Proteção de Dados

Proteção de dados desde a conceção (art. 25.º RGPD)

Proteção de dados desde a conceção e por defeito (art. 25.º RGPD): o que significa privacy by design na prática e como traduzi-la em decisões de engenharia.

Also available in:English·Français·Deutsch·Italiano

A proteção de dados desde a conceção (privacy by design) e por defeito (privacy by default) é a obrigação, imposta pelo artigo 25.º do RGPD, de integrar a proteção de dados desde o momento em que se concebe um produto, serviço ou processo — e não a acrescentar no fim. Na prática, significa duas coisas: desde a conceção, o responsável deve aplicar medidas técnicas e organizativas adequadas (como a pseudonimização e a minimização) em toda a fase de desenho; por defeito, os sistemas devem tratar, à partida, apenas os dados necessários para cada finalidade. Este guia traduz o artigo 25.º em decisões concretas de engenharia, produto e compras de software.

Pontos-chave

  • O artigo 25.º obriga — não recomenda — a integrar a proteção de dados na fase de conceção.
  • A proteção por defeito significa que as configurações iniciais devem ser as mais protetoras.
  • Aplica-se a quem concebe processos, não apenas a quem programa software.
  • Ao comprar software, exigir privacy by design ao fornecedor é parte do dever de diligência.

O que diz o artigo 25.º

O artigo 25.º tem dois números com lógicas distintas. O n.º 1 exige a proteção de dados desde a conceção: ao definir os meios de tratamento e durante o próprio tratamento, o responsável aplica medidas — técnicas e organizativas — destinadas a implementar os princípios do artigo 5.º de forma eficaz. O n.º 2 exige a proteção por defeito: por defeito, só são tratados os dados pessoais necessários para cada finalidade específica, quanto à quantidade recolhida, à extensão do tratamento, ao prazo de conservação e à acessibilidade.

O n.º 2 é o mais concreto e o mais esquecido: um formulário que traz caixas pré-marcadas, um perfil de rede social que nasce público, ou uma aplicação que recolhe a localização sem necessidade — todos violam a proteção por defeito. As Orientações 4/2019 do Comité Europeu para a Proteção de Dados (CEPD) detalham como aplicar o artigo em cada princípio.

Traduzir o artigo 25.º em decisões de engenharia

A proteção desde a conceção não é um documento; é um conjunto de escolhas técnicas. Eis como se traduz, princípio a princípio:

Princípio (art. 5.º) Decisão de engenharia
Minimização Não recolher campos «úteis um dia»; separar dados identificáveis
Limitação da finalidade Isolar bases de dados por finalidade; controlar reutilização
Limitação da conservação Rotinas automáticas de apagamento; TTL nos registos
Integridade e confidencialidade Cifragem em repouso e em trânsito; controlo de acessos por função
Exatidão Mecanismos de correção pelo próprio titular
Pseudonimização Substituir identificadores diretos por tokens sempre que possível

Duas técnicas merecem destaque. A pseudonimização — expressamente citada no artigo 25.º, n.º 1 — separa os identificadores diretos dos restantes dados, reduzindo o risco em caso de violação. A minimização aplica-se na origem: cada campo de um formulário deve justificar-se por uma finalidade inscrita no registo de atividades de tratamento. Se um campo não tem finalidade, não deve existir.

A ligação com a AIPD

O artigo 25.º não vive isolado. Quando um tratamento é suscetível de implicar um risco elevado, a avaliação de impacto sobre a proteção de dados (AIPD) do artigo 35.º é o instrumento que operacionaliza a proteção desde a conceção: identifica riscos e define as medidas de mitigação que o artigo 25.º manda integrar. Na prática, a AIPD é o momento em que as decisões de privacy by design ficam documentadas. Para conduzir essa avaliação, disponibilizamos um modelo de AIPD preenchível. Quem concebe um produto novo deve, por isso, correr a AIPD durante o desenho — não depois do lançamento.

