HD Doctor Logo

LGPD em Recuperação de Dados

Resposta direta

Entregar HD ou backup com dados pessoais para fornecedor de recuperação configura compartilhamento de dados sob LGPD. Sem contrato correto, sua empresa pode ser multada em até R$ 50M ou 2% do faturamento. Veja o que exigir.

Como LGPD afeta recuperação de dados

Quando você envia mídia com dados pessoais (CPF, email, dados de saúde, financeiros) para recuperação, o fornecedor torna-se operador de dados sob LGPD. Sua empresa permanece controladora e mantém responsabilidade. Lei (Art. 39) exige que controlador escolha operadores que ofereçam garantia adequada de proteção. Sem documentação correta, eventual vazamento durante recuperação responsabiliza primeiro a sua empresa, não o fornecedor.

O que exigir do fornecedor LGPD-compliant

  1. 1.
    Contrato com cláusula específica de dados pessoais. Não é genérico. Cláusula deve mencionar LGPD nominalmente, definir finalidade do tratamento, prazo de retenção, devolução/destruição ao fim, obrigação de notificar incidentes.
  2. 2.
    DPO designado e identificado. Lei Art. 41: operador deve indicar encarregado. Nome, contato direto, autoridade. Sem isso, contratante não tem com quem falar em incidente.
  3. 3.
    Política de incidentes documentada. Operador deve ter procedimento para notificar controlador em até 24h após detectar incidente. Permite cumprimento do prazo ANPD de 72h pelo controlador.
  4. 4.
    Segurança física e lógica documentada. ISO 27001 ou equivalente. Câmeras na sala limpa. Cofre antichama. Acesso registrado. Criptografia em trânsito para envio.
  5. 5.
    Política de subprocessamento. Operador NÃO pode terceirizar para outro operador sem autorização. Recuperação de dados sensíveis deve ser 100% interna ao fornecedor.
  6. 6.
    Devolução ou destruição certificada. Ao fim do contrato, mídia volta + cópias internas são destruídas com certificado. Sem isso, dado pessoal seu fica em cache do fornecedor.

Perguntas frequentes

E se o caso é pessoal, não corporativo?

LGPD aplica a tratamento de dados pessoais em geral. Para uso pessoal/familiar (Art. 4º), exceções existem. Mas se você é profissional autônomo (médico, advogado, contador) e o HD contém dados de clientes/pacientes, LGPD aplica integralmente.

Posso assinar termo simplificado?

Tecnicamente sim para casos simples sem dado sensível. Mas contrato completo é segurança jurídica em caso de eventual incidente. HD Doctor disponibiliza contrato modelo gratuito para análise.

Multa real já foi aplicada?

Sim. ANPD aplicou primeira multa em junho/2023 (Telekall, R$ 14.400). Casos maiores em julgamento. Não existe mais 'período de aclimatação' — multas estão ativas desde agosto/2021.

E para dados de saúde (hospital, clínica, perícia)?

Dado sensível tem proteção reforçada (Art. 11). Tratamento exige consentimento específico ou outra base legal específica. Recuperação para hospital/clínica deve usar contrato LGPD com cláusulas adicionais cobrindo Art. 11.

Precisa de contrato LGPD-compliant?

Contrato modelo HD Doctor: cláusulas LGPD + dado sensível + cadeia de custódia.

Próximas leituras