LGPD no Terceiro Setor: como proteger dados de beneficiários, doadores e associados na prática
Entenda como a LGPD se aplica às OSCs e aprenda a proteger dados de beneficiários, doadores e associados com documentação, consentimento e controle de acessos.
O que é a LGPD?
A Lei Geral de Proteção de Dados (Lei nº 13.709/2018) é a legislação brasileira que regula como organizações podem coletar, armazenar, usar e compartilhar dados pessoais de pessoas físicas. Ela entrou em vigor em 2020 e passou a ter força sancionatória em 2021, com a Autoridade Nacional de Proteção de Dados (ANPD) como órgão responsável pela fiscalização.
A LGPD se inspirou no modelo europeu do GDPR e estabelece uma série de princípios e obrigações: finalidade clara para o uso dos dados, coleta mínima do que é necessário, transparência com os titulares, segurança no armazenamento e respeito aos direitos de quem teve seus dados coletados, como o direito de acessar, corrigir ou solicitar a exclusão das próprias informações.
A lei se aplica a qualquer organização pública ou privada, com ou sem fins lucrativos, que trate dados de pessoas físicas localizadas no Brasil. Isso inclui, sem exceção, as organizações da sociedade civil.
Por que a LGPD é um tema urgente para OSCs
A Lei Geral de Proteção de Dados mudou a forma como organizações públicas e privadas devem tratar informações pessoais. Mas no Terceiro Setor, essa mudança ainda passa despercebida em muitas instituições.
O equívoco mais comum é acreditar que a LGPD se aplica apenas a empresas que comercializam dados. Na prática, ela se aplica a qualquer organização que colete, armazene, processe ou compartilhe dados de pessoas físicas, independentemente de porte, fins lucrativos ou não.
Isso inclui ONGs, associações, fundações, entidades de assistência social, organizações de saúde, educação, cultura e qualquer OSC que tenha cadastro de beneficiários, formulários de inscrição, prontuários, listas de doadores ou fichas de voluntários.
O risco não é apenas legal. Uma violação de dados pode expor informações de famílias vulneráveis, comprometer a relação de confiança com beneficiários e parceiros, e gerar consequências sérias para a imagem institucional da organização.
OSC em risco x OSC em conformidade com a LGPD
⚠️ OSC em risco
- Dados de beneficiários em planilhas abertas
- Formulários sem termo de consentimento
- Acesso irrestrito a informações sensíveis
- Sem política de privacidade documentada
- Compartilhamento de dados por WhatsApp
- Sem controle de quem acessa o quê
✅ OSC em conformidade
- Dados armazenados em ambiente seguro e criptografado
- Consentimento registrado e documentado
- Acessos limitados por função e necessidade
- Política de privacidade publicada e atualizada
- Canais seguros para troca de informações
- Trilha de auditoria para rastrear acessos
Quais dados as OSCs tratam e quais exigem atenção especial
Para adequar a organização à LGPD, o primeiro passo é entender quais dados estão sendo coletados e como eles se classificam dentro da lei.
A LGPD distingue entre dados pessoais comuns (nome, endereço, telefone, e-mail) e dados pessoais sensíveis, que recebem proteção reforçada por envolverem aspectos mais delicados da vida de uma pessoa.
| Área da OSC | Exemplos de dados coletados | Classificação |
|---|---|---|
| Assistência Social | Renda familiar, composição do núcleo familiar, situação habitacional, vínculos de emprego | Sensível |
| Saúde | Diagnósticos, histórico médico, medicamentos em uso, condições de saúde mental | Sensível |
| Crianças e adolescentes | Dados escolares, histórico familiar, registro de atendimentos, medidas socioeducativas | Proteção especial |
| Educação | Nível de escolaridade, histórico escolar, necessidades especiais de aprendizagem | Sensível |
| Doadores | Nome, CPF, dados bancários, histórico de doações | Pessoal comum |
| Voluntários | Nome, contato, disponibilidade, habilidades, histórico de participação | Pessoal comum |
| Equipe e colaboradores | Dados trabalhistas, documentos, informações de saúde ocupacional | Parcialmente sensível |
O ponto mais crítico para OSCs está nos dados de beneficiários em situação de vulnerabilidade. Informações sobre renda, saúde, histórico familiar ou situação judicial exigem base legal clara, consentimento documentado e proteção reforçada contra vazamentos ou uso inadequado.
As bases legais que as OSCs podem usar
A LGPD permite tratar dados pessoais quando existe uma base legal que justifique esse tratamento. Para OSCs, as mais relevantes são:
- Consentimento: o titular autoriza o uso dos seus dados de forma livre, informada e inequívoca. É a base mais comum em cadastros de beneficiários, formulários de inscrição e listas de doadores.
