Backup de Fotos e LGPD: O Que Sua Empresa Precisa Saber
Sua empresa armazena fotos de pacientes, alunos, clientes ou funcionarios? Entao voce precisa entender como a Lei Geral de Protecao de Dados (LGPD) afeta diretamente o backup e o armazenamento dessas imagens. Neste guia, explicamos os requisitos legais, as penalidades por descumprimento e os passos praticos para garantir conformidade.
Quando pensamos em dados pessoais, geralmente imaginamos CPFs, enderecos de e-mail e numeros de telefone. Mas fotos tambem sao dados pessoais — e, em muitos casos, dados pessoais sensiveis. Uma fotografia pode revelar o rosto de uma pessoa, sua localizacao, seu estado de saude e ate sua etnia ou religiao.
A LGPD (Lei 13.709/2018) nao faz distincao entre dados digitais e dados em papel, nem entre texto e imagem. Se uma foto permite identificar alguem — direta ou indiretamente — ela e dado pessoal e esta sujeita a todas as obrigacoes da lei. Isso vale para clinicas que fotografam pacientes, escolas que registram eventos com alunos, imobiliarias que captam imagens de imoveis com moradores ao fundo, e qualquer empresa que armazene fotos de funcionarios ou visitantes.
Neste artigo, vamos explicar exatamente o que a LGPD exige para o armazenamento de fotos, quais sao as penalidades por descumprimento e como sua empresa pode se adequar de forma pratica. Se voce ja faz backup de fotos na sua empresa, este conteudo vai ajudar a verificar se o processo esta em conformidade.
Fotos Sao Dados Pessoais? O Que Diz a LGPD
O Art. 5o da LGPD define dado pessoal como "informacao relacionada a pessoa natural identificada ou identificavel". Uma foto com o rosto de alguem e, por definicao, um dado que permite identificacao direta. Mesmo fotos onde o rosto esta parcialmente visivel podem ser consideradas dados pessoais se, combinadas com outras informacoes (como data, local ou contexto), permitirem identificar a pessoa.
Art. 5o, I — LGPD (Lei 13.709/2018)
"Dado pessoal: informacao relacionada a pessoa natural identificada ou identificavel."
Fonte: planalto.gov.br
Alem disso, a LGPD cria uma categoria especial: dados pessoais sensiveis (Art. 5o, II). Essa categoria inclui dados sobre saude, origem racial ou etnica, convicao religiosa, entre outros. Fotos que revelem informacoes de saude — como imagens clinicas de pacientes, fotos de exames ou registros fotograficos de procedimentos — sao automaticamente classificadas como dados sensiveis. O mesmo vale para fotos que revelem origem racial, condicao de deficiencia ou afiliacao religiosa de forma identificavel.
Na pratica, isso significa que:
- Foto de rosto de cliente, aluno ou funcionario = dado pessoal
- Foto de documento (RG, CNH, cracha) = dado pessoal
- Foto de paciente em contexto clinico = dado pessoal sensivel
- Foto de imovel com pessoa identificavel ao fundo = dado pessoal
- Foto de evento corporativo com participantes identificaveis = dado pessoal
A consequencia e clara: toda empresa que armazena fotos com pessoas identificaveis precisa tratar essas imagens com o mesmo rigor aplicado a qualquer outro dado pessoal — incluindo base legal, seguranca tecnica e politica de retencao.
Quando a LGPD Se Aplica a Fotos da Empresa?
A LGPD se aplica sempre que a empresa realiza uma operacao de tratamento com fotos que contenham dados pessoais. "Tratamento" inclui coleta, armazenamento, acesso, compartilhamento, transferencia e eliminacao. Ou seja, desde o momento em que voce tira a foto ate o momento em que a deleta, a LGPD esta em vigor.
Veja os cenarios mais comuns por setor:
Fotos de Pacientes em Clinicas
Clinicas medicas, odontologicas e de estetica frequentemente fotografam pacientes para documentar procedimentos, acompanhar evolucao de tratamentos ou manter prontuarios visuais. Essas fotos sao dados pessoais sensiveis (vinculados a saude) e exigem protecao reforçada.
O consentimento para fotos de pacientes deve ser especifico e destacado (Art. 11 da LGPD), separado do consentimento geral para tratamento medico. Alem disso, o armazenamento deve seguir regras de sigilo medico (Resolucao CFM 1.821/2007). Se sua clinica faz backup de fotos de pacientes, veja nosso guia completo sobre backup de fotos para clinicas.
