Governança de dados no Terceiro Setor: como proteger populações vulneráveis

A governança de dados no Terceiro Setor é essencial para garantir conformidade com a Lei Geral de Proteção de Dados (LGPD) e proteger populações vulneráveis, como crianças, povos indígenas e comunidades periféricas. Organizações sociais lidam diariamente com dados pessoais e dados sensíveis, e a ausência de políticas adequadas pode gerar riscos jurídicos, multas e danos reputacionais.

A Lei Geral de Proteção de Dados (LGPD) estabelece princípios como finalidade, necessidade, transparência e segurança para orientar o tratamento de dados pessoais. No contexto do Terceiro Setor, esses dados frequentemente incluem informações sensíveis (como origem étnica, saúde, religião, voz e imagem) que exigem proteção reforçada.

Ignorar essas diretrizes que garantem governança de dados no Terceiro Setor pode gerar riscos jurídicos relevantes, como multas, ações civis e perda de confiança institucional. Na VRP Advocacia e Consultoria, já atendemos organizações que sofreram questionamentos de parceiros por falhas no tratamento de dados.

Neste artigo, você vai entender por que a Política de Privacidade e Proteção de Dados deve integrar a rotina operacional e o pacote de governança de qualquer organização séria. Também mostramos como implementar uma política de proteção de dados eficiente e juridicamente segura.

A Política de Privacidade como parte do pacote de governança de dados no Terceiro Setor

A Política de Privacidade e Proteção de Dados não deve ser compreendida como um documento isolado ou meramente técnico. No contexto do Terceiro Setor, ela integra um conjunto mais amplo de instrumentos que estruturam a governança institucional da organização.

Uma entidade juridicamente sólida e preparada para lidar com riscos, inclusive aqueles relacionados à proteção de dados, deve possuir um pacote de governança estruturado, composto de forma articulada por diferentes documentos e práticas institucionais.

Em geral, esse pacote inclui:

1. Estatuto, que define a finalidade da organização, sua estrutura e regras de funcionamento
2. Regimento interno, que organiza fluxos operacionais, atribuições e processos decisórios
3. Política de transparência, que estabelece diretrizes para prestação de contas e comunicação com financiadores e sociedade
4. Código de ética e procedimento, que orienta comportamentos, valores institucionais e prevenção de conflitos
5. Política de Privacidade e Proteção de Dados, que regula o tratamento de dados pessoais e sensíveis no âmbito da organização

Nesse contexto, a Política de Privacidade não é apenas uma exigência da LGPD, mas um elemento estruturante da governança de dados no Terceiro Setor. Ela se conecta diretamente com os demais instrumentos institucionais e deve refletir como a organização coleta, utiliza, compartilha e protege dados no seu dia a dia.

Por exemplo, a Política de Proteção de Dados deve estar alinhada:

• ao estatuto, especialmente quanto às finalidades institucionais e ao público atendido
• ao regimento interno, no que diz respeito à definição de responsabilidades e fluxos de tratamento de dados
• à política de transparência, garantindo que o uso de dados seja comunicado de forma clara e acessível
• ao código de ética, incorporando princípios de não discriminação, respeito à dignidade e proteção de populações vulneráveis

Essa integração é fundamental porque muitos dos riscos jurídicos não decorrem da ausência de um documento, mas da falta de coerência entre eles ou da inexistência de aplicação prática.

Na experiência da VRP, organizações que tratam a Política de Privacidade como parte do seu pacote de governança conseguem:

• reduzir significativamente riscos de responsabilização
• estruturar melhor seus fluxos internos
• responder com mais segurança a demandas de financiadores e órgãos de controle
• fortalecer a confiança das comunidades atendidas

Por outro lado, quando a política de proteção de dados é construída de forma isolada — sem conexão com os demais instrumentos institucionais — ela tende a se tornar um documento pouco aplicado e incapaz de prevenir riscos concretos.

Por isso, mais do que elaborar uma política, é preciso incorporá-la como parte viva da governança de dados no Terceiro Setor, garantindo que ela dialogue com os demais instrumentos institucionais e seja efetivamente aplicada na rotina das equipes.

Política de Privacidade para crianças e adolescentes

Crianças e adolescentes são sujeitos em situação de desenvolvimento e merecem proteção extra. A LGPD dedica um artigo para dados de menores, determinando que o tratamento dos dados deve ser realizado no melhor interesse da criança e com consentimento específico dos pais ou responsáveis. As informações devem ser fornecidas de maneira clara, simples e acessível ao público infantil.

O Estatuto da Criança e do Adolescente (ECA) reforça que a preservação da imagem e da identidade é direito fundamental. Ele também obriga que a sociedade e o poder público protejam as crianças de tratamento humilhante ou degradante. Portanto, ao captar fotos e vídeos de crianças em atividades sociais ou educativas, é preciso informar aos responsáveis sobre o uso pretendido, obter consentimento expresso e garantir que a divulgação não exponha a criança a riscos.

