O que é GDPR?
O Regulamento Geral sobre a Proteção de Dados (GDPR) é uma lei abrangente de proteção de dados promulgada pela União Europeia que regula como as organizações coletam, tratam, armazenam e compartilham os dados pessoais das pessoas dentro da UE e do Espaço Econômico Europeu.
Também conhecido como: GDPR, General Data Protection Regulation
O GDPR estabelece sete princípios fundamentais para o tratamento de dados: licitude, lealdade e transparência; limitação da finalidade; minimização de dados; exatidão; limitação do prazo de conservação; integridade e confidencialidade; e responsabilização proativa. O regulamento concede às pessoas direitos significativos sobre seus dados, incluindo o direito de acesso, de retificação, de apagamento ("direito ao esquecimento"), de portabilidade dos dados e de oposição ao tratamento.
O princípio de integridade e confidencialidade (artigo 5.º, n.º 1, alínea f) exige que os dados pessoais sejam tratados com "uma segurança adequada", incluindo a proteção contra o acesso não autorizado, a perda acidental ou a destruição. O artigo 32.º ordena especificamente que as organizações implementem medidas técnicas proporcionais ao risco, nomeando explicitamente a criptografia e a pseudonimização como medidas adequadas. As violações de dados devem ser notificadas às autoridades de controle no prazo de 72 horas, com possíveis multas de até 4% do faturamento anual global ou 20 milhões de euros.
Os princípios de minimização de dados e limitação do prazo de conservação do GDPR têm implicações diretas em como as organizações lidam com as credenciais e os segredos. Manter senhas, chaves de API ou tokens de acesso em threads de e-mail ou registros de chat persistentes cria armazenamentos desnecessários de dados que precisam ser protegidos e, por fim, excluídos. As organizações que não conseguirem demonstrar medidas de segurança adequadas para todos os dados que conservam — incluindo os segredos operacionais — enfrentam risco regulatório.
Como o Vaulted usa GDPR
O Vaulted se alinha por design aos princípios fundamentais do GDPR. A minimização de dados é alcançada por meio de links autodestrutivos que excluem automaticamente os segredos após um número configurado de visualizações ou um período de expiração: nenhum dado é conservado além de seu uso pretendido. O princípio de limitação do prazo de conservação é aplicado por meio da expiração automática baseada em TTL no armazenamento de dados. A criptografia no lado do cliente AES-256-GCM e a arquitetura de servidor zero-knowledge garantem a integridade e a confidencialidade: nem mesmo a infraestrutura do Vaulted pode acessar o texto simples compartilhado, reduzindo o alcance de qualquer possível obrigação de notificação de violação de dados.