A AWS é compatível com a LGPD?

Sim. A AWS oferece recursos e serviços que permitem compliance com a LGPD, incluindo criptografia em repouso e em trânsito, controle granular de acesso com IAM, logs de auditoria com CloudTrail, residência de dados na região de São Paulo (sa-east-1) e um Adendo de Processamento de Dados (DPA) que atende aos requisitos da lei.

Os dados precisam ficar no Brasil para cumprir a LGPD?

A LGPD não exige que os dados fiquem exclusivamente no Brasil, mas exige que transferências internacionais atendam a requisitos específicos (Art. 33). A AWS possui a região de São Paulo (sa-east-1) que permite manter dados no Brasil. Para transferências internacionais, a AWS oferece cláusulas contratuais padrão e o DPA que cobrem os requisitos legais.

Quem é responsável pela proteção de dados na AWS: a empresa ou a AWS?

A responsabilidade é compartilhada conforme o modelo de responsabilidade compartilhada da AWS. A AWS é responsável pela segurança DA nuvem (infraestrutura física, rede, hipervisor). A empresa cliente é responsável pela segurança NA nuvem (dados, configurações de acesso, criptografia, aplicações e compliance). A LGPD considera a empresa como controladora dos dados e a AWS como operadora.

Quais serviços AWS ajudam no compliance com a LGPD?

Os principais serviços AWS para compliance LGPD são: AWS KMS e CloudHSM para criptografia, AWS IAM e IAM Identity Center para controle de acesso, AWS CloudTrail para trilhas de auditoria, AWS Config para conformidade de configurações, Amazon Macie para descoberta de dados sensíveis, AWS Backup para retenção e exclusão de dados, e AWS Artifact para acesso a relatórios de compliance.

Segurança

LGPD na Cloud: Como Garantir Compliance na AWS em 2026

Equipe RFX Tecnologia 26 Mai 2026 13 min de leitura

Atualizado em Março 2026

LGPD na cloud é o conjunto de práticas, configurações e controles técnicos necessários para que ambientes em nuvem, como a AWS, estejam em conformidade com a Lei Geral de Proteção de Dados (Lei 13.709/2018), garantindo a proteção de dados pessoais através de criptografia, controle de acesso, trilhas de auditoria e políticas de residência de dados. Este guia mapeia os requisitos da LGPD para os serviços e recursos da AWS disponíveis em 2026.

Com a ANPD (Autoridade Nacional de Proteção de Dados) intensificando a fiscalização e aplicando sanções, a adequação à LGPD deixou de ser opcional. Empresas que utilizam cloud computing precisam garantir que seus ambientes estejam configurados para atender aos requisitos da lei, independente do porte ou setor.

Neste artigo, vamos detalhar como cada requisito da LGPD se traduz em configurações e serviços específicos da AWS, com orientações práticas que você pode implementar imediatamente.

Modelo de responsabilidade compartilhada e a LGPD

Antes de qualquer configuração técnica, é fundamental entender o modelo de responsabilidade compartilhada da AWS e como ele se aplica à LGPD:

Responsabilidade da AWS (segurança DA nuvem): infraestrutura física dos datacenters, rede global, hipervisor, hardware. A AWS possui certificações ISO 27001, ISO 27017, ISO 27018, SOC 1/2/3 e CSA STAR
Responsabilidade do cliente (segurança NA nuvem): dados, configuração de acesso, criptografia, aplicações, sistema operacional, firewall de rede (security groups). É aqui que entra a maior parte do trabalho de compliance LGPD

Na perspectiva da LGPD, sua empresa é o controlador dos dados pessoais (decide por que e como os dados são processados), e a AWS é o operador (processa os dados conforme as instruções do controlador). A AWS oferece um Adendo de Processamento de Dados (DPA) que formaliza essa relação e atende ao Art. 39 da LGPD.

Residência de dados: onde ficam os dados pessoais

Um dos pontos mais discutidos da LGPD é a questão de onde os dados ficam armazenados. A lei permite a transferência internacional de dados desde que atendidos os requisitos do Art. 33, mas manter dados no Brasil simplifica o compliance.

