LGPD para associações, ONGs e o terceiro setor
Organizações da sociedade civil frequentemente operam com a percepção de que a LGPD foi concebida para empresas de tecnologia ou grandes corporações. Não é uma percepção correta. A lei se aplica a qualquer pessoa natural ou jurídica que trate dados pessoais — e ONGs, associações, fundações, cooperativas e entidades religiosas se enquadram plenamente nessa definição.
A particularidade do terceiro setor não é uma isenção, mas um perfil de risco distinto. Entidades que trabalham com populações vulneráveis — pessoas em situação de rua, crianças em acolhimento, pacientes com doenças crônicas, grupos em situação de violência doméstica — tratam dados entre os mais sensíveis da LGPD. E isso impõe obrigações correspondentes.
A LGPD se aplica ao terceiro setor — sem exceções
O Art. 1º da LGPD é claro: a lei se aplica a qualquer operação de tratamento de dados pessoais realizada por pessoa natural ou por pessoa jurídica de direito público ou privado. ONGs e associações são pessoas jurídicas de direito privado — sem natureza pública, sem regime diferenciado quanto à aplicabilidade.
O que pode variar é o porte da entidade e o tipo de tratamento que realiza — o que determina se ela se beneficia do regime simplificado da Resolução Nº 2/2022 ou se está sujeita ao regime pleno.
Regime simplificado: quando se aplica ao terceiro setor
A Resolução Nº 2/2022 da ANPD criou um regime simplificado para microempresas, empresas de pequeno porte e startups. Essas categorias são definidas pelo porte econômico — as faixas relevantes são ME (faturamento até R$ 360.000) e EPP (faturamento até R$ 4,8 milhões).
Muitas ONGs e associações têm orçamentos anuais dentro dessas faixas e, portanto, tecnicamente se enquadram no regime simplificado. Os benefícios desse regime incluem:
- Prazo dobrado para atender solicitações de titulares
- Dispensa de designação formal de Encarregado de Dados (DPO)
- Exigências de segurança proporcionais ao porte
Atenção: O regime simplificado não se aplica quando a entidade realiza tratamento de alto risco, independentemente do porte. Uma ONG pequena que mantém prontuários médicos de pacientes, sistemas biométricos de controle de acesso ou plataformas digitais para crianças está sujeita ao regime pleno — mesmo que seu orçamento seja de R$ 200.000 por ano.
Tratamentos que afastam o regime simplificado:
- Dados de saúde ou outros dados sensíveis do Art. 11 em larga escala
- Dados de crianças e adolescentes de forma sistemática
- Decisões automatizadas que afetem significativamente os titulares
- Monitoramento sistemático de área pública
Os dados do terceiro setor: um perfil de risco específico
Beneficiários dos programas: Dependendo da missão da entidade, podem incluir dados de saúde (histórico de tratamento, diagnósticos), dados socioeconômicos detalhados (composição familiar, renda, situação de moradia), dados sobre situação de violência ou vulnerabilidade, histórico judicial em programas de reintegração. Essas são categorias que a LGPD trata com especial rigor.
Doadores e apoiadores: Nome, CPF, dados bancários para recebimento de doações, histórico de doações. Para doadores pessoas jurídicas, dados de representantes legais.
Voluntários: Dados de identificação, disponibilidade, competências, exame de saúde admissional quando aplicável, antecedentes criminais em casos de trabalho com crianças (com base legal adequada).
Membros e associados: Dados de filiação — que dependendo da natureza da entidade podem incluir filiação religiosa, filiação sindical, filiação política ou filiação a movimento social — todas categorias de dados sensíveis sob o Art. 11, I da LGPD.
Funcionários: Mesmas obrigações de qualquer empregador — dados de folha, eSocial, saúde ocupacional, conforme já abordado na legislação trabalhista.
Dados sensíveis: o coração do desafio para o terceiro setor
O Art. 11 da LGPD estabelece um regime especial para dados sensíveis, que só podem ser tratados quando houver base legal específica:
Filiação religiosa: Entidades religiosas tratam dados de filiação religiosa de seus membros — dado sensível por definição (Art. 11, I). A base legal mais adequada é o consentimento específico e destacado (Art. 11, I). O membro que ingressa na organização religiosa consente implicitamente, mas esse consentimento precisa ser formalizado — especialmente quando há transmissão desses dados a terceiros (como redes denominacionais, seguros de vida coletivos, plataformas de gestão de igrejas/sinagogas/mesquitas).
Filiação sindical: Sindicatos e federações tratam dados de filiação sindical — dado sensível (Art. 11, I). A base legal é o cumprimento de obrigação legal (desconto em folha autorizado pela legislação trabalhista) e o consentimento do filiado para outros usos.
Dados de saúde de beneficiários: Entidades que oferecem serviços de saúde, programas de apoio psicossocial ou assistência médica tratam dados de saúde. A base legal é o consentimento específico do titular (Art. 11, I) ou tutela da saúde (Art. 11, II, f) quando o tratamento é realizado por profissional de saúde ou serviço de saúde.
Dados de crianças e adolescentes: Entidades que atendem crianças devem seguir o regime especial do Art. 14 da LGPD. O consentimento deve ser dado pelos pais ou responsáveis legais, de forma específica e destacada. Com a entrada em vigor do ECA Digital (Lei Nº 15.211/2025) em março de 2026, as exigências para tratamento de dados de crianças foram reforçadas — incluindo avaliação de impacto obrigatória para plataformas digitais que tenham crianças como público.
