O que é informação pessoalmente identificável (PII)?

As PII possuem dois tipos: identificadores diretos e identificadores indiretos.

Os identificadores diretos são exclusivos de uma pessoa e incluem informações como o número do passaporte ou da carteira de motorista. Normalmente, um único identificador direto é suficiente para determinar a identidade de alguém.

Os identificadores indiretos não são exclusivos. Eles incluem dados pessoais mais gerais, como raça e local de nascimento. Embora um único identificador indireto não seja suficiente para identificar uma pessoa, uma combinação deles pode fazer isso.

Por exemplo, 87% dos cidadãos dos EUA (link externo ao site ibm.com) podem ser identificados com base em informações como gênero, CEP e data de nascimento.

Nem todos os dados pessoais são considerados PII. Por exemplo, dados sobre os hábitos de streaming de uma pessoa não são considerados PII. Até porque, seria difícil ou praticamente impossível, identificar alguém com base apenas no que essa pessoa assistiu na Netflix.

PII refere-se apenas a informações que apontam para uma determinada pessoa, como informações que você pode fornecer para verificar sua identidade ao entrar em contato com seu banco.

Entre as PII, algumas informações são mais confidenciais do que outras. PII confidenciais são informações que identificam diretamente um indivíduo e podem causar danos significativos quando vazadas ou roubadas.

Um número de previdência social é um bom exemplo de PII confidencial. Como muitas agências governamentais e instituições financeiras utilizam esse número para verificar a identidade das pessoas, um criminoso que roube essa informação poderia facilmente ter acesso aos registros da vítima. Outros exemplos de PII confidenciais incluem:

• Números de identificação exclusivos, como números da carteira de motorista, números do passaporte e outros números de identificação emitidos pelo governo.
• Dados biométricos, como impressões digitais e varreduras de retina.
• Informações financeiras, incluindo números de contas bancárias e números de cartão de crédito.
• Registros médicos.

As PII confidenciais normalmente não estão disponíveis publicamente, e a maioria das leis de privacidade de dados existentes exige que as organizações as protejam por meio da criptografia, controlando quem as acessa ou tomando outras medidas de cibersegurança.

PII não confidenciais são dados pessoais que, isoladamente, não causariam danos significativos a uma pessoa se vazados ou roubados. Podem ou não ser exclusivos de uma pessoa. Por exemplo, um nome de usuário em uma rede social seria uma PII não confidencial: esse dado consegue identificar uma pessoa, mas um agente mal-intencionado não conseguiria cometer roubo de identidade apenas com o nome de usuário de uma rede social. Outros exemplos de PII não confidenciais incluem:

• Nome completo de uma pessoa
• Nome de solteira da mãe
• Número de telefone
• Endereço de IP
• Local de nascimento
• Data de nascimento
• Detalhes geográficos (CEP, cidade, estado, país etc.)
• Informações de emprego
• Endereço de e-mail ou endereço postal
• Raça ou etnia
• Religião

As PII não confidenciais geralmente estão disponíveis publicamente. Por exemplo, os números de telefone podem ser listados em uma lista telefônica e os endereços podem ser listados nos registros de propriedade pública de um governo local. Algumas normas sobre privacidade de dados não exigem a proteção de PII não confidenciais, mas muitas empresas adotam medidas de proteção mesmo assim. Isso ocorre porque os criminosos podem causar problemas reunindo várias informações não confidenciais.

Por exemplo, um hacker pode invadir o aplicativo da conta bancária de alguém com seu número de telefone, endereço de e-mail e nome de solteira da mãe. O e-mail fornece um nome de usuário. A falsificação do número de telefone permite que os hackers recebam um código de verificação. O nome de solteira da mãe fornece uma resposta à pergunta de segurança.

É importante observar que para que uma PII seja considerada confidencial ou não confidencial depende muito do contexto. Um nome completo por si só pode não ser sensível, mas uma lista de pessoas que visitaram um determinado médico seria confidencial. Da mesma forma, o número de telefone de uma pessoa pode estar disponível publicamente, mas um banco de dados com números de telefone usados para autenticação de dois fatores em uma rede social seria uma PII confidencial.

Quando as informações confidenciais se tornam PII?

O contexto também determina se uma informação é considerada PII. Por exemplo, dados de geolocalização agregados e anônimos frequentemente são considerados dados pessoais genéricos porque a identidade de um único indivíduo não pode ser isolada.

