GDPR Developer Guide ptBR

Para ajudar os desenvolvedores da Web e de aplicativos a tornar seu trabalho compatível com o GDPR, a CNIL elaborou um novo guia de boas práticas sob uma licença de código aberto, que deve ser enriquecida por profissionais.

Este guia é publicado sob licença GPLv3 e sob a open license 2.0 (explicitamente compatível com CC-BY 4.0 FR). Você pode contribuir livremente para sua redação..

A versão Francesa é a versão autêntica deste guia.

Este guia é apenas para desenvolvedores?

Este guia é voltado principalmente para desenvolvedores que trabalham sozinhos ou em equipes, líderes de equipe, provedores de serviços, mas também para qualquer pessoa interessada no desenvolvimento de aplicativos ou web.

Ele fornece conselhos e melhores práticas e, portanto, fornece chaves úteis para entender o GDPR para cada parte interessada, independentemente do tamanho de sua estrutura. Também pode estimular discussões e práticas nas organizações e nos relacionamentos com os clientes.

O que contém o guia?

Este guia está dividido em 16 folhas temáticas, que cobrem a maioria das necessidades dos desenvolvedores em cada estágio do projeto, desde a preparação do desenvolvimento até o uso de analytics.

O Regulamento Geral de Proteção de Dados (ou RGPD) especifica que a proteção dos direitos e liberdades das pessoas singulares exige que “sejam tomadas as medidas técnicas e organizacionais adequadas para garantir o cumprimento dos requisitos do presente regulamento” (considerando 78) .

A determinação dessas medidas está necessariamente relacionada ao contexto das operações de processamento implementadas, e o responsável pelo tratamento (a entidade pública ou privada que processa dados pessoais) deve, portanto, garantir a segurança dos dados que é chamado a processar .

As boas práticas deste guia ,portanto, não se destinam a cobrir todos os requisitos dos regulamentos nem a serem prescritivas, elas fornecem um primeiro nível de medidas para levar em conta os problemas de proteção da privacidade nos desenvolvimentos de TI que se destinam a serem aplicados a todos os projetos de processamento de dados. Dependendo da natureza do processamento realizado em certos casos, medidas adicionais deverão ser implementadas para cumprir totalmente os regulamentos.

Índice

0. Desenvolva em conformidade com o GDPR

1. Identificar dados pessoais

2. Prepare seu desenvolvimento

3. Protegendo seu ambiente de desenvolvimento

4. Gerenciar seu código fonte

5. Faça uma escolha informada da arquitetura

6. Protegendo seus sites, aplicativos e servidores

7. Minimizar a coleta de dados

8. Gerenciar perfis de usuário

9. Controle suas bibliotecas e SDKs

10. Garanta a qualidade do código e sua documentação

11. Teste seus aplicativos

12. Informar usuários

13. Prepare-se para exercer os direitos das pessoas

14. Definir um período de retenção de dados

15. Leve em consideração a base jurídica da implementação técnica

16. Use analytics em seus sites e aplicativos

Como posso contribuir para este guia?

Este guia está disponível em duas versões:

• Uma versão da web no site da CNIL e no guia the “Releases” tab deste repositório;
• Esta versão do GitHub, que oferece a possibilidade de todos contribuírem

A contribuição é feita em algumas etapas:

• Registre-se no Github;
• Vá para a página do projeto;
• Você pode:
  • Use uma “Issue” para abrir comentários ou participar da discussão
  • Use a opção “Fork” para fazer suas próprias modificações e propor sua inclusão através do botão “Pull Requests”.

Sua proposta de contribuição será examinada pelo autor deste projeto antes da publicação. A versão web do guia do desenvolvedor do RGPD será atualizada regularmente.

Uso

Para liberar esse repositório, você pode usar a ferramenta Pandoc. Essa ferramenta permitirá converter os registros em um arquivo docx ou documento HTML.

Você pode encontrar as instruções para instalar esta ferramenta aqui

• To generate a .docx file:

pandoc -s --toc --toc-depth=1 -o Guide_RGPD_developper.docx [0-9][0-9]*.md

• To generate an .html file:

pandoc -s --template="templates/mytemplate.html" -H templates/pandoc.css -o index.html README.md [0-9][0-9]*.md

Sheet n° 0: Desenvolva em conformidade com o GDPR

Se você trabalha sozinho, faz parte de uma equipe que desenvolve um projeto, gerencia uma equipe de desenvolvimento ou é um provedor de serviços que desenvolve desenvolvimentos para terceiros, é essencial garantir que os dados do usuário e todo o processamento de dados pessoais sejam suficientemente protegidos durante todo o ciclo de vida do projeto.

As etapas a seguir ajudarão você a desenvolver aplicativos ou sites amigáveis à privacidade:

1. Esteja ciente dos princípios fundamentais do GDPR. Se você trabalha em equipe, recomendamos que você identifique uma pessoa responsável por monitorar a conformidade. Se sua empresa possui um DPO (Data Protection Officer), essa pessoa é um ativo essencial para entender e cumprir as obrigações do GDPR. A nomeação de um DPO também pode ser obrigatória em alguns casos, por exemplo, se seus programas ou aplicativos processam os chamados dados “sensíveis” (veja exemplos) em larga escala ou realizam monitoramento regular e sistemático em larga escala.
2. Mapeie e categorize os dados e o processamento em seu sistema. O mapeamento preciso do processamento de dados realizado por seu programa ou aplicativo ajudará você a garantir que eles cumpram os requisitos legais. Manter um registro das atividades de processamento (um exemplo pode ser encontrado no site da CNIL) permite ter uma visão geral desses dados e identificar e priorizar os riscos associados. De fato, os dados pessoais podem estar presentes em locais inesperados, como em logs do servidor, arquivos de cache, arquivos do Excel etc., e podem ser armazenados em vários locais diferentes. Essa manutenção de registros é obrigatória na maioria dos casos
3. Priorize as ações necessárias. Com base no registro do processamento de dados, identifique as ações necessárias para cumprir as obrigações do GDPR antes do desenvolvimento e priorize os pontos de atenção com relação aos riscos que o processamento acarreta para os titulares dos dados. Esses pontos de atenção referem-se, em particular, à necessidade e aos tipos de dados coletados e processados pelo seu software, a base legal na qual suas operações de processamento de dados se baseiam, as informações mencionam do seu software ou aplicação, as cláusulas contratuais que o vinculam aos seus contratados, os termos e condições para o exercício dos direitos, as medidas implementadas para proteger seu processamento.

Sheet n°1: Identificar dados pessoais

Compreender as noções de “dados pessoais”, “finalidade” e “processamento” é essencial para garantir que o software cumpra a lei ao processar dados do usuário. Em particular, tome cuidado para não confundir “anonimização” e “pseudonimização”, que têm definições muito precisas e diferentes no RGPD.

Definição

• A noção de dados pessoais é definida no Regulamento Geral de Proteção de Dados (GDPR ) como “qualquer informação relativa a uma pessoa singular identificada ou identificável (referida como" titular dos dados ")”. Abrange um amplo escopo que inclui dados de identificação direta (por exemplo, nome e sobrenome) e dados de identificação indireta (por exemplo, número de telefone, placa do veículo, identificador de terminal etc.).

• Qualquer operação neste tipo de dados (coleta, gravação, transmissão, modificação, disseminação etc.) constitui processamento na acepção do GDPR e, portanto, deve atender aos requisitos estabelecidos por esse regulamento. Tais operações de processamento devem ser legais e ter um objetivo especificado. Os dados pessoais coletados e processados devem ser relevantes e limitados ao estritamente necessário para alcançar o objetivo.

