Durante muito tempo, o backup foi tratado quase exclusivamente como um tema da área técnica, onde se falava em redundância, recuperação de desastres, continuidade de negócios e disponibilidade dos sistemas, temas estes que continuam existindo e aplicáveis à geração e manutenção dos backups, mas com o advento da LGPD a questão vai além.
Dentro do contexto de personagens e responsabilidades que foi instituído pela LGPD, criar cópias de segurança deixou de ser apenas um mero cuidado operacional e facultativo, para se tornar também um ponto sensível de governança, responsabilidade e risco, que passa a ter caráter obrigatório.
Sem backup, diante de qualquer incidente não há recuperação, continuidade e previsibilidade, donde a própria governança será defeituosa.
Logo em seu art. 46, a LGPD manda aos agentes de tratamento que adotem medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Mais adiante, em seu art. 48, está escrito que o controlador deve comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, cabendo a ele indicar as medidas técnicas e de segurança utilizadas, os riscos do incidente e as medidas que forem adotadas para reverter ou mitigar os efeitos do prejuízo.
Ainda pelo que diz o § 2º deste art. 48, a autoridade nacional deve verificar a gravidade do incidente e a efetividade das medidas de reversão ou mitigação, além de observar a gravidade e a extensão do dano ou prejuízo (art. 54).
Traduzindo, quando um backup armazena dados pessoais, ele não representa apenas uma duplicação técnica da informação, mas sim um prolongamento da existência jurídica daquele dado, que pode ser utilizado para impedir, mitigar ou reverter o prejuízo decorrente do incidente.
Ter um backup íntegro e recuperável irá reduzir o impacto do incidente, permitir a restauração rápida das operações e demonstrar a capacidade de resposta, o que segundo a Lei irá refletir em sanções de menor monta.
A teor do art. 6º, inciso X, da LGPD, é através do backup que o controlador demonstra ter adotado medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção dos dados pessoais e a eficácia de tais medidas.
À luz do art. 14 do Código de Defesa do Consumidor (CDC), que impõe ao fornecedor a responsabilidade pela reparação de danos causados por falhas na prestação de serviços, a ausência de backup pode caracterizar vício de qualidade ao titular, gerando paralisação operacional, prejuízos econômicos à organização e interrupção no acesso aos dados pessoais, de maneira parcial ou integral.
Essa falha agrava riscos sob a LGPD, pois compromete a disponibilidade e a integralidade dos dados, princípios basilares da lei, podendo resultar em indenizações solidárias e exposição regulatória; isto faz com que o backup não só mitigue incidentes como assegure o cumprimento de deveres consumeristas interligados à proteção de dados.
Em consequência, a necessidade legal de realizar o backup como ferramenta para cumprimento da LGPD, acaba por prolongar os deveres do controlador, os limites impostos pela finalidade do tratamento, os direitos do titular e a necessidade de adoção de medidas de segurança compatíveis com a sensibilidade e o contexto da informação.
O dado em backup continua sendo dado pessoal
Equivocadamente, muitas organizações consideram que o backup é algo secundário dentro da arquitetura da informação, como se os dados relevantes para a conformidade fossem apenas aqueles que circulam nos sistemas ativos, nas aplicações em uso ou nos bancos de dados em produção.
O fato de uma informação ter sido armazenada em uma cópia de segurança não altera sua natureza jurídica, pois se ela contém dados pessoais, a LGPD continuará a incidir, atraindo finalidade, necessidade, adequação, segurança e responsabilização, de modo que mesmo com a menor visibilidade para os dados contidos no backup, a lei continua incidindo sobre ele.
O backup e o término do tratamento dos dados: conservar X eliminar
De um lado, é dever legal da organização a preservação dos dados para assegurar resiliência, continuidade operacional e capacidade de recuperação em caso de falha, ataque ou indisponibilidade.
De outro, a LGPD impõe limites à retenção e não admite a conservação indefinida de dados pessoais sem justificativa legítima, onde se inseriria o backup ad perpetuum.
Assim, o backup não pode funcionar como um álibi para guardar tudo, por tempo indeterminado, sob o argumento genérico de prudência tecnológica: vale aqui a regra jurídica de que “o acessório segue o principal”.
A realização de um backup não elide a exigência de que o tratamento tenha finalidade legítima, base jurídica adequada e prazo de retenção condizente com o prazo dos dados originais que ele deve assegurar.
Se a organização não consegue explicar por que mantém determinados dados, por quanto tempo os conservará e em que condições eles poderão ser restaurados, o backup deixa de ser instrumento de proteção e passa a ser fonte de exposição regulatória.
A retenção silenciosa
Em muitos programas de conformidade, a atenção tende a se concentrar no fluxo principal dos dados, passando desapercebida a existência do backup, ficando como que invisíveis as cópias históricas, as réplicas em nuvem, as mídias externas e os ambientes de contingência.
Neste momento surge a retenção silenciosa, onde os dados são excluídos do sistema principal, mas continuam existindo de maneira íntegra e recuperável, em camadas sucessivas de backup.
Na retenção silenciosa, o relacionamento com o titular se encerra, a finalidade original desaparece, o dado deixa de ter utilidade negocial, mas ainda assim remanesce armazenado por anos, sem critério claro, sem política de expurgo e, muitas vezes, sem plena consciência organizacional sobre sua permanência.