Região de São Paulo (sa-east-1): a AWS possui 3 zonas de disponibilidade em São Paulo, permitindo manter todos os dados pessoais no Brasil com alta disponibilidade
S3 Bucket Policies: use condições de bucket policy para impedir que dados sejam copiados para regiões fora do Brasil
AWS Organizations SCPs: Service Control Policies podem restringir quais regiões os usuários podem usar, prevenindo que recursos sejam criados acidentalmente fora de sa-east-1
AWS Config Rules: crie regras para detectar automaticamente se algum recurso com dados pessoais foi criado fora da região permitida

"Restringir o uso de regiões via SCPs é uma das primeiras ações que recomendamos para clientes que precisam de compliance LGPD. É simples de implementar e elimina o risco de dados pessoais acabarem em regiões não autorizadas."

Criptografia: proteção de dados em repouso e em trânsito

A LGPD exige medidas técnicas para proteger dados pessoais (Art. 46). A criptografia é a medida técnica mais importante e a AWS oferece recursos robustos para isso:

Criptografia em repouso

AWS KMS (Key Management Service): serviço gerenciado de chaves de criptografia. Permite criar, gerenciar e auditar o uso de chaves. Suporta rotação automática de chaves e integração nativa com mais de 100 serviços AWS
S3 Server-Side Encryption: habilite SSE-KMS ou SSE-S3 para criptografar todos os objetos automaticamente. Use bucket policies para rejeitar uploads sem criptografia
EBS Encryption: ative criptografia padrão na conta para que todos os novos volumes EBS sejam criados com criptografia
RDS Encryption: habilite criptografia na criação da instância RDS. Todos os backups automáticos, réplicas e snapshots também serão criptografados
AWS CloudHSM: para requisitos mais rigorosos, o CloudHSM oferece módulos de segurança de hardware dedicados com certificação FIPS 140-2 Level 3

Criptografia em trânsito

TLS/SSL: use HTTPS para todas as comunicações. O AWS Certificate Manager (ACM) fornece certificados SSL/TLS gratuitos
VPN e Direct Connect: conexões entre o escritório e a AWS devem usar VPN Site-to-Site ou Direct Connect com criptografia
Enforce SSL em endpoints: configure bucket policies no S3 e policies no RDS para rejeitar conexões sem TLS

Controle de acesso: quem pode acessar dados pessoais

O princípio do menor privilégio é essencial para a LGPD. Somente pessoas e sistemas autorizados devem ter acesso a dados pessoais. A AWS oferece um ecossistema completo de controle de acesso, detalhado no nosso guia de IAM e Zero Trust:

AWS IAM: crie políticas granulares que limitam o acesso a recursos específicos. Use conditions para restringir acesso por IP, horário, MFA e tags
IAM Identity Center (SSO): centralize o gerenciamento de identidades e implemente MFA obrigatório para todos os usuários
Permission Boundaries: defina limites máximos de permissão para usuários e roles, prevenindo escalação de privilégios
Resource-based Policies: use bucket policies no S3 e key policies no KMS para controlar quem pode acessar dados específicos
AWS Secrets Manager: armazene credenciais, chaves de API e senhas de banco de dados com rotação automática. Nunca armazene credenciais em código ou variáveis de ambiente não criptografadas

Trilhas de auditoria: quem acessou o que e quando

A LGPD exige que o controlador demonstre compliance (accountability, Art. 6). Trilhas de auditoria completas são fundamentais para isso:

AWS CloudTrail: registra todas as chamadas de API na conta AWS (quem fez o que, quando, de onde). Habilite em todas as regiões e envie os logs para um bucket S3 com proteção contra exclusão (Object Lock)
S3 Access Logs: registre todos os acessos a buckets que contém dados pessoais
RDS Audit Logs: habilite audit logging nos bancos de dados para registrar queries e acessos
VPC Flow Logs: registre o tráfego de rede para identificar acessos não autorizados
AWS Config: registre o histórico de configurações de todos os recursos e detecte alterações que violem políticas de compliance
Amazon CloudWatch Logs: centralize logs de aplicação e infraestrutura com retenção configurável

Descoberta e classificação de dados pessoais

Você não pode proteger o que não conhece. Identificar onde estão os dados pessoais no seu ambiente é o primeiro passo:

Amazon Macie: usa machine learning para descobrir, classificar e proteger dados sensíveis armazenados no S3. Identifica automaticamente CPFs, e-mails, números de cartão de crédito e outros dados pessoais
Inventário de dados: mantenha um registro de atividades de tratamento (ROPA) documentando quais dados pessoais existem, onde estão armazenados, quem tem acesso e qual a base legal para o tratamento
Tags de classificação: use tags nos recursos AWS para classificar dados por nível de sensibilidade (público, interno, confidencial, dados pessoais, dados sensíveis)

