Skip to content
← Voltar aos artigos
4 min de leitura#lgpd #compliance #governance

LGPD em infraestrutura cloud: o problema está em manter

Atingir compliance de LGPD na infra é um projeto. Manter é outra coisa. A ANPD não olha o que estava na sua doc de 2023, olha como o ambiente está hoje.

A LGPD não tem uma seção "AWS" ou "GCP". Ela é tecnicamente agnóstica: o art. 46 diz que controlador e operador devem adotar medidas "aptas a proteger os dados pessoais". Traduz direto em infraestrutura, sim. Mas traduz como?

Honestamente, traduz de um jeito que muda todo dia.

A armadilha do "já estamos compliant"

O roteiro é sempre o mesmo. A empresa contrata consultoria, passa por auditoria, fecha os gaps, documenta tudo, declara internamente que está LGPD-compliant. A declaração dura enquanto ninguém toca na infra.

Em 90 dias num ambiente vivo, o que costuma acontecer:

  • Alguém provisiona um serviço novo fora do template padrão porque estava com pressa na sprint.
  • Entra gente nova com permissões amplas "pra não travar".
  • Um backup antigo continua num bucket criado antes da política vigente, e ninguém se lembra dele.
  • Um RDS sobe pra teste, vira produção, nunca foi reavaliado.

Nada disso viola intencionalmente. É drift. E drift é exatamente o que a LGPD não perdoa. Em caso de incidente, a ANPD não vai olhar sua documentação de 2023. Vai olhar como o ambiente estava na semana do vazamento.

O que a lei efetivamente quer

Em vez de debater listas exaustivas de controles, dá pra pensar em quatro domínios que a LGPD espera que você trate bem.

O primeiro é proteção dos dados em si: encriptação em repouso, em trânsito, ciclo de chaves adequado. A parte técnica hoje é trivial, AWS e GCP fazem tudo managed. A parte difícil é garantir que o próximo recurso provisionado numa terça-feira às 18h já nasce com encryption ligado.

O segundo é controle de acesso: quem tem acesso a quê, por quanto tempo, com qual justificativa. MFA, revisão periódica, separação de ambientes. É a dimensão mais exposta a drift. Cada pessoa nova, cada consultoria temporária, cada integração adiciona superfície, e ninguém "limpa" permissões espontaneamente.

O terceiro é rastreabilidade: logs que respondam "quem fez o quê, quando". Sem isso, investigar incidente é adivinhação. O art. 48 exige notificar o titular em caso de vazamento, mas pra notificar você precisa antes saber que houve vazamento. Para saber, logs.

O quarto é detecção ativa: alertas quando algo sai do normal. Sem isso, o art. 48 vira obrigação cumprida meses depois, quando um cliente reclama ou um relatório externo aparece.

Os controles técnicos dentro de cada domínio são públicos e não são difíceis de encontrar. O CIS Benchmark cobre isso em detalhe. O problema não é conhecer os controles. O problema é manter.

A parte que dá mais trabalho do que parece

Implementar controles é um projeto. Manter controles é o trabalho real.

Controles passam de "conforme" para "em desacordo" em silêncio. Alguém abre um bucket pra compartilhar arquivo com um cliente e esquece de voltar. Alguém cria um IAM User pra integração provisória que virou definitiva. Uma VPC peering foi criada pra debug e nunca removida. Cada uma dessas mudanças aumenta sua exposição, e nenhuma aparece num relatório feito manualmente uma vez por trimestre.

A auditoria interna é, por definição, uma foto.

O que a lei diz (e o que deixa implícito)

O art. 50 fala em "programa de governança em privacidade", que é o jeito jurídico de dizer: você precisa de processo contínuo, não de estado. Na prática isso significa algumas coisas concretas.

Verificação contínua dos controles, idealmente automatizada, num ritmo que reflita o ritmo da sua infra mudando. Dias ou semanas, não anos. Triagem dos desvios que aparecerem, separando drift aceitável de correção imediata. Registro auditável de que a verificação rodou (sem isso, a fiscalização presume que você não rodou). E um canal claro de resposta a incidente, com papel nomeado internamente.

Aí "compliant" vira "mantido em compliance". Adjetivo vira verbo no presente contínuo.

Onde a gente entra

A maioria das empresas brasileiras tem a foto: documentação de uma auditoria bem feita, controles implementados num ponto do tempo. A parte do filme fica em aberto até um incidente forçar a conversa. O mercado chama isso de compliance theater, e a piada é justa.

Ferramentas de cloud intelligence automatizam o filme. Escaneiam o ambiente em ritmo fixo, mapeiam contra frameworks (LGPD, CIS, SOC 2), detectam drift entre execuções, deixam registro auditável de tudo. Deixa de depender de um analista lembrar de rodar checklist no Excel.

Não precisa ser WiserOps, pra ser franco. Pode ser Prowler open-source rodando em cron, um script custom, um competidor. O que precisa existir é o loop contínuo, porque é o que a LGPD efetivamente pede, mesmo que a lei não use essas palavras.

No WiserOps, o módulo de compliance cobre LGPD (entre outros) em cima de scan read-only, com drift detection entre execuções e scoring A-F. Se a pergunta "como estamos hoje?" te incomoda, experimenta grátis. Só pra saber a resposta.