LGPD para OSCs e ONGs

Entenda como a Lei Geral de Proteção de Dados afeta organizações sociais e como o Nexus Social ajuda sua OSC a mitigar riscos e estar em conformidade.
Pontos-Chave sobre LGPD para OSCs

LGPD se aplica a TODAS as OSCs que tratam dados pessoais, independente do porte

Multas de até R$ 50 milhões por infração, além de bloqueio de dados e suspensão de atividades

Prazo de 15 dias para responder solicitações de titulares (acesso, correção, eliminação)

Nexus Social automatiza 80% dos requisitos técnicos de conformidade LGPD

O que é a LGPD e por que ela importa para OSCs

A Lei Geral de Proteção de Dados (LGPD), Lei nº 13.709/2018, estabelece regras claras sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais no Brasil. Contrário ao que muitas organizações sociais acreditam, a LGPD se aplica atodas as entidades que tratam dados pessoais, independente do porte ou setor de atuação.

Organizações da Sociedade Civil (OSCs) e ONGs lidam diariamente com informações sensíveis: dados de atendidos, voluntários, doadores, parceiros e colaboradores. A conformidade com a LGPD não é apenas uma obrigação legal, mas também uma demonstração de compromisso com a privacidade e segurança das pessoas que sua organização atende.

Panorama da Conformidade no Terceiro Setor

67%

das OSCs ainda não estão em conformidade com a LGPD

234

processos administrativos abertos pela ANPD em 2024

R$ 8.2M

em multas aplicadas pela ANPD desde 2021

15 dias

prazo máximo para responder solicitações de titulares

Fonte: Dados consolidados da ANPD e pesquisas do terceiro setor (2023-2024)
6 Obrigações LGPD que Sua OSC Precisa Cumprir Agora
1. Obrigações de Transparência

Sua OSC deve informar claramente quais dados coleta, para que finalidades e com quem compartilha.

Exemplo prático:Ao cadastrar um atendido, sua OSC deve exibir: “Coletamos nome, CPF e endereço para prestação de assistência social. Seus dados não serão compartilhados com terceiros sem seu consentimento.”
2. Direitos dos Titulares

Atendidos, voluntários e doadores têm direito de acessar, corrigir, eliminar seus dados e revogar consentimentos em até 15 dias.

Exemplo prático:Um atendido solicita acesso aos seus dados. Sua OSC deve fornecer relatório completo em até 15 dias úteis, incluindo histórico de tratamentos realizados.
3. Segurança de Dados

Adotar medidas técnicas e administrativas para proteger dados contra acessos não autorizados, vazamentos e perdas.

Exemplo prático:CPFs e documentos sensíveis devem ser criptografados (AES-256). Apenas usuários autorizados podem acessar dados de atendidos, com senha forte e autenticação em dois fatores.
4. Base Legal para Tratamento

Toda coleta de dados precisa de uma base legal válida: consentimento, cumprimento de obrigação legal, execução de políticas públicas, estudos de pesquisa ou legítimo interesse.

Exemplo prático:Coleta de CPF de atendidos: base legal = “execução de políticas públicas” (sua OSC atende população vulnerável). Coleta de e-mail para newsletter: base legal = “consentimento”.
5. Registro de Operações

Manter registro de todas as operações de tratamento de dados, incluindo finalidade, categorias de dados e compartilhamentos.

Exemplo prático:Documentar: “Sistema de gestão de atendidos coleta nome, CPF, endereço. Finalidade: prestação de assistência. Compartilhamento: nenhum. Retenção: 5 anos após encerramento do atendimento.”
6. Relatórios de Impacto

Para tratamentos de alto risco, elaborar Relatório de Impacto à Proteção de Dados Pessoais (RIPD).

Exemplo prático:OSC que trata dados de saúde (HIV, dependência química) deve elaborar RIPD documentando riscos de discriminação e medidas de mitigação (criptografia, acesso restrito).
Penalidades por Não Conformidade
  • Multa de até 2% do faturamento

    Limitada a R$ 50 milhões por infração

  • Advertência com prazo para correção

    Com necessidade de demonstrar adoção de medidas

  • Bloqueio ou eliminação de dados

    Paralisação das atividades de tratamento

  • Suspensão de banco de dados

    Por até 6 meses, prorrogável por igual período

  • Suspensão de atividades

    Da entidade que descumprir a LGPD

Checklist de Conformidade LGPD para OSCs

Use este checklist para avaliar o nível de conformidade da sua OSC com a LGPD:

Política de privacidade acessível ao público

Termos de uso claros e específicos

Registro de todas as operações de tratamento de dados

Mapeamento de bases legais para cada coleta de dados

Processo para responder solicitações de titulares (15 dias)

Medidas de segurança técnica (criptografia, controle de acesso)

Medidas de segurança administrativa (treinamento, políticas)

Relatório de Impacto (RIPD) para tratamentos de alto risco

Designação de Encarregado (DPO) quando necessário

Plano de resposta a incidentes de segurança

Procedimentos para eliminação segura de dados

Contratos com parceiros incluindo cláusulas de proteção de dados

💡 O Nexus Social automatiza 9 dos 12 itens deste checklist, reduzindo significativamente o esforço de conformidade.

