A LGPD exige que empresas façam backup?

A LGPD não menciona 'backup' explicitamente, mas o artigo 46 exige que agentes de tratamento adotem medidas de segurança técnicas e administrativas para proteger dados pessoais. O backup é uma das medidas técnicas essenciais para cumprir esse requisito.

Preciso criptografar os backups por causa da LGPD?

A LGPD exige medidas de segurança adequadas. A ANPD e especialistas em proteção de dados consideram a criptografia como medida básica e esperada. Backups sem criptografia representam risco significativo e podem ser considerados como falha de segurança em caso de incidente.

Como tratar pedidos de exclusão de dados (direito ao esquecimento) nos backups?

Este é um dos maiores desafios da LGPD com backup. A abordagem recomendada é manter um registro de exclusões pendentes e aplicá-las quando o backup for restaurado. A exclusão retroativa de dados específicos dentro de backups é tecnicamente inviável na maioria dos casos.

Posso armazenar backups fora do Brasil?

Sim, desde que o país de destino ofereça nível adequado de proteção de dados (conforme avaliação da ANPD) ou que existam garantias contratuais adequadas (cláusulas contratuais padrão, normas corporativas globais). Datacenters na América do Norte e Europa geralmente atendem aos requisitos.

Quais as multas da LGPD por falha no backup?

A LGPD prevê multas de até 2% do faturamento, limitadas a R$ 50 milhões por infração. Uma falha de backup que resulte em perda ou exposição de dados pessoais pode ser enquadrada como descumprimento do artigo 46 (medidas de segurança). Além da multa, a empresa pode sofrer bloqueio do banco de dados.

LGPD e Backup: O que a Lei Exige da Sua Empresa

A LGPD exige medidas técnicas e administrativas para proteger dados pessoais. Saiba como seu backup corporativo deve se adequar para garantir compliance e evitar multas.

LGPD e Backup: Qual a Relação?

A Lei Geral de Proteção de Dados (LGPD — Lei 13.709/2018) transformou a forma como empresas brasileiras devem tratar dados pessoais. E o backup corporativo está no centro dessa transformação.

Embora a LGPD não mencione a palavra "backup" diretamente, diversos artigos impactam diretamente como as empresas devem proteger, armazenar, reter e excluir dados pessoais — e tudo isso envolve a estratégia de backup.

Neste guia, vamos detalhar cada ponto de intersecção entre a LGPD e o backup corporativo, com orientações práticas para garantir compliance.

Artigos da LGPD que Impactam o Backup

Artigo 46 — Segurança dos Dados

"Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito."

Este é o artigo mais direto: a empresa é obrigada a proteger dados pessoais contra perda e destruição. O backup é a medida técnica mais fundamental para cumprir este requisito.

Artigo 48 — Comunicação de Incidentes

Em caso de incidente de segurança que possa gerar risco ou dano aos titulares, o controlador deve comunicar à ANPD e aos titulares afetados. A capacidade de identificar quais dados foram comprometidos — frequentemente através da análise de backups — é essencial para cumprir essa obrigação.

Artigo 18 — Direitos dos Titulares

O titular tem direito à eliminação de dados pessoais (inciso VI). Isso cria um desafio técnico significativo para o backup, que discutiremos em detalhes adiante.

Artigo 16 — Eliminação de Dados

Os dados pessoais devem ser eliminados após o término do tratamento, exceto em situações específicas (cumprimento de obrigação legal, transferência a terceiros autorizada, uso exclusivo pelo controlador anonimizado).

Requisitos Práticos para Backup em Conformidade com a LGPD

1. Criptografia obrigatória

Backups contendo dados pessoais devem ser criptografados tanto em trânsito (durante a transferência) quanto em repouso (armazenados). O padrão mínimo recomendado é AES-256.

A criptografia não é apenas uma boa prática — é uma expectativa da ANPD. Em caso de incidente com dados criptografados, o impacto regulatório é significativamente menor, pois os dados são inacessíveis sem a chave.

Use criptografia AES-256 para todos os backups
Gerencie chaves de criptografia separadamente dos dados
Implemente rotação periódica de chaves
Documente o processo de gestão de chaves

2. Controle de acesso rigoroso

O acesso aos backups deve ser restrito e auditado:

Princípio do menor privilégio: apenas quem precisa tem acesso
Autenticação multifator (MFA) para acesso ao sistema de backup
Contas de serviço dedicadas (não usar contas pessoais)
Logs de auditoria de todos os acessos e restaurações
Revisão periódica dos acessos concedidos

3. Política de retenção alinhada à LGPD

A retenção de backups deve considerar dois princípios concorrentes:

Necessidade de proteção: Manter backups suficientes para recuperação (técnico)
Minimização de dados: Não reter dados pessoais além do necessário (LGPD)

A política de backup deve definir prazos de retenção que equilibrem ambos, considerando:

Obrigações legais de retenção (fiscal: 5 anos, trabalhista: até 30 anos, etc.)
Necessidades operacionais de recovery
Princípio da minimização da LGPD
Custos de armazenamento

4. O desafio da exclusão de dados em backups

O maior desafio técnico da LGPD para o backup é o direito à eliminação. Quando um titular solicita a exclusão dos seus dados, como apagá-los dos backups já existentes?

