Narcis Miclaus

11 min de citit

Arhitectura datelor și a sistemelor, de la zero Lecția 78 / 80

Privacy și conformitate: GDPR, CCPA, data residency

Reglementările de privacy ca factori arhitecturali. Dreptul la ștergere, data residency, customer-managed keys și infrastructura de consimțământ și audit pe care cadrele de conformitate le cer.

Reglementările de privacy arată ca hârțogărie legală din afară. Din interiorul unei revizii arhitecturale, sunt unele dintre cele mai scumpe constrângeri pe care o echipă le va absorbi vreodată. O nouă lege de privacy într-o nouă jurisdicție poate forța o reconstrucție a manipulării identității, a infrastructurii de ștergere, a topologiei de deployment regional și a log-ului de audit. Costul nu e în onorariile legale; e în munca de inginerie care urmează.

Greșeala pe care o fac echipele este să trateze conformitatea ca pe o verificare pe care echipa juridică o gestionează după ce platforma e construită. Până în momentul în care regulatorii se interesează de un sistem, arhitectura a presupus că datele utilizatorului trăiesc într-un singur warehouse, sunt copiate în trei feature stores, sunt exportate în fiecare noapte către doi furnizori de analytics și sunt arhivate lunar într-un cold storage imutabil. Niciuna dintre aceste copii nu se gândea la un viitor în care utilizatorul ar putea cere să fie șters. Întoarcerea pentru a adăuga acea capabilitate e grea, lentă și produce unele dintre cele mai urâte coduri din orice platformă de date.

Această lecție e despre reglementările de privacy care contează în 2026, tiparele arhitecturale pe care le cer și cadrele de conformitate care codifică tiparele în controale auditabile.

Reglementările care formează sistemele moderne

Un scurt tur. Forma fiecăruia e similară; detaliile diferă.

GDPR, General Data Protection Regulation a UE, în vigoare din 2018. Cea mai influentă lege de privacy din lume datorită razei sale: se aplică oricărei organizații care procesează datele personale ale rezidenților UE, indiferent de unde e organizația. Drepturile pe care le acordă utilizatorilor includ acces (dă utilizatorului o copie a datelor sale), portabilitate (dă-le într-un format citibil de mașină), rectificare (lasă-i să le corecteze), ștergere (șterge-le la cerere, cu excepții limitate) și dreptul de a se opune unor tipuri specifice de procesare. Principiile includ minimizarea datelor (nu colecta mai mult decât cere scopul), limitarea scopului (nu reutiliza datele pentru un scop fără legătură cu cel pentru care au fost colectate) și limitarea stocării (nu le păstra mai mult decât e necesar).

CCPA și CPRA, legile de privacy ale Californiei. Formă similară: drepturi de acces, ștergere și opt-out din vânzarea sau partajarea informațiilor personale. CPRA a adăugat cerințe privind informațiile personale sensibile și un regulator (CPPA) care să impună.

LGPD în Brazilia, PIPL în China, POPIA în Africa de Sud, principiile APP în Australia și o colecție în creștere de legi statale din SUA (Colorado, Virginia, Connecticut, Utah, Texas, altele) poartă fiecare propria versiune a acelorași idei centrale cu răsuciri locale. PIPL are dispoziții agresive de transfer transfrontalier care prind companii străine pe nepregătite.

Concluzia arhitecturală e că „privacy” nu e o singură reglementare; e un set suprapus de regimuri pe care platforma trebuie să le satisfacă simultan. Majoritatea echipelor aleg GDPR ca reper de top și construiesc spre el, pe teoria că satisfacerea GDPR satisface majoritatea celorlalte regimuri în majoritatea timpului.

Implicația arhitecturală: dreptul de a fi uitat

Cea mai grea problemă arhitecturală în privacy este dreptul la ștergere. Utilizatorul depune o cerere de ștergere. Unde sunt datele lui?

Într-un sistem mic, „tabelul de utilizatori” e un răspuns apărabil. Pe orice platformă reală, datele există într-o duzină de locuri: baza de date operațională, data warehouse-ul, ML feature store-ul, snapshot-ul de backup al trimestrului trecut, copia furnizorului de analytics, istoricul de cazuri al uneltei de support, profilul uneltei de marketing automation, exportul pe care echipa de date l-a trimis unui contractor în 2024. Fiecare dintre acele copii e o țintă de ștergere și fiecare are mecanici diferite pentru îndepărtarea efectivă a unei înregistrări.

