O paradoxo da imutabilidade: blindagem contra ransomware versus o artigo 18 da LGPD
Como harmonizar a retenção de dados em storage WORM com o direito de exclusão. Análise técnica e jurídica sobre crypto-shredding e conformidade para DPOs e arquitetos.
A arquitetura de armazenamento moderna enfrenta um conflito existencial. De um lado, a escalada dos ataques de ransomware exige a implementação de backups imutáveis e armazenamento WORM (Write Once, Read Many) como última linha de defesa. Do outro, o Artigo 18 da Lei Geral de Proteção de Dados (LGPD) confere ao titular o direito à exclusão de seus dados pessoais.
Este cenário cria um impasse técnico e jurídico: como garantir o "direito ao esquecimento" em um sistema projetado matematicamente para jamais esquecer? Para auditores e gestores de infraestrutura, a resposta não reside na escolha de um lado, mas na reengenharia da gestão do ciclo de vida dos dados (DLM).
Resumo em 30 segundos
- O Conflito: A imutabilidade (WORM) protege contra ransomware impedindo a alteração/deleção de dados, o que colide diretamente com solicitações de exclusão da LGPD.
- O Risco: Manter dados pessoais de titulares que solicitaram exclusão dentro de backups imutáveis cria um "passivo tóxico" e risco de sanções da ANPD.
- A Solução: A técnica de crypto-shredding (destruição de chaves criptográficas) é o único método viável para tornar dados inacessíveis em mídias imutáveis sem quebrar a integridade do backup.
A colisão frontal entre segurança e privacidade
A premissa da segurança da informação atual é a desconfiança zero. Em resposta a vetores de ataque que visam não apenas os dados de produção, mas também os catálogos de backup, a indústria de storage padronizou o uso de Object Lock (bloqueio de objetos) em repositórios S3 e snapshots imutáveis em arrays de armazenamento primário e secundário.
Quando um administrador configura um bucket S3 ou um volume de storage com retenção em Compliance Mode, nem mesmo a conta root pode deletar ou sobrescrever aqueles blocos até que o período de retenção expire.
No entanto, o Artigo 18, inciso VI da LGPD, garante ao titular a "eliminação dos dados pessoais tratados com o consentimento do titular". Se um cliente solicita a exclusão hoje, e seus dados estão gravados em uma fita LTO-9 ou em um bucket imutável com retenção de 5 anos, você tem um problema de conformidade imediato.
⚠️ Perigo: A resposta padrão "está no backup, não podemos apagar" não é uma defesa jurídica automática. A ANPD (Autoridade Nacional de Proteção de Dados) pode interpretar a retenção indefinida e não justificada como violação, a menos que haja uma base legal sólida (Artigo 16) documentada.
A mecânica técnica do bloqueio e a impossibilidade física
Para compreender a gravidade, é necessário descer ao nível do hardware e do protocolo. A imutabilidade não é apenas uma permissão de sistema de arquivos; em implementações robustas, ela é aplicada no nível do firmware do controlador do disco ou na API do Object Storage.
Hardware WORM: Em mídias óticas ou fitas configuradas como WORM, a gravação física altera o estado da mídia de forma irreversível. Tentar apagar um dado específico exigiria a destruição física do cartucho inteiro, o que inviabilizaria a recuperação de petabytes de outros dados corporativos legítimos.
Software-Defined Immutability: Em soluções como MinIO, Veeam Hardened Repository ou appliances dedicados (ex: Dell PowerProtect), o bloqueio impede a instrução
DELETEouOVERWRITEde ser processada pelo subsistema de I/O.
Figura: Diagrama técnico ilustrando o fluxo de bloqueio de I/O em storage imutável, onde a instrução de deleção é rejeitada pela camada de WORM, contrastando com a destruição da chave criptográfica.
O problema se agrava na restauração. Se um incidente de ransomware ocorrer e a empresa precisar restaurar o ambiente a partir de um backup imutável de 6 meses atrás, os dados dos titulares que solicitaram exclusão nesse período "ressuscitarão" no ambiente de produção. Isso configura um novo incidente de privacidade no momento em que o restore é concluído.
Crypto-shredding: a viabilização do esquecimento
A indústria de storage convergiu para uma solução elegante que satisfaz tanto a necessidade de imutabilidade quanto a exigência de exclusão: o Crypto-shredding (ou destruição criptográfica).
O conceito inverte a lógica da deleção. Em vez de tentar apagar os bits magnéticos ou as células NAND que compõem o dado pessoal (o que é impossível em WORM), o sistema apaga a chave de criptografia necessária para ler aqueles dados.
Como implementar em infraestrutura de Storage
Para que o crypto-shredding funcione, a criptografia não pode ser genérica (uma chave para todo o array). Ela precisa ser granular:
Criptografia por Objeto/Arquivo: Cada arquivo ou objeto gravado no storage recebe uma chave de criptografia única (DEK - Data Encryption Key), que por sua vez é protegida por uma chave mestra (KEK).
O Processo de Exclusão: Quando chega uma solicitação via Artigo 18, o sistema de gerenciamento de dados localiza a DEK específica daquele titular e a deleta.
O Resultado: Os dados criptografados permanecem na mídia imutável até o fim da retenção, mas tornam-se matematicamente inacessíveis. Para fins de auditoria e compliance, dados ininteligíveis sem possibilidade de recuperação são considerados efetivamente eliminados.