Um eemplo prático

Imagine uma ONG que promove aulas de teatro para adolescentes em uma comunidade periférica. Para divulgar o projeto e captar recursos, ela decide publicar nas redes sociais fotos das apresentações e depoimentos dos alunos. Sem uma política clara, a ONG corre o risco de expor a identidade dos jovens sem autorização. Se, por exemplo, um adolescente aparece em situação de vulnerabilidade (envolvimento com drogas, situação de rua), essa publicação pode afetar sua vida escolar ou familiar. 

Para reduzir riscos e respeitar os direitos dessas pessoas, essa instituição deve

1. obter consentimento por escrito dos pais ou responsáveis, especificando finalidade e duração; 
2. evitar identificação direta quando houver risco — por exemplo, usando fotos de costas ou desfocando rostos; e
3. permitir a revogação da autorização quando o responsável assim decidir.

Política de Privacidade para povos indígenas e comunidades tradicionais

Projetos voltados a povos indígenas e comunidades tradicionais lidam com informação comunitária sensível. Dados sobre a localização de aldeias, nomes de lideranças, práticas culturais e tradições são protegidos não apenas pela LGPD, mas também por normas internacionais. A Convenção 169 da Organização Internacional do Trabalho (OIT), ratificada pelo Brasil, estabelece que os povos indígenas têm direito a serem consultados de forma prévia, livre, informada e em boa‑fé sobre qualquer projeto que os afete. A consulta deve ocorrer em suas próprias línguas, se necessário, e em consonância com seus costumes e calendários.

Em iniciativas que realizam entrevistas sobre rituais ou gravam rituais indígenas, a violação dessa consulta pode gerar processos judiciais, principalmente se as imagens forem usadas para fins comerciais ou promocionais sem autorização. Assim, ao captar imagens ou coletar relatos, é essencial:

• Respeitar protocolos de consulta e consentimento da comunidade, envolvendo lideranças e garantindo que todos compreendam os objetivos;
• Obter autorização coletiva, registrando os termos de cessão de uso de imagem em reuniões ou assembleias;
• Mapear dados sensíveis que envolvam práticas religiosas ou de saúde, por exemplo; e
• Incluir medidas de anonimização (ex.: registro de sons sem identificação ou gravação de rituais de forma a não expor indivíduos).

A LGPD define “dado pessoal sensível” como informação sobre origem racial ou étnica, convicções religiosas, opiniões políticas, saúde ou sexualidade. A coleta desses dados somente é autorizada para finalidades específicas e deve garantir o princípio da autodeterminação informativa, ou seja, as pessoas têm direito de controlar suas informações e não podem ser discriminadas.

Assim, projetos que lidam com povos indígenas devem justificar a necessidade de coletar dados sobre etnia ou religião (por exemplo, para relatórios de impacto cultural), usar bases legais adequadas (como cumprimento de obrigação legal, pesquisa histórica ou consentimento) e manter registro das operações de tratamento.

Política de Privacidade para moradores de áreas de alto risco social

A atuação em comunidades vulneráveis (favelas, bairros periféricos e ocupações urbanas) pode envolver prontuários médicos, dados socioeconômicos e até registros psicológicos. Essas informações são extremamente sensíveis e podem expor indivíduos a discriminação.

Ao lidar com essa população, as organizações devem coletar apenas o necessário, assegurar bases de dados protegidas (senhas, criptografia e controle de acesso), ser transparentes quanto ao uso e retenção das informações e garantir que os beneficiários tenham acesso às suas fichas para correção ou exclusão, mediante solicitação e dentro de prazos compatíveis com a LGPD.

O que deve conter uma Política de Privacidade e Proteção de Dados?

Uma política eficiente deve oferecer diretrizes jurídicas e operacionais. As experiências de organizações assessoradas pela VRP mostram que o documento não é apenas jurídico: ele é um instrumento de governança de dados no Terceiro Setor. A seguir, apresentamos elementos essenciais para a elaboração.

1. Diagnóstico e mapeamento de fluxos

Antes de redigir normas, é preciso mapear como a organização coleta, trata e compartilha dados. Isso inclui:

• Identificar fontes de dados: fichas de inscrição, questionários online, visitas domiciliares, registros audiovisuais, dados de acesso a plataformas digitais;
• Classificar os dados: pessoais (nome, endereço, telefone) e sensíveis (etnia, religião, dados de saúde, imagem)
• Registrar operações: quais departamentos têm acesso, com quem são compartilhados (governo, financiadores, parceiros), como são armazenados (físico ou digital) e por quanto tempo;
• Avaliar riscos: exposição involuntária, vazamentos, acesso indevido.

