As informações pessoalmente identificáveis (PII) são quaisquer informações relacionadas a um indivíduo específico que podem ser usadas para descobrir sua identidade, como seu CPF, nome completo ou endereço de e-mail.

À medida que as pessoas passaram a confiar cada vez mais na tecnologia da informação em seus serviço e vidas pessoais, o volume de PII compartilhado com as organizações aumentou. Por exemplo, as empresas coletam dados pessoais dos clientes para entender seus mercados e os consumidores fornecem prontamente seus números de telefone e endereços residenciais para se inscrever em serviços e realizar compras on-line. 

O compartilhamento de PII pode ter seus benefícios, pois permite que as empresas customizem produtos e serviços de acordo com os desejos e necessidades de seus clientes, como oferecer resultados de busca mais relevantes em aplicativos de navegação. No entanto, os crescentes depósitos de PII acumulados pelas organizações atraem a atenção dos cibercriminosos. Os hackers roubam PII para cometer furto de identidade, vendê-las no mercado negro ou sequestrá-las via ransomware. De acordo com o relatório da IBM Custo de uma violação de dados de 2022 , 83% das empresas já sofreram mais de uma violação de dados, com um custo médio de USD 4,35 milhões. As pessoas e os profissionais de segurança de informações navegam por um complexo cenário de TI e requisitos jurídicos para manter a privacidade de dados frente a esses ataques. 

Existem dois tipos de PII: identificadores diretos e indiretos. Os identificadores diretos são específicos de uma pessoa e podem ser registros como número do passaporte ou número da carta de motorista. Um único identificador direto é normalmente suficiente para determinar a identidade de alguém.

Identificadores indiretos não são específicos. Eles incluem mais detalhes pessoais gerais como etnia e local de nascimento. Enquanto um identificador indireto único não pode identificar uma pessoa, um conjunto deles pode. Por exemplo, 87% dos cidadãos americanos (PDF, 303 KB)  (link externo a ibm.com) podem ser identificados com base apenas em seu gênero, CEP e data de nascimento.

Nem todos os dados pessoais são considerados PII. Por exemplo, os dados sobre os hábitos de streaming de uma pessoa não são PII porque seria difícil, senão impossível, dizer quem é alguém com base apenas no que essa pessoa assistiu na Netflix. As PII referem-se apenas a informações de uma pessoa específica, como o tipo de informações que você pode fornecer para verificar sua identidade ao entrar em contato com seu banco.

Entre as PII, algumas informações são mais sensíveis do que outras. As PII são informações confidenciais que identificam diretamente um indivíduo e podem causar danos significativos se forem vazadas ou roubadas. Um cadastro de pessoa física (CPF) é um bom exemplo de PII confidencial. Como muitas agências governamentais e instituições financeiras usam CPF para verificar a identidade das pessoas, um criminoso que rouba um CPF pode facilmente acessar informações sobre impostos ou contas bancárias de suas vítimas. Outros exemplos de PII confidenciais:

• Números de identificação específicos, como número de carteira de motorista, número de passaporte e outros registros de ID emitidos pelo governo
• Dados biométricos, como impressões digitais e biometria óptica
• Dados bancários, incluindo número de conta bancária e número de cartão de crédito
• Prontuários médicos

As PII confidenciais normalmente não estão disponíveis para o público e a maioria das leis de privacidade de dados existente exige que as organizações as protejam por meio de criptografia, controlando quem as acessa ou tomando outras medidas de cibersegurança.

As PII não confidenciais são dados pessoais que, isoladamente, não causam danos significativos a uma pessoa se vazados ou roubados. Podem ou não ser específicas a uma pessoa. Por exemplo, um arroba de redes sociais seria uma PII não confidencial: isso poderia identificar alguém, mas um agente malicioso não poderia cometer roubo de identidade com apenas um nome de conta em uma rede social. Outros exemplos de PII não confidenciais:

• Nome completo de uma pessoa
• Nome de solteira da mãe
• Número de telefone
• Endereço IP
• Local de nascimento
• Data de nascimento
• Dados geográficos (CEP, cidade, estado, país, etc)
• Informações de trabalho
• Endereço de e-mail ou de correspondência
• Raça ou etnia
• Religião

As PII não confidenciais geralmente estão disponíveis ao público, por exemplo, números de telefone podem ser listados em uma lista telefônica e endereços podem ser listados em registros de propriedade pública de um governo local. Alguns regulamentos de privacidade de dados não requerem a proteção de PII não confidenciais, mas muitas empresas as protegem de qualquer maneira. Isso ocorre porque os criminosos podem causar problemas compilando diversas partes de PII não confidenciais.

Por exemplo, um hacker pode invadir o aplicativo de conta bancária de alguém usando o número de telefone, endereço de e-mail e o nome de solteira da mãe. O e-mail proporciona a eles um nome do usuário, o spoofing do número do telefone confere a eles uma maneira de receber um código de verificação e o nome de solteira da mãe oferece a eles uma resposta à pergunta de segurança.

