gestão para OSCs que inclui recursos nativos de conformidade LGPD. Entenda por que a tecnologia do Nexus Social é diferente e como ela garante segurança:
- Criptografia AES-256 - Dados sensíveis como CPF e documentos criptografados automaticamente
- Row Level Security (RLS) - Isolamento de dados por tenant, garantindo multitenância segura
- Auditoria Completa - Trilha de todas as mutações com metadados de sessão e geolocalização
- Controle de Acesso - Sistema de roles e permissões granular para cada usuário
- Gestão de Consentimentos - Registro e gerenciamento de consentimentos de titulares
Conheça todos os recursos do Nexus Social e como eles podem transformar a gestão da sua OSC.
Comparativo: Gestão LGPD Sem Nexus Social vs Com Nexus Social
| Requisito LGPD | Sem Nexus Social | Com Nexus Social |
|---|---|---|
| Criptografia de dados sensíveis | Manual, complexo e propenso a erros | Automático (AES-256) para CPF e documentos |
| Registro de operações | Planilhas manuais, desatualizadas | Auditoria automática com trilha completa |
| Controle de acesso | Senhas compartilhadas, sem roles | Sistema de roles granular por usuário |
| Resposta a titulares (15 dias) | Busca manual em arquivos físicos | Exportação automática de dados do titular |
| Isolamento de dados (multitenancy) | Risco de vazamento entre organizações | Row Level Security por tenant |
| Backup e recuperação | Manual, sem garantia de integridade | Automático com redundância geográfica |
| Tempo de adequação | 6-12 meses com equipe dedicada | 1-2 meses com automação |
| Custo total | Alto (consultoria + desenvolvimento) | Baixo (SaaS pronto para uso) |
Benefícios Específicos do Nexus Social para Conformidade LGPD
Segurança por Design
Proteção de dados integrada em cada módulo, desde o cadastro até o compartilhamento de informações.
Conformidade Automática
Processos de conformidade embutidos no sistema, reduzindo a necessidade de controles manuais.
Mitigação de Riscos
Redução significativa de riscos de vazamentos, acessos não autorizados e penalidades legais.
Dúvidas Frequentes sobre LGPD e OSCs
OSC precisa se adequar à LGPD?
Sim. A LGPD se aplica a qualquer organização que trate dados pessoais, independente do porte ou setor. OSCs que coletam dados de atendidos, voluntários, doadores e parceiros devem estar em conformidade. Não há exceção para organizações sem fins lucrativos.
Quais são as principais penalidades da LGPD?
A LGPD prevê multas de até 2% do faturamento da organização, limitadas a R$ 50 milhões por infração, além de advertências, bloqueio ou eliminação de dados, e suspensão de atividades de banco de dados. Para OSCs sem faturamento, a multa pode ser baseada em receitas ou patrimônio.
O Nexus Social substitui a necessidade de um DPO?
Não. O Nexus Social é uma ferramenta que facilita a conformidade, mas não substitui a figura do DPO (Encarregado). Para OSCs de grande porte ou que tratam dados sensíveis, é recomendado ter um DPO dedicado. O sistema automatiza aspectos técnicos, mas a responsabilidade legal permanece com a organização.
Quanto tempo leva para adequar uma OSC à LGPD?
O tempo varia conforme o porte da organização e a maturidade dos processos. Sem automação, pode levar 6-12 meses. Com o Nexus Social, muitos aspectos técnicos de conformidade são implementados automaticamente, reduzindo significativamente o tempo de adequação para 1-2 meses.
OSC sem fins lucrativos paga multa LGPD?
Sim. A LGPD não faz distinção entre organizações com e sem fins lucrativos. Multas são aplicadas a qualquer entidade que descumprir a lei. Para OSCs sem faturamento, a ANPD pode considerar receitas, doações ou patrimônio para cálculo de penalidades.
Dados de menores de idade são tratados diferentemente?
Sim. Dados de menores de 12 anos requerem consentimento específico de pelo menos um dos pais ou responsável legal. Para menores entre 12 e 18 anos, pode ser necessário consentimento do próprio menor, dependendo da sensibilidade do dado. OSCs que atendem crianças e adolescentes devem ter processos específicos.
Posso compartilhar dados com parceiros?
Sim, mas com condições. O compartilhamento deve ter base legal válida (geralmente consentimento ou execução de contrato) e ser informado ao titular. Contratos com parceiros devem incluir cláusulas de proteção de dados. O Nexus Social permite rastrear compartilhamentos e manter registro de todas as operações.
O que fazer em caso de vazamento de dados?
Em caso de incidente de segurança, sua OSC deve: (1) conter o vazamento imediatamente, (2) documentar o incidente, (3) notificar a ANPD em até 2 dias úteis se houver risco aos titulares, (4) notificar os titulares afetados se houver risco relevante, (5) tomar medidas para prevenir novos incidentes. O Nexus Social mantém auditoria completa para facilitar investigações.
Quando minha OSC precisa de um DPO?
A LGPD exige DPO para: (1) organizações que tratam dados em grande escala, (2) organizações que tratam dados sensíveis (saúde, biometria, etc.), (3) organizações cuja atividade principal é tratamento de dados. Para OSCs pequenas que não se encaixam nesses critérios, o DPO não é obrigatório, mas ainda é recomendável ter alguém responsável pela proteção de dados.