Como o Nexus Social Ajuda
  • Criptografia AES-256

    Dados sensíveis como CPF e documentos criptografados automaticamente

  • Row Level Security (RLS)

    Isolamento de dados por tenant, garantindo multitenância segura

  • Auditoria Completa

    Trilha de todas as mutações com metadados de sessão e geolocalização

  • Controle de Acesso

    Sistema de roles e permissões granular para cada usuário

  • Gestão de Consentimentos

    Registro e gerenciamento de consentimentos de titulares

Comparativo: Sem Nexus Social vs Com Nexus Social
Requisito LGPDSem Nexus SocialCom Nexus Social
Criptografia de dados sensíveisManual, complexo e propenso a errosAutomático (AES-256) para CPF e documentos
Registro de operaçõesPlanilhas manuais, desatualizadasAuditoria automática com trilha completa
Controle de acessoSenhas compartilhadas, sem rolesSistema de roles granular por usuário
Resposta a titulares (15 dias)Busca manual em arquivos físicosExportação automática de dados do titular
Isolamento de dados (multitenancy)Risco de vazamento entre organizaçõesRow Level Security por tenant
Backup e recuperaçãoManual, sem garantia de integridadeAutomático com redundância geográfica
Tempo de adequação6-12 meses com equipe dedicada1-2 meses com automação
Custo totalAlto (consultoria + desenvolvimento)Baixo (SaaS pronto para uso)
Benefícios Específicos do Nexus Social para Conformidade LGPD
Segurança por Design

Proteção de dados integrada em cada módulo, desde o cadastro até o compartilhamento de informações.

Conformidade Automática

Processos de conformidade embutidos no sistema, reduzindo a necessidade de controles manuais.

Mitigação de Riscos

Redução significativa de riscos de vazamentos, acessos não autorizados e penalidades legais.

Dúvidas Frequentes sobre LGPD e OSCs

Sim. A LGPD se aplica a qualquer organização que trate dados pessoais, independente do porte ou setor. OSCs que coletam dados de atendidos, voluntários, doadores e parceiros devem estar em conformidade. Não há exceção para organizações sem fins lucrativos.

A LGPD prevê multas de até 2% do faturamento da organização, limitadas a R$ 50 milhões por infração, além de advertências, bloqueio ou eliminação de dados, e suspensão de atividades de banco de dados. Para OSCs sem faturamento, a multa pode ser baseada em receitas ou patrimônio.

Não. O Nexus Social é uma ferramenta que facilita a conformidade, mas não substitui a figura do DPO (Encarregado). Para OSCs de grande porte ou que tratam dados sensíveis, é recomendado ter um DPO dedicado. O sistema automatiza aspectos técnicos, mas a responsabilidade legal permanece com a organização.

O tempo varia conforme o porte da organização e a maturidade dos processos. Sem automação, pode levar 6-12 meses. Com o Nexus Social, muitos aspectos técnicos de conformidade são implementados automaticamente, reduzindo significativamente o tempo de adequação para 1-2 meses.

Sim. A LGPD não faz distinção entre organizações com e sem fins lucrativos. Multas são aplicadas a qualquer entidade que descumprir a lei. Para OSCs sem faturamento, a ANPD pode considerar receitas, doações ou patrimônio para cálculo de penalidades.

Sim. Dados de menores de 12 anos requerem consentimento específico de pelo menos um dos pais ou responsável legal. Para menores entre 12 e 18 anos, pode ser necessário consentimento do próprio menor, dependendo da sensibilidade do dado. OSCs que atendem crianças e adolescentes devem ter processos específicos.

Sim, mas com condições. O compartilhamento deve ter base legal válida (geralmente consentimento ou execução de contrato) e ser informado ao titular. Contratos com parceiros devem incluir cláusulas de proteção de dados. O Nexus Social permite rastrear compartilhamentos e manter registro de todas as operações.

Em caso de incidente de segurança, sua OSC deve: (1) conter o vazamento imediatamente, (2) documentar o incidente, (3) notificar a ANPD em até 2 dias úteis se houver risco aos titulares, (4) notificar os titulares afetados se houver risco relevante, (5) tomar medidas para prevenir novos incidentes. O Nexus Social mantém auditoria completa para facilitar investigações.

