Audaks Cloud

Menu

LGPD
11 min

Backup Corporativo na Nuvem com LGPD: Guia para Empresas Brasileiras

Como fazer backup corporativo em nuvem cumprindo LGPD: art. 16 (eliminação), art. 18 (direitos do titular), art. 46 (segurança), papel de Operador, retenção justificada, criptografia, comunicação à ANPD em 72h. Checklist prático, custos da não-conformidade e o que fiscal pede em auditoria.

#backup-corporativo#lgpd#compliance#anpd#backup-nuvem#operador-dados#cloud-brasil
lgpd
06 Mai 2026·11 min de leitura

Backup corporativo deixou de ser tema só de TI. Desde a entrada em vigor das sanções da LGPD em 2021 e com a postura cada vez mais ativa da ANPD em 2025-2026, backup virou também tema de compliance, jurídico e auditoria. E o setup que muitas empresas brasileiras ainda mantêm — backup eterno "por garantia", sem critério de retenção, sem criptografia, com cópia em provedor americano sem contrato adequado — é exatamente o tipo de configuração que ANPD aponta como inadequada quando fiscaliza.

Esse guia foi escrito pra DPO (Encarregado de Dados), gerente de TI e responsável jurídico de empresa brasileira que precisa estruturar backup corporativo dentro do que a LGPD exige. Cobre os 4 artigos da lei que afetam diretamente backup, papel de Operador vs Controlador, retenção e eliminação, criptografia, comunicação à ANPD, custos da não-conformidade e checklist prático.

Se você lê esse texto buscando "como fazer backup", começa pelo nosso guia técnico de backup empresarial em nuvem. Aqui o foco é especificamente conformidade LGPD aplicada ao backup.

Os 4 artigos da LGPD que afetam backup corporativo

A Lei 13.709/2018 não tem capítulo dedicado a backup, mas 4 artigos têm impacto direto na forma como você armazena dados de backup. Entender cada um economiza problema futuro.

Art. 6º, V — Princípio da necessidade

"Limitação do tratamento ao mínimo necessário para a realização de suas finalidades."

Tradução pra backup: empresa não pode reter backup eternamente "por garantia". Precisa de prazo justificado. Reter 10 anos quando a justificativa cobre só 5 viola o princípio. ANPD em fiscalização pede a política de retenção e a justificativa de cada prazo.

Art. 16 — Eliminação ao final do tratamento

"Os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades: I — cumprimento de obrigação legal ou regulatória pelo controlador; II — estudo por órgão de pesquisa; III — transferência a terceiro; IV — uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados."

Tradução pra backup: quando termina o tratamento (cliente cancelou, contrato encerrou, finalidade cessou), os dados precisam ser eliminados — incluindo nos backups. As exceções do art. 16 (obrigação legal, pesquisa anonimizada, etc.) precisam ser justificadas e documentadas.

Art. 18 — Direitos do titular

"O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição: ... VI — eliminação dos dados pessoais tratados com o consentimento do titular ..."

Tradução pra backup: quando titular pede exclusão de seus dados, empresa precisa eliminar dos sistemas e dos backups. Prazo: 15 dias (art. 19). Estratégia de backup precisa permitir purge seletivo ou ter justificativa de retenção legal (art. 16, II).

Art. 46-47 — Segurança e governança

"Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão."

Tradução pra backup: backup não criptografado, em provedor sem contrato adequado, ou em ambiente sem controle de acesso, viola esse artigo. Vazamento de backup = incidente de segurança = comunicação à ANPD em 72h (art. 48).

Você é Controlador, Operador ou ambos?

A LGPD diferencia (art. 5º) dois agentes de tratamento — e o seu papel define suas obrigações sobre backup:

Controlador

"A quem competem as decisões referentes ao tratamento de dados pessoais." Empresa que coleta dados de seus próprios clientes/funcionários é Controlador. Tem responsabilidade primária sobre backup dos dados pessoais que controla.

Operador

"Realiza o tratamento de dados pessoais em nome do controlador." Software house que hospeda sistema do cliente é Operador. Provedor cloud que recebe seus dados também é Operador. Tem obrigações específicas (art. 39): seguir instruções do Controlador, manter sigilo, adotar medidas de segurança.

Cadeia de Operadores (Sub-Operadores)

Se você é Operador (ex: software house) e usa cloud para fazer backup, o provedor cloud é Sub-Operador. Cliente final (Controlador) precisa ter conhecimento e contrato adequado com toda a cadeia. Essa cadeia deve estar documentada — ANPD pede em fiscalização.

Implicação prática

Se backup vai pra provedor estrangeiro (AWS US-East, Azure US-Central, Google Cloud), você precisa de:

  • Contrato de transferência internacional com cláusulas-padrão (art. 33-36)
  • Avaliação do nível de proteção do país receptor
  • Base legal específica pra transferência
  • Documentação dessa avaliação pra apresentar em fiscalização

Se backup fica em provedor brasileiro (Audaks ou similar), nada disso é necessário. Uma linha no contrato resolve.

