Governança de metadados de imagens orientada por consentimento 2025 — Privacidade e confiança

Contexto

Imagens carregam dados pessoais, localização e autoria. Em 2025, governança automatizada centrada no consentimento é padrão. Este guia une operação e implementação para regras reprodutíveis.

Princípios

1. Minimização de dados (apenas o necessário)
2. Consentimento explícito (escopo, derivados, reuso)
3. Observabilidade (rastreabilidade e trilhas de alteração)

Padrões de implementação

• Analise EXIF/IPTC/XMP na ingestão e normalize para uma matriz de políticas.
• Decida remover/manter/substituir antes da rota pública.
• No cliente, reforce CSP e limites de cache offline.

Matriz de políticas (exemplos)

• Sensíveis (GPS/rostos/ID do dispositivo): remover por padrão; manter só com consentimento.
• Direitos (autor/licença): manter por padrão; exibir na UI.
• Contato/URL do autor: exibir mediante consentimento e finalidade.

Exemplo de pipeline Next.js

import exifr from 'exifr';

export async function sanitize(buffer: ArrayBuffer) {
  const meta = await exifr.parse(buffer, { iptc: true, xmp: true });
  const allowGps = false;
  return { ok: true, redacted: !allowGps, meta };
}

Integração CMP

• TCF v2 ou sinais custom no servidor aplicados ao processamento.
• Ex.: “sem localização” → remover GPS/rumo/arredondar hora.

type Consent = { gps: boolean; aiTraining: boolean; credit: boolean };
function decidePolicy(consent: Consent) {
  return { removeGps: !consent.gps, allowAiTraining: consent.aiTraining, showCredit: consent.credit } as const;
}

Armazenamento & retenção

• Originais criptografados (WORM).
• Público só versões saneadas; TTL de CDN 7–30 dias.
• Retenção por classe (ads: 1 ano; arquivo editorial: 5–10 anos).

Auditoria & incidentes

• Amostragem mensal; tickets automáticos em desvios.
• Incidente: SLA 24–72h para purgar público/CDN/backups.
• Logs com hashes invioláveis.

type AuditLog = { inputSha256: string; outputSha256: string; removedFields: string[]; actor: string; timestamp: string };

Pipeline orientado a eventos

1. Upload → fila
2. Sanitizar → rewrite → validar
3. Classificar → rótulos de direitos/consentimento
4. Publicar → URL assinada → CDN; créditos na UI
5. Auditar → logs → painel

Mostrar créditos na UI

function Credit({ xmp }: { xmp?: { creator?: string; license?: string } }) {
  if (!xmp) return null;
  return (
    <figcaption className="mt-2 text-xs text-muted-foreground">
      {(xmp.creator && `© ${xmp.creator}`) || ''}
      {xmp.license && (<>
        {' '}· Licença: <a href={xmp.license} target="_blank" rel="noreferrer noopener">{xmp.license}</a>
      </>)}
    </figcaption>
  );
}

Segurança & privacidade

• Remova miniaturas EXIF separadas.
• URLs assinadas/tokens curtos para limitar hotlinks.
• CSP/Referrer‑Policy para evitar vazamento de URLs de metadados.

Checklist

• [ ] Política de minimização
• [ ] Esquema de consentimento e UI
• [ ] Saneamento automático
• [ ] Guardar/buscar logs de auditoria
• [ ] Créditos/direitos na UI
• [ ] Política de backup/remoção

FAQ

• P: Remover todos os metadados?

  • R: Não. Mantenha direitos/créditos; remova dados sensíveis (GPS etc.).

• P: Como tratar acervos existentes?

  • R: Auditoria em lote → saneamento automático → revisão de diffs.

• P: Retirada de consentimento?

  • R: Rastrear por ID; purgar público/CDN/backups; registrar SLA.

• P: Metadados de imagens de IA?

  • R: Prompts/registros podem ser sensíveis. Remova em público; mantenha interno para auditoria.

• P: CDN remove ICC/metadados

  • R: Otimizadores removem por padrão. Use perfil que preserva ou reinsere (copyright/licença).