Backups e LGPD: Como Garantir Conformidade e Evitar Riscos de Privacidade e Proteção de Dados

Entenda os requisitos da LGPD aplicáveis aos backups, os direitos dos titulares, riscos em contratos B2B e como evitar que operadores se tornem controladores ao reter dados após o término contratual.
HD - Dados em Backup

A adequação à LGPD (Lei Geral de Proteção de Dados Pessoais) vai muito além da superfície dos sistemas em produção. Entre os pontos frequentemente negligenciados — mas com alto potencial de risco — estão os backups. Quando não são gerenciados com atenção aos princípios da LGPD, cópias de segurança podem se transformar em verdadeiras armadilhas jurídicas e técnicas para organizações de todos os portes, especialmente no contexto de contratos B2B e no encerramento de relações contratuais.

Backups como pilar da continuidade e segurança dos negócios

Backups não são apenas um requisito técnico: são um dos pilares fundamentais da continuidade de negócios e da resiliência cibernética. Em um cenário em que incidentes de ransomware, falhas humanas e desastres naturais podem comprometer sistemas inteiros, contar com cópias de segurança confiáveis pode ser a diferença entre a recuperação e o colapso. Empresas de todos os setores devem garantir que seus dados estejam protegidos por estratégias de backup robustas, atualizadas e bem documentadas.

No entanto, tão importante quanto realizar backups é testá-los periodicamente. A eficácia de um backup não está na sua existência, mas na sua capacidade de restaurar dados com integridade e dentro do tempo necessário. A LGPD reconhece a indisponibilidade ou perda de dados como um tipo de incidente de segurança, e determina que, quando houver risco relevante aos direitos dos titulares, a ANPD deve ser notificada, conforme o art. 48. Portanto, manter backups testados, acessíveis e com planos de recuperação claramente definidos não é apenas uma boa prática de TI — é uma exigência legal e um componente essencial de compliance e responsabilidade corporativa.

 

O que a LGPD exige em relação a backups?

A LGPD não isenta os backups dos seus requisitos legais. Pelo contrário: dados pessoais armazenados em backups estão plenamente sujeitos aos princípios da lei, como limitação de finalidade, minimização de dados, segurança, transparência e livre acesso. Isso significa que os dados contidos em arquivos de backup:

  • Devem ser tratados com a mesma segurança e governança aplicadas aos ambientes de produção;
  • Não podem ser mantidos indefinidamente se não houver base legal e finalidade legítima;
  • Precisam estar acessíveis em caso de solicitação por parte do titular.

Portanto, manter backups antigos contendo dados pessoais por tempo indefinido, sem justificativa legal ou técnica, pode configurar infração à LGPD — mesmo que esses dados não estejam sendo “usados” ativamente.

Direitos dos titulares também se aplicam aos dados em backup?

Sim. Os direitos dos titulares — como acesso, retificação, eliminação, revogação de consentimento e portabilidade — são aplicáveis inclusive aos dados armazenados em backups. O grande desafio técnico aqui é como operacionalizar esses direitos sem comprometer a integridade do backup.

A ANPD (Autoridade Nacional de Proteção de Dados) ainda não forneceu diretrizes específicas para este ponto, mas boas práticas incluem:

  • Documentar tecnicamente como dados pessoais podem ser identificados e removidos ou mascarados em backups;
  • Ter uma política de retenção clara e integrada ao ciclo de vida dos dados, com prazos compatíveis com a finalidade declarada;
  • Manter um inventário de onde os dados estão localizados, inclusive em cópias de segurança.

Riscos contratuais em relações B2B: quando o operador vira controlador

Em contratos B2B, é comum que empresas deleguem a terceiros (como startups, provedores de TI, cloud ou serviços gerenciados) a responsabilidade por armazenar, processar ou manter dados — inclusive backups. Nestes casos, a relação controlador-operador precisa estar claramente definida por contrato, conforme exige o Art. 39 da LGPD, ou pelo DPA – Data Processing Agreement.

O problema surge quando, após o encerramento do contrato, o operador continua mantendo os backups com dados pessoais do cliente por qualquer razão (até mesmo “conveniência” para um eventual retorno do cliente). Isso pode gerar:

  • Violação contratual, por manter dados sem base legal e sem consentimento do controlador (cliente);
  • Assunção de responsabilidades de controlador, caso decida continuar tratando dados para outros fins;
  • Risco de incidente de segurança, expondo ambas as partes a penalidades.

Assim, contratos e DPAs devem conter cláusulas explícitas sobre:

 

  • Prazo de retenção e destruição de backups após o término da relação;
  • Responsabilidades de eliminação segura e comprovação do processo;
  • Penalidades em caso de descumprimento.

Após o término do contrato: eliminar, anonimizar ou reter?