Exemplos de dados pessoais

• No que se refere a pessoas singulares, os seguintes dados são dados pessoais:

  • Sobrenome, nome, pseudônimo, data de nascimento;
  • fotos, gravações sonoras de vozes;
  • número de telefone fixo ou móvel, endereço postal, endereço de e-mail;
  • Endereço IP, identificador de conexão do computador ou identificador de cookie;
  • Impressão digital, palma ou rede venosa da mão, impressão da retina;
  • Número da placa, número do seguro social, número de identificação;
  • Dados de uso do aplicativo, comentários, etc …

• A identificação de pessoas singulares pode ser realizada:

  • a partir de um único dado (exemplos: sobrenome e nome);
  • a partir do cruzamento de um conjunto de dados (exemplo: uma mulher que vive em tal e qual endereço, nascida em tal e tal dia e membro de tal e tal associação).

• Alguns dados são considerados particularmente sensíveis. O GDPR proíbe a coleta ou o uso de tais dados, a menos que, em particular, todos os titulares de dados envolvidos tenham dado seu consentimento expresso (consentimento ativo, explícito e de preferência por escrito, que deve ser gratuito, específico e informado).

• Esses requisitos dizem respeito aos seguintes dados:

  • dados relativos à saúde dos indivíduos;
  • dados sobre vida sexual ou orientação sexual;
  • dados revelando uma suposta origem racial ou étnica;
  • opiniões políticas, crenças religiosas, crenças filosóficas ou filiação sindical;
  • dados genéticos e biométricos utilizados com a finalidade de identificar exclusivamente um indivíduo.

Anonimização de dados pessoais

• Um processo de anonimização de dados pessoais visa impossibilitar a identificação de indivíduos nos conjuntos de dados. É, portanto, um processo irreversível. Quando essa anonimização é efetiva, os dados não são mais considerados dados pessoais e os requisitos do GDPR não são mais aplicáveis.

• Por padrão, recomendamos que você nunca considere conjuntos de dados brutos como anônimos. A anonimização resulta do processamento de dados pessoais para impedir irreversivelmente a identificação, seja por:

  • singling out: não é possível isolar alguns ou todos os registros que identificam um indivíduo no conjunto de dados;
  • linkability: o conjunto de dados não permite vincular dois ou mais registros referentes ao mesmo assunto ou a um grupo de dados;
  • inference: não é possível inferir, com probabilidade significativa, o valor de um atributo a partir dos valores de um conjunto de outros atributos.

• Essas operações de processamento de dados implicam na maioria dos casos perda de qualidade no conjunto de dados produzido. O grupo de trabalho do artigo 29.º (artigo 29.º do WP) parecer sobre técnicas de anonimização descreve o principais técnicas de anonimização usadas atualmente, bem como exemplos de conjuntos de dados considerados erroneamente anônimos. É importante observar que as técnicas de anonimização têm deficiências. A escolha entre anonimizar ou não os dados e a escolha de uma técnica de anonimização deve ser feita caso a caso, de acordo com os diferentes contextos de uso (natureza dos dados, utilidade dos dados, riscos para as pessoas etc.).

Pseudonimização de dados pessoais

• A pseudonimização é um compromisso entre reter dados brutos e produzir conjuntos de dados anonimizados.

• Refere-se ao processamento de dados pessoais de forma que os dados relativos a uma pessoa natural não possam mais ser atribuídos sem informações adicionais. O GDPR insiste que essas informações adicionais devem ser mantidas separadamente e estar sujeitas a medidas técnicas e organizacionais para evitar a re-identificação dos titulares dos dados. Diferentemente da anonimização, a pseudonimização pode ser um processo reversível.

• Na prática, um processo de pseudonimização consiste em substituir diretamente os dados de identificação (sobrenome, nome próprio etc.) em um conjunto de dados por dados de identificação indireta (alias, número em um sistema de arquivamento etc.) para reduzir sua sensibilidade. Eles podem resultar de um hash criptográfico dos dados de indivíduos, como endereço IP, ID do usuário e endereço de email.

• Os dados resultantes da pseudonimização são considerados dados pessoais e, portanto, permanecem sujeitos às obrigações do DPMR. No entanto, o Regulamento Europeu incentiva o uso de pseudonimização no processamento de dados pessoais. Além disso, o RGPD considera que a pseudonimização permite reduzir os riscos para os titulares de dados e contribuir para o cumprimento do regulamento.

Sheet n°2: Prepare seu desenvolvimento

Os princípios de proteção de dados pessoais devem ser integrados aos desenvolvimentos de TI a partir da fase de design, a fim de proteger a privacidade das pessoas cujos dados você processará, para proporcionar melhor controle sobre os dados e limitar erros. , perdas, modificações não autorizadas ou uso indevido de seus dados em aplicativos.

Escolhas metodológicas

• Coloque a proteção da privacidade no centro de seus desenvolvimentos adotando um Privacy By Design.

• Se você usar métodos ágeis para seus desenvolvimentos, considere integrar a segurança no centro do seu processo. O ANSSI disponibilizou um guia “segurança digital e agilidade” (somente em francês), que indica como conduzir seus desenvolvimentos na estrutura de um método ágil, levando em consideração os aspectos de segurança. Não hesite em se inspirar nisso.

• Para qualquer desenvolvimento destinado ao público em geral, considere as configurações de privacidade e, em particular, as configurações padrão, como as características e o conteúdo do usuário visíveis por padrão.

• Realize uma Avaliação de impacto na privacidade (PIA). Para certas operações de processamento é obrigatório. Noutros casos, é uma boa prática que lhe permitirá identificar e lidar com todos os riscos a montante dos seus desenvolvimentos. A CNIL possui uma seção especial em seu site e fornece um software livre dedicado a esse tipo de análise.

Escolhas tecnológicas

Arquitetura e recursos

• Inclua proteção de privacidade, incluindo requisitos de segurança de dados, no estágio de design do aplicativo ou serviço. Esses requisitos devem influenciar as opções de arquitetura (por exemplo, descentralizada vs. centralizada) ou na funcionalidade (por exemplo, anonimização a curto prazo, minimização de dados). As configurações padrão do aplicativo devem atender aos requisitos mínimos de segurança e cumprir a lei. Por exemplo, a complexidade padrão das senhas deve cumprir pelo menos a recomendação CNIL sobre senhas.

• Mantenha o controle do seu sistema. É importante manter o controle do seu sistema, tanto para garantir a operação adequada quanto para garantir um alto nível de segurança. Manter um sistema simples permite entender com precisão como ele funciona e identificar seus pontos fracos. Se uma certa complexidade for necessária, é aconselhável começar com um sistema simples, corretamente projetado e seguro. Em seguida, é possível aumentar a complexidade pouco a pouco, enquanto continua protegendo os novos recursos adicionados.

• Não confie em uma única linha de defesa. Apesar de todas as etapas adotadas para projetar um sistema seguro, pode acontecer que alguns componentes adicionados posteriormente possam não ser suficientemente seguros. Para minimizar o risco para os usuários finais, é aconselhável defender o sistema em profundidade. Por exemplo, verificar os dados inseridos em um formulário online faz parte das defesas da periferia. Se essa defesa for invadida, a proteção de consultas ao banco de dados poderá assumir o controle.

