Setorial13 min de leitura

LGPD para ONGs e Fundações: Guia de Adequação [2026]

Equipe Confidata·
Compartilhar

A LGPD se aplica a toda pessoa jurídica que trate dados pessoais — e ONGs, fundações e institutos não são exceção. O equívoco mais comum no terceiro setor é assumir que, por não ter finalidade lucrativa, a organização estaria dispensada das obrigações de proteção de dados. Não está. A Lei 13.709/2018 não faz distinção entre entidades com ou sem fins lucrativos: se a organização coleta nome, CPF, endereço, dados de saúde ou qualquer outra informação que identifique uma pessoa, precisa cumprir a LGPD.

E o terceiro setor tem um agravante: muitas organizações tratam dados de populações vulneráveis — pessoas em situação de rua, vítimas de violência, crianças, idosos, pessoas com deficiência — cujo vazamento ou uso indevido pode causar danos particularmente graves.

Por que ONGs não podem ignorar a LGPD

A LGPD é clara no Art. 1º: aplica-se a "qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado". Associações, fundações e organizações da sociedade civil são pessoas jurídicas de direito privado — portanto, destinatárias diretas da lei.

As razões práticas são igualmente diretas:

  1. Volume de dados pessoais: ONGs coletam dados de doadores (nome, CPF, dados bancários, histórico de doações), beneficiários (dados cadastrais, socioeconômicos, de saúde, judiciais), voluntários (documentos, antecedentes) e parceiros institucionais.

  2. Dados sensíveis frequentes: dependendo da causa, a organização trata dados de saúde (ONGs de saúde, combate ao HIV/AIDS), dados sobre origem racial ou étnica (organizações de igualdade racial), dados sobre convicção religiosa (entidades confessionais), orientação sexual (organizações LGBTQIA+) ou dados de crianças e adolescentes (abrigos, projetos socioeducativos).

  3. Populações vulneráveis: beneficiários de programas sociais frequentemente não têm condições de exercer seus direitos de titular de forma autônoma. A responsabilidade da organização em proteger esses dados é, portanto, reforçada.

  4. Fiscalização crescente: com a transformação da ANPD em agência reguladora pela Lei 15.352/2026 — dotando-a de autonomia administrativa, financeira e técnica —, a capacidade fiscalizatória do órgão foi significativamente ampliada.

Dados sensíveis comuns em organizações do terceiro setor

O Art. 5º, II da LGPD define dados sensíveis como aqueles sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico.

Para o terceiro setor, os dados sensíveis mais frequentes incluem:

Saúde

Organizações que atuam com saúde — hospitais filantrópicos, Santas Casas, organizações de combate ao câncer, HIV/AIDS, saúde mental — tratam dados de saúde em larga escala. O Art. 11 da LGPD exige bases legais específicas para esses dados.

Raça e etnia

Organizações de promoção da igualdade racial, quilombolas e indígenas frequentemente coletam dados de origem racial ou étnica, seja para identificação dos beneficiários, seja para prestação de contas a financiadores.

Dados de crianças e adolescentes

Abrigos, programas socioeducativos, projetos de contraturno escolar e organizações de defesa dos direitos da criança tratam dados protegidos pelo Art. 14 da LGPD, que exige consentimento específico de pelo menos um dos pais ou responsável legal.

Convicção religiosa e orientação sexual

Organizações confessionais e organizações LGBTQIA+ tratam dados cuja exposição indevida pode gerar discriminação direta contra o titular.

Bases legais para tratamento de dados no terceiro setor

A escolha da base legal correta é o ponto de partida da conformidade. Para ONGs, as bases mais relevantes do Art. 7º da LGPD são:

Consentimento (Art. 7º, I)

Aplicável quando o tratamento não se enquadra em nenhuma outra base legal. Comum para:

  • Cadastro de doadores pessoa física
  • Envio de comunicações de captação de recursos (newsletters, campanhas)
  • Uso de imagem de beneficiários em materiais de divulgação
  • Pesquisas de satisfação ou impacto

Atenção: o consentimento pode ser revogado a qualquer momento (Art. 8º, §5º). Se a organização depende de consentimento para tratar dados essenciais à operação, está assumindo um risco operacional.

