O problema começa quando o equipamento sai da sua mesa. Toda empresa troca computadores. Notebooks que completaram o ciclo de vida, desktops substituídos em refresh tecnológico, servidores desativados em migração para nuvem. A questão é: o que acontece com os dados que estavam nesses equipamentos depois que eles saem do domínio da TI?

A resposta, em boa parte das organizações brasileiras, é preocupante. O técnico formata o disco, o equipamento vai para um depósito, e eventualmente é vendido, doado ou descartado. Parece razoável. Só que formatar um HD não elimina os dados — apenas remove a referência a eles na tabela de partição. Com ferramentas gratuitas disponíveis na internet, qualquer pessoa com conhecimento básico consegue recuperar boa parte do conteúdo.

E aqui entra o ponto que muitos gestores ainda subestimam: a LGPD e o descarte de equipamentos estão diretamente conectados. Se dados pessoais de clientes, colaboradores ou parceiros ficaram gravados naquele disco, sua empresa continua responsável por eles — mesmo depois de o notebook ter sido vendido num lote de usados.

Formatação, apagamento lógico e sanitização certificada: três coisas bem diferentes

Existe uma confusão comum entre esses termos, e ela custa caro. Gestores de TI que tratam os três como sinônimos estão expondo a empresa a riscos reais de vazamento de dados eletrônico sem saber.

Formatação simples

Quando você formata um disco rígido — aquele “Formatar” do Windows ou o comando format no terminal — o sistema operacional apaga o índice que diz onde cada arquivo está gravado. Os dados continuam lá, fisicamente, nos setores do disco. É como arrancar o sumário de um livro: os capítulos não desaparecem.

Qualquer software de recuperação de dados, como Recuva ou PhotoRec, consegue reconstruir boa parte dos arquivos. Estamos falando de planilhas com CPFs, contratos, e-mails com dados sensíveis, backups de bancos de dados. Tudo ali, acessível.

Apagamento lógico (overwrite simples)

Um passo acima da formatação. Aqui, um software sobrescreve os setores do disco com zeros ou dados aleatórios. Dependendo do número de passadas e do método usado, o apagamento seguro de dados pode ser eficaz para discos magnéticos convencionais (HDDs). Mas tem limitações sérias em SSDs, onde o firmware distribui as gravações de forma não linear (wear leveling), e áreas do disco podem ficar intocadas mesmo após o overwrite.

Em resumo: resolve parte do problema, mas não gera evidência auditável e pode falhar silenciosamente em mídias modernas.

Sanitização certificada

Esse é o nível que a LGPD e os padrões internacionais de segurança exigem. A sanitização de dados segue métodos documentados, validados e auditáveis. Ao final do processo, a empresa recebe um certificado de destruição vinculado ao número de série de cada equipamento ou disco, comprovando que os dados foram eliminados de forma irrecuperável.

A diferença prática? Se a ANPD bater na sua porta perguntando como você descartou os dados pessoais daquele lote de 200 notebooks, você tem um documento que responde a pergunta. Sem certificado, você tem uma explicação verbal — e explicação verbal não sobrevive a uma auditoria.

Os métodos NIST 800-88 e DoD 5220.22-M explicados sem jargão desnecessário

Dois padrões dominam o mercado de sanitização. Um vem do governo americano (NIST), outro do Departamento de Defesa (DoD). Ambos são referenciados em contratos corporativos, políticas de segurança e termos de conformidade no Brasil.

NIST 800-88 (Guidelines for Media Sanitization)

Publicado pelo National Institute of Standards and Technology, o NIST 800-88 define três níveis de sanitização, cada um com um grau diferente de irreversibilidade:

1. Clear — Sobrescreve os dados com métodos lógicos. Protege contra recuperação por ferramentas comuns, mas não contra técnicas de laboratório. Indicado para equipamentos que vão ser reutilizados dentro da mesma organização.
2. Purge — Usa técnicas que tornam os dados irrecuperáveis mesmo com ferramentas avançadas de forensics. Inclui comandos nativos de apagamento seguro em SSDs (como o Secure Erase ATA) e sobrescrita intensiva em HDDs. Indicado para equipamentos que serão vendidos, doados ou transferidos.
3. Destroy — Destruição física da mídia. Inclui degaussing (desmagnetização), trituração, incineração ou desintegração. Indicado para dados classificados ou quando o disco tem defeito e não aceita comandos de software.