Dados sobre violência e vulnerabilidade: Entidades que atendem vítimas de violência doméstica, pessoas em situação de rua ou populações em extrema vulnerabilidade coletam dados que, por sua natureza, podem expor os titulares a riscos graves se vazados ou mal utilizados. A base legal é geralmente o consentimento (quando o titular tem capacidade de consenti-lo) ou a tutela da saúde ou proteção da vida em casos de emergência.
Bases legais por atividade no terceiro setor
| Atividade | Base legal | Observação |
|---|---|---|
| Cadastro de beneficiário de programa social | Art. 7º, IX — legítimo interesse ou consentimento | LIA recomendado; consentimento preferível para dados sensíveis |
| Prontuário de atendimento em saúde | Art. 11, II, f — tutela da saúde | Profissional de saúde como responsável pelo tratamento |
| Dados de filiação religiosa de membros | Art. 11, I — consentimento específico | Formalizar consentimento na adesão |
| Dados de filiação sindical | Art. 11, II, a — obrigação legal / consentimento | Para desconto em folha: obrigação legal; para outros fins: consentimento |
| Doação e dados bancários de doadores | Art. 7º, V — execução de contrato | Vinculado ao acordo de doação |
| Compartilhamento com financiador público | Art. 7º, II — obrigação legal / Art. 7º, III — política pública | Exige cláusulas de proteção de dados nos convênios |
| Recrutamento de voluntários | Art. 7º, IX — legítimo interesse / consentimento | Banco de voluntários: consentimento com prazo definido |
| Comunicações com membros e associados | Art. 7º, IX — legítimo interesse (associados) / consentimento | Opt-out obrigatório |
| Verificação de antecedentes criminais de voluntários com crianças | Art. 11, II, d — exercício regular de direitos | Proporcional ao papel; acesso restrito ao resultado |
Compartilhamento com financiadores e prestadores de contas
Uma situação frequente no terceiro setor é a necessidade de compartilhar dados de beneficiários com financiadores — fundações, organismos internacionais, ministérios, secretarias — como condição para prestação de contas de projetos financiados.
Esse compartilhamento precisa de base legal: A prestação de contas a órgão público pode estar amparada em obrigação legal (se houver norma que o exija) ou em execução de política pública (para projetos com convênios governamentais). Para financiadores privados, a base legal é o contrato ou o consentimento dos beneficiários.
Minimização obrigatória: O compartilhamento deve incluir apenas os dados mínimos necessários para a prestação de contas. Relatórios de impacto com dados individualizados completos raramente são necessários — frequentemente, dados agregados ou pseudonimizados atendem as exigências dos financiadores sem expor os beneficiários individualmente.
Cláusulas de proteção nos convênios: Convênios com órgãos públicos e acordos com financiadores privados devem incluir cláusulas que definam a responsabilidade de cada parte como controlador ou operador e os limites do uso dos dados compartilhados.
O Encarregado de Dados em entidades do terceiro setor
Para entidades no regime simplificado (ME/EPP sem tratamento de alto risco), a designação formal de Encarregado (DPO) é dispensada — mas a disponibilização de um canal de comunicação para titulares (um e-mail dedicado publicado no site) continua sendo obrigatória.
Para entidades que realizam tratamento de alto risco (dados de saúde em escala, dados de crianças, perfilamento sistemático), o Encarregado é obrigatório e deve ser publicado com nome ou razão social e e-mail funcional, conforme a Resolução Nº 18/2024.
Modelo prático para ONGs: Em muitos casos, o modelo mais viável é designar um colaborador com treinamento adequado (internamente) ou contratar um Encarregado compartilhado (DPO-as-a-Service), o que é permitido desde que o profissional tenha acesso adequado à organização e seja publicado corretamente.
Checklist de conformidade para o terceiro setor
Identificação do regime aplicável:
- Entidade se enquadra como ME ou EPP? (regime simplificado pode se aplicar)
- Realiza tratamento de alto risco (saúde em escala, crianças, biometria, perfilamento automatizado)?
- Regime correto identificado: simplificado ou pleno?
Dados sensíveis e bases legais:
- Dados sensíveis tratados (saúde, filiação religiosa/sindical, crianças) identificados com base legal específica?
- Consentimento de beneficiários (ou responsáveis legais para crianças) formalizado?
- Acesso a dados de vulnerabilidade e saúde restrito ao mínimo necessário de colaboradores?
Compartilhamento externo:
- Convênios com órgãos públicos incluem cláusulas de proteção de dados?
- Acordos com financiadores privados definem responsabilidades como controlador/operador?
- Dados mínimos compartilhados nas prestações de contas (dados agregados quando possível)?
Infraestrutura básica:
- Canal de comunicação para titulares (e-mail de privacidade) disponível e monitorado?
- Política de privacidade publicada em linguagem acessível ao público atendido?
- Encarregado designado e publicado (se regime pleno ou tratamento de alto risco)?
Conclusão
O terceiro setor não está isento da LGPD — e não seria razoável que estivesse. Justamente porque trabalha com populações vulneráveis e dados sensíveis, a adequação é um imperativo ético além de legal. A boa notícia é que entidades menores podem se beneficiar do regime simplificado, que reduz a carga operacional sem eliminar as obrigações fundamentais.
Os passos mais urgentes para a maioria das ONGs e associações são: identificar se os dados de beneficiários incluem categorias sensíveis e qual a base legal para o tratamento, formalizar o consentimento na adesão de membros (especialmente para dados de filiação), e revisar os convênios e acordos com financiadores para incluir cláusulas básicas de proteção de dados.
O Confidata oferece planos específicos para entidades do terceiro setor, com ROPA pré-configurado para as principais atividades de associações e ONGs, modelos de termo de consentimento para beneficiários e canal de titulares em conformidade com a Resolução Nº 18/2024.
Artigos relacionados
Quer ir além? Conheça o Confidata
Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.