A LGPD exige DPO para: (1) organizações que tratam dados em grande escala, (2) organizações que tratam dados sensíveis (saúde, biometria, etc.), (3) organizações cuja atividade principal é tratamento de dados. Para OSCs pequenas que não se encaixam nesses critérios, o DPO não é obrigatório, mas ainda é recomendável ter alguém responsável pela proteção de dados.

Bases Legais da LGPD com Exemplos para OSCs

Toda coleta de dados precisa de uma base legal válida. Entenda qual usar em cada situação:

Consentimento

Manifestação livre, informada e inequívoca do titular

Exemplo OSC:Coleta de e-mail para newsletter, autorização para uso de imagem em materiais de divulgação
Cumprimento de Obrigação Legal

Tratamento necessário para cumprir lei, regulamento ou contrato

Exemplo OSC:Manutenção de dados fiscais por 5 anos (Lei Complementar 123/2006), registro de voluntários para INSS
Execução de Políticas Públicas

Tratamento necessário para execução de políticas públicas previstas em leis

Exemplo OSC:Coleta de dados socioeconômicos de atendidos para programas de assistência social governamentais
Estudos de Pesquisa

Tratamento necessário para realização de estudos por órgão de pesquisa

Exemplo OSC:Pesquisa acadêmica sobre impacto de programas sociais (com anonimização quando possível)
Legítimo Interesse

Interesse legítimo do controlador, desde que não viole direitos do titular

Exemplo OSC:Verificação de antecedentes de voluntários para segurança de atendidos (deve ser proporcional)
Proteção da Vida/Segurança Física

Tratamento necessário para proteger vida ou segurança física do titular ou terceiros

Exemplo OSC:Registro de emergências médicas de atendidos, contato com familiares em caso de risco
Tutela Judicial

Tratamento necessário para exercício regular de direitos em processo judicial

Exemplo OSC:Manutenção de documentos para defesa em processos trabalhistas ou cíveis
Proteção da Saúde

Tratamento necessário para proteção da saúde, exclusivamente por profissionais de saúde

Exemplo OSC:Registro de condições médicas de atendidos por profissionais de saúde da OSC
Glossário de Termos LGPD
Titular

Pessoa física a quem os dados pessoais se referem (ex: atendido, voluntário, doador)

Controlador

Organização que toma decisões sobre o tratamento de dados pessoais (sua OSC)

Operador

Entidade que processa dados em nome do controlador (ex: sistema de gestão, provedor de nuvem)

Dado Pessoal

Qualquer informação que identifique ou torne identificável uma pessoa natural (nome, CPF, e-mail)

Dado Sensível

Dado sobre origem racial, religião, saúde, vida sexual, biometria, opinião política

Base Legal

Fundamento jurídico que justifica o tratamento de dados (consentimento, obrigação legal, etc.)

Consentimento

Manifestação livre, informada e inequívoca pela qual o titular concorda com tratamento de seus dados

DPO/Encarregado

Pessoa indicada para atuar como canal de comunicação entre controlador, titulares e ANPD

ANPD

Autoridade Nacional de Proteção de Dados, órgão responsável por fiscalizar e regulamentar a LGPD

RIPD

Relatório de Impacto à Proteção de Dados Pessoais, documento que analisa riscos de tratamentos de dados

Tratamento

Qualquer operação realizada com dados (coleta, armazenamento, consulta, uso, compartilhamento, eliminação)

Incidente de Segurança

Evento adverso confirmado ou relacionado à segurança de dados (vazamento, acesso não autorizado)

Recursos Oficiais e Referências

Acesse fontes oficiais para aprofundar seu conhecimento sobre LGPD:

Site Oficial da ANPD

Autoridade Nacional de Proteção de Dados - regulador e fiscalizador da LGPD

Texto Completo da Lei 13.709/2018

Lei Geral de Proteção de Dados Pessoais na íntegra

Guia LGPD para Pequenos Negócios

Guia simplificado da ANPD para pequenas organizações

Canal de Denúncias da ANPD

Reporte incidentes de segurança ou violações de dados

Portal da Transparência - LGPD

Informações sobre acesso a dados e transparência

Guia de Segurança da Informação

Documentos orientativos sobre segurança de dados

Caminho para Conformidade LGPD em 3 Etapas

O Nexus Social guia sua OSC em cada etapa do processo de adequação:

Etapa 1
Diagnóstico Gratuito

Avaliamos o nível atual de conformidade da sua OSC e identificamos gaps prioritários

Etapa 2
Implementação

Configuramos o Nexus Social com automações LGPD (criptografia, auditoria, controle de acesso)

Etapa 3
Monitoramento

Acompanhamos métricas de conformidade e oferecemos suporte contínuo para sua equipe

Iniciar Diagnóstico GratuitoSem compromisso • Resposta em até 24h

Outros recursos sobre privacidade: