Como a LGPD transformou as políticas de backup no Brasil

Backup corporativo deixou de ser apenas uma rotina técnica. Com a LGPD, ele passou a fazer parte da governança de dados pessoais. Empresas precisam saber quais dados são copiados, onde ficam armazenados, quem pode acessá-los, por quanto tempo são retidos e como são descartados.

O problema é que muitos ambientes ainda tratam backup como um arquivo invisível: copia tudo, guarda por tempo indeterminado e só lembra dele em caso de desastre. Esse modelo cria riscos de segurança, compliance e exposição indevida de dados.

Backup também é tratamento de dados

Se o backup contém dados pessoais de clientes, colaboradores, pacientes, alunos ou fornecedores, ele também precisa seguir princípios de segurança, finalidade, necessidade e retenção. Isso significa que a empresa deve justificar por que mantém cópias, controlar acesso e proteger o conteúdo contra vazamento.

Na prática, políticas de backup precisam responder perguntas objetivas:

• quais sistemas entram no backup;
• quais dados pessoais existem nesses sistemas;
• onde as cópias ficam armazenadas;
• por quanto tempo cada tipo de cópia é retido;
• quem pode restaurar ou baixar arquivos;
• como as chaves de criptografia são guardadas;
• como a empresa comprova que o backup funcionou.

Sem essas respostas, a organização fica vulnerável tanto a incidentes técnicos quanto a questionamentos jurídicos.

Retenção não pode ser infinita

Guardar tudo para sempre parece confortável, mas pode aumentar risco. Quanto maior o histórico, maior a superfície de exposição. Uma política madura define retenção por criticidade e obrigação legal.

Exemplo prático:

• backups operacionais diários por 30 dias;
• backups semanais por alguns meses;
• backups mensais para dados fiscais ou regulatórios;
• retenção especial apenas quando houver exigência legal ou contratual.

O importante é documentar o critério. Retenção precisa ser decisão de negócio e segurança, não resultado de esquecimento.

Criptografia e controle de acesso

Backups sem criptografia podem expor dados sensíveis em caso de roubo de mídia, invasão de storage ou vazamento em nuvem. Por isso, a WL Tech recomenda criptografia em trânsito e em repouso sempre que tecnicamente possível.

Além disso, acesso administrativo ao backup deve ser limitado. Nem todo usuário com acesso a servidores precisa ter permissão para apagar, baixar ou restaurar cópias. O princípio de menor privilégio é essencial, especialmente em cenários de ransomware.

Teste de restauração e evidência

Um backup que nunca foi restaurado é apenas uma hipótese. Para fins de continuidade e governança, a empresa deve realizar testes periódicos e manter evidências: data do teste, sistema restaurado, tempo de recuperação, falhas encontradas e ações corretivas.

Esses testes ajudam a validar RTO e RPO, além de provar que a política existe de fato.

Como a WL Tech ajuda

A WL Tech estrutura políticas de backup alinhadas à operação da empresa, incluindo:

• mapeamento de dados e sistemas críticos;
• definição de retenção por tipo de dado;
• implantação de backup criptografado;
• uso de Proxmox Backup Server, cópias offsite e imutabilidade;
• documentação de procedimentos;
• testes periódicos de restauração.

Conclusão

A LGPD não exige apenas que empresas tenham backup. Ela exige que dados pessoais sejam protegidos durante todo o ciclo de vida, inclusive nas cópias de segurança. Backup bem feito é continuidade, segurança e governança trabalhando juntos.

Sua política de backup está documentada e testada? Solicite uma avaliação da WL Tech.