O NIST 800-88 é o padrão mais aceito globalmente e tem uma vantagem prática: ele orienta a escolha do método com base no nível de confidencialidade dos dados e no destino do equipamento. Não é “destrua tudo sempre” — é uma decisão baseada em risco.

DoD 5220.22-M

Mais antigo, o padrão do Departamento de Defesa americano especifica um processo de sobrescrita em múltiplas passadas (originalmente três, com padrões de zeros, uns e dados aleatórios, seguidos de verificação). Foi referência por muitos anos, mas o próprio DoD já migrou para o NIST 800-88 em suas diretrizes atuais.

Ainda é citado em muitos contratos e políticas de segurança brasileiras — um pouco por inércia, um pouco porque soa mais rigoroso. Na prática, o método NIST Purge é mais adequado para mídias modernas, especialmente SSDs, onde o DoD 5220.22-M simplesmente não consegue acessar todas as áreas de armazenamento.

Descarte de Equipamentos: Casos reais que mostram o tamanho do problema

Não é cenário hipotético. Vazamentos por descarte inadequado de equipamentos acontecem com frequência, e alguns ficaram públicos o suficiente para servir de lição.

Em 2019, pesquisadores da Universidade de Hertfordshire (Reino Unido) compraram 200 HDs usados no eBay e em feiras de usados. Dois terços ainda continham dados recuperáveis — incluindo registros médicos, documentos financeiros e fotos pessoais. Alguns discos vieram de empresas que, em tese, tinham políticas de segurança.

No Brasil, o cenário não é diferente. Em 2020, a imprensa noticiou que HDs descartados por órgãos públicos foram encontrados em feiras de eletrônicos no centro de São Paulo com dados de cidadãos acessíveis. Não houve formatação, nem apagamento, nem nada — os discos simplesmente saíram do órgão e foram vendidos como sucata.

Menos espetacular mas igualmente danoso: empresas que devolvem notebooks de leasing sem sanitização adequada. O notebook volta para a locadora, é recondicionado e vendido a terceiros. Se havia planilhas com dados de RH, contratos com fornecedores ou relatórios financeiros no disco, esses dados agora estão nas mãos de um desconhecido.

O padrão se repete. A empresa cuida da segurança enquanto o equipamento está na rede, mas abandona o controle no momento do descarte. É como ter um cofre blindado e deixar a porta aberta quando muda de escritório.

Se sua operação inclui refresh de equipamentos ou devolução de máquinas locadas, vale considerar um parceiro com processo estruturado. A Omega Brasil oferece serviço de ITAD e descarte certificado que cobre desde a coleta até a emissão do certificado de destruição vinculado ao número de série de cada disco.

O que a LGPD diz sobre o descarte de dados — e por que o controlador não escapa

A Lei Geral de Proteção de Dados (Lei 13.709/2018) é clara em alguns pontos que afetam diretamente o descarte de equipamentos.

O artigo 16 determina que dados pessoais devem ser eliminados após o término do tratamento, salvo exceções legais. O artigo 46 exige que o controlador adote medidas técnicas e administrativas aptas a proteger dados pessoais de acessos não autorizados e de situações de destruição, perda ou qualquer forma de tratamento inadequado.

A palavra-chave aqui é controlador. Segundo a LGPD, o controlador é a pessoa ou empresa que toma as decisões sobre o tratamento de dados pessoais. Quando você descarta um equipamento que contém dados de clientes ou colaboradores, a responsabilidade pela eliminação segura é sua — não do técnico que formatou, não da empresa de reciclagem, não do comprador do lote de usados.

