Quando Privacy by Design se aplica e o que fazer depois

Privacy by Design se aplica quando uma equipe SaaS projeta, muda ou opera um produto, workflow, fornecedor, ferramenta interna, pipeline de dados ou processo de cliente que trata dados pessoais. A resposta nao e parar a entrega, mas decidir cedo quais dados sao necessarios, quais defaults sao adequados, quem acessa, por quanto tempo os dados ficam, quais fornecedores participam e quais evidencias documentam a decisao.

O artigo 25 do GDPR exige medidas tecnicas e organizacionais adequadas e protecao de dados por padrao. Por padrao, apenas dados pessoais necessarios para a finalidade especifica devem ser tratados. O EDPB trata isso como obrigacao durante todo o ciclo de vida do tratamento.

Regra rapida

Privacy by Design se aplica quando uma mudanca afeta coleta, uso, compartilhamento, visibilidade, armazenamento, exclusao, profiling, analytics, exportacao ou reutilizacao de dados pessoais.

Inclui novos campos, nova visibilidade interna, novos subprocessadores, exportacoes, IA, retencao, logica de exclusao, monitoramento ou defaults alterados. O gatilho deve aparecer no planejamento de produto.

Mudancas que costumam exigir review

Novas funcionalidades exigem review quando coletam dados, mostram dados existentes de outro modo ou criam visibilidade interna. Exemplos: onboarding, perfis, dashboards, relatorios, permissoes, exportacoes, notificacoes, analytics e controles admin.

Workflows internos tambem contam: CRM, suporte, data warehouse, console admin, billing, customer success e debugging. A review deve seguir os dados, nao apenas a tela do cliente.

Fornecedores, IA e DPIA

Um novo processador, fornecedor de IA, ferramenta de suporte ou analytics pode mudar finalidade, acesso, transferencias, retencao e exclusao. Antes do go-live, verifique categorias de dados, subprocessadores, contratos, seguranca e suporte de exclusao.

Nem toda review exige DPIA. Escalone quando houver dados sensiveis, criancas, monitoramento em larga escala, profiling, decisoes automatizadas, IA, retencao incomum, amplo acesso interno, transferencias ou reutilizacao inesperada.

O que fazer depois

Coloque o gatilho onde o trabalho comeca: brief de produto, ticket, architecture review, vendor intake, mudanca de data warehouse ou checklist de release.

Depois, atribua papeis. Produto possui finalidade, escopo e defaults. Engineering possui permissoes, exclusao, logs e prova tecnica. Security verifica acesso. Legal ou privacy interpreta e decide escalonamento. Compliance ou operations mantem evidencias e follow-ups.

Documente o minimo: feature, dono, finalidade, categorias de dados, titulares, acesso, fornecedores, defaults, retencao, exclusao, riscos, decisao, aprovador e local da evidencia. Conecte esse registro ao release gate.

FAQ

Quando Privacy by Design se aplica?

Quando produto, workflow interno, fornecedor, data pipeline, analytics, IA, suporte, exportacao, permissoes, retencao ou default afeta dados pessoais.

O que documentar primeiro?

O gatilho e o registro de decisao. Depois corrija defaults, acessos, fornecedores, retencao ou lacunas de exclusao mais arriscados.

Toda review precisa de aprovacao juridica?

Nao. Baixo risco pode ter registro curto. Riscos maiores devem escalar cedo para privacy, juridico, seguranca, vendor review, DPIA ou aceite executivo.