Tiparele arhitecturale care fac asta tractabilă, în ordine aproximativă a costului:

Marchează fiecare rând cu ID-ul subiectului. Fiecare tabel care conține date personale poartă o referință explicită la utilizatorul pe care îl descrie. Ștergerea devine „găsește fiecare rând marcat cu subiectul X”. Fără această marcare, echipa trebuie să raționeze despre fiecare tabel individual, adesea prin join împotriva unor identificatori tranzitorii care s-ar putea să nu supraviețuiască unui backup.

Propagare tombstone. Când o ștergere se întâmplă în sistemul sursă, o înregistrare tombstone (ID-ul utilizatorului plus un timestamp „deleted at”) curge în aval prin aceleași pipeline-uri care au mutat inițial datele. Fiecare sistem din aval aplică tombstone-ul. Tiparul cere ca pipeline-urile să fie idempotente și să respecte tombstone-urile, ceea ce e o proprietate netrivială de retrofit-at.

Pseudonimizare. În loc să stocheze identificatori bruți peste tot, platforma stochează un identificator pseudonim mapat printr-un singur serviciu de lookup. Ștergerea intrării de lookup șterge efectiv legătura cu persoana reală, chiar dacă copiile din aval ale datelor pseudonime rămân. Asta pierde niște informație pentru totdeauna (echipa nu mai poate răspunde la „ce a făcut acest utilizator?”) dar păstrează valoarea analitică (echipa poate încă răspunde la „cum arată în agregat utilizatorii care au făcut X?”). Făcută bine, asta e cea mai ieftină cale spre conformitate pentru workload-urile de analytics. Făcută prost, produce un sentiment fals de privacy pentru că pseudonimele sunt ușor de re-identificat.

Retenția backup-urilor și excluderi. Cazul cel mai greu e backup-ul rece imutabil. Echipa nu poate șterge un singur utilizator dintr-un tarball de backup fără a-l restaura, modifica și re-arhiva, ceea ce e impractic. Răspunsul pragmatic pe care majoritatea echipelor îl adoptă: backup-urile expiră pe un program (tipic 30 până la 90 de zile), iar cererea de ștergere e onorată împotriva backup-urilor așteptând să iasă din fereastra de retenție, cu o procedură documentată pentru restaurarea dintr-un backup care încă conține date șterse (utilizatorul e re-șters la restore).

flowchart TD
    U[Deletion request<br/>user X]
    OP[Operational DB]
    WH[Data warehouse]
    FS[Feature store]
    AN[Analytics vendor]
    SU[Support tool]
    BK[Backups<br/>retention window]
    T[Tombstone published<br/>subject ID + timestamp]
    U --> OP
    OP --> T
    T --> WH
    T --> FS
    T --> AN
    T --> SU
    T --> BK

Desenul e înșelător de ordonat. Într-un sistem real, tombstone-ul trebuie să curgă prin pipeline-uri batch care pot rula zilnic, pipeline-uri streaming care întârzie cu minute și API-uri de furnizori care s-ar putea să nu accepte deloc tombstone-uri. Fiecare cale e propria problemă de inginerie, iar postura GDPR a echipei e cea mai slabă cale dintre toate.

Data residency

A doua implicație arhitecturală grea este residency. Mai multe jurisdicții cer ca datele personale ale rezidenților lor să rămână fizic în interiorul granițelor lor, sau cel puțin să iasă doar în condiții specifice.

UE e exemplul cel mai zgomotos: GDPR pune condiții pe transferurile de date personale în afara UE/SEE. Decizia Schrems II a invalidat cadrul Privacy Shield care anterior legitima majoritatea transferurilor către SUA, iar înlocuitorul (EU-US Data Privacy Framework) e el însuși contestat. PIPL al Chinei are propriul regim de transfer transfrontalier, care poate cere evaluări de securitate de la regulatorii chinezi pentru anumite transferuri. DPDPA al Indiei, legea de localizare a datelor a Rusiei, mai multe alte regimuri: fiecare are propriile reguli.

Consecința arhitecturală e că echipa care rulează o platformă globală nu poate stoca datele tuturor într-o singură regiune și să servească pe toți din ea. Tiparele:

Deployment-uri blocate pe regiune. Fiecare regiune are propria bază de date, backup-uri, analytics, arhivă de log. Replicarea cross-region e restricționată intenționat. Datele utilizatorilor UE trăiesc exclusiv în regiunile UE; backup-urile merg în bucket-uri UE; log-urile de acces stau în UE. Cea mai puternică postură, cea mai scumpă.

