LGPD para OSCs: 10 passos práticos

Aprenda a aplicar a LGPD na sua OSC com um checklist de 10 passos focado no essencial. Entenda bases legais, segurança, direitos dos titulares e um plano 30-60-90 dias, com modelos prontos para adaptar.

Checklist LGPD para OSCs: 10 ações essenciais

Aplique a proporcionalidade: foque no que gera mais risco e valor. Comece por estes itens práticos.

  1. Nomeie um responsável (Encarregado/DPO). Defina um ponto focal para privacidade, mesmo que seja função acumulada.
  2. Mapeie os dados. Liste quais dados a OSC coleta, onde ficam, quem acessa, para que usa e por quanto tempo.
  3. Defina a base legal por atividade. Para cada processo (doações, voluntariado, atendimento), registre a base adequada e por quê.
  4. Minimize a coleta. Peça apenas o que é necessário; remova campos não essenciais e dados sensíveis sem justificativa.
  5. Estabeleça retenção e descarte. Defina prazos claros e rotina de eliminação segura.
  6. Publique a Política de Privacidade. Disponibilize um aviso claro no site e nos formulários.
  7. Ajuste formulários e avisos. Inclua avisos de privacidade e, quando aplicável, checkbox de consentimento.
  8. Fortaleça a segurança. Habilite MFA, senhas fortes, backups e controle de acesso por perfil.
  9. Revise contratos com terceiros. Inclua cláusulas LGPD com operadores (SaaS, contabilidade, marketing).
  10. Prepare fluxos de direitos e incidentes. Tenha um processo para atender titulares e reagir a incidentes em até 48h.

Mapeamento de dados em 60 minutos

Reúna pessoas-chave (administrativo, projetos, captação) e faça um inventário rápido. O objetivo é visibilidade suficiente para decidir prioridades.

  1. Liste atividades (doações, voluntariado, atendimento, eventos, folha, compras).
  2. Apure as fontes (site, formulários físicos, WhatsApp, e-mail, planilhas, sistemas).
  3. Relacione os dados coletados (ex.: nome, e-mail, CPF, dados de saúde, foto).
  4. Anote a finalidade (ex.: emissão de recibo, prestação de contas, comunicação).
  5. Rascunhe a base legal (ex.: obrigação legal, contrato, legítimo interesse, consentimento).
  6. Registre acesso e local (quem vê, onde fica: planilha, sistema, nuvem).
  7. Defina retenção (prazos mínimos legais e descarte).

Bases legais e consentimento, sem complicar

Nem tudo exige consentimento. Escolha a base legal que melhor descreve a atividade. A transparência é indispensável em todos os casos.

  • Doações e recibos: geralmente obrigação legal e/ou execução de contrato.
  • Relacionamento com doadores: legítimo interesse com opção de opt-out; campanhas promocionais podem exigir consentimento.
  • Voluntariado: execução de contrato e legítimo interesse; checagens adicionais podem requerer consentimento.
  • Atendimento a beneficiários: avalie execução de políticas públicas/contratos; dados sensíveis pedem cuidado redobrado e hipóteses específicas.
  • Prestadores/fornecedores: execução de contrato e obrigação legal.
  • Prestação de contas a órgãos públicos: normalmente obrigação legal.

Referência: ANPD e guias setoriais podem ajudar na interpretação e boas práticas.

Direitos dos titulares: passo a passo

Tenha um fluxo simples para pedidos de acesso, correção, eliminação, portabilidade e oposição.

  1. Receba e registre o pedido em um formulário padrão.
  2. Valide a identidade com dados mínimos (não peça mais do que o necessário).
  3. Classifique o pedido e direcione ao responsável da área.
  4. Responda no prazo com linguagem clara e justificativa da decisão.
  5. Cumpra a ação (corrigir, excluir, exportar) e registre evidências.
  6. Aprenda e melhore (ajuste formulários e políticas, se necessário).

Segurança essencial de baixo custo

Controles simples reduzem a maior parte do risco nas OSCs.