Execução de contrato (Art. 7º, V)

Aplicável quando existe um contrato entre a organização e o titular:

  • Contratos com voluntários (termos de voluntariado)
  • Contratos com prestadores de serviço
  • Termos de convênio com beneficiários que preveem direitos e obrigações recíprocas

Cumprimento de obrigação legal (Art. 7º, II)

Aplicável quando uma lei obriga a organização a tratar os dados:

  • Declarações ao fisco (dados de doadores para emissão de recibos dedutíveis — Lei 9.249/1995, Art. 13, §2º, III)
  • Obrigações trabalhistas (dados de funcionários)
  • Prestação de contas ao Ministério Público (para fundações)
  • RAIS, eSocial, DIRF

Proteção da vida (Art. 7º, VII)

Relevante para organizações de resgate, abrigos de emergência, ação humanitária — situações em que o tratamento é necessário para proteger a vida ou a incolumidade física do titular ou de terceiro.

Legítimo interesse (Art. 7º, IX)

Base legal flexível, mas que exige o Teste de Legítimo Interesse (LIA). Aplicável para:

  • Prevenção de fraudes em doações
  • Análise de perfil de doadores para captação de recursos (desde que respeitados os limites do Art. 10)
  • Comunicação institucional para doadores recorrentes

Para dados sensíveis (Art. 11): as bases legais são mais restritas. O legítimo interesse não se aplica. As opções são consentimento específico e em destaque, ou uma das hipóteses taxativas do Art. 11, II — como obrigação legal, tutela da saúde (para organizações de saúde) ou proteção da vida.

Doadores: dados financeiros, histórico e retenção

A relação com doadores gera um conjunto específico de dados pessoais que exige atenção:

Dados coletados

  • Nome completo, CPF, endereço (para recibo de doação dedutível)
  • Dados bancários ou de cartão de crédito (para doações recorrentes)
  • Histórico de doações (valores, datas, campanhas)
  • E-mail e telefone (para comunicação e prestação de contas)

Base legal recomendada

Para doações com recibo fiscal, a base legal principal é obrigação legal — a legislação tributária exige que a organização mantenha registros das doações recebidas com identificação do doador. Para comunicações de captação, a base deve ser consentimento ou legítimo interesse (com LIA documentado).

Retenção de dados de doadores

A legislação tributária exige guarda de documentos fiscais por 5 anos (Art. 173 do Código Tributário Nacional). Para doações com dedução fiscal, os comprovantes devem ser mantidos por esse período. Após o prazo legal, a organização deve eliminar os dados ou anonimizá-los — a menos que haja outra finalidade legítima documentada.

Segurança de dados financeiros

Dados bancários e de cartão de crédito exigem medidas reforçadas de segurança:

  • Criptografia em repouso e em trânsito
  • Acesso restrito à equipe financeira
  • Não armazenar dados de cartão de crédito localmente (usar gateway de pagamento certificado PCI DSS)

Beneficiários: dados de populações vulneráveis

Este é o ponto mais delicado do terceiro setor. Beneficiários frequentemente fornecem dados em contextos de vulnerabilidade — e o vazamento ou uso indevido pode causar danos graves.

Princípio da necessidade (Art. 6º, III)

A organização deve coletar apenas os dados estritamente necessários para a finalidade do programa. Se um projeto de capacitação profissional não precisa saber a orientação sexual do beneficiário, não deve coletar essa informação.

Consentimento informado

O consentimento de beneficiários vulneráveis exige cuidado especial:

  • A linguagem deve ser acessível (evitar juridiquês)
  • O beneficiário deve entender que pode recusar sem perder o acesso ao serviço (quando possível)
  • Para crianças e adolescentes, o consentimento é dos pais ou responsável legal (Art. 14, §1º)

Anonimização para relatórios

Relatórios de impacto e prestação de contas a financiadores frequentemente incluem informações sobre beneficiários. A organização deve anonimizar os dados sempre que possível — usar dados agregados ("120 famílias atendidas") em vez de dados individualizados.

