Levolu
Voltar ao Blog
Backup do site e LGPD: as 2 obrigações invisíveis que podem custar caro pra sua PME
29/04/2026Levolu5 min de leituraTecnologia

Backup do site e LGPD: as 2 obrigações invisíveis que podem custar caro pra sua PME

Em fevereiro de 2025, uma PME de São Paulo de prestação de serviços teve o WordPress hackeado por brecha de plugin desatualizado. 5 anos de blog, 200 páginas de SEO, banco de clientes com 8 mil contatos — tudo apagado. Sem backup. Recuperação parcial: 4 meses, R$ 18 mil em retrabalho, perda permanente de 60% do tráfego orgânico.

Em outubro de 2024, outra empresa do mesmo porte teve banco de dados de clientes vazado num ataque básico. Por não conseguir provar que tinha "medidas técnicas adequadas", levou multa LGPD de R$ 47 mil — sentença ainda em recurso.

Backup e LGPD são as duas fronteiras invisíveis da segurança digital que toda PME ignora — até descobrir, do jeito mais caro possível, que precisava.

Backup do site em 50 palavras

Backup é uma cópia automática de todos os arquivos e do banco de dados do seu site, guardada em outro lugar (idealmente, em outro servidor e em outra região geográfica). Se o site for hackeado, der bug grave, ou alguém apagar conteúdo por engano, dá pra restaurar em minutos. Sem backup, recuperar dado perdido vira impossível ou caríssimo.

Os 3 cenários onde backup salva a empresa

1. Hackeamento

WordPress, Joomla e outros CMS populares são alvos diários. Plugin desatualizado, senha fraca, brecha conhecida — invasor entra, planta malware, redireciona seu site pra páginas de cassino, ou simplesmente apaga tudo. Sem backup, é zerar e começar do zero.

2. Erro humano

Funcionário deleta página por engano. Desenvolvedor sobrescreve banco. Atualização quebra o site. Acontece toda semana em PMEs sem backup automático.

3. Falha técnica do servidor

HD da hospedagem queima (raro, mas acontece). Provedor de hospedagem fecha (já aconteceu com vários no Brasil). Sem backup off-site, todo dado se perde junto.

O backup correto tem 3 características

1. Automático e diário

Backup manual é backup que ninguém faz. Tem que ser automatizado, diário (idealmente), retido por pelo menos 30 dias — se a invasão demorou pra ser percebida, você precisa do backup de antes.

2. Off-site (em outra localização)

Backup salvo no mesmo servidor do site (mesmo que seja VPS bom) é inútil — se o servidor cair, cai junto. Backup correto fica em outra infraestrutura: AWS S3, Google Cloud, Backblaze, ou serviço dedicado de backup.

3. Testado periodicamente

Backup que ninguém testou pode estar corrompido. Pelo menos a cada 6 meses, simule uma restauração. Backup intocado é backup que não existe.

Quanto custa um backup decente

Pra site de PME média:

  • Plugin de backup automático (que conversa com sua hospedagem) (UpdraftPlus, BackupBuddy): R$ 0-300/ano.
  • Espaço em nuvem para guardar (AWS S3, Google Drive Workspace): R$ 5-30/mês.
  • Serviço gerenciado completo (faz, testa, monitora): R$ 50-200/mês.

Custo total: R$ 60-200/mês. Versus o custo de não ter (apagar 5 anos de trabalho): incomparável.

LGPD em 50 palavras (pra empresário, não advogado)

A Lei Geral de Proteção de Dados (vigente desde 2020) obriga toda empresa a tratar dados de pessoas físicas (clientes, leads, funcionários) com cuidados específicos: consentimento, segurança, possibilidade de exclusão e portabilidade. Multa pode chegar a R$ 50 milhões ou 2% do faturamento por incidente. Vale pra PME tanto quanto pra grande empresa.

O que sua PME PRECISA ter no site pra estar conforme

1. Política de Privacidade

Documento publicado e linkado no rodapé que explica: quais dados você coleta, por quê, com quem compartilha, por quanto tempo guarda, e como o usuário pode pedir exclusão. Geradores online (iubenda, LGPDmaster) ajudam, mas vale revisão jurídica.

2. Consentimento explícito antes de coletar dados

Formulários de contato, newsletter, captura de lead — todos precisam de checkbox claro: "Concordo com a Política de Privacidade", com link. Sem isso, consentimento é considerado inválido.

3. Cookies de terceiros declarados

Banner de cookies obrigatório quando o site usa Google Analytics, Facebook Pixel, anúncios. Tem que dar opção de aceitar/recusar. Cookies só carregam depois do aceite.

4. Canal de contato pra titular dos dados

O usuário precisa de uma forma de pedir acesso, correção ou exclusão dos dados. E-mail tipo privacidade@suaempresa.com.br resolve. Tem que responder em até 15 dias.

5. Encarregado de Proteção de Dados (DPO)

Pessoa designada (pode ser dentro ou fora da empresa) responsável pela conformidade. Pra PME pequena, sócio costuma assumir o papel. Tem que estar declarado publicamente no site.

6. Medidas técnicas adequadas

HTTPS, senhas fortes, backup, antivirus, treinamento básico da equipe. Se houver incidente, você precisa provar que tinha medidas. Sem evidência, multa pesada.

Multas reais aplicadas até hoje

  • Telekall Infoservice (2023): R$ 14 mil — não cooperou com investigação da ANPD.
  • Sociedade do mercado financeiro (2024): R$ 100 mil — falha em registrar tratamento de dados.
  • Empresas múltiplas pequenas: entre R$ 5-50 mil — vazamento sem comunicação à ANPD em 24h.

A maioria das multas pra PME tem ficado abaixo de R$ 50 mil — mas o impacto reputacional e de processos cíveis somados costuma ser muito maior.

O custo de NÃO se preocupar com LGPD

  • Multa direta da ANPD (até 2% do faturamento, máximo R$ 50M por infração).
  • Processos individuais por cliente cujos dados vazaram (R$ 5-50k cada, em vários casos coletivos).
  • Perda de contratos B2B (empresas grandes só fecham com fornecedor LGPD-compliant).
  • Reputação queimada irrecuperável.

Custo de adequação básica: R$ 1.500-5.000 uma vez + R$ 100-300/mês de manutenção. Comparativamente, é praticamente de graça.

O checklist mínimo de empresário em 2026

  1. ✅ Site com HTTPS ativo.
  2. ✅ Política de Privacidade publicada e atualizada (revisão semestral).
  3. ✅ Banner de cookies funcional com aceite/recusa real.
  4. ✅ Checkbox de consentimento em todos formulários.
  5. ✅ E-mail de contato pra solicitações LGPD (privacidade@…).
  6. ✅ Backup automático diário, off-site, testado a cada 6 meses.
  7. ✅ Senhas fortes + 2FA no painel administrativo.
  8. ✅ Plugins/CMS atualizados mensalmente.
  9. ✅ Registro de tratamento de dados (relatório ROPA simples).
  10. ✅ DPO declarado (pode ser sócio).

O resumo de 1 frase

Backup e LGPD não geram receita — protegem todo o resto. Custam pouco, são esquecidos por quase todo mundo, e fazem diferença gigante quando algo dá errado. É o seguro que você só vê valor quando precisa. Em 2026, não dá mais pra pular essas duas linhas do orçamento.

👉 Quero meu site protegido e em conformidade — Levolu

Gostou do conteúdo?

Fale com a Levolu e descubra como podemos aplicar essas estratégias no seu negócio.

Falar no WhatsApp
#backup site#LGPD#proteção de dados#segurança#conformidade