PDP — Proteção de Dados Pessoais
Caráter: OBRIGATÓRIO em qualquer solução que trate dados pessoais ou sensíveis. Parte estrutural do framework — não é etapa posterior.
A PDP (Proteção de Dados Pessoais) deverá ser tratada como requisito estrutural, incorporado desde a concepção da solução, em conformidade com a LGPD (Lei 13.709/2018) e os princípios de Privacy by Design.
Regras obrigatórias
Seção intitulada “Regras obrigatórias”- Cada história deverá indicar se envolve dados pessoais, dados pessoais sensíveis ou outras categorias protegidas.
- Avaliação de impacto sobre proteção de dados quando necessário (RIPD).
- A solução deverá tratar apenas os dados estritamente necessários à finalidade declarada.
- Uso de mecanismos de anonimização, pseudonimização ou mascaramento quando aplicável.
- Rastreabilidade dos tratamentos de dados pessoais: responsáveis, finalidade, ambiente de execução e base autorizativa.
Integrações com plataformas externas, incluindo gov.br, deverão ser avaliadas quanto ao risco de vendor lock-in, com preferência por soluções com camada de abstração que permitam portabilidade.
Evidências da PDP
Seção intitulada “Evidências da PDP”- evidência de classificação de dados pessoais;
- evidência de avaliação de impacto, quando cabível;
- evidência de minimização aplicada;
- evidência de controle de uso por IA;
- evidência de mecanismos de transparência e disclaimer;
- evidência de validação humana nos pontos críticos.
Documentos estruturantes
Seção intitulada “Documentos estruturantes”| Sigla | Nome | Uso na PDP |
|---|---|---|
| BRD | Business Requirements Document | Restrições legais de privacidade |
| ADR | Architecture Decision Record | Decisões sobre minimização e retenção |
| RUN | Runbook / Playbook | Resposta a incidentes de privacidade |
| PMT | Postmortem | Após incidentes com dados pessoais |
| RIPD | Relatório de Impacto à Proteção de Dados | Avaliação obrigatória em tratamentos de alto risco |
← GDA — Governança de Dados · Convenções, Ciclo e Governança →