Relígio
LGPDPublicado em 20 de maio de 2026

LGPD para igrejas: guia completo para pastores e tesoureiros

A Lei Geral de Proteção de Dados se aplica integralmente a igrejas. Veja o que toda congregação precisa fazer em 2026: base legal, papel de DPO, direitos dos membros, contratos com operadores e plano de resposta a incidentes.

TL;DR

A LGPD (Lei nº 13.709/2018) se aplica a qualquer igreja que cadastra membros. Em 2026, sua igreja precisa de: (1) base legal definida para cada tipo de dado, (2) Encarregado (DPO) nomeado, (3) política de privacidade pública, (4) contratos com operadores (Relígio, contador, etc.), (5) plano de resposta a incidentes e (6) canal para os direitos dos titulares.

Igreja é organização e organização trata dados pessoais. Em 2026, a ANPD já saiu da fase puramente orientativa: regulamentos de sanção foram publicados, fiscalizações de ofício passaram a fazer parte do plano anual e o Ministério Público dispõe de inquérito civil e ação civil pública como instrumentos para defender o direito coletivo à proteção de dados — instrumentos que, em tese, alcançam também organizações religiosas. A pergunta não é mais "preciso me preocupar com LGPD?" — é "estou em conformidade?"

Este guia descreve os 6 elementos que toda igreja precisa implementar. Não é texto jurídico — é checklist prático para pastores e tesoureiros que querem dormir tranquilos.

Por que a LGPD se aplica à sua igreja

A LGPD (Lei nº 13.709/2018) regula o tratamento de dados pessoais — qualquer informação que identifique uma pessoa natural. Nome, telefone, endereço, CPF, dados de saúde, dados de tesouraria que mostrem o engajamento financeiro de cada membro. Tudo isso é dado pessoal.

A lei se aplica independentemente do porte da organização e do fato de ser sem fins lucrativos. Ela tem exceção limitada para tratamento realizado por pessoa natural para "fins exclusivamente particulares e não econômicos" (art. 4º, I) — o que não alcança uma igreja, que é pessoa jurídica e mantém rol de membros, agenda pastoral e tesouraria.

Quem é o controlador? A igreja (pessoa jurídica). Quem é o operador? Os fornecedores que processam dados pelas instruções da igreja — software de gestão como o Relígio, contador, escritório de contabilidade, prestador de e-mail marketing.

1. Base legal para cada tratamento

A LGPD lista 10 bases legais (art. 7º) para tratar dados pessoais. Em uma igreja, as mais comuns são:

  • Consentimento — o membro autoriza expressamente o uso dos dados (ideal para listas de comunicação, foto, redes sociais).
  • Cumprimento de obrigação legal/regulatória — escrituração contábil e fiscal exigida de entidades sem fins lucrativos, obrigações acessórias da Receita Federal e retenções aplicáveis. A estrutura desses registros aparece em Modelos de relatório financeiro para igrejas.
  • Execução de contrato — quando há vínculo contratual entre igreja e indivíduo (raro para membros, comum para funcionários CLT).
  • Legítimo interesse — base mais delicada, exige documentação de teste de balanceamento.
  • Tutela da saúde — para registros pastorais que envolvam estado de saúde do membro.

A boa prática é manter uma matriz de tratamentos: uma planilha que liste, para cada categoria de dado (cadastro de membros, dízimos, documentos sacramentais, agenda pastoral), qual a finalidade, qual a base legal escolhida, qual o período de retenção. Em uma fiscalização, esse documento é a primeira coisa que se pede.

2. Encarregado de Proteção de Dados (DPO)

O Encarregado (art. 41) é a pessoa que faz a ponte entre a igreja, os titulares dos dados (membros) e a ANPD. A lei não exige formação jurídica — pode ser o secretário paroquial, um diácono com perfil organizacional, um voluntário capacitado.

O que o DPO faz:

  • Recebe e responde aos pedidos dos membros sobre seus dados (acesso, correção, exclusão).
  • Interage com a ANPD em caso de auditoria ou incidente.
  • Orienta a liderança sobre boas práticas de tratamento.
  • Mantém a matriz de tratamentos atualizada.

O contato do DPO deve estar publicado no site, normalmente na Política de Privacidade. A maioria das igrejas usa um e-mail dedicado tipo privacidade@suaigreja.com.br.

3. Política de Privacidade pública

A Política de Privacidade é o documento que explica, em linguagem clara, como a igreja trata os dados dos membros e visitantes. Não precisa ser texto jurídico denso — pelo contrário, a ANPD valoriza clareza.

O que toda política deve conter:

  • Quem é o controlador (nome, CNPJ, endereço da igreja).
  • Quais dados são coletados (cadastro, contato, financeiro, sacramental).
  • Para que cada categoria de dado é usada.
  • Qual a base legal de cada tratamento.
  • Com quem os dados são compartilhados (operadores: Relígio, contador, plataforma de pagamento).
  • Por quanto tempo cada dado é retido.
  • Como exercer os direitos do titular.
  • Contato do DPO.

Coloque a política em um link permanente, do tipo suaigreja.com.br/politica-de-privacidade. Atualize a data de revisão sempre que mudar algo material.

4. Contratos com operadores (DPA)

Todo fornecedor que processa dados pelos seus pedidos é operador. Software de gestão (Relígio), contador externo, escritório de contabilidade, plataforma de e-mail marketing, sistema de transmissão de cultos com login — todos esses precisam de um Acordo de Tratamento de Dados (DPA) ou cláusula equivalente em contrato.