Fotos de Alunos em Escolas
Escolas e instituicoes de ensino captam fotos de alunos em eventos, atividades pedagogicas, formaturas e no dia a dia escolar. Quando os alunos sao menores de idade, a LGPD exige consentimento de pelo menos um dos pais ou responsavel legal (Art. 14).
O cuidado deve ser redobrado com o compartilhamento: publicar fotos de alunos menores em redes sociais da escola ou em materiais de marketing sem autorizacao especifica configura tratamento irregular. O armazenamento dessas fotos deve ter acesso restrito a profissionais autorizados, e a escola deve manter registro de quais responsaveis consentiram e para quais finalidades.
Fotos de Imoveis com Pessoas
Imobiliarias e corretores fotografam imoveis para anuncios, vistorias de entrada e saida e documentacao de reparos. Quando essas fotos captam moradores, vizinhos ou transeuntes de forma identificavel, tornam-se dados pessoais.
A recomendacao pratica e minimizar a captura: fotografar ambientes vazios sempre que possivel. Quando nao for viavel, aplicar desfoque em rostos antes de publicar anuncios. Para vistorias, onde o contexto humano pode ser relevante, documentar a base legal (geralmente execucao de contrato de locacao) e definir prazo de retencao. Saiba mais sobre backup de fotos para imobiliarias.
Fotos de Funcionarios e Visitantes
Fotos de funcionarios para crachas, sistemas de ponto por reconhecimento facial, cameras de seguranca e fotos de visitantes em portarias — todos esses casos envolvem dados pessoais. A base legal mais comum para fotos de funcionarios e a execucao de contrato de trabalho (Art. 7o, V) ou o legitimo interesse do empregador (Art. 7o, IX).
Para cameras de seguranca e monitoramento, o legitimo interesse costuma ser a base legal adequada, mas a empresa deve elaborar um Relatorio de Impacto a Protecao de Dados (RIPD) justificando a necessidade da vigilancia e garantindo que a retencao das gravacoes nao exceda o periodo necessario para a finalidade de seguranca.
5 Requisitos da LGPD para Armazenamento de Fotos
A LGPD estabelece principios e obrigacoes que se aplicam diretamente ao backup e armazenamento de fotos. Destacamos os cinco requisitos mais relevantes para a pratica empresarial:
1. Base Legal e Consentimento
Todo tratamento de dados pessoais precisa de uma base legal (Art. 7o da LGPD). Para fotos, as bases mais comuns sao:
- Consentimento (Art. 7o, I): O titular autoriza expressamente o uso da foto. Obrigatorio para dados sensiveis (fotos de pacientes) e menores de idade (fotos de alunos).
- Execucao de contrato (Art. 7o, V): A foto e necessaria para cumprir um contrato. Exemplo: vistoria fotografica em contrato de locacao imobiliaria.
- Legitimo interesse (Art. 7o, IX): A empresa tem um interesse legitimo que justifica a foto, desde que nao prejudique direitos do titular. Exemplo: cameras de seguranca em areas comuns.
- Cumprimento de obrigacao legal (Art. 7o, II): A lei exige o registro fotografico. Exemplo: foto para emissao de cracha funcional conforme normas regulatorias.
O ponto critico e documentar qual base legal se aplica a cada tipo de foto que sua empresa armazena. Nao basta coletar consentimento generico — o consentimento deve ser especifico, informado e inequivoco, explicando para que a foto sera usada, por quanto tempo sera armazenada e com quem sera compartilhada.
2. Minimizacao de Dados
O principio da minimizacao (Art. 6o, III) determina que a empresa deve coletar e armazenar apenas os dados estritamente necessarios para a finalidade declarada. Aplicado a fotos, isso significa:
- Nao fotografar mais do que o necessario (uma vistoria de imovel nao precisa de 200 fotos se 30 sao suficientes)
- Nao manter fotos antigas que ja cumpriram sua finalidade
- Evitar capturar pessoas em fotos que nao exigem presenca humana (fotos de produtos, ambientes, equipamentos)
- Desfocar rostos quando a identificacao da pessoa nao e necessaria para o objetivo da foto
Na pratica, a minimizacao exige uma revisao periodica do acervo fotografico da empresa. Fotos que ja nao tem finalidade valida devem ser eliminadas de forma segura — incluindo copias de backup.
3. Seguranca Tecnica
O Art. 46 da LGPD obriga as empresas a adotar "medidas de seguranca, tecnicas e administrativas aptas a proteger os dados pessoais de acessos nao autorizados e de situacoes acidentais ou ilicitas de destruicao, perda, alteracao, comunicacao ou qualquer forma de tratamento inadequado ou ilicito".
