Software com o RGPD integrado: o que significa na prática
O que significa desenvolver software com o RGPD integrado desde a base? A diferença prática entre a conformidade como tarefa legal e a privacidade como princípio de design — por uma empresa de software europeia.
Todas as empresas SaaS com sede na Europa têm texto de política de privacidade que menciona o RGPD. A maioria escreveu-o porque o advogado disse que era obrigatório. Isso é conformidade como tarefa legal, e é muito diferente do que queremos dizer quando dizemos que desenvolvemos software com o RGPD integrado desde a base.
Aqui está a diferença prática.
O RGPD como restrição de design, não como tarefa jurídica
Quando o RGPD é tratado como requisito legal, recolhe os dados que quer, desenvolve as funcionalidades que quer, e depois pede ao advogado para rever no final. O resultado é uma longa política de privacidade que tecnicamente divulga tudo.
Quando o RGPD é uma restrição de design, a pergunta é feita antes de desenvolver: precisamos realmente destes dados? Se sim, qual é o mínimo necessário, e durante quanto tempo precisamos deles? Quem pode aceder-lhes, e conseguimos limitar isso automaticamente?
Estas questões mudam o que se desenvolve. Muitas vezes significam que se desenvolve menos.
Como isso se manifesta nos nossos produtos
Recolhemos o mínimo
O k-notes guarda as suas notas, o e-mail da conta e uma palavra-passe em formato hash. Só isso. Sem impressão digital do dispositivo, sem padrões de leitura, sem rastreio comportamental.
O k-tasks guarda as suas tarefas, os membros da equipa e atividade básica para o registo de auditoria. Não analisamos como usa o produto para lhe mostrar publicidade, porque não temos publicidade.
O k-cv guarda o conteúdo do seu CV, porque é esse o produto. Não o cruzamos com o LinkedIn nem o vendemos a recrutadores. Os seus dados de carreira são seus.
Mantemos os dados na Europa
A nossa infraestrutura funciona sobre Neon Postgres com residência de dados na UE. A rede edge da Vercel é usada para entrega, mas o conteúdo gerado pelos utilizadores fica em bases de dados europeias. Isto é relevante face às restrições de transferência de dados do RGPD.
A eliminação é real
Quando elimina a conta, os seus dados são eliminados. Não ficam arquivados durante noventa dias "por precaução". Não ficam em cópias de segurança indefinidamente. Temos um processo automatizado que remove os dados de contas eliminadas das cópias de segurança dentro de trinta dias.
Isto parece óbvio. Não é. Muitas empresas retêm dados muito mais tempo do que as suas políticas de privacidade sugerem, seja porque a eliminação é difícil de implementar, seja porque os dados têm valor.
Análise sem vigilância
Usamos o Vercel Analytics, que não utiliza cookies e não rastreia utilizadores individuais entre sessões. Para utilizadores que consintam, o Google Analytics fornece dados agregados de tráfego. Não usamos pixels, remarketing nem rastreio de terceiros.
Por que isto importa para as empresas que compram software
Se adquire ferramentas SaaS para o seu negócio, as obrigações do RGPD estendem-se a si. Quando usa uma ferramenta que processa dados pessoais dos seus clientes ou colaboradores, torna-se o responsável pelo tratamento dos dados. A empresa SaaS é o seu subcontratante. Nos termos do RGPD, é responsável por garantir que esse subcontratante cumpre os requisitos exigidos.
Isto significa que as práticas de privacidade das ferramentas que usa são também problema seu.
Algumas perguntas que vale a pena fazer aos seus fornecedores SaaS atuais:
- Onde estão os nossos dados armazenados?
- Durante quanto tempo são retidos após cancelarmos?
- Partilha os nossos dados com terceiros? Para que fins?
- Pode fornecer um Acordo de Processamento de Dados?
Os bons fornecedores respondem a estas perguntas de imediato. Respostas evasivas são um sinal de alerta.
O argumento de negócio a favor da privacidade
O software que respeita a privacidade não é apenas eticamente preferível — é cada vez mais uma vantagem comercial. Os clientes empresariais em setores regulados (finanças, saúde, direito) exigem fornecedores conformes com o RGPD antes de assinar contratos. A privacidade tornou-se um critério de compra.
É também operacionalmente mais simples. Não recolher dados desnecessários significa menos a proteger, menos risco em caso de incidente de segurança, menos a gerir quando alguém exerce o direito de eliminação.
Não desenvolvemos software com o RGPD integrado porque a conformidade é lucrativa. Desenvolvemo-lo desta forma porque está alinhado com a forma como pensamos que o software deve funcionar: paga um serviço, o serviço funciona, os seus dados são seus.
Se está a desenvolver um produto e quer pensar na arquitetura de privacidade desde o início, temos disponibilidade para consultoria. Um bom design de privacidade é mais fácil de fazer desde o início do que de incorporar retroativamente.