Ferramentas e práticas

• Use padrões de programação que levem em conta a segurança. Muitas vezes, já estão disponíveis listas de padrões, práticas recomendadas ou guias de codificação para melhorar a segurança de seus desenvolvimentos. As ferramentas auxiliares também podem ser integradas aos seus ambientes de desenvolvimento integrados (“IDE”) para verificar automaticamente se seu código está em conformidade com as várias regras que fazem parte desses padrões ou boas práticas. Você pode encontrar facilmente listas de boas práticas para sua linguagem de programação favorita na Internet. Por exemplo aqui para C, C ++ ou Java. Para o desenvolvimento de aplicativos da Web, existem guias específicos de boas práticas, como os publicados pela OWASP.

• As opções tecnológicas são críticas. Alguns parâmetros precisam ser levados em consideração:

  • Dependendo do campo de aplicação ou funcionalidade desenvolvida, uma linguagem ou tecnologia pode ser mais apropriado que outra.
  • Linguagens e tecnologias testadas pelo tempo são mais seguras. Em geral, eles foram auditados para corrigir as vulnerabilidades mais conhecidas. No entanto, você deve ter cuidado ao usar as versões mais recentes de cada um dos componentes básicos da tecnologia que você usará.
  • Você deve evitar codificar sua solução final em uma linguagem que você acabou de aprender e que ainda não domina. Caso contrário, você se expõe a um risco aumentado de falha de segurança devido à falta de experiência.

• Configure um ambiente de desenvolvimento seguro que permita a versão do código, seguindo a dedicada sheet neste guia.

Sheet n°3: Protegendo seu ambiente de desenvolvimento

A segurança dos servidores de produção, desenvolvimento e integração contínua, bem como as estações de trabalho do desenvolvedor, devem ser uma prioridade, pois centralizam o acesso a uma grande quantidade de dados.

Avalie seus riscos e adote as medidas de segurança apropriadas

• Avalie os riscos nas ferramentas e processos usados para seus desenvolvimentos. Faça um inventário de suas medidas de segurança existentes e defina um plano de ação para melhorar sua cobertura de riscos. Nomeie uma pessoa responsável por sua implementação.

• Considere os riscos de todas as ferramentas usadas, incluindo os riscos relacionados ao SaaS (Software como Serviço) e ferramentas colaborativas na nuvem (como Slack, Trello, GitHub etc.).

Proteja seus servidores e estações de trabalho de maneira homogênea e reproduzível

• As listas de recomendações relativas à segurança de servidores, estações de trabalho e redes internas estão disponíveis nas sheets n ° 5 a 8 do guia de segurança de dados pessoais do CNIL.

• Escreva um documento listando essas medidas e explicando sua configuração para garantir que as medidas de segurança sejam implementadas uniformemente em servidores e estações de trabalho. Para reduzir a carga de trabalho, ferramentas de gerenciamento de configuração, como Ansible, Puppet ou Chef, pode ser usado.

• Atualize servidores e estações de trabalho, se possível automaticamente. Você pode configurar uma lista de observação das vulnerabilidades mais importantes, por exemplo, os NVD Data Feeds.

Ênfase especial no gerenciamento de acesso e na rastreabilidade das operações

• Lembre-se de documentar o gerenciamento de suas chaves SSH (uso de criptografia de última geração e algoritmos de comprimento de chave, proteção de chaves privadas com uma senha, rotação de chaves). Para exemplos de boas práticas, consulte o documento sobre o uso seguro do SSH (aberto).

• Incentive uma autenticação forte nos serviços usados pela equipe de desenvolvimento.

• Rastreie o acesso às suas máquinas e, se possível, implemente análise de log automatizada. Para manter rastreamentos confiáveis, o uso de contas genéricas deve ser evitado.

Sheet n°4: Gerenciar seu código fonte

Qualquer que seja o tamanho do seu projeto, é altamente recomendável usar uma ferramenta de gerenciamento de código fonte, como um * sistema de controle de versão *, para rastrear suas diferentes versões ao longo do tempo.

Configure seu sistema de controle de versão com eficiência, pensando em sua segurança.

• Um sistema de controle de versão é um programa de software que permite armazenar todo o seu código-fonte e arquivos associados, mantendo a cronologia de todas as alterações que foram feitas. Um servidor FTP simples não é um sistema de controle de versão.

• Configure seu ambiente corretamente usando os recursos oferecidos pelo seu sistema de controle de versão. É recomendável que você implemente forte autenticação e / ou autenticação com chaves SSH no início do seu projeto.

• Além disso, atribua níveis de acesso ao seu projeto aos usuários do seu sistema de controle de versão e defina para cada nível as permissões correspondentes (por exemplo, um nível “convidado” com direitos de leitura limitados, um “desenvolvedor” "nível com direitos de gravação etc.).

• Faça backups regulares do seu sistema de gerenciamento de código-fonte. Lembre-se de fazer backup do servidor principal, onde todas as alterações são salvas.

• Estabeleça procedimentos de desenvolvimento para trabalhar com eficiência, mesmo que várias pessoas estejam desenvolvendo ao mesmo tempo. Por exemplo, você pode decidir não trabalhar na mesma ramificação (master), mas configurar ramificações baseadas em recursos, que serão mescladas na ramificação principal à medida que o desenvolvimento avança. Tais estratégias de desenvolvimento já estão bem documentadas, por exemplo, em Git Flow. Além disso, alguns sistemas de controle de versão oferecem a configuração de ramificações protegidas que impedem alterações não autorizadas nos arquivos nessas ramificações.

Esteja ciente do seu conteúdo de código-fonte.

• Implemente ferramentas de métricas de qualidade de código que varrerão seu código assim que for commitido para verificar sua boa qualidade. Você também pode adicionar scripts para verificar essas métricas na configuração do sistema de controle de versão: o commit será cancelado se o o código fonte não é de qualidade suficiente.

• Mantenha seus segredos e senhas fora do seu repositório de código-fonte:

  • em arquivos separados, que não foram comprometidos . Lembre-se de usar arquivos especiais do seu sistema de controle de versão (como .gitignore para Git) para que você não confirme arquivos confidenciais por engano.
  • em variáveis de ambiente, verifique se as variáveis de ambiente não são gravadas acidentalmente em logs ou exibidas quando ocorre um erro de aplicativo.
  • usando software específico de gerenciamento de secrets ou configuração.

Finalmente, se você precisar incluir esses dados em seu repositório, considere criptografar/descriptografar automaticamente os arquivos usando um plugin do seu sistema de controle de versão (por exemplo, git-crypt).

• Após um commit que contém dados pessoais ou outros dados críticos, não se esqueça de limpar completamente o repositório do código-fonte: mesmo após a modificação, os dados ainda podem estar disponíveis no histórico do seu repositório.

• Tenha cuidado antes de publicar seu código fonte online. Revise todo o seu conteúdo para garantir que não haja dados pessoais, senhas ou outros segredos, incluindo todo o histórico de alterações.

Exemplos de ferramentas

• Diferente de ferramentas como Subversion, que precisam de um servidor central para serem executadas, os principais sistemas de controle de versão (Git , Mercurial por exemplo) são descentralizados.

• Para a maioria dessas ferramentas, é fornecida uma interface da web e ferramentas relacionadas (gerenciamento de bugs, wiki para sua documentação etc.). Essas soluções podem ser acessíveis via Internet (GitHub, Bitbucket etc.) ou podem ser integradas à sua própria conta. servidores.

Sheet n°5: Faça uma escolha informada da arquitetura

Ao projetar a arquitetura do seu aplicativo, você deve identificar os dados pessoais que serão coletados e definir um caminho e um ciclo de vida para cada um deles. A escolha dos ativos de suporte (armazenamento local, servidor, serviço em nuvem) é uma etapa crucial, que deve ser adaptada às suas necessidades, mas também ao seu conhecimento técnico. O registro e a realização de uma avaliação de impacto na privacidade podem ajudá-lo nessa escolha.