Se um disco rígido descartado pela sua empresa for encontrado com dados pessoais acessíveis, é a sua empresa que responde perante a ANPD. O artigo 42 prevê que o controlador que causar dano patrimonial, moral ou coletivo em violação à legislação de proteção de dados é obrigado a repará-lo. E o artigo 52 lista sanções que vão de advertência a multa de até 2% do faturamento, limitada a R$ 50 milhões por infração.

Tem outro detalhe que costuma passar despercebido: a terceirização do descarte não transfere a responsabilidade. Você pode contratar uma empresa de ITAD para sanitizar seus equipamentos, mas se essa empresa fizer um trabalho mal feito, quem responde continua sendo o controlador. Por isso a escolha do parceiro e a exigência de certificados rastreáveis são tão importantes.

O certificado de destruição não é burocracia — é a sua prova

Um certificado de destruição de dados, quando feito corretamente, registra: o método de sanitização utilizado (Clear, Purge ou Destroy), o número de série do disco ou equipamento, a data e hora do processo, o resultado da verificação pós-sanitização e a identificação do responsável técnico.

Parece detalhe operacional, mas esse documento é o que separa uma empresa que consegue responder a uma auditoria de uma que precisa torcer para ninguém perguntar.

Imagine o cenário: sua empresa sofre um incidente de vazamento de dados. Na investigação, descobre-se que os dados vazaram de um HD que deveria ter sido destruído há seis meses. A ANPD pede evidência do descarte. Se você tem o certificado com número de série, método utilizado e verificação, demonstra que cumpriu sua obrigação. Se não tem, boa sorte explicando que “o técnico formatou”.

Empresas que lidam com volumes grandes de equipamentos — e no Brasil isso inclui bancos, operadoras de saúde, seguradoras, indústrias com centenas de estações de trabalho — precisam de um processo que gere esses certificados de forma sistemática, por equipamento, com rastreabilidade ponta a ponta.

Quando a destruição física é a única opção segura

Nem sempre a sanitização por software resolve. Existem situações em que a destruição de HD por meios físicos é a única alternativa confiável:

• Discos com defeito que não aceitam comandos de software (bad sectors extensivos, firmware corrompido, falha mecânica)
• Mídias com dados de altíssima sensibilidade, como informações classificadas, segredos industriais ou dados de saúde em volume
• SSDs antigos cujo firmware não suporta comandos de Secure Erase adequados
• Exigência contratual ou regulatória específica de destruição física

Degaussing (desmagnetização)

Um degausser gera um campo magnético forte o suficiente para desorganizar completamente as partículas magnéticas do disco, tornando os dados irrecuperáveis. Funciona bem para HDDs e fitas magnéticas (LTO). Não funciona para SSDs, porque a tecnologia de armazenamento é diferente — SSD usa memória flash, não magnetismo.

Detalhe que muita gente ignora: após o degaussing, o HD fica inutilizável. Não é possível reutilizá-lo. Se o objetivo é reaproveitar o equipamento (venda, doação, uso interno), degaussing não é o caminho.

Trituração (shredding)

Máquinas industriais de trituração reduzem discos rígidos e SSDs a fragmentos de poucos milímetros. É o método mais definitivo e funciona para qualquer tipo de mídia. Empresas de ITAD sérias fazem esse processo de forma documentada, com registro fotográfico e certificado vinculado ao número de série.

(Um parêntese: já vi empresa que “destruiu” HDs com furadeira. Dois furos no prato do disco. Parece drástico, mas os dados nos setores não perfurados continuam acessíveis com equipamento de laboratório. Furadeira não é método de destruição certificada, por mais satisfatório que seja o gesto.)

Para empresas que precisam de sanitização por software com certificação NIST 800-88 ou destruição física documentada, a Omega Brasil mantém processos de sanitização certificada de dados e destruição segura de mídias com rastreabilidade por número de série.

Qual método escolher? Depende do contexto, não do medo

A decisão entre Clear, Purge e Destroy não precisa ser dramática. O NIST 800-88 orienta essa escolha com base em duas variáveis: o nível de confidencialidade dos dados e o que vai acontecer com o equipamento depois.

Se o notebook vai ser redistribuído internamente para outro departamento, um processo Clear com verificação pode ser suficiente. Se vai ser vendido ou doado, Purge é o mínimo. Se o disco tem dados sensíveis e vai ser descartado, Destroy elimina qualquer dúvida.

O erro mais comum que vejo em empresas brasileiras é tratar todos os equipamentos da mesma forma: ou formatam tudo superficialmente (risco alto) ou querem triturar tudo (custo desnecessário). A abordagem inteligente é classificar por risco e aplicar o método proporcional. Até porque triturar 500 discos que poderiam ser sanitizados por software custa significativamente mais — e o CFO vai querer saber por quê.

A sanitização de dados cabe na sua política de segurança da informação?

Se sua empresa tem uma política de segurança da informação — e deveria ter — o descarte de equipamentos e mídias precisa estar coberto. Não como um parágrafo genérico dizendo “dados devem ser eliminados de forma segura”, mas como um procedimento detalhado: quem autoriza o descarte, qual método é usado para cada tipo de mídia, quem executa, como o certificado é armazenado e por quanto tempo.

Empresas que operam sob ISO 27001 já têm essa exigência no controle A.8.10 (eliminação de mídias) da versão 2022 da norma. Mas mesmo sem certificação ISO, a LGPD já cria essa obrigação de forma implícita — porque se você não consegue comprovar a eliminação, não consegue demonstrar conformidade.

Outro ponto: a Política Nacional de Resíduos Sólidos (Lei 12.305/2010) também se aplica ao descarte de equipamentos eletrônicos. Simplesmente jogar HDs no lixo, além de ser um risco de segurança, é infração ambiental. O descarte precisa seguir diretrizes de logística reversa e destinação adequada de resíduos eletroeletrônicos (REEE).

O descarte seguro também é pauta de DPO

O encarregado de proteção de dados (DPO) precisa estar envolvido no processo de descarte de equipamentos. Não é assunto só de infraestrutura ou de patrimônio. Se existem dados pessoais nos equipamentos — e quase sempre existem, mesmo que não sejam óbvios — o DPO tem a obrigação de garantir que a eliminação atende aos requisitos da LGPD.

Na prática, isso significa que o DPO deveria validar o procedimento de sanitização, exigir os certificados de destruição e manter esses registros acessíveis para eventual solicitação da ANPD ou para responder exercícios de direito dos titulares (como o direito à eliminação previsto no artigo 18, inciso VI).

Sei que em muitas empresas o DPO é um advogado que acumula a função e nem sabe que a TI descartou 50 notebooks no mês passado. Esse desalinhamento é exatamente o tipo de brecha que gera problemas.

Resumo prático para quem precisa agir

Para fechar sem rodeios, aqui vai o que você precisa verificar na sua operação:

• Formatação simples não é sanitização. Se sua empresa faz só isso antes de descartar equipamentos, há risco real de vazamento.
• A LGPD responsabiliza o controlador pela eliminação de dados pessoais, mesmo quando o descarte é terceirizado.
• Os métodos NIST 800-88 (Clear, Purge, Destroy) são o padrão de referência. Escolha com base no nível de confidencialidade e no destino do equipamento.
• O certificado de destruição com número de série por equipamento é sua evidência de conformidade. Sem ele, você está vulnerável em qualquer auditoria.
• Destruição física (degaussing, trituração) é indicada para discos defeituosos, SSDs antigos ou dados de altíssima sensibilidade.
• DPO, gestão de TI e patrimônio precisam conversar. Descarte de equipamentos é pauta de segurança da informação, compliance e meio ambiente ao mesmo tempo.

A Omega Brasil realiza sanitização certificada de dados em conformidade com LGPD e NIST 800-88, com certificado de destruição por equipamento, rastreabilidade completa e destinação ambientalmente adequada de resíduos eletrônicos. Solicite o serviço de destruição segura de dados com a Omega Brasil.