Art. 46 — LGPD (Lei 13.709/2018)
"Os agentes de tratamento devem adotar medidas de seguranca, tecnicas e administrativas aptas a proteger os dados pessoais de acessos nao autorizados e de situacoes acidentais ou ilicitas de destruicao, perda, alteracao, comunicacao ou qualquer forma de tratamento inadequado ou ilicito."
Fonte: planalto.gov.br
Para backup de fotos, as medidas tecnicas recomendadas incluem:
- Criptografia em transito e em repouso: As fotos devem ser criptografadas tanto durante a transmissao (upload/download) quanto quando armazenadas no servidor. O padrao AES-256 e amplamente aceito como adequado.
- Controle de acesso por usuario: Cada colaborador deve ter credenciais individuais, com permissoes definidas por funcao. Um assistente administrativo nao deve ter acesso ao acervo fotografico do departamento medico.
- Registro de operacoes (logs de auditoria): O sistema deve registrar quem acessou, alterou ou excluiu cada foto, com data e horario. Isso e essencial para investigar incidentes e demonstrar conformidade a ANPD.
- Armazenamento em territorio nacional: Embora a LGPD permita transferencia internacional com garantias adequadas, manter os dados em data center no Brasil simplifica significativamente a conformidade e evita questionamentos sobre a jurisdicao aplicavel.
Armazenar fotos apenas no celular do funcionario, em drives pessoais ou em pastas compartilhadas sem controle de acesso nao atende aos requisitos do Art. 46. Se sua empresa ainda usa esse modelo, considere migrar para uma solucao de nuvem corporativa com controles de seguranca adequados.
4. Politica de Retencao
A LGPD exige que os dados sejam mantidos apenas pelo tempo necessario para cumprir a finalidade para a qual foram coletados (Art. 15). Isso significa que sua empresa precisa definir — e documentar — por quanto tempo cada tipo de foto sera armazenado.
Exemplos de prazos de retencao razoaveis:
- Fotos de vistorias imobiliarias: Ate o fim do contrato de locacao + prazo prescricional (5 anos, conforme Codigo Civil)
- Fotos de pacientes em prontuarios: 20 anos apos o ultimo atendimento (Resolucao CFM 1.821/2007)
- Fotos de eventos corporativos: 1 a 2 anos, salvo se houver finalidade de marketing com consentimento
- Fotos de cameras de seguranca: 30 a 90 dias (pratica de mercado; nao ha prazo legal fixo)
- Fotos de crachas/cadastro de funcionarios: Ate a rescisao do contrato de trabalho + prazo prescricional trabalhista (5 anos, ate 2 anos apos a rescisao)
Apos o termino do prazo de retencao, as fotos devem ser eliminadas de forma segura — o que inclui deletar nao apenas o arquivo original, mas tambem as copias em backups. Ferramentas de backup corporativo devem permitir a exclusao seletiva para atender a esse requisito.
5. Direitos dos Titulares
A LGPD garante aos titulares de dados um conjunto de direitos (Art. 18) que sua empresa deve ser capaz de atender quando se tratar de fotos:
- Acesso (Art. 18, II): O titular pode solicitar uma copia das fotos que a empresa tem dele.
- Eliminacao (Art. 18, VI): O titular pode pedir a exclusao das suas fotos, desde que nao haja outra base legal para retencao (como obrigacao legal ou contrato vigente).
- Portabilidade (Art. 18, V): O titular pode solicitar que suas fotos sejam transferidas para outro fornecedor de servico.
- Informacao sobre compartilhamento (Art. 18, VII): O titular pode perguntar com quem suas fotos foram compartilhadas.
- Revogacao de consentimento (Art. 18, IX): Se a base legal for consentimento, o titular pode revoga-lo a qualquer momento.
Para atender a esses direitos de forma agil, a empresa precisa saber onde estao todas as fotos de cada pessoa — no servidor, nos backups, nos celulares dos funcionarios, em drives compartilhados. Centralizar o armazenamento em uma unica plataforma de backup simplifica enormemente esse processo.