Examinando o ciclo de vida de dados e processos, da coleta à eliminação

• Represente e descreva como o produto geralmente funciona antes de iniciar seu projeto, com um diagrama de fluxos de dados e uma descrição detalhada dos processos realizados.

• Quando os dados são apenas ** armazenados no terminal do usuário ** (armazenamento local) ou permanecem ** confinados nas redes de comunicação sob o controle do usuário ** (por exemplo, Wi-Fi ou outra rede local), o principal ponto de atenção é segurança de dados. A duração pela qual os dados são armazenados e a exclusão real deve ser determinada pelos indivíduos.

• Quando os dados passam por serviços online, a opção de hospedar os dados você mesmo ou usar um provedor de serviços deve ser feita de acordo com o seu conhecimento de segurança e a qualidade esperada do serviço. Ofertas de nuvem reconhecidas podem oferecer níveis mais altos de segurança. No entanto, eles geram novos riscos que precisam ser dominados. Recomendações para empresas que planejam usar serviços de computação em nuvem podem orientar nesta etapa de seleção.

No caso de uso de hospedagem externa

• Escolha um provedor de serviços que garanta medidas adequadas de segurança e confidencialidade e seja suficientemente transparente.

• Verifique a localização geográfica dos servidores que hospedarão seus dados. Pode ser necessário transferir dados para fora da União Europeia (UE) e do Espaço Econômico Europeu (EEE). Embora os dados possam circular livremente na UE/EEE, são possíveis transferências para fora da UE/EEE, desde que seja garantido um nível suficiente e adequado de proteção de dados. O CNIL fornece um mapa no local mostrando os diferentes níveis de proteção de dados em países do mundo.

• Se você precisar hospedar dados de saúde, verifique se o provedor usado é certificado ou aprovado para esta atividade.

• Outros pontos a serem considerados incluem:

  • a existência de uma política de segurança acessível;
  • segurança física e medidas de segurança no site de hospedagem;
  • criptografia de dados e outros processos para garantir que o provedor não tenha acesso aos dados que lhe são confiados;
  • gerenciamento de atualizações, gerenciamento de autorizações, autenticação de pessoal e segurança do desenvolvimento de aplicativos;
  • a fácil reversibilidade/portabilidade dos dados em um formato estruturado e comumente usado, mediante solicitação e a qualquer momento.

Sheet n°6: Protegendo seus sites, aplicativos e servidores

Qualquer site, aplicativo ou servidor deve incorporar regras básicas de segurança de ponta, não apenas nas comunicações em rede, mas também na autenticação e infraestrutura.

Protegendo redes de comunicação

• Implemente o TLS versão 1.2 ou 1.3 (substituindo SSL) em todos os sites e para transmissão de dados de seus aplicativos móveis, por exemplo, com LetsEncrypt, usando apenas os versões recentes e verificação de sua correta implementação.

• Torne obrigatório o uso do TLS para todas as páginas do seu site e para seus aplicativos móveis.

• Limite as portas de comunicação estritamente necessárias para o bom funcionamento dos aplicativos instalados. Se o acesso a um servidor Web for possível apenas usando o protocolo HTTPS, apenas as portas 443 e 80 deste servidor deverão estar acessíveis, todas as outras portas poderão ser bloqueadas pelo firewall.

• A OWASP publicou em seu site algumas dicas por exemplo, para implementar corretamente o TLS ou para proteger um serviço da web.

Protegendo autenticações

• Siga a recomendação da CNIL sobre senhas. Lembre-se de limitar o número de tentativas de acesso.

• Nunca armazene senhas em texto não criptografado. Armazene-os como um hash usando uma biblioteca comprovada, como bcrypt.

• Se forem utilizados cookies para autenticação, é recomendável:

  • para forçar o uso de HTTPS via HSTS;

  • para usar a flag secure;

  • use a flag HttpOnly.

• Teste os conjuntos criptográficos instalados nos sistemas e desative os obsoletos (RC4, MD4, MD5 etc.). Incentive o uso do AES256. Leia a nota do OSWAP sobre o assunto.

• Adote uma política de senha específica para administradores. Altere as senhas, pelo menos, sempre que um administrador sair e em caso de suspeita de violação. Incentive a autenticação forte quando possível.

• Limite o acesso a ferramentas e interfaces de administração a equipe qualificada. Incentive o uso de contas com privilégios mais baixos nas operações diárias.

• O acesso remoto às interfaces de administração deve estar sujeito a maiores medidas de segurança. Por exemplo, para servidores internos, a implementação de uma VPN com autenticação forte do usuário e da estação de trabalho que ele está usando pode ser uma boa solução.

Protegendo infraestruturas

• Faça backups, se possível, criptografados e verificados regularmente. Isso é especialmente útil no caso de um ataque de ransomware nos seus sistemas, pois ter backups para todos os seus sistemas será a única medida que permitirá restaurar seus sistemas.

• Limite o tamanho da pilha de software usada, e para cada elemento da pilha:

  • Instale atualizações críticas sem demora, agendando uma verificação semanal automática;
  • Automatize uma verificação de vulnerabilidades, assinando o NVD Data Feeds, por exemplo.

• Use ferramentas de detecção de vulnerabilidade para os processos mais críticos para detectar possíveis violações de segurança. Sistemas para detectar e prevenir ataques a sistemas ou servidores críticos também podem ser usados. Esses testes devem ser realizados regularmente e antes que qualquer nova versão de software seja colocada em produção.

• Restrinja ou proíba o acesso físico e de software às portas de diagnóstico e configuração remota. Por exemplo, você pode listar todas as portas abertas usando a ferramenta * netstat *.

• Proteja os bancos de dados que você disponibiliza na Internet, pelo menos restringindo o acesso o máximo possível (por exemplo, por filtragem de IP) e alterando a senha padrão da conta de administrador.

• Em termos de gerenciamento de banco de dados, boas práticas incluem:

  • usando contas nominativas para acesso ao banco de dados e crie contas específicas para cada aplicativo;
  • revogando os privilégios administrativos das contas de usuário ou aplicativo para evitar modificações na estrutura do banco de dados (tabela, valores, processo, etc);
  • ter proteção contra ataques de injeção de SQL ou script;
  • encorajamento em repouso e criptografia de disco e banco de dados.

Sheet n°7: Minimizar a coleta de dados

Você só deve coletar dados pessoais adequados, relevantes e necessários em relação aos propósitos para os quais são processados, conforme definido no momento da coleta.

Antes da coleta, pense nos diferentes tipos de dados que você precisa coletar e tente limitar sua coleção ao estritamente necessário.

• Pense nos diferentes tipos de dados que precisarão ser coletados antes da implementação de um aplicativo e documente esse pensamento.

• Se dados específicos não forem necessários para uma determinada categoria de pessoas, não os colete.

• Processe e armazene dados de uma maneira que reduz a precisão (semelhante à pseudonimização). Por exemplo, armazene apenas o ano de nascimento, em vez de uma data de nascimento completa, se o aplicativo precisar apenas do ano.

• Se estiver coletando dados particularmente sensíveis, como dados de saúde ou condenações criminais, certifique-se de coletar apenas o mínimo necessário. Devido às restrições regulatórias, a solução mais simples ainda é não coletá-las se você puder ficar sem elas.

• Minimize a quantidade de dados coletados também nos dados de log e não armazene dados sensíveis ou críticos (dados de saúde, senhas, etc.).