Privacy by design nas compras de software

Poucas organizações desenvolvem todo o seu software. A maioria compra-o. Nesse caso, a proteção desde a conceção transfere-se para o dever de diligência na seleção do fornecedor e para o contrato de subcontratação do artigo 28.º. Ao avaliar uma ferramenta, verifique se ela:

  • Permite configurar prazos de conservação e apagamento automático.
  • Oferece controlo de acessos granular por função.
  • Cifra os dados em repouso e em trânsito.
  • Nasce com as configurações mais protetoras por defeito.
  • Aloja os dados na UE ou oferece garantias válidas para transferências internacionais.

Uma plataforma de conformidade como a Legiscope apoia este trabalho documentando, para cada tratamento e cada fornecedor, as medidas técnicas e organizativas aplicadas — o suporte que demonstra o cumprimento do artigo 25.º numa fiscalização.

Por defeito: o erro mais comum

A proteção por defeito é a parte do artigo 25.º que mais decisões de produto obriga a rever. A regra é simples: o utilizador não deve ter de agir para proteger a sua privacidade. As configurações iniciais devem já ser as mais protetoras. Isto exclui caixas de consentimento pré-marcadas, perfis públicos por omissão e recolha ampla que o utilizador teria de desativar. É a mesma lógica que o RGPD exige no consentimento: uma ação afirmativa clara, nunca o silêncio ou a inação como aceitação.

Como demonstrar o cumprimento do artigo 25.º

O artigo 25.º é uma obrigação que tem de ser demonstrável, por força do princípio da responsabilidade (art. 5.º, n.º 2). Não basta ter integrado a proteção de dados na conceção; é preciso poder prová-lo numa fiscalização. Na prática, isso significa manter três tipos de evidência:

  • Documentação das decisões de conceção: que dados se decidiu não recolher, que campos se removeram, que configurações se definiram por defeito e porquê.
  • A AIPD, quando exigida, com o registo dos riscos identificados e das medidas de mitigação escolhidas.
  • As medidas técnicas e organizativas associadas a cada tratamento no registo — cifragem, controlo de acessos, pseudonimização, prazos de apagamento automático.

Um erro frequente é tratar o artigo 25.º como um princípio abstrato, sem tradução documental. Quando a CNPD pergunta como um novo sistema respeita a proteção desde a conceção, a resposta útil não é um discurso — é o conjunto de decisões registadas. É por isso que a proteção desde a conceção e a documentação de conformidade caminham juntas: uma sem a outra não resiste a uma inspeção. Organizar esta evidência de forma contínua, em vez de a reconstruir sob pressão, é o que distingue um programa de conformidade maduro.

Perguntas frequentes

A proteção desde a conceção é obrigatória ou recomendada?

É obrigatória. O artigo 25.º usa linguagem vinculativa: o responsável «aplica» as medidas adequadas. Não é uma boa prática opcional, mas um dever cujo incumprimento pode ser sancionado.

Qual a diferença entre desde a conceção e por defeito?

Desde a conceção (n.º 1) diz respeito a integrar a proteção de dados em toda a fase de desenho. Por defeito (n.º 2) exige que as configurações iniciais tratem apenas os dados necessários. A primeira é de método; a segunda é de resultado concreto nas configurações.

O artigo 25.º aplica-se a quem só compra software?

Sim. Quem compra software continua a ser responsável pelo tratamento e deve escolher ferramentas que permitam cumprir o artigo 25.º, exigindo privacy by design ao fornecedor e regulando-o no contrato de subcontratação.

Conclusão

A proteção de dados desde a conceção e por defeito transforma o RGPD de conjunto de regras num método de trabalho: pensar a privacidade no início, e não no fim. O artigo 25.º obriga a integrar medidas como a minimização e a pseudonimização na fase de desenho, e a fazer nascer os sistemas com as configurações mais protetoras. Para quem desenvolve, são decisões de engenharia; para quem compra, é dever de diligência na seleção e no contrato. Em ambos os casos, a AIPD é o instrumento que documenta essas escolhas — e a documentação é o que demonstra a conformidade quando a CNPD pergunta.

Automate your GDPR compliance

Save 340+ hours per year on compliance work. Legiscope provides AI-powered GDPR management trusted by compliance professionals.

Discover Legiscope
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →