O Art. 46 da LGPD exige medidas técnicas para proteger dados pessoais contra perda. Backup cumpre essa exigência. O detalhe pouco percebido: até 2026, a ANPD aplicou apenas uma multa em dinheiro a uma empresa privada — o risco maior vem de ações civis, não da Autoridade.

Boa parte do que se escreve sobre backup e LGPD para nesse primeiro susto: o teto de R$ 50 milhões do Art. 52. É um número real, mas incompleto, e incompleto o suficiente para fazer uma empresa investir energia no medo errado. Depois de acompanhar auditorias e projetos de recuperação de dados em empresas brasileiras de portes variados, a lacuna que mais aparece costuma ser operacional antes de jurídica: times de TI que confundem ter uma cópia de segurança com conseguir restaurar alguma coisa quando um titular pede, ou quando um incidente exige prova de diligência. Este artigo separa o que a lei exige de fato do que é alarmismo de blog, com os números de aplicação real da ANPD até agora.

O Que a LGPD Exige Sobre Backup de Dados?

A LGPD não usa a palavra “backup” em nenhum artigo. O que ela exige, no Art. 46, é que o controlador (a empresa que decide o que fazer com o dado) e o operador (quem processa o dado por conta dela, como um provedor de nuvem) adotem medidas técnicas e administrativas aptas a proteger dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão. Backup entra exatamente nesse ponto: é a medida técnica mais direta contra destruição acidental, seja ela causada por erro humano, falha de sistema ou ataque de ransomware.

O que a lei não define é o “como”. Não existe um artigo dizendo quantas cópias manter, com que frequência ou por quanto tempo. Essa abertura é boa para flexibilidade e ruim para quem espera uma checklist pronta — a régua real é a que um auditor ou um juiz aplicaria depois do fato: a medida adotada era razoável e proporcional ao volume e à sensibilidade dos dados tratados?

Qual é o Risco Real de Não Ter Backup Adequado?

A multa da ANPD é o cenário mais provável?

Os números dizem que não, pelo menos não ainda. Segundo levantamento da Turivius sobre as decisões públicas da ANPD, a Autoridade concluiu cerca de nove processos sancionadores até o início de 2026. Desse total, apenas uma multa em dinheiro foi aplicada a uma empresa privada: R$ 14.400, contra uma microempresa de telemarketing. Todas as demais sanções recaíram sobre órgãos públicos, na forma de advertência e publicização da infração, já que entes públicos não pagam multa pecuniária pela própria lei. E o motivo mais recorrente das sanções pesou menos sobre o incidente em si do que sobre a falha em comunicar o vazamento aos titulares e à ANPD dentro do prazo, conforme exige o Art. 48.

Isso não significa que o teto de R$ 50 milhões seja fantasia, apenas que ele ainda não foi testado na prática contra uma empresa de médio ou grande porte. Tratar esse teto como o risco central de uma estratégia de backup é otimizar para um cenário raro enquanto se ignora o que já está acontecendo.

Onde o risco realmente mora: ações civis e indenizações coletivas

A Cyrela foi a primeira empresa brasileira condenada judicialmente sob a LGPD, com indenização individual de R$ 10 mil por uso indevido de dados de cliente. O valor, isoladamente, é baixo para uma incorporadora daquele porte. O que importa é o efeito depois da sentença: o precedente abriu caminho para processos análogos, e o Judiciário brasileiro já reconhece danos morais coletivos decorrentes de vazamento de dados, o que muda a matemática do risco. Uma multa administrativa é um evento único, com dosimetria e atenuantes. Uma ação civil pública movida por centenas ou milhares de titulares, cada um pleiteando indenização individual, multiplica o valor exposto muito além do que a ANPD aplicaria num processo administrativo isolado.

O custo operacional de um incidente sem backup funcional

Existe também um risco que não aparece em nenhum processo judicial: o negócio parado. A pesquisa State of Ransomware 2025, da Sophos, ouviu 110 organizações brasileiras que sofreram ataques de ransomware em 2024: 66% pagaram algum resgate, mas 73% usaram backup como parte da recuperação, e 55% conseguiram retomar a operação plenamente em até uma semana. O custo médio de recuperação, sem contar o valor do resgate, ficou em US$ 1,19 milhão. A diferença entre uma empresa que reabre em dias e outra que leva meses raramente está na sofisticação do ataque — está em ter, ou não, uma cópia testada e restaurável pronta para usar.

Backup Realmente Comprova Conformidade com a LGPD?

Ter um backup ajuda, mas o que um auditor ou a própria ANPD pedem para ver, numa fiscalização, importa menos pela existência da cópia e mais pela rotina em torno dela. Nas auditorias que acompanhamos, o padrão mais comum de falha raramente é a ausência de backup: é a empresa pagar por uma licença há anos, nunca ter testado uma restauração real, e descobrir isso justamente no momento em que precisava provar diligência para um cliente, um parceiro ou um órgão fiscalizador. Sob a ótica da LGPD, o backup funciona como parte de uma cadeia probatória: registros de quando foi executado, de quando foi testado e de quem teve acesso à cópia valem tanto quanto o dado que ela guarda.

Os elementos que costumam pesar a favor de uma empresa numa fiscalização:

  • Automação — backup que não depende de alguém lembrar de rodar manualmente
  • Criptografia em repouso e em trânsito, com gestão de chaves documentada
  • Testes de restauração registrados com data, escopo e responsável
  • Imutabilidade (WORM) para pelo menos uma cópia, blindando contra exclusão por credencial comprometida
  • Política de retenção formal, com prazo definido e justificado por finalidade ou obrigação legal

Como Conciliar Backup com o Direito à Eliminação de Dados?

Esse é o ponto onde backup e LGPD entram em tensão de verdade. Um titular pode solicitar a eliminação dos seus dados pessoais a qualquer momento. O problema técnico é que esse dado provavelmente também existe em backups anteriores, e restaurar um backup antigo pode trazer de volta exatamente o dado que deveria ter sido apagado.

A própria lei prevê essa situação. O Art. 16 da LGPD permite que o controlador mantenha dados pessoais mesmo depois do fim do tratamento ou de um pedido de eliminação, quando isso for necessário para cumprimento de obrigação legal ou regulatória. Backup para fins de continuidade de negócio e de segurança da informação costuma se enquadrar nessa exceção, desde que documentada. Na prática, a abordagem que recomendamos em projetos de adequação é: excluir o dado do ambiente de produção imediatamente, deixar a cópia retida no backup fora de qualquer processo de restauração seletiva sem justificativa registrada, e assegurar que a cópia expire junto com o ciclo normal de retenção, sem ser perpetuada em backups mais antigos guardados “por precaução”.

Guardar Backups por Tempo Demais Também É um Risco?

É, e esse é o erro que menos aparece nas discussões sobre LGPD. A tendência natural de qualquer time de TI é acumular: manter tudo, para sempre, porque apagar parece arriscado. Sob o princípio da minimização, previsto na própria LGPD, guardar dados pessoais por mais tempo do que a finalidade exige, sem base legal específica, é uma infração tão real quanto perder o dado por falta de proteção. Um backup de 2019 com dados de clientes que já encerraram relação com a empresa há anos, sem nenhuma obrigação fiscal ou trabalhista pendente, deixa de ser zelo e passa a ser um passivo esperando para ser descoberto numa auditoria ou num incidente.

A referência prática mais comum é a fiscal: cinco anos para documentos tributários. Fora desses prazos legais específicos, o critério deve ser a finalidade que gerou a coleta do dado, não um hábito de “guardar tudo porque sim”.

Como Estruturar uma Política de Backup Alinhada à LGPD?