• Alguns recursos podem melhorar a experiência do usuário, mas não são estritamente necessários para que seu aplicativo funcione corretamente (por exemplo, geolocalização para simplificar uma pesquisa geográfica). Nesse caso, o usuário final deve poder escolher se deve ou não usar essa funcionalidade. Se ele usá-lo, os dados que você é levado a coletar para sua operação devem ser mantidos apenas pelo tempo estritamente necessário para sua operação e nunca devem ser usados para outros fins.

• Lembre-se de associar períodos de retenção para cada categoria de dados, dependendo da finalidade do processamento e das obrigações legais ou regulamentares relacionadas à sua retenção. Os logs também devem ter um período de retenção. Documente as durações de retenção definidas. Você precisará justificá-los.

Depois que os dados forem coletados, configure mecanismos de exclusão automática.

• Implemente um sistema automático de purge no final do prazo de validade. Você também pode implementar revisões manuais dos dados armazenados periodicamente.

• Para garantir uma eliminação completa, apague fisicamente todos os dados que não são mais necessários usando ferramentas especializadas ou destruindo a mídia física.

• Se os dados ainda forem úteis, você poderá reduzir sua sensibilidade usando os métodos pseudomização ou mesmo anonimização. Em caso de pseudonimização, esses dados permanecem sujeitos às regulamentações de dados pessoais (consulte Folha 1).

• Registre os procedimentos de exclusão automática. Os logs correspondentes podem ser usados como uma prova de exclusão de um item de dados.

Sheet n°8: Gerenciar perfis de usuário

A maneira de gerenciar perfis de seus colaboradores e usuários finais deve ser pensada antes dos seus desenvolvimentos. Consiste em definir diferentes perfis de acesso e autorização para que cada pessoa possa acessar apenas os dados de que realmente precisa.

Boas práticas para gerenciamento de usuários

• Tudo começa com o uso de identificadores únicos e individuais, sejam eles usuários de seu aplicativo ou colaboradores no desenvolvimento.

• Certifique-se de impor autenticação antes de qualquer acesso aos dados pessoais, de acordo com as recomendações da CNIL.

• Para garantir que cada pessoa (usuário ou colaborador) possa acessar apenas dados de que ele realmente precisa, seu sistema deve fornecer políticas diferenciadas de gerenciamento de acesso a dados (ler, gravar, excluir etc.) de acordo com para pessoas e necessidades. Um mecanismo global de gerenciamento de perfil de usuário permitirá agrupar direitos diferentes de acordo com uma função exercida por um grupo de usuários no aplicativo.

• O gerenciamento de perfis de usuário pode ser usado juntamente com sistemas de registro para rastrear atividades e detectar anomalias ou eventos relacionados à segurança, como acesso fraudulento e uso indevido de dados pessoais. Esses dispositivos não devem ser utilizados para nenhuma outra finalidade que não seja garantir o uso adequado do sistema de computador. Os logs também não devem ser mantidos por mais tempo que o necessário. Em geral, um período de seis meses é adequado.

• Você também pode planejar auditorias de código ou testes de penetração em seu ambiente de desenvolvimento para garantir a robustez do seu sistema de gerenciamento de perfis.

Simplifique o gerenciamento de perfis de liberação

• Planeje documentar ou automatizar o movimento de seus colaboradores. Por exemplo, esses procedimentos devem levar as ações a serem tomadas quando as pessoas não estiverem mais autorizadas a acessar uma sala ou recurso de TI ou no final de seu contrato.

• Gerenciar seus usuários e colaboradores implica uma revisão regular da permissão de acordo com a evolução dos usos e movimentos organizacionais dentro do seu projeto. O uso de serviços de diretório, como o LDAP, ajudará você a monitorar essas alterações e a refinar suas estratégias de acesso, por exemplo, atribuindo funções com base nos perfis de uso. Isso permite que você respeite melhor o princípio do menor privilégio.

• O uso de contas “supremas” (tipo root, administrador etc.) deve ser evitado para operações convencionais, pois constitui a pedra angular do seu sistema e um destino privilegiado para um possível invasor externo. Recomendamos que você associe uma política de senha forte a ela (10 a 20 caracteres ou multifator) e limite o número de pessoas com conhecimento dela ao estritamente necessário.

• Favorecer o uso de um gerenciador de senhas no seu projeto e a transição para autenticação forte, quando possível. Evite contas genéricas compartilhadas por várias pessoas.

Sheet n°09: Controle suas bibliotecas e SDKs

Você usa bibliotecas, SDKs ou outros componentes de software criados por terceiros? Aqui estão algumas dicas sobre como integrar essas ferramentas, mantendo o controle de seus desenvolvimentos.

Faça uma escolha informada

• Avalie o valor da adição de cada dependência. Alguns tijolos de software comumente usados têm apenas algumas linhas. No entanto, cada elemento adicionado é um aumento na superfície de ataque do seu sistema. No caso em que uma única biblioteca oferece várias funcionalidades, integre apenas as funcionalidades que você realmente precisa. Ao ativar o número mínimo de funcionalidades, você reduz o número de possíveis erros que podem ocorrer.

• Escolha software, bibliotecas e SDKs mantidos:

  • Se você deseja usar software livre ou de código aberto, tente escolher projetos ou soluções com uma comunidade ativa, atualizações regulares e boa documentação.

  • Se você usar outros tipos de soluções com suporte comercial, garanta contratualmente que o código seja mantido e atualizado por toda a vida útil do seu projeto.

• Leve em consideração a privacidade. Alguns SDKs ou bibliotecas se pagam usando dados pessoais coletados dos aplicativos ou sites nos quais estão integrados. Certifique-se de que esses terceiros cumpram as leis aplicáveis em relação aos dados pessoais, incluindo um mecanismo para obter o consentimento do usuário.

• Se você usar mecanismos criptográficos, é altamente desencorajado implementar os algoritmos ou protocolos criptográficos, mas tente escolher as bibliotecas criptográficas mantidas, reconhecidas e fáceis de usar.

Avalie os elementos selecionados

• Leia a documentação e altere as configurações padrão. É importante saber como suas dependências funcionam. Bibliotecas e SDKs de terceiros geralmente vêm com arquivos de configuração padrão, que raramente são alterados devido à falta de tempo, o que causa muitas falhas de segurança.
• Audite suas bibliotecas e SDKs. Você realmente sabe o que todas as bibliotecas e SDKs integrados fazem? Quais dados são enviados por essas dependências e para quem? Essa auditoria permitirá determinar as obrigações de proteção de dados a serem respeitadas e estabelecer a responsabilidade dos atores.
• Mapeie suas dependências. As bibliotecas e SDKs de terceiros também podem integrar outros componentes: a auditoria de seu código permitirá mapear melhor todas as suas dependências e agir melhor se um problema afetar uma delas. Também é recomendável que você execute auditorias de segurança de seus componentes de terceiros e os monitore.
• Cuidado com o typosquatting e outras técnicas maliciosas. Verifique os nomes das dependências e suas próprias dependências para evitar ataques. Não copie e cole linhas de comando de sites desconhecidos.

Manter bibliotecas e SDKs

• Use sistemas de gerenciamento de dependências (como yum, apt, maven, pip, etc.) para manter uma lista atualizada de suas dependências.
• Gerencie atualizações para suas dependências, especialmente no caso de atualizações de segurança que corrigem vulnerabilidades. Você deve configurar um procedimento documentado para gerenciar e implantá-los o mais rápido possível.
• Esteja ciente das versões de bibliotecas e SDKs no final do suporte que não serão mais mantidas: tente encontrar outra solução (escolha uma nova biblioteca, renove o suporte comercial).
• Verifique o status dos projetos de código aberto, especialmente a mudança de domínio ou propriedade de pacote, alguns ataques usando atualizações maliciosas de dependências populares.

