O Regulamento Geral de Proteção de Dados (GDPR) é para proteger a privacidade e dar o controle sobre os dados pessoais de volta aos cidadãos. Não é uma lista de coisas que não se deve fazer, embora já exista uma mitologia. Atualmente trabalhando como um mito do GDPR (infelizmente não oficialmente), eu já vi muitos desentendimentos, enganos e incertezas honestas.
Citações selecionadas de art. 5 :
Personal data shall be:
b) collected for specified, explicit and legitimate purposes and not further processed in a manner that is incompatible with those purposes; - - (‘purpose limitation’);
f) processed in a manner that ensures appropriate security of the personal data, including protection against unauthorised or unlawful processing and against accidental loss, destruction or damage, using appropriate technical or organisational measures (‘integrity and confidentiality’).
Mais importante do que aquilo que é coletado, é coletado para fins legítimos e usado apenas para eles. Um motivo para coletar endereços IP em arquivos de log pode ser o cumprimento da integridade e confidencialidade : se o objetivo dos arquivos de log for detectar e impedir o uso ilegítimo de dados pessoais, talvez seja para garantir a privacidade, não por violá-lo.
Concentre-se apenas em documentar como e por que esses dados são coletados, processados e destruídos depois de não serem mais necessários. Se você não considera que seus propósitos se enquadram no art. 6 legal "necessário para cumprimento de uma obrigação legal" nem "necessário para proteger os interesses vitais da pessoa em causa ou de outra pessoa singular" , o consentimento dado é sempre o mais seguro & caso claro.