Compartilhamento com financiadores

Financiadores institucionais (empresas, fundações, organismos internacionais) frequentemente exigem dados individualizados de beneficiários para comprovar a execução do projeto. Nesse caso:

  • O compartilhamento deve ter base legal documentada
  • O financiador deve se comprometer contratualmente com a proteção dos dados recebidos
  • Os dados compartilhados devem ser os mínimos necessários para a comprovação

Prestação de contas vs. LGPD

A tensão entre transparência e proteção de dados é real no terceiro setor:

Fundações supervisionadas pelo Ministério Público

Fundações são obrigadas a prestar contas anualmente ao Ministério Público do estado onde estão sediadas (Art. 66 do Código Civil). Essa prestação de contas pode envolver dados pessoais de beneficiários e doadores. A base legal é obrigação legal (Art. 7º, II), mas a organização deve limitar os dados compartilhados ao estritamente necessário.

Organizações com títulos públicos (OSCIP, OS)

Organizações da Sociedade Civil de Interesse Público (OSCIP) e Organizações Sociais (OS) têm obrigações específicas de transparência. A Lei 13.019/2014 (Marco Regulatório das Organizações da Sociedade Civil) exige publicidade da execução de recursos públicos — mas isso não autoriza a exposição de dados pessoais de beneficiários.

Relatórios para financiadores internacionais

Organismos internacionais (ONU, Banco Mundial, fundações estrangeiras) podem exigir dados detalhados de beneficiários. A organização deve verificar se a transferência configura transferência internacional de dados nos termos do Art. 33 da LGPD e adotar as garantias cabíveis.

ONGs de pequeno porte: regras facilitadas da ANPD

A Resolução CD/ANPD nº 2, de 27 de janeiro de 2022, define regras simplificadas para agentes de tratamento de pequeno porte. Essa categoria inclui expressamente, em seu Art. 2º, II, as pessoas jurídicas de direito privado, inclusive sem fins lucrativos — o que abrange associações e fundações.

Quem se enquadra

Para se beneficiar das regras simplificadas, a organização deve se enquadrar como agente de pequeno porte. Os critérios incluem:

  • Microempresas e empresas de pequeno porte (receita bruta anual de até R$ 4,8 milhões)
  • Startups
  • Pessoas jurídicas de direito privado, inclusive sem fins lucrativos, nos termos da lei

Facilidades concedidas

  1. Dispensa de DPO: a organização não é obrigada a nomear um encarregado de dados, mas deve disponibilizar um canal de comunicação com o titular (Art. 11 da Resolução).

  2. Registro simplificado: o registro das operações de tratamento pode ser mantido de forma simplificada (Art. 9º).

  3. Política de segurança simplificada: a política de segurança da informação pode ser estabelecida de forma simplificada, contendo requisitos essenciais e necessários (Art. 13).

  4. Prazos em dobro: prazos para atendimento de solicitações de titulares e comunicação de incidentes são contados em dobro (Art. 14).

Exceções importantes

As facilidades não se aplicam a organizações que:

  • Realizem tratamento de alto risco para os titulares (Art. 3º)
  • Tratem dados sensíveis em larga escala (muitas ONGs de saúde se enquadram aqui)
  • Realizem perfilamento de titulares (scoring, profiling)
  • Tratem dados para fins de vigilância ou controle de zonas acessíveis ao público

Na prática, uma ONG de pequeno porte que atue com saúde e trate dados sensíveis de milhares de beneficiários pode não se beneficiar das facilidades — mesmo tendo receita abaixo de R$ 4,8 milhões.

Captação de recursos e LGPD

PIX e vaquinhas online

Doações via PIX geram dados pessoais do doador (nome, CPF, chave PIX). A organização deve:

  • Informar a finalidade da coleta no momento da doação
  • Manter registro da base legal (obrigação legal para recibo fiscal, consentimento para comunicações futuras)
  • Não compartilhar dados de doadores com terceiros sem base legal

Plataformas de vaquinha online (Vakinha, Benfeitoria, Catarse) atuam como operadores quando processam dados em nome da organização. A ONG deve verificar a política de privacidade da plataforma e, idealmente, formalizar um contrato de tratamento de dados.