Sheet n°10: Garanta a qualidade do código e sua documentação

É essencial adotar boas técnicas de escrita de código o mais rápido possível. A legibilidade do código reduz o esforço de manutenção e correções de bugs ao longo do tempo para você e seus (possivelmente futuros) colaboradores.

Código e arquitetura do documento

• Às vezes, a documentação é deixada de fora durante o desenvolvimento, devido à falta de tempo ou visibilidade do projeto. No entanto, é crucial para a manutenção do seu projeto: permite entender como o código funciona globalmente e saber quais partes do código são afetadas por uma modificação.

• Documente a arquitetura, não apenas o código: você precisa manter a visão geral em mente ao escrever sua documentação e ajudar os desenvolvedores a entender como todos os seus componentes funcionam juntos. Portanto, concentre-se em diagramas e explicações claras ao documentar seu projeto.

• Mantenha a documentação juntamente com o código: A melhor maneira de manter sua documentação atualizada é modificá-la à medida que avança no código.

• Se você usa um gerenciador de código-fonte, também pode incluir alterações na documentação para cada “commit” que modifica seu código (consulte em particular [o formulário “Gerenciar seu código-fonte”]](#Sheet_n°4_:_Gerenciar_seu_código-fonte)).

• Não se esqueça de abordar a segurança na sua documentação. Em particular, você pode documentar as diferentes opções de configuração para seu aplicativo e explicar quais configurações são as mais seguras.

Verifique a qualidade do seu código e sua documentação.

• Um código de qualidade envolve adoção de boas práticas e convenções de codificação aplicadas de forma consistente ao longo do programa. Também é melhor consultar as convenções existentes. Aqui estão alguns exemplos de boas práticas:

  • O uso explícito de nomes de variáveis e funções facilita a compreensão do que está acontecendo à primeira vista.
  • Recuar corretamente seu código permite que você veja a estrutura do código mais rapidamente.
  • Evitar redundância de código reduz os esforços de correção que precisam ser feitos em vários locais. Um descuido é rapidamente esquecido.

• As ferramentas podem ajudá-lo a controlar a qualidade do seu código. Uma vez configurados corretamente, eles evitarão reler o código para verificar a implementação correta das convenções de codificação. Exemplos dessas ferramentas são:

  • Ambientes de desenvolvimento integrados (“IDE”), possivelmente usando plugins (“plugins”), podem ser configurados para respeitar as regras de indentação de código, quebras de linha entre diferentes partes do código ou a posição de chaves e outros parênteses.
  • O software de medição da qualidade do código fonte pode relatar duplicações de código, conformidade com regras de programação ou possíveis bugs.

Sheet n°11: Teste seus aplicativos

O teste do seu produto permite verificar o funcionamento correto, garantir uma boa experiência do usuário e encontrar e evitar defeitos antes de entrar em produção. Testar seu produto também reduz o risco de violações de dados pessoais.

Automatizar testes

• Os testes de desenvolvimento (unitários, funcionais etc.) verificarão a adequação entre as especificações e o funcionamento do produto. Os testes de segurança (testes aleatórios de dados também chamados “fuzzing”, scan de vulnerabilidades etc.) verificarão se o produto continua funcionando de maneira aceitável quando você se afasta do uso normal e se não apresenta nenhuma vulnerabilidade. isso poderia permitir que terceiros comprometessem sua segurança. Ambos os tipos de testes são importantes para o bom funcionamento do seu aplicativo.

• Configure um sistema de integração contínua para executar os testes automaticamente após cada alteração no seu código-fonte.

Integre os testes à sua estratégia de negócios.

• Adicione a implementação do ambiente de teste à estratégia da empresa. As métricas aceitáveis devem ser definidas em conjunto por todas as partes antes do desenvolvimento.

• As métricas a serem consideradas são, por exemplo:

  • A taxa de cobertura dos testes e seu tipo;
  • a taxa de duplicação do seu código;
  • o número de vulnerabilidades (conforme definido pelas ferramentas) e seu tipo, etc.

Cuidado com seus dados de teste!

• Dados de produção “reais” não devem ser usados durante a fase de desenvolvimento e teste. Usar dados pessoais do banco de dados de produção para fins de teste equivale a desviá-los do seu objetivo original.

• Se dados pessoais forem usados fora da produção, observe que os riscos à segurança também aumentam: acesso aos dados por pessoas que não precisam conhecer, vários locais de armazenamento, etc. .

• Portanto, crie um conjunto de dados fictícios que se parecerá com os dados que serão processados pelo seu aplicativo. Um conjunto de dados fictícios garantirá que a divulgação desses dados não tenha impacto nas pessoas.

• Se você precisar importar configurações existentes da produção para seus casos de teste, considere anonimizar os dados pessoais que possam estar presentes.

Sheet n°12: Informar usuários

O princípio da transparência do GDPR exige que qualquer informação ou comunicação relacionada ao processamento de dados pessoais seja concisa, transparente, compreensível e facilmente acessível em linguagem simples e simples.

Quem informar e quando?

• Os titulares dos dados devem ser informados:

  • ambos no caso de coleta direta de dados ou seja, quando os dados são coletados diretamente de indivíduos (exemplos: formulário, compra on-line, assinatura de contrato, abertura de uma conta bancária) ou quando são coletados por meio de dispositivos ou tecnologias para observar a atividade dos indivíduos (exemplos: análise da navegação na Internet, geolocalização e análise/rastreamento de Wi-Fi para medição de audiência, etc.);

• e no caso de coleta indireta de dados pessoais, quando os dados não são coletados diretamente de indivíduos (exemplos: dados recuperados de parceiros comerciais, corretores de dados, fontes disponíveis ao público ou outros).

• Esta informação é necessária:

  • durante a coleta de dados no caso de coleta direta;
  • o mais rápido possível no caso de coleta indireta (em particular no momento do primeiro contato com a pessoa) e o mais tardar um mês após a coleta (com exceções);
  • no caso de uma alteração substancial ou de um evento específico. Por exemplo: nova finalidade, novos destinatários, alteração na forma como os direitos são exercidos, violação de dados.

Que informações eu tenho para fornecer?

• Em todos os casos, você deve especificar:

  • A identidade e detalhes de contato da organização que coleta os dados (quem os processa?);
  • Os propósitos (para que os dados coletados serão usados?);
  • A base legal na qual o processamento de dados se baseia (encontre todas as informações com base legal);
  • A natureza obrigatória ou opcional da coleta de dados (que implica uma reflexão a montante da utilidade da coleta de dados em vista do objetivo perseguido - o princípio da “minimização” dos dados) e as consequências para a pessoa em caso de falha no fornecimento dos dados;
  • Destinatários ou categorias de destinatários dos dados (quem precisa acessá-los ou recebê-los para os fins definidos, incluindo processadores?);
  • O período de retenção de dados (ou critérios para determiná-lo);
  • A existência dos direitos dos titulares de dados e os meios para exercê-los (os direitos de acesso, retificação, apagamento e restrição são aplicáveis a todas as operações de processamento);
  • Os detalhes de contato do responsável pela proteção de dados do organismo, se nomeado, ou de um ponto de contato sobre questões de proteção de dados pessoais;
  • O direito de registrar uma reclamação na sua agência local de proteção de dados.