A LGPD permite retenção de dados após o término do contrato em algumas hipóteses, como para defesa em processos judiciais, cumprimento de obrigação legal ou exercício regular de direitos. Porém, tais hipóteses devem estar:

  • Previstas contratualmente;
  • Baseadas em uma das bases legais do Art. 7º;
  • Limitadas no tempo e justificadas com princípios de necessidade e adequação.

Quando não há justificativa, o caminho correto é eliminar os dados ou anonimizar irreversivelmente. Inclusive, backups antigos podem ser objeto de anonimização, pseudonimização ou segmentação, facilitando a exclusão de dados de titulares que exerceram esse direito.

Boas práticas para conformidade em backups

  • Mapeie tecnicamente todos os ambientes de backup e as ferramentas utilizadas.
  • Integre os processos de backup ao programa de privacidade, especialmente com apoio do DPO e da equipe de TI/Cyber.
  • Estabeleça políticas de retenção de dados, prevendo prazos máximos de armazenamento.
  • Implemente técnicas de anonimização ou pseudonimização para dados antigos.
  • Revise seus contratos B2B, garantindo cláusulas claras sobre backups, retenção, descarte e responsabilidades
  • Teste seus backups com frequência adequada.

LGPD: Burocracia ou Oportunidade?

O mundo está mudando e normas de Privacidade são uma realidade. Hoje já são mais de 120 regulamentações ou leis de privacidade ao redor do mundo. Empresas de todos os portes e segmentos precisam se familiarizar com as regras locais de cada mercado onde atua e os requisitos mandatórios de cada país, para então decidir a melhor forma de implementar (ou comprovar) os controles necessários e oferecer os devidos direitos dos titulares.

Embora a regulamentação aparente ser apenas mais uma burocracia, ela – na verdade – oferece oportunidades e demonstra o compromisso empresarial com a sociedade. O Brasil estar alinhado às mais rígidas normas internacionais pode aumentar a competitividade das empresas brasileiras no mercado global e facilitar o crescimento internacional. 

Além disso, a adequação a LGPD ainda pode ser vista como um diferencial competitivo, especialmente dentro das Pequenas e Médias Empresas PMEs, Startups incluídas). Empresas que se adequarem rapidamente às exigências da nova resolução poderão ganhar mais confiança de consumidores – B2C e B2B – facilitando o desenvolvimento de novos negócios e a manutenção de contratos existentes. 

Melhores posturas em relação à Privacidade e Proteção de Dados capacitam empresas a atuar internacionalmente. Reduzem a exposição ao risco e maximizam as oportunidades.

Veja também: Anonimização e Pseudo-Anonimização de Dados na LGPD.

DPO & LGPD: One-Stop-Shop para Projetos de Privacidade e Proteção de Dados

Na Macher Tecnologia, atuamos com uma abordagem multidisciplinar que une privacidade, segurança da informação, governança e tecnologia para ajudar empresas a enfrentarem desafios como este. Oferecemos desde consultorias pontuais até serviços de DPO-as-a-Service, apoiando na revisão de contratos, mapeamento de riscos, desenho de políticas de backup e treinamentos práticos.

Seja para estruturar o tratamento de dados em contratos B2B, ajustar sua política de retenção, ou atender solicitações de titulares com mais agilidade, temos o skillset necessário para transformar obrigações legais em vantagem competitiva.

Um dos requisitos mais críticos da LGPD, da GDPR e de diversas outras legislações de privacidade ao redor do mundo é a nomeação de um Data Protection Officer (DPO ou Encarregado pela Proteção de Dados). O DPO é responsável por pelos processos e práticas de compliance com privacidade de sua empresa e por atuar como ponto de contato entre a organização e as autoridades reguladoras. Contar com um DPO especializado e multidisciplinar é fundamental, principalmente para ajudar a tomar as melhores decisões estratégicas sobre o tema. 

Além de cumprir com as exigências legais, empresas devem adotar práticas robustas de segurança, dentro de sua capacidade econômica, para garantir que dados pessoais, especialmente os sensíveis, sejam tratados com o máximo cuidado em todas as etapas do processo. 

Se você precisa de ajuda para começar seu projeto de adequação ou para suportar a manutenção da conformidade de sua organização, entre em contato conosco e converse com um de nossos especialistas. Possuímos planos adequados a empresas de todos os segmentos e de todos os portes a partir de 10 horas mensais.

Para mais informações, basta acessar: https://www.machertecnologia.com.br/contact/

Suportamos sua empresa na jornada de conformidade!

Conheça toda nossa linha de atuação consultiva na Lei Geral de Proteção de Dados.

CONSULTORIA, TREINAMENTOS E PROJETOS DE ADEQUAÇÃO PARA A LGPD

DPO AS A SERVICE