É importante observar que o que diferencia PII confidenciais de não confidenciais depende do contexto. Apenas um nome completo pode não ser confidencial, mas uma lista de pessoas que visitaram um determinado médico seria confidencial. Da mesma forma, o número do telefone de uma pessoa pode estar disponível para o público, mas um banco de dados de números de telefone usados para autenticação de dois fatores em um site de redes sociais pode ser considerado como fonte de PII confidenciais.

Quando as informações confidenciais se tornam PII?

O contexto também determina se algum dado pode ser considerado como PII. Por exemplo, dados anônimos de localização geográfica agregados são geralmente vistos como dados pessoais genéricos porque a identidade de um único usuário não pode ser isolada. No entanto, registros individuais de dados anônimos de localização geográfica podem se tornar PII, conforme demonstrado por uma recente ação judicial da Federal Trade Commission (FTC)  (link externo a ibm.com). A FTC argumenta que o broker de dados Kochava estava vendendo dados de localização geográfica que eram considerados PII porque "as atualizações de dados customizadas da empresa permitiam aos compradores identificar e rastrear usuários de dispositivos móveis específicos. Por exemplo, a localização de um dispositivo móvel à noite é provavelmente o endereço residencial e pode ser combinada com registros de propriedade para descobrir sua identidade".

Os avanços da tecnologia também estão facilitando a identificação de pessoas a partir de menos informações, podendo alterar os limites do que é considerado PII de modo geral. Por exemplo, pesquisadores da IBM e da Universidade de Maryland desenvolveram um algoritmo (PDF, 959 KB)  (link externo a ibm.com) para identificar pessoas específicos, combinando dados anônimos de dados da localização com informações disponíveis de forma pública em sites de redes sociais.

Regulamentos internacionais de privacidade

De acordo com McKinsey  (link externo a ibm.com), 75% dos países implementaram leis de privacidade de dados que regem a coleta, a retenção e o uso de PII. Cumprir esses regulamentos pode ser difícil porque diferentes jurisdições podem ter regras diferentes ou até mesmo contraditórias. O surgimento da cloud computing e do trabalho remoto também representa um desafio. Nesses ambientes, os dados podem ser coletados em um local, armazenado em outro e processado em um terceiro. Diferentes regulamentos podem ser aplicados aos dados a cada etapa, dependendo da localização geográfica.

Para complicar ainda mais as coisas, alguns regulamentos definem diferentes normas para quais tipos de dados devem ser protegidos. O Regulamento Geral sobre a Proteção de Dados (GDPR) da União Europeia exige que as organizações protejam todos os dados pessoais, definidos   (link externo a ibm.com) como "quaisquer informações relativas a uma pessoa física identificada ou identificável". De acordo com o GDPR, as organizações devem proteger PII confidenciais e não confidenciais, além de informações que podem nem mesmo serem consideradas dados confidenciais em outros contextos, como opiniões políticas, associações organizacionais e descrição de características físicas. 

Regulamentos de privacidade dos EUA

Gabinete de Gestão e Orçamento (OMB) do governo dos EUA define PII de forma mais restrita (PDF, 227 KB)  (link externo a ibm.com) como

[I]informações que podem ser usadas para distinguir ou rastrear a identidade de uma pessoa, como seu nome, número de CPF, registros biométricos, entre outros. isoladamente, ou quando combinadas com outras informações pessoais ou de identificação vinculadas ou vinculáveis a uma pessoa específica, como data e local de nascimento, nome de solteira da mãe, etc.

De acordo com Bart Willemsen, analista do Gartner  (link externo a ibm.com), "Nos EUA, PII historicamente refere-se a alguns identificadores como nome, endereço, CPF, número da carteira de motorista ou número do cartão de crédito".

Embora os EUA não tenham leis de privacidade de dados em nível federal, as agencias governamentais estão sujeitas à Lei de Privacidade de 1974, que rege como as agências federais coletam, usam e compartilham PII. Alguns estados dos EUA têm suas próprias leis de privacidade de dados, principalmente a Califórnia. A Lei de Privacidade do Consumidor da Califórnia (CCPA) e a Lei de Direitos de Privacidade da Califórnia (CPRA) definem os direitos dos consumidores em relação a como as organizações coletam, armazenar e uso suas PII.

Regulamentações de privacidade específicas do setor

Alguns setores também têm suas próprias leis de privacidade de dados. Nos EUA, a Lei de portabilidade e responsabilidade de seguros de saúde (HIPAA) rege como organizações de assistência médica coletam e protegem os prontuários médicos e as PII do paciente. Da mesma forma, o Padrão de Segurança de Dados do Setor de Cartão de Pagamento (PCI DSS) é um padrão global do setor financeiro para a maneira como empresas cartão de crédito, comerciantes e processadores de pagamento gerenciam informações confidenciais de portadores de cartões.

A pesquisa sugere que as organizações têm enfrentado certos desafios nesse cenário em constante mudança de leis e normas do setor. De acordo com o ESG  (link externo a ibm.com), 66% das empresas que passaram por auditorias de privacidade de dados nos últimos três anos apresentaram falha pelo menos uma vez e 23% apresentaram falhas três ou mais vezes. A falta de cumprimento de regulamentos relevantes de privacidade de dados pode incorrer em multas, danos a reputação, perda de oportunidades de negócios, entre outras consequências para as organizações. Por exemplo, a Amazon foi multada em USD 888 milhões por violação do GDPR em 2021  (link externo a ibm.com).

Os hackers roubam PII por vários motivos: para cometer roubo de identidade, fazer chantagem ou vendê-las no mercado clandestino, no qual conseguem até USD 1 por CPF e USD 2.000 por número de passaporte  (link externo a ibm.com). Os hackers também podem procurar PII como parte de um ataque maior: eles podem sequestrá-los usando ransomware ou roubar PII para assumir o controle de contas de e-mail de executivos para uso em golpes de spear phishing e de comprometimento de e-mail comercial (BEC).

Cibercriminosos muitas vezes usam ataques de engenharia social para enganar vítimas inocentes e fazê-las entregar PII voluntariamente, mas também podem comprar esses dados na dark web ou obter acesso como parte de uma violação de dados maior. As PII podem ser roubadas fisicamente fazendo verificações na lixeira de uma pessoa ou espionando-a enquanto ela usa um computador. Agentes mal-intencionados também podem monitorar as contas de redes sociais de um alvo, onde muitas pessoas, sem saber, compartilham PII não confidenciais todos os dias. Ao longo do tempo, um invasor pode reunir informações suficientes para personificar uma vítima ou invadir suas contas.

Para organizações, pode ser complicado proteger as PII. O crescimento da cloud computing e dos serviços SaaS significa que as PII podem ser armazenadas e processadas em múltiplo locais, em vez de usar uma única rede centralizada. De acordo com um relatório do ESG  (link externo a ibm.com), o volume de dados confidenciais armazenados em clouds públicas deve dobrar até 2024 e mais da metade das organizações acredita que esses dados não estão suficientemente protegidos.

Para proteger as PII, as organizações normalmente criam frameworks de privacidade de dados. Esses frameworks podem ter diferentes formas, dependendo da organização, das PII que coletam e dos regulamentos privacidade de dados que deve seguir. Como exemplo, o National Institute of Standards and Technology (NIST) fornece o seguinte framework de amostra  (link externo a ibm.com):

1. Identifique todas as PII nos sistemas da organização.

2. Reduza a coleta e o uso de PII e descarte regularmente qualquer PII que não seja mais necessária.

3. Categorize as PII de acordo com o nível de confidencialidade.

4. Aplique controles de segurança de dados. Os controles de exemplo incluem:

• Criptografia: a criptografia de PII em trânsito, em repouso e em uso por meio de criptografia homomórfica ou computação confidencial pode ajudar a manter as PII protegidas e em conformidade independentemente de onde são armazenadas ou gerenciadas.
  
  
• Gerenciamento de acesso e identidade (IAM): Dois fatores ou autenticação de diversos fatores podem criar mais barreiras entre hackers e dados confidenciais. Da mesma forma, aplicar o princípio do privilégio mínimo por meio de arquitetura zero trust e acesso baseado em função controles de função (RBAC) pode limitar o volume de PII que os hackers podem acessar se violarem a rede.
  
  
• Treinamento: isso pode incluir treinamento de funcionários sobre o gerenciamento e descarte adequado de PII e treinamento para os funcionários protegerem suas próprias PII (por exemplo, treinamento antipishing, treinamento sobre engenharia social e treinamento de uso consciente de redes sociais).
  
  
• Anonimização: a anonimização de dados é o processo de remoção das características identificadoras de dados confidenciais. Técnicas comuns de anonimização incluem a remoção de identificadores de dados, agregação de dados ou adição estratégica de ruído aos dados.
  
  
• Ferramentas de segurança cibernética: as ferramentas de prevenção de perda de dados (DLP) podem ajudar a rastrear dados à medida que se movem pela rede, facilitando a detecção de vazamentos e violações. Outras soluções de cibersegurança que oferecem visualizações de alto nível da atividade na rede, como as ferramentas de detecção e resposta estendidas (XDR), também podem ajudar no rastreamento do uso e uso inadequado de PII.

5. Elabore um plano de resposta a incidentes para vazamentos e violações de PII.

Vale a pena notar que o NIST e outros especialistas em privacidade de dados geralmente recomendam a aplicação de diferentes controles a conjuntos de dados diferentes com base no nível de confidencialidade dos dados. O uso de controles rígidos para dados não confidenciais pode ser complicado e pode não ser uma opção de bom custo-benefício.