  • MFA em e-mail, sistemas financeiros e armazenamento em nuvem.
  • Gestor de senhas e política de senhas fortes.
  • Backups 3-2-1 com testes mensais de restauração.
  • Princípio do menor privilégio: acesso só a quem precisa.
  • Atualizações automáticas de sistemas e antivírus.
  • Criptografia de notebooks e celulares institucionais.
  • Higiene de dados: evitar troca de dados sensíveis por WhatsApp/e-mail; use repositórios controlados.

Contratos e terceiros (operadores)

Ao usar ferramentas e serviços, formalize obrigações de proteção de dados.

  • Finalidade e instruções claras do tratamento.
  • Medidas de segurança mínimas exigidas.
  • Confidencialidade e treinamento das equipes do operador.
  • Suboperadores só com autorização e transparência.
  • Notificação de incidentes em prazo definido.
  • Devolução/eliminação dos dados ao encerrar o contrato.
  • Auditoria ou evidências razoáveis de conformidade.

Resposta a incidentes: primeiros 24h

Tenha um roteiro objetivo para reduzir impacto.

  1. Conter (revogar acessos, isolar contas/dispositivos).
  2. Avaliar dados afetados, volume e possíveis impactos.
  3. Registrar fatos, horários, evidências e decisões.
  4. Escalar ao Encarregado e direção com opções de ação.
  5. Comunicar titulares e, quando aplicável, a ANPD, considerando risco e orientações vigentes.
  6. Corrigir e prevenir (troca de senhas, MFA, ajustes de processo) e faça post-mortem breve.

Política de Privacidade: o que não pode faltar

Documento curto, claro e fácil de achar no site e nos formulários.

  • Quem somos e contatos (inclua o do Encarregado).
  • Quais dados coletamos e para quê.
  • Bases legais e interesses legítimos, quando usados.
  • Compartilhamento e terceiros.
  • Transferências internacionais, se houver.
  • Direitos dos titulares e como exercê-los.
  • Prazos de retenção e critérios de descarte.
  • Medidas de segurança em linguagem acessível.
  • Cookies e analytics com opções de controle.
  • Data da última atualização.

Governança e cultura: rotinas leves

Proporcionalidade na prática: rituais simples e consistentes.

  • Designar o Encarregado e publicar o canal de contato.
  • Treinar equipes em privacidade e phishing a cada semestre.
  • Revisar acessos trimestralmente e ao desligar pessoas.
  • Padronizar formulários com avisos e campos mínimos.
  • Registrar decisões (bases legais, retenção, incidentes) de forma simples.

Modelos prontos para download

Adapte os modelos à realidade da sua OSC e registre as versões publicadas.

Plano 30-60-90 dias

  1. 30 dias:
    • Nomear Encarregado e publicar canal.
    • Mapear dados essenciais e definir bases legais preliminares.
    • Ativar MFA e gestor de senhas.
  2. 60 dias:
    • Publicar Política de Privacidade e ajustar formulários.
    • Revisar contratos críticos e incluir cláusulas LGPD.
    • Implantar rotina de backups e revisão de acessos.
  3. 90 dias:
    • Formalizar retenção e descarte.
    • Testar fluxo de direitos dos titulares e de incidentes.
    • Definir métricas e iniciar ciclo de auditoria leve.

Métricas e sinais de saúde

Monitore poucos indicadores para manter a disciplina sem sobrecarregar a rotina.

  • % de atividades com base legal definida e registrada.
  • % de formulários com aviso de privacidade e campos mínimos.
  • Tempo médio de resposta a solicitações de titulares.
  • % de equipes treinadas no último semestre.
  • Taxa de sucesso em testes de backup e restauração.
  • Número de incidentes por trimestre e tempo de contenção.
  • % de contratos críticos com cláusulas LGPD vigentes.

Conclusão

Sua OSC não precisa de complexidade para evoluir em privacidade; precisa de clareza, disciplina e rotinas leves. Com as ações propostas, você reduz riscos, fortalece a confiança de doadores e beneficiários e mantém a operação sob controle.

Comece hoje: faça uma reunião de uma hora com o time, defina duas prioridades e publique o canal do responsável por proteção de dados. Depois, adapte os modelos, acompanhe os indicadores e avance no plano de 30, 60 e 90 dias — compartilhando este guia com a equipe para manter o ritmo.

Esta publicação foi gerada por ferramentas de Inteligência Artificial e revisada por um ser humano.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *