O que são informações de identificação pessoal (IIP)?

À medida que as pessoas passaram a confiar cada vez mais na tecnologia da informação tanto na vida pessoal quanto profissional, a quantidade de IIP compartilhada com as organizações aumentou. Por exemplo, as empresas coletam dados pessoais dos clientes para uma melhor compreensão dos seus mercados, e os consumidores prontamente fornecem seus números de telefone e endereços residenciais quando querem se cadastrar em serviços ou fazer compras online.

O compartilhamento de IIP pode ter seus benefícios, pois permite que as empresas personalizem produtos e serviços de acordo com os desejos e as necessidades dos seus clientes, como a apresentação de resultados de pesquisa mais relevantes em aplicações de navegação. No entanto, a quantidade crescente de IIP acumulada pelas organizações atraem a atenção de cibercriminosos.

Os hackers roubam IIP para cometer roubo de identidade, vendê-las no mercado negro ou mantê-las como reféns através de ataques de ransomware. De acordo com o relatório do custo das violações de dados de 2024 da IBM, o custo médio da violação de dados causada por um ataque de ransomware foi de US$ 5,68 milhões. Indivíduos e profissionais de segurança da informação precisam navegar por um cenário complexo de TI e jurídico para manter a privacidade dos dados diante desses ataques.

As IIP possuem dois tipos: identificadores diretos e identificadores indiretos. Os identificadores diretos são exclusivos de uma pessoa e incluem informações como o número do passaporte ou da carteira de motorista. Normalmente, um único identificador direto é suficiente para determinar a identidade de alguém.

Os identificadores indiretos não são exclusivos. Eles incluem dados pessoais mais gerais, como raça e local de nascimento. Embora um único identificador indireto não seja suficiente para identificar uma pessoa, uma combinação deles pode fazer isso. Por exemplo, 87% dos cidadãos dos EUA podem ser identificados com base em informações como gênero, CEP e data de nascimento.

Nem todos os dados pessoais são considerados IIP. Por exemplo, dados sobre os hábitos de streaming de uma pessoa não são considerados IIP. Até porque, seria difícil ou praticamente impossível, identificar alguém com base apenas no que essa pessoa assistiu na Netflix. IIP refere-se apenas a informações que apontam para uma determinada pessoa, como informações que você pode fornecer para verificar sua identidade ao entrar em contato com seu banco.

Entre as IIP, algumas informações são mais confidenciais do que outras. IIP confidenciais são informações que identificam diretamente um indivíduo e podem causar danos significativos quando vazadas ou roubadas.

Um número de previdência social é um bom exemplo de IIP confidencial. Como muitas agências governamentais e instituições financeiras utilizam esse número para verificar a identidade das pessoas, um criminoso que roube essa informação poderia facilmente ter acesso aos registros da vítima. Outros exemplos de IIP confidenciais incluem:

• Números de identificação exclusivos, como números da carteira de motorista, números do passaporte e outros números de identificação emitidos pelo governo.
• Dados biométricos, como impressões digitais e varreduras de retina.
• Informações financeiras, incluindo números de contas bancárias e números de cartão de crédito.
• Registros médicos.

As IIP confidenciais normalmente não estão disponíveis publicamente, e a maioria das leis de privacidade de dados existentes exige que as organizações as protejam por meio da criptografia, controlando quem as acessa ou tomando outras medidas de cibersegurança.

IIP não confidenciais são dados pessoais que, isoladamente, não causariam danos significativos a uma pessoa se vazados ou roubados. Podem ou não ser exclusivos de uma pessoa. Por exemplo, um nome de usuário em uma rede social seria uma IIP não confidencial: esse dado consegue identificar uma pessoa, mas um agente mal-intencionado não conseguiria cometer roubo de identidade apenas com o nome de usuário de uma rede social. Outros exemplos de IIP não confidenciais incluem:

• Nome completo de uma pessoa
• Nome de solteira da mãe
• Número de telefone
• Endereço de IP
• Local de nascimento
• Data de nascimento
• Detalhes geográficos (CEP, cidade, estado, país etc.)
• Informações de emprego
• Endereço de e-mail ou endereço postal
• Raça ou etnia
• Religião

As IIP não confidenciais geralmente estão disponíveis publicamente. Por exemplo, os números de telefone podem ser listados em uma lista telefônica e os endereços podem ser listados nos registros de propriedade pública de um governo local. Algumas normas sobre privacidade de dados não exigem a proteção de IIP não confidenciais, mas muitas empresas adotam medidas de proteção mesmo assim. Isso ocorre porque os criminosos podem causar problemas reunindo várias informações não confidenciais.

Por exemplo, um hacker pode invadir o aplicativo da conta bancária de alguém com seu número de telefone, endereço de e-mail e nome de solteira da mãe. O e-mail fornece um nome de usuário. A falsificação do número de telefone permite que os hackers recebam um código de verificação. O nome de solteira da mãe fornece uma resposta à pergunta de segurança.

É importante observar que para que uma IIP seja considerada confidencial ou não confidencial depende muito do contexto. Um nome completo por si só pode não ser sensível, mas uma lista de pessoas que visitaram um determinado médico seria confidencial. Da mesma forma, o número de telefone de uma pessoa pode estar disponível publicamente, mas um banco de dados com números de telefone usados para autenticação de dois fatores em uma rede social seria uma IIP confidencial.

O contexto também determina se uma informação é considerada IIP. Por exemplo, dados de geolocalização agregados e anônimos frequentemente são considerados dados pessoais genéricos porque a identidade de um único indivíduo não pode ser isolada.

No entanto, registros individuais de dados de geolocalização anônimos podem se tornar PII, conforme demonstrado por uma recente ação judicial da Federal Trade Commission (FTC).

A FTC argumenta que o corretor de dados Kochava estava vendendo dados de geolocalização que contavam como IIP porque, "os feeds de dados personalizados da empresa, permitiam que os compradores identificassem e rastreassem usuários específicos de dispositivos móveis. Por exemplo, a localização de um dispositivo móvel à noite provavelmente é o endereço residencial do usuário e pode ser combinada com registros de propriedade para descobrir sua identidade."

Os avanços na tecnologia também estão facilitando a identificação de pessoas com menos informações, o que pode reduzir o limite do que é considerado IIP em geral. Por exemplo, pesquisadores da IBM e da University of Maryland criaram um algoritmo. Esse algoritmo identifica indivíduos específicos combinando dados de localização anônimos com informações disponíveis publicamente em redes sociais.

De acordo com a McKinsey, 75% dos países implementaram leis de privacidade de dados que regulamentam a coleta, retenção e uso de PII. A conformidade com essas regulamentações pode ser difícil porque diferentes jurisdições podem ter regras diferentes ou até mesmo contraditórias.

O aumento da computação em nuvem e das forças de trabalho remotas também representam um desafio. Nesses ambientes, os dados podem ser coletados em um local, armazenados em outro e processados em um terceiro local. Diferentes regulamentações podem ser aplicadas aos dados em cada estágio, dependendo da localização geográfica.

Para complicar ainda mais as coisas, diferentes regulamentações estabelecem padrões diferentes para quais tipos de dados devem ser protegidos. O Regulamento Geral sobre a Proteção de Dados (GDPR) da União Europeia (GDPR) exige que as organizações protejam todos os dados pessoais, definidos como "qualquer informação relacionada a uma pessoa física identificada ou identificável."

De acordo com o GDPR, as organizações devem proteger IIP confidenciais e não confidenciais. Também devem proteger informações que podem nem ser consideradas sensíveis em outros contextos. Essas informações incluem opiniões políticas, afiliações organizacionais e descrições de características físicas.

O Office of Management and Budget (OMB) do governo dos EUA define de forma mais restrita a PII como:

[I]nformações que podem ser usadas para distinguir ou rastrear a identidade de um indivíduo, como nome, número de previdência social, registros biométricos etc. sozinhas ou combinadas com outras informações pessoais ou de identificação vinculadas ou vinculáveis a um indivíduo específico, como data e local de nascimento, nome de solteira da mãe etc.

Como disse o analista da Gartner, Bart Willemsen, "Nos EUA... a PII se refere historicamente a duas ou três dúzias de identificadores, como nome, endereço, SSN, carteira de motorista ou número de cartão de crédito."

Embora os EUA não tenham leis de privacidade de dados a nível federal, as agências governamentais estão sujeitas à Lei de Privacidade de 1974, que regulamenta a forma como as agências federais coletam, usam e compartilham IIP. Alguns estados dos EUA têm seus próprios regulamentos de privacidade de dados, principalmente a Califórnia. A Lei de Privacidade do Consumidor da Califórnia (CCPA) e a Lei de Direitos de Privacidade da Califórnia (CPRA) concedem aos consumidores certos direitos sobre como as organizações coletam, armazenam e usam as IIP.

Alguns setores também têm seus próprios regulamentos de privacidade de dados. Nos EUA, a Lei de Portabilidade e Responsabilidade de Planos de Saúde (HIPAA) regulamenta como as organizações de saúde coletam e protegem registros médicos e IIP dos pacientes.

Da mesma forma, o Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) é um padrão global do setor financeiro sobre como as empresas de cartão de crédito, comerciantes e processadores de pagamento lidam com as informações confidenciais dos titulares de cartão.

Pesquisas sugerem que as organizações têm enfrentado dificuldades para navegar nesse cenário variado de leis e padrões dos setores. De acordo com a ESG, 66% das empresas que passaram por auditorias de privacidade de dados nos últimos três anos falharam pelo menos uma vez, e 23% falharam três ou mais vezes.

A não conformidade com as normas de privacidade de dados relevantes pode resultar em multas, danos à reputação, perdas de negócios e outras consequências para as organizações. Por exemplo, a Amazon foi multada em US$888 milhões por violar o GDPR em 2021.

Os hackers roubam PII por vários motivos: para cometer roubo de identidade, para chantagem ou para vendê-las no mercado negro, onde podem chegar a US$ 1 por número de previdência social e US$ 2.000 por um número de passaporte.

Os hackers também podem ter como alvo as IIP como parte de um ataque maior: eles podem mantê-las como reféns usando ransomware ou roubar essas informações de identificação pessoal para assumir o controle das contas de e-mail dos executivos e usá-las em golpes de spear phishing e de comprometimento de e-mail empresarial (BEC).

Os cibercriminosos costumam usar ataques de engenharia social para enganar vítimas inocentes e fazê-las entregar voluntariamente PII, mas também podem comprá-la na dark web ou consegui-las através de uma violação de dados maior. A PII pode ser roubada fisicamente, vasculhando o lixo de uma pessoa ou espionando-a enquanto ela usa um computador.

Agentes maliciosos também podem monitorar as contas de redes sociais de um alvo, onde muitas pessoas, sem saber, compartilham IIP não confidenciais todos os dias. Com o tempo, um invasor pode reunir informações suficientes para se passar pela vítima ou invadir suas contas.

Para as organizações, proteger IIP pode ser complicado. O aumento da computação em nuvem e dos serviços SaaS significa que essas informações podem ser armazenadas e processadas em vários locais, em vez de em uma única rede centralizada.

De acordo com um relatório da ESG, espera-se que a quantidade de dados confidenciais armazenada em nuvem pública dobre até 2024, e mais da metade das organizações acredita que esses dados não são suficientemente seguros.

Para proteger a PII, as organizações geralmente criam frameworks de privacidade de dados. Esses frameworks podem assumir diferentes formas, dependendo da organização, da PII coletada e das regulamentações de privacidade de dados que devem ser seguidas. Como exemplo, o Instituto Nacional de Padrões e Tecnologia dos EUA fornece este exemplo de framework:

1. Identifique todas as IIP nos sistemas da organização.

2. Diminua a coleta e o uso de IIP, descarte regularmente aquelas que não são mais necessárias.

3. Categorize as IIP de acordo com o nível de confidencialidade.

4. Aplique controles de segurança de dados. Exemplos de controles podem incluir:

• Criptografia: criptografar IIP em trânsito, em repouso e em uso por meio de criptografia homomórfica ou computação confidencial pode ajudar a manter a IIP segura e em conformidade, independentemente de onde ela esteja armazenada ou seja manipulada.
  
  
• Gerenciamento de acesso e identidade (IAM): a autenticação de dois fatores ou multifator pode colocar mais barreiras entre os hackers e os dados confidenciais. Da mesma forma, aplicar o princípio do privilégio mínimo por meio de arquitetura zero trust e controles de acesso baseados em função (RBAC) pode limitar a quantidade de IIP que os hackers podem acessar, caso violem a rede.
  
  
• Treinamento: os funcionários precisam aprender a manusear e descartar adequadamente as IIP. Também precisam aprender a proteger suas próprias IIP. Este treinamento abrange áreas como anti-phishing, engenharia social e conscientização sobre redes sociais.
  
  
• Anonimização: a anonimização de dados é o processo de remoção das características de identificação de dados confidenciais. As técnicas comuns de anonimização incluem a remoção de identificadores dos dados, a agregação de dados ou a adição estratégica de ruído a esses dados.
  
  
• Ferramentas de cibersegurança: as ferramentas de data loss prevention (DLP) podem ajudar a rastrear os dados à medida em que eles se movimentam pela rede, facilitando a detecção de vazamentos e violações. Outras soluções de cibersegurança que oferecem visualizações de alto nível de atividade na rede, como ferramentas de detecção e resposta estendidas (XDR), também podem ajudar a rastrear o uso ou o uso indevido de IIP.

5. Elabore um plano de resposta a incidentes para vazamentos e violações de IIP.

Vale a pena notar que o NIST e outros especialistas em privacidade de dados geralmente recomendam aplicar controles diferentes a conjuntos de dados diferentes com base na sensibilidade dos dados. O uso de controles muito rigorosos para dados não confidenciais pode ser complicado e não apresentar uma boa relação custo-benefício.