• Em certos casos específicos, devem ser fornecidas informações adicionais, por exemplo, no caso de transferências de dados para fora da UE, tomada de decisão ou criação de perfil totalmente automatizadas ou quando a base legal para o processamento for o interesse legítimo do organismo que coleta o dados (consulte as diretrizes sobre transparência para obter mais informações).

• No caso de cobrança indireta, deve ser adicionado o seguinte:

  • Categorias de dados coletados;
  • A fonte dos dados (indicando em particular se são de fontes publicamente disponíveis). ## De que forma devo fornecer essas informações?

• As informações devem ser fáceis de acessar: o usuário deve poder encontrá-las sem dificuldade.

• Deve ser fornecido de maneira clara e compreensível, ou seja, com vocabulário simples (frases curtas, sem termos legais ou técnicos, sem ambiguidades) e informações adaptadas ao público-alvo (com atenção especial a crianças e pessoas vulneráveis) .

• Deve ser escrito de maneira concisa. Para evitar a armadilha de uma enxurrada de informações que abafam o usuário, é necessário trazer as informações mais relevantes no momento certo.

• As informações relacionadas à proteção de dados devem ser distinguíveis das informações que não estão especificamente relacionadas à privacidade (como cláusulas contratuais ou termos e condições gerais de uso).

Que comunicação deve ser feita quando a segurança dos dados é comprometida?

• Uma organização pode sofrer, por engano ou por negligência, acidental ou maliciosamente, uma violação de dados pessoais, ou seja, a destruição, perda, alteração ou divulgação não autorizada de dados. Nesse caso, a organização deve relatar a violação à agência local de proteção de dados dentro de 72 horas se for provável que isso represente um risco aos direitos e liberdades dos indivíduos.

• Se esses riscos forem altos, a organização também deve informar as pessoas envolvidas o mais rápido possível e aconselhá-las sobre como proteger seus dados (por exemplo, cancelamento de um cartão bancário comprometido, modificação de senha, modificação de configurações de privacidade etc.) .).

• A notificação da violação à CNIL deve ser feita através do site da CNIL.

Recursos úteis

• O site Data & Design desenvolvido pelo Laboratório de Inovação Digital da CNIL desenvolve esses conceitos e contém exemplos de interface.
• O site da CNIL também contém muitos exemplos de avisos de informação em francês.
• A página violações de dados pessoais no site da CNIL (em francês).

Sheet n°13: Prepare-se para exercer os direitos das pessoas

As pessoas cujos dados você processa têm direitos sobre os dados dele: direito de acesso, retificação, objeção, exclusão, portabilidade de dados e restrição de processamento. Você deve fornecer a eles os meios para exercer efetivamente seus direitos e fornecer em seus sistemas de computador as ferramentas técnicas que permitirão que seus direitos sejam levados em consideração adequadamente.

A preparação antecipada de como eles entrarão em contato com você e como você lidará com as solicitações deles permitirá que você gerencie o exercício desses direitos com eficiência.

Medidas mínimas a serem implementadas

• Todas as organizações que usam dados pessoais têm a obrigação de indicar onde e como indivíduos podem exercer seus direitos em relação a esses dados. Por exemplo, você pode mencionar um endereço de email ou um formulário da Web ao informar indivíduos, bem como em sua política de privacidade.

• Para facilitar o exercício dos direitos das pessoas, esses direitos também podem ser implementados, no todo ou em parte, diretamente no aplicativo ou software que você desenvolve. Essa implementação específica não é obrigatória, mas permite atender às expectativas dos usuários e reduzir o tempo e a complexidade do processamento desse tipo de solicitação.

• Acima de tudo, no caso de acesso ou operações realizadas diretamente por uma pessoa que exerce seus direitos, não se esqueça de gerenciar sua autenticação de maneira segura. No geral, rastreia também todas as operações que afetam seus dados pessoais.

Aqui estão alguns exemplos de direitos e sua possível implementação

• Direito de acesso: as pessoas têm o direito de obter uma cópia de todas as informações que você tem sobre elas. Isso permite, entre outras coisas, que uma pessoa saiba se os dados a seu respeito estão sendo processados e obtenha uma cópia legível em um formato compreensível. Em particular, permite verificar a precisão dos dados. **_ Possível implementação _**: Forneça uma funcionalidade para exibir todos os dados relacionados a uma pessoa. Se houver muitos dados, você poderá dividi-los em vários monitores. Se os dados forem muito grandes, ofereça à pessoa o download de um arquivo que contenha todos os seus dados.

• Direito de apagar: as pessoas têm o direito de solicitar a exclusão de todos os dados que você possui. **_ Possíveis implementações _**:

  1. Forneça uma funcionalidade para apagar todos os dados relacionados a uma pessoa.
  2. Forneça também a notificação automática dos processadores para apagar também os dados relacionados a essa pessoa.
  3. Forneça a exclusão de dados também nos backups ou forneça uma solução alternativa que não restaure os dados apagados relacionados a essa pessoa.

• Direito de contestar: os indivíduos têm o direito de contestar, em certos casos, seus dados que são usados para uma finalidade específica. **_ Possível implementação _**: fornece uma funcionalidade que permite ao sujeito de dados se opor ao processamento. Quando o titular dos dados exercita seu direito de se opor dessa maneira, o responsável pelo tratamento deve excluir os dados já coletados e, posteriormente, não deve coletar mais dados relacionados a essa pessoa.

• Direito à portabilidade de dados: os indivíduos têm o direito de recuperar seus dados em um formato legível por máquina para uso próprio ou para transferência para outra organização. **_ Possível implementação _**: forneça um recurso que permita que o titular dos dados baixe seus dados em um formato legível por máquina padrão (CSV, XML, JSON etc.).

• Direito de retificação: Os indivíduos têm o direito de solicitar a modificação de seus dados quando estiverem incorretos, a fim de limitar o uso ou a disseminação de informações erradas. **_ Possível implementação _**: Permite modificar diretamente os dados na conta do usuário.

• Direito à restrição de processamento: os indivíduos têm o direito de solicitar que o processamento de seus dados seja bloqueado por um determinado período de tempo, por exemplo tempo para examinar uma disputa da parte deles sobre o uso de seus dados ou uma solicitação para exercer direitos. **_ Possível implementação _**: Permite aos administradores colocar dados sobre uma pessoa em “quarentena”: esses dados não podem mais ser lidos ou modificados.

Em conclusão

• O site Data & Design desenvolvido pelo Laboratório de Inovação Digital da CNIL desenvolve esses conceitos e contém exemplos de interfaces para o exercício de direitos.

• Finalmente, seja criativo! (Em caso de dúvida, peça orientação à CNIL).

Sheet n°14: Definir um período de retenção de dados

Os dados pessoais não podem ser mantidos por um período indeterminado: isso deve ser definido de acordo com os propósitos do processamento. Uma vez alcançado esse objetivo, os dados devem ser arquivados, excluídos ou tornados anônimos (por exemplo, para produzir estatísticas).

Ciclos de retenção de dados

• O ciclo de retenção de dados pessoais pode ser dividido em três fases sucessivas distintas:

  • O banco de dados ativo;
  • Arquivamento intermediário;
  • Arquivamento final ou exclusão.

• Os mecanismos para excluir dados pessoais das bases ativas garantem que os dados sejam mantidos e acessíveis apenas pelos serviços operacionais pelo tempo necessário para atingir o objetivo da operação de processamento.

• Verifique se os dados não são mantidos nos bancos de dados ativos simplesmente observando-os como sendo arquivados. Os dados arquivados (arquivo intermediário) devem estar acessíveis apenas a um serviço específico responsável por acessá-los e removê-los do arquivo, se necessário.