Rutare de date conștientă de regiune. Un control plane global rutează cererile utilizatorilor către data plane-ul regiunii potrivite pe baza residency-ului. Data plane-ul nu comunică niciodată cu regiunea greșită pentru date personale. Furnizorii cloud oferă servicii care fac asta mai ușor (AWS Local Zones, Azure Data Boundary, controalele regionale de servicii de la Google).

Mecanisme de transfer restricționat. Când datele trebuie să părăsească o regiune (tipic pentru furnizori SaaS globali), transferul se întâmplă sub mecanisme legale explicite: standard contractual clauses, binding corporate rules sau decizia de adecvare relevantă. Arhitectura trebuie să marcheze datele cu sensibilitatea și originea lor pentru a ști care mecanism se aplică.

O platformă care ignoră residency-ul până când trebuie să-l repare are de făcut o migrare lungă. Adăugarea stocării blocate pe regiune la un sistem care a început global e structural similar cu adăugarea multi-tenancy după faptul: realizabil, scump și vizibil în complexitatea sistemului ani de zile după aceea.

Encryption cu customer-managed keys

Mai multe cadre și regulatori încurajează sau cer ca clientul (sau echipa de platformă, în numele clientului) să dețină cheile de criptare, nu furnizorul cloud.

Default-ul cloud e encryption at rest cu chei gestionate de furnizor: datele sunt criptate, iar cheia stă în KMS-ul furnizorului. Asta protejează împotriva discurilor furate dar nu împotriva furnizorului în sine, sau împotriva unui atacator care a compromis credențiale IAM care pot decripta prin API-ul furnizorului.

Customer-managed keys (CMK sau BYOK) pun cheia într-un KMS pe care clientul îl controlează și-l poate revoca: AWS KMS, Azure Key Vault, GCP Cloud KMS, toate cu opțiuni de chei gestionate de client. Unele workload-uri merg mai departe cu HSM-uri externe sau tipare „hold-your-own-key” unde furnizorul cloud nu vede niciodată cheia. Compromisul e complexitatea operațională: pierzi cheia, pierzi datele; pană KMS, datele necitibile până revine. CMK e o obligație pe care multe workload-uri reglementate o acceptă, nu un default pentru cele de uz general.

Log-uri de audit și acces

Articolul 5(2) GDPR și majoritatea celorlalte regimuri cer responsabilitate: platforma trebuie să poată demonstra, la cerere, cine a accesat ce date personale, când și cu ce scop. Asta se suprapune cu log-ul de audit de securitate din lecția 77 dar e o preocupare distinctă cu cerințe mai stricte de retenție și interogare.

Log-ul de audit de privacy răspunde la întrebări precum „pe 14 martie 2026, înregistrarea acestui utilizator a fost accesată; de către cine?”, „care agenți de support au vizualizat tichetele acestui client în ultimele 90 de zile?” și „care pipeline-uri au citit din tabelul care conține rândul acestui utilizator și în ce tabele din aval au aterizat datele?”

Construirea asta după faptul e grea. Construirea ei ca parte din data plane de la început e mult mai ușoară: fiecare citire a unui tabel care conține date personale emite un eveniment; fiecare export către un furnizor e logat cu ID-urile rândurilor acoperite; fiecare query analytic e marcat cu subiecții de date pe care îi atinge. Volumul e semnificativ, stocarea e ieftină și regulatorul va întreba eventual.

Arhitectura de consimțământ

Privacy-ul e și despre respectarea alegerilor: utilizatorul a optat in pentru email-uri de marketing dar nu pentru reclame personalizate, a optat out din partajarea cu furnizori terți și a revocat consimțământul pentru cookies de analytics. Arhitectura trebuie să înregistreze acele alegeri și să le propage în fiecare sistem care acționează pe ele.

Înregistrarea consimțământului în sine e simplă: un rând per utilizator per tip de consimțământ, cu un timestamp și versiunea textului de consimțământ afișat. Partea grea e propagarea. Fiecare sistem din aval care folosește datele trebuie să știe starea curentă a consimțământului utilizatorului, iar un nou opt-out trebuie să ajungă la unealta de marketing, furnizorul de analytics, motorul de recomandări și expeditorul de email-uri în orice interval permite reglementarea (adesea „fără întârziere nejustificată”, în practică ore, nu zile).

Platformele de management al consimțământului (OneTrust, Segment Consent Manager, Cookiebot) se ocupă de UI-ul către utilizator și de înregistrarea în sine. Munca arhitecturală e stratul de propagare: un flux de evenimente de schimbare a consimțământului la care se abonează sistemele din aval, aplicare idempotentă a acelor evenimente și un log de audit care dovedește că fiecare sistem a aplicat schimbarea.

Cadrele de conformitate ca factori arhitecturali

Dincolo de legile de privacy în sine, mai multe cadre de conformitate codifică controalele de care o platformă reglementată are nevoie. Fiecare cere decizii arhitecturale specifice.

SOC 2 este cel mai comun cadru pentru SaaS B2B. Evaluează platforma împotriva a cinci trust services criteria (security, availability, processing integrity, confidentiality, privacy). Controalele pe care le așteaptă includ change management cu porți de aprobare, separare a îndatoririlor între dezvoltare și producție, encryption în locurile standard și un proces documentat de răspuns la incidente. Type II cere dovezi pe 6 până la 12 luni că controalele operează efectiv.

ISO 27001 e echivalentul internațional, mai larg ca scop și mai prescriptiv despre sistemul de management din jurul controalelor (ISMS). Controale similare; mai mult accent pe cadrul de management.

HIPAA în SUA, pentru protected health information. Adaugă cerințe privind manipularea PHI, business associate agreements cu furnizorii și termene de notificare a breșelor. PCI DSS pentru datele de card de plată, cu segmentare de rețea (cardholder data environment trebuie izolat), standarde specifice de criptare și scanări trimestriale de vulnerabilități.

Consecința arhitecturală e că controalele platformei devin auditabile. Auditorii cer dovezi: cine a aprobat acest deploy, cum se revizuiește accesul, unde sunt cheile de criptare, cine poate citi log-ul de audit. O platformă construită fără aceste controale în minte trebuie să le retrofit-eze când echipa de procurement a unui client cere certificarea.

Cum arată ce e bine

O echipă cu o postură sănătoasă de privacy și conformitate are date clasificate după sensibilitate și marcate cu identitatea subiectului datelor. Pipeline-uri care propagă ștergerile și schimbările de consimțământ în aval în termene documentate. Deployment-uri blocate pe regiune unde residency-ul cere asta. Customer-managed keys pentru workload-urile care au nevoie. Un log de audit care răspunde la întrebările regulatorului fără panică. Un roadmap de conformitate pe care arhitectura a fost construită să-l susțină, nu retrofit-ată să-l satisfacă.

Nimic din asta nu previne fiecare breșă sau satisface fiecare regulator. Tot ce e mai sus este diferența dintre o platformă care își poate apăra deciziile când e scrutată și una care nu poate. Discuția despre infrastructure-as-code din lecția 53 e relevantă din nou: fiecare politică de region-lock, fiecare configurație de criptare, fiecare destinație de log de audit e cod, revizuit, ținut în version control. Arhitectura de securitate din lecția 77 e fundația; poți avea securitate care eșuează la privacy pentru că echipa a tratat stratul de reglementare ca pe o gândire ulterioară.

Lecția următoare se mută spre dimensiunile sociale și de echipă ale arhitecturii: cum legea lui Conway formează sistemele pe care le construim și topologiile de echipă care produc platforme care pot susține efectiv controalele și tiparele pe care acest modul și-a petrecut timpul descriindu-le.

Citări și lecturi suplimentare

  • General Data Protection Regulation (Regulation (EU) 2016/679), https://eur-lex.europa.eu/eli/reg/2016/679/oj (consultat 2026-05-01). Textul oficial consolidat. Merită citite cel puțin recitalurile și Articolele 5, 6, 17, 20 și 32.
  • California Consumer Privacy Act and California Privacy Rights Act, https://oag.ca.gov/privacy/ccpa (consultat 2026-05-01). Resursa oficială a Procurorului General al Californiei despre CCPA/CPRA.
  • NIST Privacy Framework v1.0, https://www.nist.gov/privacy-framework (consultat 2026-05-01). Cadrul de privacy NIST, structurat similar cu cadrul de cybersecurity, util pentru a traduce reglementarea în controale de inginerie.
  • NIST Cybersecurity Framework 2.0, https://www.nist.gov/cyberframework (consultat 2026-05-01). Companion al cadrului de privacy; funcțiile sale protect și detect acoperă mare parte din infrastructura de audit și acces pe care această lecție o descrie.
  • CIS Controls v8, https://www.cisecurity.org/controls/v8 (consultat 2026-05-01). Lista practică de controale, care se mapează pe cerințele de dovadă SOC 2 și ISO 27001 cu fidelitate rezonabilă.
  • European Data Protection Board, “Guidelines on data subject rights”, https://www.edpb.europa.eu/our-work-tools/general-guidance/guidelines-recommendations-best-practices_en (consultat 2026-05-01). Interpretările autorităților de supraveghere asupra drepturilor GDPR, inclusiv ștergere și portabilitate.
Caută