Penalidades por Descumprimento
A ANPD (Autoridade Nacional de Protecao de Dados) e o orgao responsavel por fiscalizar o cumprimento da LGPD e aplicar sancoes. O Art. 52 da LGPD estabelece as seguintes penalidades para empresas que descumprirem a lei:
Sancoes previstas no Art. 52 da LGPD:
- Advertencia com prazo para adocao de medidas corretivas
- Multa simples de ate 2% do faturamento, limitada a R$50 milhoes por infracao
- Multa diaria para forcar o cumprimento de obrigacao
- Publicizacao da infracao apos apuracao e confirmacao
- Bloqueio dos dados pessoais ate regularizacao
- Eliminacao dos dados pessoais referentes a infracao
- Suspensao parcial do banco de dados por ate 6 meses
- Suspensao da atividade de tratamento por ate 6 meses
- Proibicao parcial ou total do exercicio de atividades de tratamento
Fonte: Art. 52, LGPD
Alem das sancoes administrativas da ANPD, a empresa pode enfrentar acoes judiciais individuais ou coletivas de titulares que se sentirem prejudicados pelo tratamento inadequado de suas fotos. O Ministerio Publico e o Procon tambem podem atuar em defesa dos titulares.
Na pratica, o risco reputacional pode ser ainda mais danoso que a multa financeira. Um incidente de vazamento de fotos de pacientes ou alunos gera exposicao mediatica negativa que afeta a confianca de clientes e parceiros por muito tempo apos a resolucao do caso.
Vale ressaltar que a ANPD considera como atenuante a adocao previa de boas praticas e governanca de dados (Art. 52, paragrafo 1o, VIII). Ou seja, ter uma politica de backup estruturada, com criptografia, controle de acesso e logs de auditoria, pode reduzir significativamente a gravidade de uma eventual sancao.
Checklist: Seu Backup de Fotos Esta em Conformidade?
Use esta lista para avaliar se o armazenamento de fotos da sua empresa atende aos requisitos da LGPD. Marque cada item que ja esta implementado:
Base legal documentada para cada tipo de foto
Identifique se o fundamento e consentimento, contrato, obrigacao legal ou legitimo interesse.
Termo de consentimento especifico para fotos de pacientes e menores
Separado do consentimento geral, com finalidade clara e prazo definido.
Criptografia em transito e em repouso
Fotos criptografadas durante upload/download (TLS) e quando armazenadas (AES-256).
Controle de acesso por usuario com permissoes granulares
Cada colaborador com credencial individual. Acesso restrito por funcao.
Logs de auditoria (quem acessou, quando, o que fez)
Registro automatico de acessos, alteracoes e exclusoes de fotos.
Data center localizado no Brasil
Armazenamento em territorio nacional simplifica conformidade e jurisdicao.
Politica de retencao definida por tipo de foto
Prazos documentados para cada categoria (pacientes, alunos, vistorias, seguranca).
Processo para atender pedidos de acesso, exclusao e portabilidade
Fluxo interno definido para responder solicitacoes de titulares em ate 15 dias.
Fotos centralizadas em uma unica plataforma (nao espalhadas em celulares pessoais)
Backup centralizado facilita controle de acesso, retencao e atendimento a titulares.
Encarregado de dados (DPO) designado
Pessoa responsavel por receber reclamacoes de titulares e interagir com a ANPD (Art. 41).
Se sua empresa nao marcou todos os itens, os proximos passos sao: priorizar os itens de seguranca tecnica (criptografia e controle de acesso), criar a politica de retencao documentada e designar um encarregado de dados. Esses tres pilares cobrem a maior parte das obrigacoes praticas da LGPD.
Como o Databackup Photos Ajuda na Conformidade LGPD
O Databackup Photos e uma plataforma de backup de fotos e videos projetada para empresas. Abaixo estao as funcionalidades que contribuem para a conformidade com os requisitos da LGPD:
Criptografia AES-256
Fotos criptografadas em transito (TLS) e em repouso (AES-256), atendendo ao Art. 46 da LGPD.
Controle de Acesso por Usuario
Cada colaborador com login individual e permissoes definidas por funcao. Suporta multiplos niveis de acesso.
Data Center no Brasil
Armazenamento em territorio nacional, evitando complexidades de transferencia internacional de dados.
Logs de Auditoria
Registro automatico de quem acessou, alterou ou excluiu cada foto, com data e horario.
Os planos do Databackup Photos comecam em R$9,90/mes para 50 GB e vao ate R$74,90/mes para 2 TB. Todos os planos incluem criptografia, controle de acesso, data center no Brasil e suporte em portugues (e-mail e WhatsApp, segunda a sexta, das 8h as 18h). Para mais detalhes sobre planos e funcionalidades, visite a pagina principal do Databackup Photos.