No entanto, registros individuais de dados de geolocalização anônimos podem se tornar PII, conforme demonstrado por uma recente ação judicial da Federal Trade Commission (FTC) (link externo ao site ibm.com).

A FTC argumenta que o corretor de dados Kochava estava vendendo dados de geolocalização que contavam como PII porque, "os feeds de dados personalizados da empresa, permitiam que os compradores identificassem e rastreassem usuários específicos de dispositivos móveis. Por exemplo, a localização de um dispositivo móvel à noite provavelmente é o endereço residencial do usuário e pode ser combinada com registros de propriedade para descobrir sua identidade."

Os avanços na tecnologia também estão facilitando a identificação de pessoas com menos informações, o que pode reduzir o limite do que é considerado PII em geral. Por exemplo, pesquisadores da IBM e da Universidade de Maryland criaram um algoritmo (link externo ao site ibm.com). Esse algoritmo identifica indivíduos específicos combinando dados de localização anônimos com informações disponíveis publicamente nas redes sociais.

Normas internacionais de privacidade

De acordo com a McKinsey (link externo ao site ibm.com), 75% dos países implementaram leis de privacidade de dados que regulamentam a coleta, retenção e uso de PII. A conformidade com essas regulamentações pode ser difícil porque jurisdições diferentes podem ter regras diferentes ou até mesmo contraditórias.

O aumento da computação em nuvem e das forças de trabalho remotas também representam um desafio. Nesses ambientes, os dados podem ser coletados em um local, armazenados em outro e processados em um terceiro local. Diferentes regulamentações podem ser aplicadas aos dados em cada estágio, dependendo da localização geográfica.

Para complicar ainda mais as coisas, diferentes regulamentações estabelecem padrões diferentes sobre quais tipos de dados devem ser protegidos. O Regulamento Geral sobre a Proteção de Dados (GDPR) da União Europeia exige que as organizações protejam todos os dados pessoais definidos como: "qualquer informação relacionada a uma pessoa física identificada ou identificável."

De acordo com o GDPR, as organizações devem proteger PII confidenciais e não confidenciais. Também devem proteger informações que podem nem ser consideradas sensíveis em outros contextos. Essas informações incluem opiniões políticas, afiliações organizacionais e descrições de características físicas.

Regulamentos de privacidade dos EUA

O Escritório de Gestão e Orçamento (OMB) do governo dos EUA define as PÌI de forma mais restrita (link externo ao site ibm.com) como:

[I]nformações que podem ser usadas para distinguir ou rastrear a identidade de um indivíduo, como nome, número de previdência social, registros biométricos etc. sozinhas ou combinadas com outras informações pessoais ou de identificação vinculadas ou vinculáveis a um indivíduo específico, como data e local de nascimento, nome de solteira da mãe etc.

Conforme colocado pelo analista da Gartner, Bart Willemsen (link externo ao site ibm.com): "Nos EUA, historicamente, PII refere-se a duas ou três dezenas de identificadores como nome, endereço, número de previdência social, carteira de motorista ou número de cartão de crédito".

Embora os EUA não tenham leis de privacidade de dados a nível federal, as agências governamentais estão sujeitas à Lei de Privacidade de 1974, que regulamenta a forma como as agências federais coletam, usam e compartilham PII. Alguns estados dos EUA têm seus próprios regulamentos de privacidade de dados, principalmente a Califórnia. A California Consumer Privacy Act (CCPA) e a California Privacy Rights Act (CPRA) concedem aos consumidores certos direitos sobre como as organizações coletam, armazenam e usam as PII.

Regulamentações de privacidade específicas dos setores

Alguns setores também têm seus próprios regulamentos de privacidade de dados. Nos EUA, a Lei de Portabilidade e Responsabilidade de Planos de Saúde (HIPAA) regulamenta como as organizações de saúde coletam e protegem registros médicos e PII dos pacientes.

Da mesma forma, o Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) é um padrão global do setor financeiro sobre como as empresas de cartão de crédito, comerciantes e processadores de pagamento lidam com as informações confidenciais dos titulares de cartão.

Pesquisas sugerem que as organizações têm enfrentado dificuldades para navegar nesse cenário variado de leis e padrões dos setores. De acordo com a ESG (link externo ao site ibm.com), 66% das empresas que passaram por auditorias de privacidade de dados nos últimos três anos falharam pelo menos uma vez, e 23% falharam três vezes ou mais.