Ainda com dúvidas sobre como sua OSC pode se adequar à LGPD?
Fale com nossos especialistas - Nossa equipe está pronta para ajudar sua organização no caminho da conformidade.
Bases Legais da LGPD com Exemplos para OSCs
Toda coleta de dados precisa de uma base legal válida. Entenda qual usar em cada situação:
Consentimento
Manifestação livre, informada e inequívoca do titular
Exemplo OSC: Coleta de e-mail para newsletter, autorização para uso de imagem em materiais de divulgação
Cumprimento de Obrigação Legal
Tratamento necessário para cumprir lei, regulamento ou contrato
Exemplo OSC: Manutenção de dados fiscais por 5 anos (Lei Complementar 123/2006), registro de voluntários para INSS
Execução de Políticas Públicas
Tratamento necessário para execução de políticas públicas previstas em leis
Exemplo OSC: Coleta de dados socioeconômicos de atendidos para programas de assistência social governamentais
Estudos de Pesquisa
Tratamento necessário para realização de estudos por órgão de pesquisa
Exemplo OSC: Pesquisa acadêmica sobre impacto de programas sociais (com anonimização quando possível)
Legítimo Interesse
Interesse legítimo do controlador, desde que não viole direitos do titular
Exemplo OSC: Verificação de antecedentes de voluntários para segurança de atendidos (deve ser proporcional)
Proteção da Vida/Segurança Física
Tratamento necessário para proteger vida ou segurança física do titular ou terceiros
Exemplo OSC: Registro de emergências médicas de atendidos, contato com familiares em caso de risco
Tutela Judicial
Tratamento necessário para exercício regular de direitos em processo judicial
Exemplo OSC: Manutenção de documentos para defesa em processos trabalhistas ou cíveis
Proteção da Saúde
Tratamento necessário para proteção da saúde, exclusivamente por profissionais de saúde
Exemplo OSC: Registro de condições médicas de atendidos por profissionais de saúde da OSC
Glossário de Termos LGPD
- Titular - Pessoa física a quem os dados pessoais se referem (ex: atendido, voluntário, doador)
- Controlador - Organização que toma decisões sobre o tratamento de dados pessoais (sua OSC)
- Operador - Entidade que processa dados em nome do controlador (ex: sistema de gestão, provedor de nuvem)
- Dado Pessoal - Qualquer informação que identifique ou torne identificável uma pessoa natural (nome, CPF, e-mail)
- Dado Sensível - Dado sobre origem racial, religião, saúde, vida sexual, biometria, opinião política
- Base Legal - Fundamento jurídico que justifica o tratamento de dados (consentimento, obrigação legal, etc.)
- Consentimento - Manifestação livre, informada e inequívoca pela qual o titular concorda com tratamento de seus dados
- DPO/Encarregado - Pessoa indicada para atuar como canal de comunicação entre controlador, titulares e ANPD
- ANPD - Autoridade Nacional de Proteção de Dados, órgão responsável por fiscalizar e regulamentar a LGPD
- RIPD - Relatório de Impacto à Proteção de Dados Pessoais, documento que analisa riscos de tratamentos de dados
- Tratamento - Qualquer operação realizada com dados (coleta, armazenamento, consulta, uso, compartilhamento, eliminação)
- Incidente de Segurança - Evento adverso confirmado ou relacionado à segurança de dados (vazamento, acesso não autorizado)
Recursos Oficiais e Referências
Acesse fontes oficiais para aprofundar seu conhecimento sobre LGPD:
- Site Oficial da ANPD - Autoridade Nacional de Proteção de Dados - regulador e fiscalizador da LGPD
- Texto Completo da Lei 13.709/2018 - Lei Geral de Proteção de Dados Pessoais na íntegra
- Guia LGPD para Pequenos Negócios - Guia simplificado da ANPD para pequenas organizações
- Canal de Denúncias da ANPD - Reporte incidentes de segurança ou violações de dados
- Portal da Transparência - LGPD - Informações sobre acesso a dados e transparência
- Guia de Segurança da Informação - Documentos orientativos sobre segurança de dados
Caminho para Conformidade LGPD em 3 Etapas
O Nexus Social guia sua OSC em cada etapa do processo de adequação:
Etapa 1: Diagnóstico Gratuito
Avaliamos o nível atual de conformidade da sua OSC e identificamos gaps prioritários
Etapa 2: Implementação
Configuramos o Nexus Social com automações LGPD (criptografia, auditoria, controle de acesso)
Etapa 3: Monitoramento
Acompanhamos métricas de conformidade e oferecemos suporte contínuo para sua equipe
Pronto para começar sua jornada de conformidade LGPD? Inicie seu diagnóstico gratuito - Sem compromisso, resposta em até 24h.
Saiba mais sobre o Nexus Social e como podemos ajudar sua OSC a estar em conformidade com a LGPD e transformar a gestão de dados do terceiro setor.
Escrito por Equipe Nexus
Equipe Nexus Social dedicada a compartilhar conhecimento e tecnologia para o fortalecimento do terceiro setor.