Ferramentas como Relatórios de Impacto à Proteção de Dados (RIPD) permitem avaliar riscos e planejar medidas preventivas. 

2. Bases legais e princípios aplicáveis

Cada operação de tratamento precisa ter um fundamento jurídico. As bases mais comuns no Terceiro Setor são:

• Consentimento: quando o titular autoriza explicitamente a coleta e uso de seus dados (por exemplo, uso de imagem para divulgação);
• Cumprimento de obrigação legal ou regulatória: atividades exigidas por lei, como envio de relatórios a órgãos financiadores ou governo;
• Execução de políticas públicas: projetos realizados em parceria com órgãos públicos;
• Legítimo interesse: quando o tratamento é necessário para atender interesses legítimos da organização, desde que não viole direitos do titular. Nesse caso, deve haver transparência e balanço de interesses.

A política deve explicar cada base e relacioná-la aos princípios de finalidade, adequação e necessidade. Ao tratar dados de crianças, o consentimento deve ser específico e em linguagem simples. Para dados sensíveis, a política deve demonstrar prevenção à discriminação e proteção da autodeterminação.

3. Termos de autorização de uso de imagem e dados

Documentos de autorização são instrumentos essenciais para formalizar o consentimento. Um termo de autorização de uso de imagem deve conter:

• Identificação: nome do titular ou responsável legal e da organização;
• Finalidade: motivo da captura e uso das imagens (por exemplo, divulgação institucional ou prestação de contas a financiadores);
• Duração: por quanto tempo a autorização é válida e possibilidade de revogação;
• Alcance territorial: se a imagem será veiculada apenas no Brasil ou em redes internacionais;
• Remuneração: geralmente inexistente em projetos sociais, deixando claro que não haverá pagamento;
• Cláusula de revogação: explicando como o titular pode revogar a autorização.

Nos casos de projetos com gravações de voz ou relatos, é recomendável elaborar termos específicos para coleta de depoimentos e entrevistas. 

4. Manuais operacionais e treinamentos

Uma política só será eficaz se a equipe souber aplicá-la. Por isso, além do documento jurídico, é necessário um manual simplificado que descreva quem coleta dados, quais formulários usar, como obter consentimento, como classificar o risco (baixo, médio ou alto) e como armazenar as informações com segurança (senhas, criptografia e servidores confiáveis).

O manual também deve prever regras para compartilhamento com parceiros ou patrocinadores, um roteiro para lidar com incidentes de segurança e um programa de formação contínua dos colaboradores.

5. Classificação de riscos e anonimização de imagens

Nem toda fotografia ou vídeo tem o mesmo risco. A prática da VRP Advocacia e Consultoria é de classificar o risco em três níveis:

1. Baixo, quando retratam grupos em espaços públicos e podem ser divulgadas de forma genérica;
2. Médio, quando mostram pessoas identificáveis em contextos neutros e exigem consentimento e eventuais desfocagens; e
3. Alto, quando expõem situações de vulnerabilidade ou dados sensíveis, demandando anonimização e avaliação cuidadosa da necessidade de divulgação.

Anonimizar imagens pode envolver desfocar rostos, gravar apenas a voz ou usar nomes fictícios. Essas técnicas são incentivadas pela LGPD como medida de segurança.

6. Controle de acesso, retenção e segurança da informação na LGPD

A segurança da informação exige que apenas pessoas autorizadas tenham acesso aos dados. A política deve instituir níveis de acesso (por exemplo, coordenadores podem acessar dados sensíveis; voluntários só podem acessar listas de participantes).

Além disso, deve definir prazos de retenção: os dados devem ser excluídos ou anonimizados quando não forem mais necessários para a finalidade declarada. Manter dados desnecessários aumenta risco de vazamento e desrespeita o princípio da necessidade.

7. Direitos dos titulares

A LGPD assegura aos titulares de dados diversos direitos que as ONGs devem estar preparadas para atender: confirmação da existência de tratamento, acesso aos dados, correção de informações incompletas ou imprecisas, anonimização ou eliminação de dados desnecessários, portabilidade a outro fornecedor, revogação do consentimento e oposição ao tratamento quando não houver fundamento legal.

Um canal estruturado de atendimento (formulário, e-mail ou telefone) deve ser disponibilizado para que beneficiários ou seus responsáveis exerçam esses direitos, com respostas em prazos razoáveis. Cumprir esse procedimento não só garante conformidade, mas reforça a confiança nas relações.

Como agir em caso de incidente de dados

Mesmo com todas as medidas de segurança, incidentes podem acontecer. Vazamentos de dados, invasões e extravios de documentos impressos devem ser registrados e comunicados imediatamente ao encarregado ou à equipe responsável.