Quando se concretiza, este tipo de realidade representa uma desconexão entre o discurso de conformidade e a realidade técnica da organização, pois ela afirma eliminar mas conserva, e declara governança mas desconhece a extensão concreta de seus repositórios.
Direitos dos titulares e limites técnicos reais
Olhando a questão pela ótica dos direitos dos titulares, acesso, correção, eliminação e revisão do tratamento não desaparecem simplesmente porque os dados foram parar em uma cópia de segurança, e nesta realidade, os mencionados direitos não foram tecnicamente pensados para dialogar com a lógica do backup.
Nem sempre é fácil localizar um dado específico em cópias históricas, sobretudo quando se lida com estruturas legadas, o que torna difícil eliminar seletivamente um registro sem afetar a integridade da cópia.
Mas a dificuldade operacional não apaga a obrigação jurídica, mas exige maturidade de governança, de modo que a organização deve saber onde os dados estão, compreender como circulam entre ambientes ativos e secundários, documentar limitações técnicas reais, restringir reutilizações indevidas e impedir que uma restauração reintroduza no ambiente produtivo informações que já deveriam ter sido descartadas.
Segurança não é apenas guardar, mas guardar bem
A contrário do que muitos pensam, realizar uma cópia em backup, por si só, não é sinônimo de segurança, pois sem criptografia robusta, sem segregação de acessos, sem autenticação forte, sem trilhas de auditoria e sem monitoramento efetivo, tais backups podem se tornar pontos preferenciais de comprometimento.
Há situações em que o backup chega a representar alvo mais atraente, porque concentra grande volume de dados e nem sempre recebem o mesmo nível de atenção aplicado aos sistemas principais.
Em tempos de ransomwares, vazamentos massivos e ataques dirigidos à infraestrutura, ignorar a segurança do backup é comprometer precisamente o ambiente que deveria sustentar a capacidade de resposta da organização.
Sob este prisma, segurança não significa apenas ter cópias disponíveis, mas sim o ato de garantir que tais cópias estejam abrigadas pela confidencialidade, integridade, disponibilidade, rastreabilidade e controle.
Importa saber também quem acessa, quem restaura, em que circunstâncias, com que autorização e sob quais registros, pois backup não é mero repositório passivo, mas ativo crítico.
Quando o backup é realizado fora do país, o problema muda de escala
A ampla adoção de soluções em nuvem acrescentou uma camada adicional de complexidade a esse debate, pois na atualidade, grande parte das rotinas de backup depende de estruturas distribuídas, replicações automáticas e armazenamento em datacenters localizados em múltiplas jurisdições.
Por mais que pareça positivo, seguro e tecnicamente correto, isto amplia eficiência e resiliência, além de alterar o perfil do risco jurídico.
Quando um backup atravessa fronteiras, não basta apenas discutir retenção e segurança, mas importa também considerar a transferência internacional de dados, a localização efetiva da infraestrutura, a cadeia de suboperadores e o conjunto de garantias contratuais e organizacionais oferecidas pelo fornecedor.
Em outras palavras, a nuvem não elimina responsabilidades — nem mesmo se falando de backup, mas apenas torna sua gestão mais sofisticada.
A organização que terceiriza backup sem compreender onde os dados ficam, quem pode acessá-los, como são replicados e em que momento e condições serão eliminados não está simplificando sua operação: somente está terceirizando uma parte do risco, sem todavia terceirizar a responsabilidade.
O backup como tema de governança
Por tais razões, o backup não pode ser visto como um mero assunto ligado à infraestrutura de TI, pois ele está na interseção entre segurança da informação, proteção de dados, continuidade de negócios, arquitetura tecnológica, gestão documental e responsabilidade regulatória.
Uma organização madura precisa tratar o backup como matéria de governança, o que envolve política formal, definição de responsáveis, critérios de retenção, processos de descarte, rotinas de teste, controle de restauração, documentação de exceções, integração com contratos e alinhamento com o programa de privacidade.
Sobretudo, esta responsabilidade envolve reconhecer que o backup não é apenas uma réplica do dado, indo além disto, como uma réplica do dever de protêgê-lo adequadamente.
Maturidade na realização do backup
No Instituto Privacidade, consideramos a realização do backup no contexto da LGPD como algo maior do que um problema técnico ou regulatório isolado, e entendemos que a organização está madura quando compreende o ciclo de vida da informação.
Nos propomos a ajudar organizações a tratar o backup com as obrigações, riscos e responsabilidades que lhes acompanham.
Se mal governado, o backup se converte em um espaço opaco de retenção indevida, exposição silenciosa e fragilidade regulatória.
Mas quando bem estruturado, torna-se aquilo que de fato deveria ser: um instrumento legítimo de resiliência, continuidade e proteção responsável da informação.
Em tempos de crescente exigência regulatória, pressão reputacional e dependência crítica de dados, no Instituto Privacidade estamos levantando uma bandeira ao lado das organizações, de modo a ajudá-las a possuir governança suficiente para responder pelo que mantém em seu backup.
Caminhe conosco!