💡 Dica Pro: Ao avaliar novos arrays de armazenamento ou soluções de Backup as a Service (BaaS), exija documentação sobre a granularidade da criptografia. Se a solução criptografa apenas o volume inteiro (LUN level), o crypto-shredding para solicitações individuais da LGPD será impossível.
Comparativo: Métodos de Exclusão em Storage
A tabela abaixo resume a eficácia das abordagens tradicionais versus modernas no contexto de conformidade.
| Método | Eficácia Anti-Ransomware | Conformidade LGPD (Art. 18) | Complexidade Técnica | Risco Jurídico |
|---|---|---|---|---|
| Deleção Padrão | Nula (Dados podem ser apagados/encriptados pelo atacante) | Alta (Dados somem imediatamente) | Baixa | Crítico (Perda total de dados) |
| WORM Puro (Compliance Mode) | Máxima (Ninguém apaga) | Baixa (Impossível atender solicitação pontual) | Média | Alto (Violação de privacidade) |
| WORM + Crypto-shredding | Máxima | Alta (Dados tornam-se inacessíveis) | Alta (Exige gestão de chaves granular) | Baixo (Equilíbrio ideal) |
Protocolos de resposta e o Artigo 16
Nem toda solicitação de exclusão deve resultar em crypto-shredding imediato. O auditor deve lembrar que a LGPD não é absoluta. O Artigo 16 define as hipóteses em que os dados pessoais podem ser conservados, mesmo após o término do tratamento ou solicitação do titular.
A conservação é autorizada para "cumprimento de obrigação legal ou regulatória pelo controlador". No contexto de infraestrutura de TI e segurança bancária ou hospitalar, por exemplo, normas setoriais (como as do Banco Central ou Ministério da Saúde) podem exigir a retenção de logs e backups por 5, 10 ou 20 anos.
O fluxo de decisão recomendado
Recebimento da Solicitação: O DPO recebe o pedido de exclusão.
Verificação de Produção: Dados são apagados dos sistemas ativos (bancos de dados, CRM).
Análise de Backup:
- Se houver obrigação legal de retenção (ex: logs de acesso à internet, Marco Civil): O dado é mantido no backup imutável, e a solicitação é negada com base no Art. 16, com a devida justificativa.
- Se não houver obrigação legal: Aplica-se o crypto-shredding na chave específica do titular ou agenda-se a exclusão na rotação natural do backup (se o prazo for curto e aceitável pelo jurídico).
Lista de Supressão: Em caso de restore de desastre, o sistema deve consultar uma "lista de supressão" (contendo os IDs que pediram exclusão) para garantir que esses dados não sejam reativados inadvertidamente.
O futuro da retenção é granular
A era do armazenamento passivo, onde dados eram despejados em fitas ou buckets e esquecidos, encerrou-se. A conformidade com a LGPD em ambientes de alta segurança contra ransomware exige uma infraestrutura de armazenamento inteligente, capaz de distinguir o dado do contêiner.
A recomendação para as organizações é a migração gradativa para arquiteturas que suportem criptografia granular e a revisão das políticas de retenção. Manter dados "para sempre" não é mais uma estratégia de segurança conservadora; é um passivo acumulado esperando uma auditoria. A imutabilidade deve proteger a integridade do negócio, não servir de cárcere para dados pessoais que já deveriam ter sido descartados.
Referências & Leitura Complementar
NIST SP 800-209: Security Guidelines for Storage Infrastructure (Foco em sanitização de mídia e criptografia).
ISO/IEC 27040: Information technology — Security techniques — Storage security (Padrões para segurança de dados em repouso).
Lei nº 13.709/2018 (LGPD): Artigos 16 e 18.
SNIA (Storage Networking Industry Association): Whitepapers sobre "Data Sanitization" e "Encryption Granularity".
Perguntas Frequentes (FAQ)
É possível apagar dados de um snapshot imutável para atender à LGPD?
Tecnicamente não, pois a imutabilidade (WORM) impede a alteração do bit no nível do storage. A solução jurídica e técnica aceita internacionalmente é o crypto-shredding (exclusão da chave de criptografia) ou a anonimização prévia, tornando o dado irrecuperável sem alterar a estrutura do backup.O backup imutável viola o direito ao esquecimento?
Não necessariamente. O Artigo 16 da LGPD prevê exceções claras para o cumprimento de obrigação legal ou regulatória. Isso permite a retenção segura de dados em backups imutáveis, mesmo contra a vontade do titular, desde que haja uma justificativa legal documentada para essa conservação (ex: normas fiscais ou do Marco Civil).O que é crypto-shredding no contexto de storage?
É a prática de criptografar dados individuais ou volumes com chaves exclusivas e, ao receber uma solicitação de exclusão, deletar apenas a chave de decriptação (DEK). Isso torna os dados gravados no storage WORM matematicamente inacessíveis, equivalendo a uma exclusão efetiva para fins de conformidade.
Roberto Almeida
Auditor de Compliance (LGPD/GDPR)
"Especialista em mitigação de riscos regulatórios e governança de dados. Meu foco é blindar infraestruturas corporativas contra sanções legais, garantindo a estrita conformidade com a LGPD e GDPR."