A realidade técnica é que a exclusão cirúrgica de registros específicos dentro de backups (especialmente backups completos em formato de imagem) é, na maioria dos casos, inviável sem comprometer a integridade do backup inteiro.

Abordagem recomendada:

Registro de exclusões pendentes: Mantenha um log de todas as solicitações de exclusão com data e dados afetados
Exclusão na restauração: Se um backup precisar ser restaurado, aplique as exclusões pendentes imediatamente após a restauração
Retenção limitada: Com retenção adequada (ex: 30-90 dias), os backups contendo os dados excluídos serão naturalmente eliminados pela rotação
Documentação: Documente essa abordagem e seja transparente com titulares quando necessário

Esta abordagem é aceita pela maioria dos especialistas em proteção de dados e está alinhada com orientações de autoridades europeias (EDPB) que enfrentaram o mesmo desafio com o GDPR.

5. Transferência internacional de dados

Se seus backups são armazenados em nuvem com datacenters fora do Brasil, a transferência internacional de dados pessoais precisa atender ao artigo 33 da LGPD:

O país de destino deve ter nível adequado de proteção (avaliado pela ANPD)
Ou devem existir cláusulas contratuais padrão com o provedor
Ou normas corporativas globais (para grupos empresariais multinacionais)
Provedores como AWS, Azure e Google Cloud possuem cláusulas contratuais padrão para adequação à LGPD

6. Registro de operações de tratamento

A LGPD exige que controladores e operadores mantenham registro das operações de tratamento de dados pessoais (artigo 37). O backup é uma operação de tratamento e deve constar nesse registro:

Quais dados pessoais são incluídos no backup
Finalidade (proteção e recuperação)
Base legal (legítimo interesse, obrigação legal)
Prazo de retenção
Medidas de segurança aplicadas
Eventuais compartilhamentos (provedor de nuvem, por exemplo)

Relatório de Impacto à Proteção de Dados (RIPD)

Para operações de backup que envolvam dados pessoais sensíveis ou grandes volumes de dados pessoais, é recomendável (e pode ser exigido pela ANPD) elaborar um RIPD que avalie:

Riscos do tratamento de dados pessoais nos backups
Medidas de mitigação implementadas
Necessidade e proporcionalidade do tratamento
Avaliação de riscos residuais

Checklist de Compliance LGPD para Backup

Use este checklist para verificar a conformidade do seu backup:

Backups criptografados com AES-256 (trânsito e repouso)?
Acesso ao backup restrito e com MFA?
Logs de auditoria habilitados para todas as operações?
Política de retenção definida e documentada?
Processo para exclusão de dados pessoais em backups documentado?
Backup incluído no registro de operações de tratamento?
Transferência internacional (se aplicável) com garantias adequadas?
RIPD elaborado para dados sensíveis?
DPO envolvido na definição da estratégia de backup?
Política de backup formalizada e aprovada?
Testes de restauração documentados?
Plano de resposta a incidentes integrado ao backup?

Penalidades por Não Conformidade

As penalidades da LGPD são severas e já estão sendo aplicadas pela ANPD:

Advertência: Com prazo para adoção de medidas corretivas
Multa simples: Até 2% do faturamento, limitada a R$ 50 milhões por infração
Multa diária: Para forçar cumprimento
Publicização da infração: Dano reputacional significativo
Bloqueio dos dados: Impossibilidade de utilizar os dados até regularização
Eliminação dos dados: Obrigação de apagar os dados pessoais relacionados à infração

Uma falha de backup que resulte em perda irreversível de dados pessoais pode configurar infração ao artigo 46, sujeitando a empresa a todas essas penalidades.

LGPD e Proteção Contra Ransomware

O ransomware é uma das maiores ameaças à conformidade com a LGPD. Um ataque que comprometa dados pessoais exige notificação à ANPD e aos titulares. Backups adequados, especialmente imutáveis, permitem restaurar os dados sem ceder ao resgate, minimizando o impacto regulatório.

Saiba mais sobre o cenário de ransomware no Brasil em 2026 e como se proteger.

Próximos Passos

Garantir compliance LGPD no backup é um processo contínuo. Para avançar:

Crie uma política de backup que inclua todos os requisitos da LGPD
Implemente a regra 3-2-1-1-0 com criptografia em todas as camadas
Defina RTO e RPO considerando obrigações regulatórias
Revise o guia completo de compliance LGPD da DataBackup

Precisa de ajuda para adequar seu backup à LGPD? Fale com os especialistas da DataBackup. Oferecemos consultoria em compliance e soluções de backup com criptografia, auditoria e governança integradas.