- Cumprimento de obrigação legal ou regulatória: aplicável quando a OSC precisa coletar dados para cumprir exigências de convênios, editais públicos ou normas setoriais.
- Legítimo interesse: pode ser usada quando o tratamento é necessário para finalidades da organização e não prejudica os direitos do titular. Requer análise cuidadosa e documentação.
- Execução de políticas públicas: para OSCs que operam em parceria com o poder público, essa base pode se aplicar a serviços de saúde, assistência social e educação.
- Proteção da vida ou da saúde: relevante em contextos de atendimento emergencial ou humanitário.
Conhecer e documentar a base legal de cada tratamento de dados é um dos passos fundamentais da conformidade com a LGPD.
Sua OSC já está exposta aos riscos da LGPD?
Marque os itens que se aplicam à realidade atual da organização. Quanto mais itens marcados, mais urgente é agir.
Como documentar o consentimento de forma adequada
O consentimento é a base legal mais utilizada pelas OSCs, e também a mais sujeita a erros. Para ter validade, ele precisa ser:
- Livre: sem pressão ou condicionamento. O beneficiário não pode ser obrigado a fornecer dados como condição para receber um serviço ao qual tem direito.
- Informado: o titular deve saber exatamente quais dados estão sendo coletados, para quê, por quanto tempo e com quem serão compartilhados.
- Inequívoco: deve ser explícito, com ação afirmativa do titular. Silêncio ou ausência de resposta não valem como consentimento.
- Revogável: o titular pode retirar o consentimento a qualquer momento, e a organização deve ter processo para atender essa solicitação.
Na prática, isso significa que formulários de inscrição, fichas de atendimento e cadastros de doadores precisam incluir um campo específico de consentimento (com linguagem clara) e o registro desse consentimento deve ser armazenado de forma acessível.
Para atendimentos presenciais, o consentimento pode ser obtido por escrito. Em plataformas digitais, um checkbox explícito com descrição do que está sendo autorizado atende aos requisitos da lei.
Limitando o acesso a dados sensíveis: a lógica do “mínimo necessário”
Um dos princípios fundamentais da LGPD é a minimização dos dados: coletar apenas o que é necessário para a finalidade declarada. O mesmo princípio se aplica ao acesso interno.
Nem todos os membros da equipe precisam ver todos os dados de todos os beneficiários. Um coordenador administrativo não precisa acessar prontuários de saúde. Um captador de recursos não precisa visualizar dados de histórico familiar de beneficiários.
Esse controle, chamado de gestão de permissões, é uma das medidas técnicas mais eficazes para reduzir o risco de vazamento ou uso indevido de dados.
As boas práticas incluem:
- Definir perfis de acesso por função (gestor, técnico, voluntário, financeiro);
- Restringir visualização de dados sensíveis às pessoas que realmente precisam deles;
- Registrar quem acessou quais informações e quando (trilha de auditoria);
- Revogar acessos imediatamente quando um colaborador deixa a organização;
- Realizar revisões periódicas dos perfis de acesso ativos.
Organizando as políticas internas de proteção de dados
A conformidade com a LGPD não se resolve apenas com tecnologia. Ela exige que a organização documente como trata os dados, e que essa documentação seja conhecida por toda a equipe.
Os principais documentos que uma OSC deve ter ou construir são:
- Política de Privacidade: explica ao público como a organização coleta, usa, armazena e protege dados. Deve estar publicada de forma acessível.
- Política Interna de Proteção de Dados: orienta a equipe sobre boas práticas, responsabilidades e procedimentos em caso de incidente.
- Mapeamento de dados (Registro das Atividades de Tratamento): documenta quais dados a organização coleta, para qual finalidade, com qual base legal, por quanto tempo e com quem compartilha.
- Termos de consentimento: modelos padronizados para diferentes situações (inscrição de beneficiários, doação, voluntariado, participação em eventos).
- Plano de resposta a incidentes: define o que fazer em caso de vazamento de dados, incluindo o prazo de 72 horas para comunicar a ANPD quando há risco relevante.
Como estruturar a conformidade com a LGPD na sua OSC
1
Mapeamento
Identifique quais dados são coletados, onde ficam e para quê.
2
Base legal
Defina a base legal para cada tipo de tratamento de dados.
3
Documentação
Crie políticas, termos de consentimento e registros atualizados.
4
Controles técnicos
Implemente permissões de acesso, criptografia e trilha de auditoria.
5
Cultura & revisão
Treine a equipe e revise regularmente processos e documentos.
Dados de crianças e adolescentes: atenção redobrada
A LGPD reserva proteção especial para dados de crianças (até 12 anos) e adolescentes (de 12 a 18 anos). Para OSCs que atuam em educação, assistência social, saúde infanto-juvenil ou proteção de direitos, esse é um ponto de atenção prioritário.