• Verifique também se você possui modos de acesso especificados para os dados arquivados, pois o uso de um arquivo deve ser ad hoc e excepcional.

• Se possível, use a mesma implementação ao implementar a remoção de dados ou anonimato que aquela que gerencia o direito de exclusão (consulte folha sobre o exercício dos direitos ), para garantir uma operação homogênea do seu sistema.

Alguns exemplos de prazo de validade

• Os dados relativos ao gerenciamento da folha de pagamento ou ao controle do tempo dos funcionários podem ser mantidos por 5 anos.

• Os dados em um arquivo médico devem ser mantidos por 20 anos.

• Os dados de um possível cliente que não responde a nenhuma solicitação podem ser mantidos por 3 anos.

• Os dados de log podem ser mantidos por 6 meses.

Sheet n°15: Leve em consideração a base jurídica da implementação técnica

O processamento de dados pessoais deve ser baseado em uma das “bases legais” mencionadas no artigo 6 do GDPR. A base legal de uma operação de processamento é de certa forma a justificativa da existência da operação de processamento. A escolha de uma base jurídica tem um impacto direto nas condições de implementação da operação de processamento e nos direitos dos indivíduos. Assim, antecipar a base jurídica das operações de processamento antes de qualquer desenvolvimento ajudará você a integrar as funções necessárias para garantir que essas operações de processamento cumpram a lei e respeitem os direitos dos indivíduos.

Definição das bases jurídicas no RGPD

• No contexto de um desenvolvimento para uma organização privada (empresas, associações, etc.), as bases jurídicas frequentemente usadas são:
  • O contrato: o processamento é necessário para a execução ou preparação de um contrato entre o titular dos dados e o organismo que realiza a operação de processamento;
  • O interesse legítimo: a organização tem um interesse “legítimo” em realizar o processamento e não é provável que afete negativamente os direitos e liberdades dos titulares dos dados;
  • Consentimento: o titular dos dados deu seu consentimento explícito para o processamento.
• Se você é uma autoridade pública ou um órgão que realiza tarefas de interesse público, outras bases legais também podem ser usadas:
  • A obrigação legal: o processamento é imposto por textos regulatórios.
  • A missão de interesse público: o processamento é necessário para a execução de uma tarefa realizada no interesse público.
• Finalmente, em casos muito específicos, a proteção de interesses vitais pode ser usada como base legal, por exemplo, quando o processamento é necessário para monitorar a propagação de epidemias ou em casos de emergência humanitária.

Escolha a base jurídica apropriada

• Antes de tudo, verifique no site da CNIL que um texto não impõe restrições específicas (por exemplo: cookies e outros rastreadores).

• Apenas uma base jurídica deve ser escolhida para um determinado objetivo. A base jurídica não pode ser acumulada para a mesma finalidade. A mesma operação de processamento de dados pode buscar vários propósitos e uma base legal deve ser definida para cada um deles.

• Como mencionado acima, se você é uma autoridade pública, a obrigação legal e a missão de interesse público serão as mais relevantes na maioria dos casos.

• Se sua operação de processamento faz parte de um relacionamento contratual e seu objetivo é objetiva e estritamente necessário para a prestação do serviço do usuário (por exemplo, nome, nome e endereço para criar uma conta em um site de comércio eletrônico), então o contrato deve seja apropriado.

• Se o seu processamento não fizer parte de uma relação contratual com o usuário, a base jurídica do consentimento ou interesse legítimo poderá ser invocada. Se o seu processamento for potencialmente invasivo (criação de perfil, coleta de dados de geolocalização, etc.), o consentimento provavelmente será a base legal apropriada.

• Se o seu processamento contiver dados confidenciais (dados de saúde, dados relativos à vida ou orientação sexual, etc.), será necessário identificar, além da base legal, uma exceção prevista no Artigo 9 da RGPD.

Exercícios e modalidades de informações a serem fornecidas de acordo com a base legal

• A tabela a seguir resume os exercícios de direitos a serem concedidos de acordo com a base legal:

• A base jurídica utilizada deve sempre aparecer nas informações transmitidas à pessoa.

• Onde seu processamento é baseado em interesses legítimos, você também deve indicar os interesses legítimos perseguidos (luta contra fraude, segurança do sistema etc.).

• Recomenda-se documentar sua escolha da base jurídica. Como exemplo, essas opções podem ser indicadas em um mapa de processamento ou associadas à sua documentação técnica.

O caso específico de cookies e outros rastreadores

• A Diretiva Européia de Privacidade Eletrônica exige o consentimento do usuário antes que qualquer ação seja tomada para armazenar informações - por meio de cookies, identificadores ou outros rastreadores (impressões digitais de software, pixels) ou para acessar informações armazenadas no equipamento terminal do usuário.

• No entanto, uma exceção é feita quando os cookies têm o único objetivo de realizar comunicação eletrônica ou são estritamente necessários para fornecer um serviço solicitado pelo usuário.

• Além disso, o uso de um único rastreador para múltiplos propósitos não isenta de obter consentimento para os fins que o exigem. Por exemplo, se um cookie de autenticação também for usado para fins de segmentação de publicidade, o consentimento deverá ser obtido para o último objetivo, da mesma maneira que para um site não registrado.

Sheet n°16: Use analytics em seus sites e aplicativos

As ferramentas de medição de público-alvo são usadas para obter informações sobre a navegação dos visitantes em um site ou aplicativo móvel. Em particular, eles possibilitam entender como os usuários chegam a um site e reconstruir sua jornada. Usando cookies, eles estão sujeitos à regra de consentimento, exceto em um caso específico. Observe que esta seção é relativa à diretiva ePrivacy e pode estar sujeita a variações nacionais. Entre em contato com a agência local de proteção de dados para saber sua posição.

Obtenção de consentimento

• De um modo geral, antes de depositar ou ler um cookie ou rastreador, os editores de sites ou aplicativos devem:

  • informar os internautas sobre a finalidade dos cookies;

  • obtenha seu consentimento;

  • forneça a eles um meio de recusá-los.

• A menos que caiam exatamente dentro do perímetro definido abaixo, esta obrigação se aplica aos rastreadores usados para medição de audiência.

Para beneficiar da isenção de consentimento

• Sujeito a várias condições, os cookies usados para medir a audiência estão isentos de consentimento.

• Estas condições, conforme especificado nas diretrizes sobre cookies e outros rastreadores, estão:

  • Informar os usuários de seu uso;

  • Dar a eles a capacidade de se oporem ao seu uso;

  • Para limitar apenas aos seguintes fins:

    • medição de audiência;

    • Teste A/B;

  • Não verificar os dados processados com outro processamento (arquivos de clientes, estatísticas de visitas a outros sites, etc.);

  • Limitar o escopo do rastreador a um único site ou editor de aplicativos;

  • Truncar o último byte do endereço IP;

  • Para limitar a vida útil dos rastreadores a 13 meses.

• Desde que as condições sejam cumpridas, passamos, portanto, de um regime de aceitação para um regime de exclusão.

• Também é possível que o mesmo terceiro (subcontratado) forneça um serviço comparativo de medição de público a vários editores, desde que os dados sejam coletados, processados e armazenados independentemente para cada editor e que os rastreadores sejam independentes uns dos outros

Na prática

• A maioria das grandes ofertas de medição de público-alvo não se enquadra no escopo da isenção, independentemente de sua configuração.

• Para se beneficiar dessa isenção, entre em contato com seu provedor de soluções ou use software de código aberto, como o Matomo, que você pode configurar por conta própria.