O que ANPD pede numa fiscalização

Casos públicos de fiscalização (Hotmart, Atacadão, e outros) e a Resolução CD/ANPD nº 2/2022 dão clareza do que ANPD pede em fiscalização. Em backup especificamente:

  1. Política de retenção documentada com prazos justificados por finalidade
  2. Mapeamento de operações de tratamento (ROPA — Registro de Operações de Tratamento de Dados Pessoais) que inclui backup como operação
  3. Contratos com Operadores e Sub-Operadores, incluindo provedores de backup
  4. Medidas técnicas de segurança: criptografia em trânsito (TLS 1.2+) e em repouso (AES-256+)
  5. Controle de acesso documentado: quem acessa backup, com qual credencial, com qual MFA
  6. Procedimento de eliminação que inclui backups
  7. Procedimento de atendimento aos direitos do titular (art. 18) que considera backups
  8. Plano de resposta a incidentes com prazo de comunicação à ANPD (72h)
  9. Logs de auditoria de acessos e operações em backup, retidos por prazo razoável
  10. Relatório de Impacto à Proteção de Dados (RIPD) quando o tratamento envolve risco elevado

Empresa que não tem 7 dos 10 acima documentados está em situação de risco em fiscalização.

Estratégia técnica LGPD-compliant

Componentes mínimos para backup corporativo cumprir LGPD em 2026:

1. Localização dos dados

Backup primário e cópias em datacenter no Brasil quando os dados forem de titulares brasileiros — especialmente em setores sensíveis (saúde, financeiro, infantil, jurídico). Reduz dramaticamente a complexidade de conformidade.

2. Criptografia em trânsito e em repouso

TLS 1.2+ na transmissão. AES-256 ou superior no armazenamento. Chaves gerenciadas pelo Controlador (idealmente) ou pelo Operador com contrato e proteção adequados (KMS gerenciado).

3. Controle de acesso e MFA

Acesso ao backup com credenciais separadas das credenciais de produção. MFA obrigatório. Logs de acesso retidos. Princípio do menor privilégio: ninguém precisa de acesso a tudo.

4. Imutabilidade (Object Lock / WORM)

Pelo menos uma cópia imutável protegida contra ransomware E contra exclusão acidental por admin. Audaks oferece via Object Storage com Object Lock.

5. Retenção automática com purge

Política de retenção configurada no backup (não manual). Após X dias, dado é eliminado automaticamente. Diferenciado por tipo de dado: backup de banco fiscal (5 anos por obrigação legal), backup de email operacional (90 dias), etc.

6. Capacidade de purge seletivo

Quando titular pede exclusão (art. 18, VI), você precisa eliminar dele dos backups OU justificar retenção legal. Backup que não permite purge seletivo limita a opção.

7. Logs e auditoria

Quem fez backup, quem restaurou, quem acessou bucket. Logs imutáveis também (idealmente em sistema separado de logs).

Como provar conformidade em auditoria

3 documentos que se um auditor LGPD pedir, você precisa entregar em minutos, não dias:

1. Política de Backup e Retenção (escrita, aprovada pela diretoria)

Descreve: o que é feito backup, quando, com qual frequência, onde armazena, por quanto tempo, com qual base legal pra retenção, quem tem acesso, processo de eliminação, processo de atendimento a direitos do titular.

2. Registro de Operações (ROPA)

Backup é uma operação de tratamento. Tem que estar mapeado com: finalidade, dados envolvidos, prazo de retenção, base legal, medidas de segurança. Modelo de ROPA tem na ANPD.

3. Contratos com fornecedores (Operadores e Sub-Operadores)

Contrato com provedor cloud que faz backup precisa ter: cláusulas LGPD (sigilo, segurança, transferência internacional se aplicável), responsabilidades, comunicação de incidentes, direito de auditoria, procedimentos de eliminação ao fim do contrato.

Custos da não-conformidade

Sanções da LGPD (art. 52) em caso de violação:

  • Advertência, com indicação de prazo pra adoção de medidas corretivas
  • Multa simples, de até 2% do faturamento da pessoa jurídica no Brasil no último exercício, limitada a R$ 50 milhões por infração
  • Multa diária, observado o limite total acima
  • Publicização da infração
  • Bloqueio dos dados pessoais a que se refere a infração até regularização
  • Eliminação dos dados pessoais a que se refere a infração
  • Suspensão parcial do funcionamento do banco de dados por até 6 meses, prorrogável por igual período
  • Suspensão do exercício da atividade de tratamento de dados pessoais
  • Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados

Casos públicos: Telefônica multada em R$ 7 milhões (2024), Hotmart em R$ 660 mil (2024), Atacadão em R$ 7 milhões (2025). Multas crescem com gravidade da falha e atitude da empresa em corrigir.

