Sua empresa coleta nome, e-mail ou CPF de clientes? Armazena dados de colaboradores? Tem um cadastro de fornecedores?
Se sim, você já está dentro do escopo da LGPD — Lei Geral de Proteção de Dados. E provavelmente há uma parte da adequação que a maioria das empresas ignora: a proteção técnica dos dados contra perda, vazamento e acesso não autorizado.
Backup não é apenas uma boa prática operacional. Em muitos cenários, ele é parte do que a lei espera que você faça.
O que a LGPD determina sobre segurança de dados
A LGPD estabelece que empresas que tratam dados pessoais — o que inclui a imensa maioria das PMEs brasileiras — devem adotar medidas técnicas e administrativas para proteger esses dados de acessos não autorizados, situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado.
Traduzindo para o concreto: a lei não especifica que você precisa de backup. Mas especifica que você precisa proteger dados contra perda. E “perda” é exatamente o que acontece quando você não tem backup e algo dá errado.
A Autoridade Nacional de Proteção de Dados (ANPD), responsável por fiscalizar a aplicação da lei, avalia não apenas se houve incidente, mas se a empresa tinha medidas razoáveis de proteção implementadas. Uma empresa que sofreu ataque de ransomware e perdeu dados de clientes, sem ter backup, enfrenta avaliação diferente de uma que perdeu os mesmos dados mas conseguiu restaurar tudo em horas por ter backup funcionando.
Nota: este artigo é informativo. Para avaliação jurídica da situação específica da sua empresa, consulte um advogado especializado em LGPD.
Três pontos da LGPD que têm relação direta com backup
Integridade e disponibilidade dos dados
A LGPD menciona explicitamente integridade e disponibilidade como atributos que devem ser preservados no tratamento de dados pessoais. Dados que somem, por falha técnica, ataque ou erro humano, violam esses atributos.
Um sistema de backup garante que dados pessoais que você trata continuam disponíveis e íntegros mesmo depois de um incidente.
Notificação de incidentes de segurança
A lei determina que empresas devem notificar a ANPD e os titulares dos dados em caso de incidente de segurança que possa acarretar risco ou dano relevante. Um ataque de ransomware, por exemplo, é um incidente que pode exigir notificação.
A diferença entre notificar “houve um ataque e não conseguimos recuperar os dados dos nossos clientes” e “houve um ataque, mas recuperamos tudo em 4 horas sem nenhum dado comprometido” é substancial, tanto para a avaliação da ANPD quanto para a comunicação com seus próprios clientes.
Responsabilidade e prestação de contas (accountability)
A LGPD introduz o princípio de accountability: a empresa não apenas precisa proteger dados, mas precisa conseguir demonstrar que adota medidas para isso. Ter um sistema de backup documentado, com registros de execução e testes de restauração, é parte do que compõe essa demonstração.
Quais dados da sua empresa estão sob a LGPD
A LGPD se aplica a dados pessoais, ou seja, qualquer informação que identifique ou possa identificar uma pessoa natural. Na prática, isso inclui praticamente todos os dados que uma empresa acumula no dia a dia:
Clientes: nome, CPF, e-mail, telefone, endereço, histórico de compras, preferências.
Colaboradores: folha de pagamento, documentos pessoais, dados bancários, registros de ponto, avaliações de desempenho.
Leads e prospects: qualquer informação coletada em formulários, listas de e-mail, CRM.
Fornecedores pessoas físicas: CPF, dados bancários, contratos.
Se um desses dados for perdido — por falha técnica, ataque ou exclusão acidental — e não houver forma de recuperação, você tem um problema de conformidade além de um problema operacional.
O cenário de risco que mais acontece: ransomware + LGPD
O pior cenário possível para uma empresa no contexto de LGPD não é um hacker que rouba dados silenciosamente. É um ransomware que criptografa tudo, incluindo dados pessoais de clientes, e você não consegue recuperar sem pagar.