Direitos dos titulares: como atender na prática

A LGPD garante direitos aos titulares dos dados (Art. 18) que precisam ser atendidos técnicamente:

Acesso e portabilidade (Art. 18, II e V): implemente APIs ou processos que permitam exportar os dados pessoais de um titular em formato estruturado. Use o S3 Select ou Athena para consultar dados armazenados no S3
Correção (Art. 18, III): implemente processos para atualizar dados pessoais em todos os sistemas onde estão armazenados
Eliminação (Art. 18, VI): implemente processos de exclusão que cubram todos os repositórios (banco de dados, S3, backups, caches, logs). Use S3 Lifecycle Policies para exclusão automática de dados após o período de retenção
Revogação de consentimento (Art. 18, IX): implemente mecanismos para registrar e revogar consentimento, interrompendo imediatamente o tratamento de dados

Notificação de incidentes

A LGPD exige que incidentes de segurança envolvendo dados pessoais sejam comunicados a ANPD e aos titulares (Art. 48). Para detectar e responder rapidamente:

Amazon GuardDuty: detecta ameaças automaticamente usando ML, analisando CloudTrail, VPC Flow Logs e DNS Logs. Alerta sobre acessos suspeitos, mineração de criptomoedas e exfiltração de dados
AWS Security Hub: centraliza findings de segurança de múltiplos serviços (GuardDuty, Macie, Inspector) em um dashboard único
Plano de resposta a incidentes: documente os procedimentos de resposta, incluindo quem notificar, em que prazo e quais ações tomar. Pela Resolução CD/ANPD nº 15/2024, a notificação à ANPD deve ocorrer em até 3 dias úteis a partir do conhecimento do incidente
AWS Systems Manager Incident Manager: automatize o processo de resposta a incidentes com runbooks predefinidos

Considerações sobre o DPO (Encarregado de Dados)

A LGPD exige a nomeação de um Encarregado de Dados (DPO) que atua como ponto de contato entre a empresa, os titulares e a ANPD. Em relação ao ambiente AWS:

O DPO deve ter acesso de leitura aos logs de auditoria e relatórios de compliance
Configure dashboards no CloudWatch e Security Hub para que o DPO acompanhe o status de segurança
Documente as medidas técnicas implementadas para que o DPO possa demonstrar compliance quando solicitado
Use o AWS Artifact para acessar relatórios de compliance da própria AWS (SOC, ISO, PCI) que complementam a documentação

Checklist de compliance LGPD na AWS

Use este checklist como ponto de partida para adequar seu ambiente AWS à LGPD:

Restringir criação de recursos apenas na região de São Paulo (sa-east-1) via SCPs
Habilitar criptografia em repouso para todos os serviços (S3, EBS, RDS, DynamoDB)
Enforce TLS/SSL para todas as comunicações (HTTPS, conexões de banco de dados)
Implementar MFA obrigatório para todos os usuários IAM
Habilitar CloudTrail em todas as regiões com logs protegidos contra exclusão
Configurar Amazon Macie para scanear buckets S3 em busca de dados pessoais
Habilitar GuardDuty para detecção de ameaças
Configurar AWS Config com regras de compliance automatizadas
Documentar o Registro de Atividades de Tratamento (ROPA)
Implementar processos para atender direitos dos titulares (acesso, correção, exclusão)
Criar e testar o plano de resposta a incidentes
Assinar o DPA (Adendo de Processamento de Dados) da AWS

Comandos e configurações para compliance LGPD

Estes comandos ajudam a implementar e auditar os controles técnicos exigidos pela LGPD no seu ambiente AWS.

Restringir criação de recursos à região sa-east-1 via SCP

# SCP para bloquear criação de recursos fora de sa-east-1
# Aplique via AWS Organizations na OU de produção
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "DenyNonBrazilRegions",
      "Effect": "Deny",
      "NotAction": [
        "iam:*",
        "organizations:*",
        "sts:*",
        "support:*",
        "budgets:*",
        "cloudfront:*",
        "route53:*",
        "wafv2:*"
      ],
      "Resource": "*",
      "Condition": {
        "StringNotEquals": {
          "aws:RequestedRegion": "sa-east-1"
        }
      }
    }
  ]
}

Configurar Amazon Macie para detectar dados pessoais

# Habilitar Macie na conta
aws macie2 enable-macie --region sa-east-1

# Criar job de classificação para scanear buckets com dados de clientes
aws macie2 create-classification-job \
  --job-type ONE_TIME \
  --name "scan-dados-pessoais-$(date +%Y%m%d)" \
  --s3-job-definition '{
    "bucketDefinitions": [{
      "accountId": "123456789012",
      "buckets": ["dados-clientes-prod", "uploads-documentos"]
    }]
  }' \
  --managed-data-identifier-selector ALL \
  --region sa-east-1

# Listar findings de dados sensíveis encontrados
aws macie2 list-findings \
  --finding-criteria '{
    "criterion": {
      "severity.description": {"eq": ["High", "Medium"]},
      "category": {"eq": ["CLASSIFICATION"]}
    }
  }' \
  --sort-criteria '{"attributeName": "severity.score", "orderBy": "DESC"}' \
  --region sa-east-1

# Ver detalhes de um finding específico
aws macie2 get-findings --finding-ids '["finding-id-aqui"]' --region sa-east-1

Auditoria de criptografia e acesso

# Verificar buckets S3 sem criptografia padrão
aws s3api list-buckets --query 'Buckets[*].Name' --output text | tr '\t' '\n' | while read bucket; do
  enc=$(aws s3api get-bucket-encryption --bucket "$bucket" 2>&1)
  if echo "$enc" | grep -q "ServerSideEncryptionConfigurationNotFoundError"; then
    echo "SEM CRIPTOGRAFIA: $bucket"
  fi
done

# Verificar volumes EBS sem criptografia
aws ec2 describe-volumes \
  --filters "Name=encrypted,Values=false" \
  --query 'Volumes[*].[VolumeId,Size,State,Attachments[0].InstanceId]' \
  --output table

# Listar instâncias RDS sem criptografia
aws rds describe-db-instances \
  --query 'DBInstances[?StorageEncrypted==`false`].[DBInstanceIdentifier,Engine,DBInstanceClass]' \
  --output table

# Verificar CloudTrail com proteção contra exclusão
aws cloudtrail describe-trails \
  --query 'trailList[*].[Name,IsMultiRegionTrail,LogFileValidationEnabled,KmsKeyId]' \
  --output table

# Gerar relatório de credenciais IAM para auditoria
aws iam generate-credential-report
aws iam get-credential-report --query 'Content' --output text | base64 -d > credential-report.csv

Config Rules para compliance automatizado

# Habilitar AWS Config (pré-requisito para regras automatizadas)
aws configservice put-configuration-recorder \
  --configuration-recorder name=default,roleARN=arn:aws:iam::123456789012:role/aws-service-role/config.amazonaws.com/AWSServiceRoleForConfig \
  --recording-group allSupported=true,includeGlobalResourceTypes=true

# Regras recomendadas para LGPD
# 1. S3 buckets devem ter criptografia
aws configservice put-config-rule --config-rule '{
  "ConfigRuleName": "lgpd-s3-encryption",
  "Source": {"Owner": "AWS", "SourceIdentifier": "S3_BUCKET_SERVER_SIDE_ENCRYPTION_ENABLED"}
}'

# 2. EBS volumes devem ter criptografia
aws configservice put-config-rule --config-rule '{
  "ConfigRuleName": "lgpd-ebs-encryption",
  "Source": {"Owner": "AWS", "SourceIdentifier": "ENCRYPTED_VOLUMES"}
}'

# 3. RDS deve ter criptografia
aws configservice put-config-rule --config-rule '{
  "ConfigRuleName": "lgpd-rds-encryption",
  "Source": {"Owner": "AWS", "SourceIdentifier": "RDS_STORAGE_ENCRYPTED"}
}'

# 4. CloudTrail habilitado
aws configservice put-config-rule --config-rule '{
  "ConfigRuleName": "lgpd-cloudtrail-enabled",
  "Source": {"Owner": "AWS", "SourceIdentifier": "CLOUD_TRAIL_ENABLED"}
}'

# 5. MFA habilitado para root
aws configservice put-config-rule --config-rule '{
  "ConfigRuleName": "lgpd-root-mfa",
  "Source": {"Owner": "AWS", "SourceIdentifier": "ROOT_ACCOUNT_MFA_ENABLED"}
}'

# Verificar status de compliance de todas as regras
aws configservice describe-compliance-by-config-rule \
  --query 'ComplianceByConfigRules[*].[ConfigRuleName,Compliance.ComplianceType]' \
  --output table

