O que a proteção de dados significa na construção de produto — minimização de dados, subcontratação, transferências para países terceiros.
Categoria · Segurança & Compliance
O que o RGPD significa na construção de produto.
O Regulamento Geral sobre a Proteção de Dados regula como os dados pessoais podem ser tratados. Na construção de produto, isto significa sobretudo três coisas: minimização de dados (recolher apenas o que é realmente necessário), limitação da finalidade (usar os dados só para o fim original) e uma base legal para cada tratamento.
Na prática, isto reflete-se já no modelo de dados: que campos são sequer necessários, durante quanto tempo são guardados, e como se apagam de novo de forma fiável.
Onde compensa no projeto.
Assim que prestadores externos tratam dados — alojamento, envio de email, analytics —, é preciso um contrato de subcontratação (AVV/DPA). Com fornecedores dos EUA, junta-se a questão das transferências para países terceiros: sem uma base legal sustentável, tais ferramentas não pertencem a um sistema em produção.
Construímos conceitos de eliminação, vias de acesso e de exportação desde o início, em vez de os acrescentar mais tarde. Como operador certificado ISO 27001, conhecemos a diferença entre proteção de dados no papel e na operação corrente.
O que o RGPD não é.
O RGPD não é um obstáculo a bons produtos nem um salvo-conduto para a paralisia. Mas não substitui aconselhamento jurídico: implementamos medidas técnicas e organizativas, a avaliação jurídica caso a caso continua a ser tarefa de encarregados da proteção de dados e juristas.