Nesse cenário, você potencialmente tem:
Uma violação de disponibilidade dos dados (você não consegue mais acessar os dados pessoais que tratava).
Uma potencial necessidade de notificação à ANPD e aos titulares, dependendo do escopo do incidente.
Uma exposição à avaliação de se você tinha medidas técnicas adequadas de proteção.
Se você paga o resgate, há ainda a discussão sobre se os atacantes podem ter exfiltrado os dados antes de criptografar, o que coloca outro conjunto de obrigações em jogo.
Com backup isolado e funcionando, o ransomware vira um incidente operacional com recuperação previsível, não uma crise de conformidade aberta.
O que “medidas técnicas adequadas” significa na prática
A LGPD não define uma lista fechada de medidas técnicas obrigatórias. Isso é intencional: a lei adota uma abordagem baseada em risco, esperando que cada empresa adote medidas proporcionais ao tipo e volume de dados que trata.
Para a maioria das PMEs, as medidas técnicas básicas que compõem uma postura razoável incluem:
Controle de acesso — só quem precisa acessa os dados. Senhas fortes, autenticação em dois fatores, acesso por nível de função.
Criptografia de dados sensíveis — especialmente dados financeiros, documentos de identidade e informações de saúde.
Gestão de atualizações — sistemas atualizados reduzem a superfície de ataque.
Backup com criptografia e isolamento — cópias protegidas, armazenadas separadamente do ambiente principal, com histórico suficiente para restauração em qualquer incidente.
Registro de atividades — logs de acesso a dados pessoais, especialmente em sistemas críticos.
Nenhuma dessas medidas é tecnicamente complexa de implementar. A maioria das PMEs pode cobrir todas elas sem equipe de TI dedicada — especialmente quando usa ferramentas que entregam parte dessas medidas de forma nativa.
O que acontece se você não estiver adequado
A ANPD tem competência para aplicar sanções que vão desde advertência até multa de até 2% do faturamento da empresa, limitada a R$ 50 milhões por infração.
Mas o risco financeiro direto de multa, para a maioria das PMEs, é secundário. O risco mais imediato é outro: a perda de confiança de clientes.
Imagine precisar comunicar para sua base de clientes que os dados deles foram perdidos ou comprometidos em um ataque, e que você não tem como recuperar. A LGPD exige que essa comunicação aconteça. O impacto reputacional de fazer essa comunicação — especialmente para uma empresa que atende outras empresas — pode ser mais devastador que qualquer multa.
Empresas que conseguem responder a incidentes com “tivemos um problema, resolvemos em X horas, nenhum dado foi comprometido” estão em posição radicalmente diferente.
Um passo concreto que você pode dar hoje
Adequação à LGPD é um processo com várias frentes: mapeamento de dados, políticas internas, contratos com fornecedores, treinamento de equipe.
Mas há uma medida que você pode implementar hoje, nas próximas horas, que já cobre uma das obrigações centrais da lei: garantir que os dados pessoais que você trata estão protegidos contra perda.
Configure backup automático, criptografado e isolado para os sistemas onde você armazena dados de clientes e colaboradores. Teste a restauração. Documente que ele está funcionando.
Isso não resolve toda a adequação à LGPD, mas elimina um dos riscos mais concretos — e é o tipo de medida que, se precisar demonstrar para a ANPD que você agiu de forma responsável, vai fazer diferença.
Teste o Caffeine Backup por 14 dias, sem cartão de crédito. Configure hoje e saia do dia com um item importante da sua adequação à LGPD endereçado.
Leia também:
- Backup em Nuvem para PMEs: o que ninguém te conta
- Ransomware em PMEs: o que é, como acontece e por que backup é sua única saída real
As informações deste artigo têm caráter informativo e educacional. Não constituem consultoria jurídica. Para avaliação da situação específica da sua empresa, consulte um advogado especializado em proteção de dados.