Gotchas de LGPD na AWS

CloudFront distribui dados globalmente: mesmo com origem em sa-east-1, o CloudFront cacheia conteúdo em edge locations ao redor do mundo. Se seus dados pessoais não podem sair do Brasil, restrinja a distribuição para edge locations brasileiras usando geo restriction ou use apenas o ALB.
Backups cross-region violam residência de dados: AWS Backup e S3 CRR podem copiar dados para outras regiões automaticamente. Se você tem requisito de residência de dados no Brasil, garanta que backups fiquem apenas em sa-east-1.
Logs do CloudWatch podem conter dados pessoais: aplicações frequentemente logam dados de usuários (email, CPF, IP). Configure filtros de log e retenção adequada. Considere mascarar dados pessoais antes de logar.
O DPA da AWS precisa ser assinado: acesse o AWS Artifact e assine o Data Processing Addendum (DPA). Sem ele, você não tem base contratual para o tratamento de dados pela AWS como operadora.
Exclusão de dados no S3 com versionamento não é simples: deletar um objeto em um bucket versionado apenas cria um delete marker. As versões anteriores permanecem. Para atender o direito de exclusão da LGPD, você precisa deletar todas as versões e configurar lifecycle rules para expirar versões antigas.

Na Prática: healthtech adequando plataforma de telemedicina

Cenário real: Uma healthtech em Recife com plataforma de telemedicina (150 mil pacientes cadastrados) precisava adequar o ambiente AWS à LGPD antes de uma auditoria da ANS. O ambiente tinha dados de saúde (categoria especial na LGPD) em buckets S3 sem criptografia, logs de aplicação contendo CPF e nome de pacientes, e recursos criados em us-east-1 por desenvolvedores que esqueceram de trocar a região.

Solução implementada: SCP bloqueando regiões fora de sa-east-1. Amazon Macie para varredura semanal de dados pessoais em S3 (encontrou CPFs e dados de saúde em 4 buckets não catalogados). Criptografia KMS com chave gerenciada pelo cliente para todos os serviços. CloudTrail com log file validation e proteção MFA Delete no bucket de logs. Config Rules automatizadas para 12 controles LGPD. Mascaramento de dados pessoais nos logs de aplicação via filtro no CloudWatch. DPA assinado via AWS Artifact.

Resultado: Auditoria da ANS aprovada sem ressalvas. Macie identificou e classificou 2,3 milhoes de objetos contendo dados de saúde. Tempo para atender solicitações de exclusão de dados (direito do titular) caiu de 15 dias manuais para 4 horas com automação via Step Functions. 100% dos recursos agora em sa-east-1 com SCP impedindo criação em outras regiões. Dashboard de compliance no Security Hub com visibilidade em tempo real para o DPO.

KPIs para o Decisor

Score de compliance no Config/Security Hub: percentual de regras de compliance em estado "COMPLIANT". Medido diariamente via AWS Config dashboard. Alvo: acima de 95% para regras LGPD.
Cobertura de criptografia: percentual de recursos de armazenamento (S3, EBS, RDS, DynamoDB) com criptografia ativa. Medido via Config Rules. Alvo: 100%.
Tempo de resposta a solicitações de titulares: dias corridos para atender pedidos de acesso, correção ou exclusão de dados. Medido por ticket de suporte. Alvo: inferior a 5 dias úteis (LGPD permite até 15).
Dados pessoais fora de sa-east-1: número de recursos contendo dados pessoais em regiões fora do Brasil. Medido via Macie + Config. Alvo: zero.
Findings de Macie não resolvidos: número de findings de dados sensíveis em aberto há mais de 7 dias. Medido semanalmente. Alvo: zero findings de alta severidade em aberto.
Cobertura de auditoria (CloudTrail): percentual de regiões com CloudTrail ativo e log validation habilitado. Alvo: 100% das regiões com multi-region trail.

Próximos passos

A adequação à LGPD na nuvem é um processo contínuo que exige atenção técnica e jurídica. A boa notícia é que a AWS oferece todos os recursos necessários para implementar os controles exigidos pela lei. O desafio está em configurar e manter esses controles de forma consistente.

Na RFX Tecnologia, oferecemos consultoria especializada em segurança e compliance na AWS e já ajudamos diversas empresas a adequar seus ambientes cloud à LGPD. Nosso time combina expertise técnica em AWS com conhecimento dos requisitos regulatórios brasileiros para entregar uma solução completa.

Se você precisa adequar seu ambiente AWS à LGPD, entre em contato conosco ou agende uma consulta gratuita. Confira também nosso guia completo de segurança na nuvem para mais informações sobre boas práticas de proteção.

LGPD Compliance AWS Segurança