O que o DPA deve estabelecer:

  • Operador trata os dados apenas conforme instruções do controlador (igreja).
  • Operador adota medidas técnicas e administrativas de segurança.
  • Operador notifica em caso de incidente.
  • Operador devolve ou elimina os dados ao fim do contrato.
  • Operador não subcontrata sem autorização (ou tem cláusula de subcontratação).
  • Operador pode auditar e ser auditado.

Fornecedores brasileiros sérios já oferecem DPA padrão. O Relígio, por exemplo, opera em conformidade com a LGPD por padrão e disponibiliza canal direto com o DPO. Em fornecedores estrangeiros (qualquer SaaS dos EUA, por exemplo), é preciso verificar transferência internacional de dados e cláusulas de adequação.

5. Plano de resposta a incidentes

A LGPD exige notificação à ANPD e aos titulares em caso de incidente de segurança que possa acarretar risco ou dano relevante (art. 48). A Resolução CD/ANPD nº 15/2024 fixou o prazo em 3 dias úteis da ciência do incidente (dobrado para agentes de pequeno porte). Há ainda janela de até 20 dias úteis para complementar informações.

O plano de resposta da igreja deve responder, antes do incidente acontecer:

  • Quem detecta? (TI, secretaria, operador externo notificando).
  • Quem decide se é incidente reportável? (DPO + liderança).
  • Quem notifica a ANPD? (DPO, no formato exigido pela autoridade).
  • Quem comunica os membros afetados?
  • Como contém o dano? (Trocar senhas, revogar acessos, restaurar backup).
  • Como documenta o caso para evitar recorrência?

Vazamentos comuns em igrejas: planilha de membros em pasta compartilhada sem controle, foto de carnê de dízimos enviada para grupo de WhatsApp errado, e-mail com lista de presença em campo "Para" em vez de "Cco". Todos são incidentes que merecem registro.

6. Canal para os direitos dos titulares

O membro tem direitos (art. 18) e a igreja precisa de canal para atendê-los em prazo razoável (a LGPD fixa 15 dias, contados do requerimento, para o pedido de confirmação de tratamento e acesso aos dados — art. 19, II). Direitos mais comuns:

  • Acesso — saber quais dados a igreja tem sobre ele.
  • Correção — atualizar dados incompletos ou incorretos.
  • Eliminação — apagar dados desnecessários ou tratados em desacordo com a lei.
  • Portabilidade — receber os dados em formato estruturado.
  • Revogação do consentimento — sair da lista de comunicações, por exemplo.
  • Informação sobre compartilhamento — saber com quem a igreja compartilhou os dados.

Na prática, um e-mail dedicado (do DPO) + processo interno simples já atende a maioria das igrejas. O sistema de gestão deve permitir exportar os dados de um membro específico em PDF ou Excel — o Relígio faz isso nativamente. Para entender por que sistemas estrangeiros costumam falhar nessa parte, veja Relígio vs ChurchTrac.

O que evitar — erros comuns

Em consultorias e auditorias, esses são os 5 erros que aparecem com mais frequência em igrejas:

  • Política de privacidade copiada de outro site. Fica óbvio em uma fiscalização — nome de outra organização, dados desatualizados, links quebrados.
  • Não tem DPO nomeado. Mesmo igrejas pequenas precisam — pode ser um voluntário, mas precisa existir.
  • Listas de transmissão por WhatsApp sem consentimento ativo dos membros. Risco alto, fácil de corrigir.
  • Planilhas de membros em pasta compartilhada do Drive com link de acesso aberto "para quem tem o link". Risco real de vazamento.
  • Fornecedor sem DPA assinado. Se ele vazar dados, a responsabilidade volta para a igreja.

Próximos passos

A LGPD não é projeto de um dia, mas o checklist deste guia cobre 80% do que uma igreja precisa fazer em 2026. Comece nomeando o DPO, atualizando a Política de Privacidade e fazendo a matriz de tratamentos. O resto vem em sequência.

Se sua igreja quer um sistema de gestão que já nasceu em conformidade com a LGPD — com perfis de acesso granulares, criptografia em trânsito e em repouso, exportação de dados sob demanda e canal direto com nosso DPO — agende uma demonstração do Relígio. Para os critérios mais amplos de avaliação de fornecedores, leia também Como escolher um sistema de gestão para igreja em 2026.

Leia também

Guia

Como escolher um sistema de gestão para igreja em 2026

Pastor, tesoureiro ou líder pesquisando software de gestão? Veja os 8 critérios concretos que diferenciam um bom sistema — preço, multi-congregação, LGPD, suporte — e como avaliar fornecedores sem cair em marketing.

Ler artigoTesouraria

Como organizar a tesouraria de uma igreja com múltiplas filiais

Sede e filiais usando planilhas separadas? Veja como estruturar plano de contas, repasses entre congregações, fechamento mensal e prestação de contas sem precisar virar contador.

Ler artigo

Veja como o Relígio funciona na sua igreja

Em 30 minutos mostramos a tesouraria multi-congregação, o cadastro de membros e os relatórios, com os dados reais da sua igreja.

Agendar demonstração
Começar Agora

Pronto para transformar
a gestão da sua igreja?

Comece com uma conversa. Nossa equipe cria seu acesso gratuitamente e te orienta nos primeiros passos com carinho.

1
2

Informe seu e-mail

Sem cartão de crédito. Sem compromisso.