A organização precisa avaliar o alcance do incidente, adotar medidas de contenção e, quando exigido pela LGPD, notificar a Autoridade Nacional de Proteção de Dados e os titulares afetados. Notificações transparentes com indicação das causas, providências tomadas e recomendações aos titulares demonstram respeito e responsabilidade. Além disso, é importante elaborar um relatório interno para aprender com o incidente e aprimorar controles.

Transparência e governança de dados no Terceiro Setor

As pessoas atendidas e os financiadores precisam confiar na organização. Por isso, além de um canal para solicitações de acesso, correção ou eliminação de dados, é recomendável oferecer uma versão simplificada da política na linguagem das comunidades.

Em projetos com povos indígenas, essa versão deve considerar, sempre que possível, o idioma local ou formatos audiovisuais. A governança de dados é um processo coletivo: a participação de lideranças e conselhos locais na construção e revisão da política aumenta a legitimidade. A Convenção 169 ressalta a importância de consultas inclusivas e de boa‑fé.

Benefícios de implementar governança de dados no Terceiro Setor

A implementação de uma política de governança de dados no terceiro setor gera impactos concretos:

1. Redução de riscos jurídicos e de responsabilização
2. Aumento da confiança de beneficiários e financiadores
3. Maior eficiência na gestão interna de informações
4. Fortalecimento da reputação institucional
5. Alinhamento com boas práticas de compliance e governança

Desafios comuns e como superá-los

Apesar dos benefícios da governança de dados, organizações do Terceiro Setor enfrentam obstáculos recorrentes na implementação de políticas de proteção de dados. Entre os principais desafios estão a limitação de recursos para contratação de especialistas, a ausência de uma cultura institucional voltada à proteção de dados, a dificuldade de traduzir conceitos jurídicos para a realidade dos territórios e a necessidade de atualização contínua diante de mudanças legais e tecnológicas.

A superação desses desafios exige uma abordagem estruturada e progressiva. Isso envolve a realização de formações periódicas que integrem a proteção de dados aos valores institucionais, o desenvolvimento de materiais educativos acessíveis – inclusive em linguagens e formatos adequados às comunidades atendidas – e a definição de responsabilidades internas claras.

Além disso, a designação de um encarregado ou a criação de um comitê de proteção de dados, nos termos da LGPD, contribui para o monitoramento contínuo das práticas adotadas, a atualização das políticas e a consolidação de uma cultura organizacional orientada à segurança da informação e à proteção de direitos.

Checklist mínimo de governança de dados no Terceiro Setor

Para avaliar o nível de maturidade da sua organização em proteção de dados, é possível utilizar um checklist básico de verificação. Ainda que não substitua uma análise jurídica completa, ele permite identificar rapidamente pontos críticos de atenção:

✓ Existe uma Política de Privacidade e Proteção de Dados formalizada e alinhada à LGPD?

✓ A organização utiliza termos de consentimento adequados, especialmente para uso de imagem e coleta de dados sensíveis?

✓ Há controle de acesso aos dados, com definição clara de quem pode acessar quais informações?

✓ A equipe recebeu treinamento sobre proteção de dados e boas práticas no tratamento de informações?

✓ Existe um canal estruturado para atendimento aos titulares de dados (acesso, correção, exclusão, revogação de consentimento)?

✓ A organização tem a prática de eliminar arquivos dentro de um prazo pré-fixado, ou proceder à anonimização?

Esse checklist não esgota as exigências legais, mas oferece um parâmetro inicial relevante sobre o grau de organização e segurança jurídica da instituição.

Se a sua organização não atende a um ou mais desses pontos, é recomendável direcionar atenção imediata à estruturação da governança de dados. Na prática, os riscos não surgem apenas da ausência de documentos, mas da falta de processos claros, responsabilidades definidas e aplicação efetiva das normas no cotidiano institucional.

O papel da assessoria jurídica na construção da governança de dados no Terceiro Setor

A estruturação de uma Política de Privacidade e Proteção de Dados exige não apenas conhecimento da LGPD, mas compreensão profunda da realidade operacional e dos riscos específicos do terceiro setor.

Se a sua organização ainda não possui uma política estruturada, ou se o documento existente não dialoga com a prática institucional, este é o momento de agir.

A VRP Advocacia e Consultoria atua na construção, revisão e implementação de políticas completas, integradas ao pacote de governança da organização. Nosso trabalho envolve desde o mapeamento de fluxos e definição de bases legais até a elaboração de documentos, procedimentos e treinamentos, sempre com foco em segurança jurídica, coerência institucional e aplicabilidade prática.

Mais do que garantir conformidade com a LGPD, a assessoria jurídica qualificada contribui para fortalecer a governança, reduzir riscos e ampliar a confiança de beneficiários, parceiros e financiadores. Entre em contato com a nossa equipe!

– –

Perguntas frequentes