Mais grave que multa: em vazamento envolvendo backup mal protegido, a empresa expõe titulares e perde reputação. Vazamento de banco de cliente B2B costuma derrubar contratos.

Checklist prático LGPD para backup corporativo

Use isso pra avaliar sua situação atual. Cada item é binário (sim/não):

  • ☐ Política de Backup e Retenção escrita e aprovada
  • ☐ Backup mapeado no ROPA
  • ☐ Contratos com provedores incluem cláusulas LGPD adequadas
  • ☐ Backup criptografado em trânsito (TLS 1.2+)
  • ☐ Backup criptografado em repouso (AES-256+)
  • ☐ Controle de acesso com credencial separada da produção
  • ☐ MFA obrigatório no acesso ao backup
  • ☐ Logs de acesso retidos por prazo razoável
  • ☐ Pelo menos uma cópia em modo imutável (Object Lock)
  • ☐ Política de retenção implementada tecnicamente (não manual)
  • ☐ Capacidade de purge seletivo por titular
  • ☐ Procedimento documentado de atendimento ao art. 18
  • ☐ Plano de resposta a incidentes com comunicação ANPD em 72h
  • ☐ Backup primário em datacenter brasileiro (se dados sensíveis)
  • ☐ Teste de restore documentado nos últimos 90 dias

Se você tem menos de 10 marcadas, sua empresa tem gap de conformidade que precisa ser endereçado em prazo curto.

Próximos passos

Pra sair desse texto com algo prático:

  1. Roda o checklist acima. Sozinho ou com TI + DPO + jurídico.
  2. Identifica os 3-5 gaps mais críticos. Foco onde tem maior risco de exposição.
  3. Define plano com responsável e prazo. Não dá pra esperar mais — ANPD intensificou em 2025.
  4. Avalia provedor de backup atual. Se está no exterior, a complexidade de conformidade é maior. Vale comparar com cloud brasileira.

A Audaks é Operadora brasileira regulada por LGPD, com Object Storage compliance-grade no Brasil. Trabalhamos com empresas que precisam de backup corporativo dentro do que a lei exige — sem complexidade de transferência internacional, sem cláusulas-padrão, sem dúvida sobre jurisdição. Conheça nosso Backup em Nuvem ou marque uma conversa com nossa equipe.

Perguntas frequentes

Backup em servidor próprio (on-premise) cumpre LGPD?

Pode cumprir, sim. LGPD não exige cloud nem nada específico. Exige medidas de segurança razoáveis. Servidor próprio com criptografia, controle de acesso, política de retenção e disaster recovery cumpre. O problema é que poucas empresas mantêm tudo isso bem feito on-premise. Cloud com fornecedor maduro tipicamente é mais robusto que on-premise médio.

Posso ter backup no exterior se anonimizar os dados?

Sim. Dado anonimizado (que não permite identificar o titular, mesmo com esforço razoável) deixa de ser dado pessoal — sai do escopo da LGPD. Mas anonimização verdadeira é difícil — pseudonimização (substituir CPF por hash) ainda é dado pessoal. Cuidado com a diferença.

Quando titular pede exclusão, tenho que eliminar do backup também?

Sim, exceto se a retenção do backup tem base legal autônoma (art. 16, II — obrigação legal de manter, ex: NF por 5 anos). Empresa precisa documentar a base legal. Se não tiver, a eliminação do backup é obrigatória — com prazo razoável (não tem prazo fixo, mas razoável é "no próximo ciclo de purge").

Vazamento de backup é incidente que tem que ser comunicado?

Se o backup contém dados pessoais e foi acessado por agente não autorizado (vazamento, exposição pública, compromisso de credencial), sim — comunicação à ANPD em 72h e aos titulares afetados. Backup criptografado adequadamente reduz o risco da exposição (atacante tem dado mas não consegue ler).

ANPD pode pedir backup em fiscalização?

ANPD pode requisitar dados, documentos e informações pra verificar conformidade (art. 55-J, IV). Não vai pedir o backup em si, mas pode pedir documentação sobre o backup, política de retenção, contratos com provedor, prova de criptografia, logs. Se você não consegue apresentar, é evidência de não-conformidade.

Backup de empresa pequena também precisa cumprir LGPD?

Sim, integralmente. LGPD não tem exceção por tamanho de empresa. ANPD na prática prioriza empresas grandes em fiscalização, mas a obrigação se aplica a todas. Empresa pequena que vaza dado e não tem nada documentado sofre proporcionalmente as mesmas consequências.

Pronto para migrar para a nuvem?

Nossa equipe esta pronta para ajudar voce nessa jornada. Agende uma consultoria gratuita.