O tratamento de dados de crianças exige:
- Consentimento específico de pelo menos um dos pais ou responsável legal;
- Linguagem acessível nos termos dirigidos às famílias;
- Coleta apenas dos dados estritamente necessários para a finalidade do atendimento;
- Proteção reforçada contra compartilhamento indevido.
OSCs que trabalham com o Sistema de Garantia de Direitos também lidam com informações protegidas por sigilo especial, como medidas de acolhimento, situações de violência e histórico judicial. Nesses casos, o cuidado com o armazenamento e o acesso precisa ser ainda mais rigoroso.
Como o HYB apoia a conformidade com a LGPD
Ferramentas adequadas fazem diferença na capacidade de uma OSC de se adequar à LGPD. O HYB foi desenvolvido especificamente para o Terceiro Setor brasileiro, e é a única solução de software ERP especializado no segmento a obter as certificações ISO/IEC 27001 (gestão de segurança da informação) e ISO/IEC 27701 (gestão de privacidade de informações).
O único ERP do Terceiro Setor brasileiro com dupla certificação ISO em segurança e privacidade
As certificações ISO/IEC 27001 e ISO/IEC 27701 atestam que o HYB adota os mais altos padrões internacionais de segurança da informação e gestão de privacidade, o que significa que a OSC está apoiada por uma infraestrutura alinhada às exigências da LGPD.
ISO/IEC 27001
ISO/IEC 27701
Criptografia de dados
Além da infraestrutura certificada, o HYB oferece funcionalidades que apoiam diretamente a conformidade com a LGPD na operação diária da OSC:
🔐 Controle de permissões e acessos
O HYB permite configurar perfis de acesso diferenciados por usuário e função, garantindo que cada membro da equipe visualize apenas as informações necessárias para seu trabalho: definição de permissões por módulo e nível de acesso, restrição de dados sensíveis a perfis específicos e revogação de acessos de forma ágil quando necessário.
📋 Relatórios de auditoria e rastreabilidade
Com o HYB, a OSC mantém registro das atividades realizadas no sistema, criando uma trilha de auditoria que permite identificar quem acessou quais dados e quando — um requisito fundamental para demonstrar conformidade com a LGPD em caso de questionamento ou incidente.
🗂️ Centralização segura de cadastros e documentos
O HYB permite armazenar cadastros de beneficiários, documentos institucionais, políticas e termos de forma centralizada, criptografada e acessível apenas a quem possui autorização. Isso substitui planilhas abertas, pastas compartilhadas sem controle e arquivos físicos desprotegidos, além de facilitar auditorias e prestação de contas sem expor dados desnecessariamente.
💳 Registro financeiro transparente e auditável
O módulo financeiro do HYB possibilita vincular receitas e despesas a projetos, anexar comprovantes, registrar a finalidade de cada lançamento e gerar relatórios completos para prestação de contas, com trilha de auditoria incluída e seguindo as rubricas e critérios exigidos por órgãos públicos e parceiros.
O erro mais comum: confundir adequação com burocracia
Muitas OSCs postergam a adequação à LGPD por acreditar que se trata de um processo excessivamente burocrático ou restrito a grandes organizações. Esse raciocínio é equivocado e arriscado.
A LGPD não exige que a OSC contrate um departamento jurídico especializado ou implante sistemas complexos do dia para a noite. O que ela exige é que a organização conheça os dados que trata, saiba por que os trata e tome medidas razoáveis para protegê-los.
Começar por ações concretas (revisar formulários de consentimento, limitar acessos, centralizar dados em ambiente seguro e documentar políticas básicas) já representa um avanço significativo e reduz riscos de forma imediata.
O caminho da conformidade é gradual. Mas o primeiro passo precisa ser dado.
Conclusão: proteção de dados é proteção das pessoas que a OSC serve
A LGPD não é apenas uma obrigação legal. Para as OSCs, ela representa uma oportunidade de reafirmar um compromisso que deveria estar no centro da missão institucional: respeitar a dignidade e a privacidade das pessoas que a organização atende.
Beneficiários em situação de vulnerabilidade confiam suas informações mais sensíveis às OSCs. Essa confiança precisa ser correspondida com responsabilidade, transparência e cuidado com cada dado coletado.
Quando a OSC organiza seus processos de proteção de dados, ela não está apenas evitando riscos jurídicos. Ela está fortalecendo sua reputação, construindo relações mais sólidas com financiadores e parceiros e, acima de tudo, honrando o compromisso com as pessoas que atende.
Sua OSC está preparada para a LGPD?
O HYB é o único ERP especializado no Terceiro Setor brasileiro com as certificações ISO/IEC 27001 e ISO/IEC 27701. Conheça como centralizar dados, controlar acessos e operar com segurança e conformidade.