Redes sociais e campanhas

Campanhas em redes sociais que coletam dados (formulários de cadastro, landing pages) devem:

  • Apresentar aviso de privacidade antes da coleta
  • Obter consentimento para envio de comunicações de marketing
  • Não usar dados coletados para uma campanha em outra finalidade (princípio da finalidade, Art. 6º, I)

Eventos beneficentes

Eventos presenciais que coletam dados de participantes (listas de presença, check-in com documento, fotos) devem:

  • Informar os participantes sobre a coleta e a finalidade
  • Obter consentimento para uso de imagem, se aplicável
  • Definir prazo de retenção (não manter listas de presença indefinidamente)

Como estruturar a adequação com orçamento limitado

O terceiro setor raramente tem orçamento dedicado para proteção de dados. Uma abordagem prática e progressiva:

Fase 1 — Mapeamento básico (meses 1-2)

  • Listar todas as atividades que envolvem dados pessoais (cadastro de beneficiários, doadores, voluntários, funcionários)
  • Identificar quais dados são coletados em cada atividade
  • Identificar dados sensíveis (saúde, raça, religião, crianças)
  • Documentar onde os dados são armazenados (planilhas, sistemas, papel)

Fase 2 — Bases legais e documentação (meses 3-4)

  • Definir a base legal para cada atividade de tratamento
  • Criar aviso de privacidade (documento simples, acessível)
  • Criar formulário de consentimento para situações que exigem consentimento
  • Definir política de retenção (por quanto tempo manter cada tipo de dado)

Fase 3 — Segurança e processos (meses 5-6)

  • Implementar controles básicos de acesso (quem pode ver o quê)
  • Criar procedimento de resposta a solicitações de titulares
  • Criar procedimento básico de resposta a incidentes
  • Treinar equipe sobre as regras básicas

Checklist de conformidade para ONGs, fundações e institutos

  • Mapeamento de todas as atividades de tratamento (beneficiários, doadores, voluntários, funcionários)
  • Base legal documentada para cada atividade (consentimento, obrigação legal, contrato, legítimo interesse)
  • Aviso de privacidade publicado (site e/ou disponível fisicamente)
  • Formulários de consentimento específicos (imagem, dados sensíveis, crianças)
  • Canal de comunicação com o titular disponível (e-mail, formulário, telefone)
  • Política de retenção de dados definida (prazos legais e operacionais)
  • Controles de acesso implementados (quem acessa quais dados)
  • Dados de doadores com medidas reforçadas de segurança (especialmente financeiros)
  • Dados de beneficiários vulneráveis com proteção especial
  • Anonimização de dados em relatórios para financiadores (quando possível)
  • Contratos com plataformas de doação incluindo cláusulas de proteção de dados
  • Política de privacidade para redes sociais e campanhas digitais
  • Procedimento de resposta a incidentes de segurança
  • Treinamento básico para equipe sobre proteção de dados
  • Avaliação de enquadramento como agente de pequeno porte (Resolução CD/ANPD nº 2/2022)

Conclusão

O terceiro setor enfrenta um desafio singular na adequação à LGPD: a responsabilidade de proteger dados frequentemente sensíveis de populações vulneráveis, com recursos financeiros limitados e uma cultura organizacional que, compreensivelmente, prioriza a missão social sobre a burocracia regulatória. Mas proteção de dados não é burocracia — é parte da missão. Uma organização que expõe dados de saúde de seus beneficiários ou compartilha informações de crianças atendidas sem critério está falhando na mesma missão que se propõe a cumprir.

A boa notícia é que a Resolução CD/ANPD nº 2/2022 reconhece as limitações do setor e oferece regras simplificadas para organizações de pequeno porte. O caminho da adequação não precisa ser caro — precisa ser consciente, documentado e progressivo.

A Confidata oferece funcionalidades adaptadas ao terceiro setor: mapeamento de atividades de tratamento com classificação de dados sensíveis, registro de bases legais por atividade e gestão de solicitações de titulares — permitindo que organizações com equipe enxuta mantenham conformidade documentada sem complexidade desnecessária.

Compartilhar
#LGPD#terceiro setor#ONG#fundação#instituto#dados sensíveis#proteção de dados

Artigos relacionados

LGPD na indústria: dados de IoT, supply chain e manufaturaSetorial · 12 minLGPD no setor imobiliário: corretoras, construtoras e condomíniosSetorial · 12 minLGPD para contadores e escritórios contábeisSetorial · 11 minLGPD para Condomínios — Câmeras, Portaria Digital e Dados de MoradoresSetorial · 14 min

Quer ir além? Conheça o Confidata

Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.

© 2026 Confidata — Todos os direitos reservados|Privacidade|Cookies
Falar com especialista