A não conformidade com as normas de privacidade de dados relevantes pode resultar em multas, danos à reputação, perdas de negócios e outras consequências para as organizações. Por exemplo, a Amazon foi multada em USD 888 milhões por violar o RGPD em 2021 (link externo ao site ibm.com).

Os hackers roubam PII por vários motivos: para cometer roubo de identidade, para chantagem ou para vendê-las no mercado negro, onde podem valer USD 1 cada número de previdência social e USD 2.000 cada número de passaporte (link externo ao site ibm.com).

Os hackers também podem ter como alvo as PII como parte de um ataque maior: eles podem mantê-las como reféns usando ransomware ou roubar essas informações de identificação pessoal para assumir o controle das contas de e-mail dos executivos e usá-las em golpes de spear phishing e de comprometimento de e-mail empresarial (BEC).

Os cibercriminosos costumam usar ataques de engenharia social para enganar vítimas inocentes e fazê-las entregar voluntariamente PII, mas também podem comprá-las na dark web ou consegui-las através de uma violação de dados maior. As PII podem ser roubadas fisicamente, vasculhando o lixo de uma pessoa ou espionando-a enquanto ela usa um computador.

Agentes maliciosos também podem monitorar as contas de redes sociais de um alvo, onde muitas pessoas, sem saber, compartilham PII não confidenciais todos os dias. Com o tempo, um invasor pode reunir informações suficientes para se passar pela vítima ou invadir suas contas.

Para as organizações, proteger PII pode ser complicado. O aumento da computação em nuvem e dos serviços SaaS significa que essas informações podem ser armazenadas e processadas em vários locais, em vez de em uma única rede centralizada.

De acordo com um relatório da ESG (link externo ao site ibm.com), estima-se que a quantidade de dados confidenciais armazenados em nuvens públicas dobre até 2024, e mais da metade das organizações acredita que esses dados não estão suficientemente seguros.

Para proteger as PII, as organizações geralmente criam frameworks de privacidade de dados. Esses frameworks podem assumir diferentes formas, dependendo da organização, das PII coletadas e das regulamentações de privacidade de dados que devem ser seguidas. Como exemplo, o Instituto Nacional de Padrões e Tecnologia (NIST) fornece este exemplo de framework (link externo ao site ibm.com):

1. Identifique todas as PII nos sistemas da organização.

2. Diminua a coleta e o uso de PII, descarte regularmente aquelas que não são mais necessárias.

3. Categorize as PII de acordo com o nível de confidencialidade.

4. Aplique controles de segurança de dados. Exemplos de controles incluem:

• Criptografia: criptografar PII em trânsito, em repouso e em uso por meio de criptografia homomórfica ou computação confidencial pode ajudar a manter a PII segura e em conformidade, independentemente de onde ela esteja armazenada ou seja manipulada.
  
  
• Gerenciamento de acesso e identidade (IAM): a autenticação de dois fatores ou multifator pode colocar mais barreiras entre os hackers e os dados confidenciais. Da mesma forma, aplicar o princípio do privilégio mínimo por meio de arquitetura zero trust e controles de acesso baseados em função (RBAC) pode limitar a quantidade de PII que os hackers podem acessar, caso violem a rede.
  
  
• Treinamento: os funcionários precisam aprender a manusear e descartar adequadamente as PII. Também precisam aprender a proteger suas próprias PII. Este treinamento abrange áreas como anti-phishing, engenharia social e conscientização sobre redes sociais.
  
  
• Anonimização: a anonimização de dados é o processo de remoção das características de identificação de dados confidenciais. As técnicas comuns de anonimização incluem a remoção de identificadores dos dados, a agregação de dados ou a adição estratégica de ruído a esses dados.
  
  
• Ferramentas de cibersegurança: as ferramentas de data loss prevention (DLP) podem ajudar a rastrear os dados à medida em que eles são migrados pela rede, facilitando a detecção de vazamentos e violações. Outras soluções de cibersegurança que oferecem visualizações de alto nível de atividade na rede, como ferramentas de detecção e resposta estendidas (XDR), também podem ajudar a rastrear o uso ou o uso indevido de PII.

5. Elabore um plano de resposta a incidentes para vazamentos e violações de PII.

Vale a pena notar que o NIST e outros especialistas em privacidade de dados geralmente recomendam aplicar controles diferentes a conjuntos de dados diferentes com base na sensibilidade dos dados. O uso de controles muito rigorosos para dados não confidenciais pode ser complicado e não apresentar uma boa relação custo-benefício.