Projeto seguro de redação e retenção de metadados 2025 — Privacidade e conformidade

Metadados melhoram visibilidade, busca e atribuição, mas podem vazar PII e localização (GPS). Este guia ajuda a decidir o que remover e o que manter, e como automatizar e auditar com segurança.

• Privacidade (remover agressivamente dados pessoais/localização desnecessários)
• Conformidade (LGPD/GDPR/CCPA e leis locais)
• Operação (automação, rastreabilidade, padrões de equipe)

Relacionado: Fluxo seguro de remoção de EXIF e privacidade 2025 / Política segura de metadados 2025 — Remover EXIF, autorrotar e proteger a privacidade

Contexto e escopo

• EXIF (câmera: data/hora, exposição, GPS)
• IPTC (editorial: crédito/título/descrição/tags)
• XMP (RDF flexível: copyright/licença/descrição/acessibilidade)

Atenção a contêineres (RAW/HEIC/WebP/AVIF) e derivados (thumbnails/OGP/web) para evitar vazamentos desde a origem.

Política base

• Por padrão, remover tudo e manter apenas o necessário via allowlist
• Garantir auditabilidade: master em armazenamento seguro; logs à prova de adulteração
• Auto-rotação por pixels; não confiar no flag Orientation
• Minimização de dados; não manter o que não é usado
• Checks pré-publicação: amostragem aleatória + scanners (sem GPS/ID do dispositivo)

Allowlist recomendada (exemplos)

• Direitos/crédito: XMP-dc:creator, IPTC:Credit
• URL de licença: XMP-cc:license
• Descrições úteis para acessibilidade/ALT: XMP-dc:description

Remover (exemplos): GPS*, identificadores únicos de dispositivo, notas internas/rascunhos.

Riscos e cenários

• GPS em exportações para SNS/blog → exposição de casa/escola/trabalho
• IDs de dispositivo → spoofing, rastreamento de equipamento, assédio
• Conteúdo sensível pixelado → além de metadados, precisa de mascaramento/recorte

Mapeamento de conformidade (alto nível)

• LGPD/GDPR: minimização, limitação de propósito, transparência, direito ao apagamento
• CCPA/CPRA: avisos e gestão de dados pessoais vs públicos
• Leis locais e ISO/IEC 27001/27701: processos e rastreabilidade

Documente por que certos campos são mantidos; registre mudanças com notas ao estilo DPIA.

Automação (exemplos)

exiftool -all= -TagsFromFile @ \\
  -XMP-dc:creator -IPTC:Credit -XMP-cc:license -XMP-dc:description \\
  -overwrite_original in/*.jpg

magick in.jpg -auto-orient out.jpg

import sharp from 'sharp'
export async function publishJpeg(input, output) {
  await sharp(input)
    .rotate()
    .withMetadata({ icc: 'sRGB' })
    .jpeg({ quality: 86, chromaSubsampling: '4:2:0' })
    .toFile(output)
}

No CDN/armazenamento (S3), garanta que o caminho público sirva derivados sem metadados.

Verificação e auditoria

• Amostragem aleatória com diffs (exiftool -json)
• Scanners no CI (GPS/IDs indesejados)
• Logs assinados (HMAC)

Entrega web

• Não bloquear favicon/manifest no robots.txt
• OGP com mínimos de autor/licença
• Derivados/thumbnails sob a mesma política
• ICC sRGB para consistência visual

Erros comuns

• EXIF limpo mas GPS persiste no XMP
• Thumbnails do CMS copiam o EXIF original
• Exportação RAW→JPEG mantém localização
• Conteúdo sensível sem mascaramento adicional

Checklist pré-publicação

• [ ] GPS (GPS*) removido
• [ ] Sem IDs únicos/notas internas
• [ ] Créditos/licença/descrição mínimos presentes
• [ ] Mesmo resultado em OGP/thumbnails/derivados
• [ ] Amostras auditadas registradas

FAQ

• Remover tudo é sempre seguro?
  • Depende; manter o mínimo via allowlist conforme requisitos legais/busca.
• Como garantir que não restou localização?
  • Teste GPS* e faça uma segunda passada com exiftool -gps*.
• Afeta qualidade ou cor?
  • Não. Normalize para sRGB e ajuste os parâmetros de JPEG.
• Dá para manter licença/crédito protegendo a privacidade?
  • Sim. Mantenha crédito/URL de licença/descrição, remova PII/GPS.

Resumo

Com remoção por padrão + allowlist, automação auditável e consistência nos derivados, você equilibra privacidade, conformidade e operação. Fluxos: Fluxo seguro de remoção de EXIF e privacidade 2025; política: Política segura de metadados 2025 — Remover EXIF, autorrotar e proteger a privacidade.