Não existe modelo único, porque o volume de dados, o setor regulatório e a maturidade de TI mudam de empresa para empresa. O roteiro que costuma sustentar uma fiscalização sem sobressaltos, testado em projetos reais:

  • Mapear onde estão os dados pessoais antes de desenhar a política de backup — não dá para proteger o que não foi inventariado
  • Definir prazos de retenção por categoria de dado, com justificativa registrada, não um prazo único para tudo
  • Automatizar a execução e a criptografia, removendo dependência de processo manual
  • Manter ao menos uma cópia imutável, separada logicamente do ambiente de produção
  • Testar restauração de verdade, em intervalos regulares, com registro documentado do resultado
  • Envolver o encarregado de dados (DPO) na definição da política, não só a área técnica
  • Ter um plano de resposta a incidentes que já preveja como notificar a ANPD e os titulares dentro do prazo

Se sua empresa opera em Microsoft 365, o guia completo de backup do Microsoft 365 da InfoB detalha essa estrutura por workload, incluindo a regra 3-2-1 aplicada ao ambiente Microsoft. Para entender por que retenção nativa não substitui esse trabalho, o artigo sobre diferença entre backup e retenção complementa esse ponto. Se sua empresa ainda não tem essa política formalizada, a InfoB é parceira certificada Microsoft e ajuda a estruturar esse projeto do mapeamento de dados até o teste de restauração. Fale com um especialista da InfoB.

Conclusão

Backup e LGPD se cruzam em mais pontos do que a maioria das empresas percebe: no Art. 46, como medida técnica; no Art. 16, como exceção ao direito de eliminação; e no princípio da minimização, como limite contra o hábito de guardar tudo para sempre. O erro mais caro não costuma ser jurídico, é prático: confundir ter uma cópia com conseguir restaurar alguma coisa quando o pedido chega, seja de um titular, de um cliente numa auditoria de fornecedor, ou de uma ação judicial exigindo prova de diligência. A multa da ANPD ainda é rara. O incidente sem backup testado, não.

Perguntas Frequentes

Backup é obrigatório pela LGPD?

A LGPD não menciona a palavra backup, mas o Art. 46 exige medidas técnicas e administrativas capazes de proteger dados pessoais contra destruição acidental ou ilícita. Na prática, isso torna o backup uma das formas mais diretas de cumprir essa obrigação.

Quanto tempo devo guardar backups com dados pessoais?

Pelo prazo necessário para cumprir a finalidade que justificou a coleta ou uma obrigação legal específica, como os cinco anos exigidos para documentos fiscais. Guardar backups indefinidamente, sem justificativa documentada, é um risco de conformidade tão real quanto não ter backup nenhum.

Posso manter dados em backup mesmo depois de um pedido de exclusão?

Sim, em situações específicas. O Art. 16 da LGPD permite reter dados além do pedido de eliminação quando existe obrigação legal ou regulatória do controlador. A recomendação prática é excluir o dado do ambiente de produção, restringir o acesso à cópia retida no backup e documentar a base legal usada.

Qual é o valor máximo de multa da LGPD?

O teto legal é 2% do faturamento da empresa no Brasil no último exercício, limitado a R$ 50 milhões por infração, conforme o Art. 52 da LGPD. Até 2026, esse teto nunca foi aplicado em sua totalidade pela ANPD.

A ANPD já multou empresas por falta de backup?

Não há registro de multa aplicada especificamente por ausência de backup. Até 2026, a ANPD concluiu cerca de nove processos sancionadores, e a única multa em dinheiro contra uma empresa privada foi de R$ 14.400. A maior exposição financeira nesse tipo de caso vem de ações civis movidas por titulares, não da Autoridade.

O que conta como prova de conformidade num backup?

Registros que comprovem rotina, não só a existência do backup: logs de execução, testes de restauração documentados com data e responsável, política de retenção formalizada e criptografia comprovável em repouso e em trânsito.