Dados pessoais em locais não óbvios: o risco invisível dos backups, planilhas e dados órfãos nas empresas

Quando empresas falam sobre adequação à Lei Geral de Proteção de Dados Pessoais, o foco normalmente está em sistemas principais, CRMs, ERPs e sistemas do RH. Porém, muitos riscos reais de privacidade estão justamente fora desses ambientes “oficiais”.

Planilhas esquecidas, documentos exportados, bibliotecas do Microsoft SharePoint, anexos em e-mails, backups históricos (inclusive dos sistemas oficiais) e arquivos sem responsável definido formam um enorme ecossistema de dados invisíveis, muitas vezes desconhecido pelo DPO ou pela TI.

Esses “dados órfãos” continuam existindo sem governança clara e, do ponto de vista da LGPD, continuam sendo responsabilidade da empresa.

O crescimento dos dados não estruturados

Grande parte das organizações possui enormes volumes de dados não estruturados espalhados em diferentes ambientes. Segundo a IBM, mais de 80% dos dados corporativos no mundo são não estruturados, incluindo documentos, PDFs, imagens e arquivos compartilhados.

Na prática, isso significa que muitos dados pessoais acabam circulando fora dos fluxos oficiais de governança. Um colaborador exporta informações para Excel, outro compartilha documentos via plataformas de terceiros e, com o tempo, essas cópias passam a existir sem qualquer controle centralizado.

O risco das planilhas e compartilhamentos não mapeados

Planilhas continuam sendo uma das maiores fontes de exposição de dados pessoais porque normalmente:

• escapam dos controles centrais;
• possuem múltiplas cópias;
• são compartilhadas manualmente;
• podem estar tanto nas máquinas quanto nos drives na nuvem;
• raramente têm controle granular de acesso.

Áreas como RH, financeiro e atendimento frequentemente armazenam dados de clientes e colaboradores fora dos sistemas oficiais. Informações médicas, dados de dependentes, salários e documentos pessoais acabam espalhados em arquivos compartilhados e sincronizados em múltiplos dispositivos.

A National Institute of Standards and Technology (NIST) destaca que dados não estruturados representam um dos maiores desafios modernos de governança e segurança. 

Dados órfãos e retenção excessiva

Outro problema crítico são os dados que permanecem armazenados mesmo após o encerramento da finalidade original. Isso acontece quando projetos são encerrados, colaboradores deixam a empresa ou sistemas são substituídos, mas os arquivos continuam existindo em pastas antigas, backups e servidores compartilhados.

Com o tempo, ninguém sabe exatamente:

• por que aquele dado ainda existe;
• quem é responsável;
• quem possui acesso;
• se ele ainda possui justificativa legal.

A LGPD determina que dados devem ser mantidos apenas pelo período necessário. Guardar informações indefinidamente aumenta riscos de vazamentos, amplia impacto de incidentes e dificulta auditorias. Hoje, para usuários dentro das plataformas da Microsoft por exemplo, é possível definir períodos de retenção conforme rótulos. E apesar de não cobrir todas as situações, já é um passo adicional para a conformidade.

O desafio dos backups

Backups são essenciais para continuidade operacional e recuperação de desastres, mas também representam um enorme desafio para privacidade.

Em muitos casos, remover dados individualmente de backups históricos é tecnicamente inviável. Por isso, empresas precisam garantir que esses ambientes:

• não sejam usados operacionalmente;
• tenham retenção limitada e refresh periódico;
• estejam cobertos dentro dos termos das políticas de privacidade e outras documentações da LGPD;
• utilizem criptografia e controle rigoroso de acesso.

A European Union Agency for Cybersecurity (ENISA) alerta que backups históricos têm sido alvo frequente em ataques modernos de ransomware e exfiltração de dados. 

O papel do DPO na conscientização

O DPO possui papel central na identificação desses riscos invisíveis. Muitas vezes, o maior problema não é tecnológico, mas cultural.

Equipes armazenam dados fora dos processos oficiais por conveniência operacional, sem perceber os impactos regulatórios envolvidos. O DPO ajuda a organização a mapear fluxos ocultos, revisar retenção, orientar descarte seguro e promover conscientização contínua entre áreas de negócio, jurídico e tecnologia.

Privacidade começa na operação

Um dos maiores erros em projetos de adequação é acreditar que privacidade se resume a documentos jurídicos. Na prática, privacidade nasce do entendimento dos processos de negócio e dos fluxos reais de informação da organização.

É justamente em planilhas, compartilhamentos paralelos, SaaS, IAs e arquivos esquecidos que muitos dos maiores riscos permanecem escondidos.

Como a Macher Tecnologia pode ajudar

A Macher Tecnologia apoia organizações na construção de programas robustos de privacidade, proteção de dados e governança da informação, conectando aspectos jurídicos, operacionais e tecnológicos de forma prática.

Nossa atuação inclui mapeamento de processos e dados, identificação de dados órfãos, revisão de políticas de retenção e suporte contínuo através do modelo de DPO-as-a-Service. Também apoiamos empresas na adoção de ferramentas automatizadas de classificação, discovery e monitoramento de dados pessoais em ambientes estruturados e não estruturados.

Mais do que atender requisitos da LGPD, ajudamos organizações a reduzir riscos operacionais, fortalecer controles internos e construir uma cultura sustentável de privacidade.