23 Junho 2021 4:31
O que são informações de identificação pessoal (PII)?
Informações de identificação pessoal (PII) são informações que, quando usadas sozinhas ou com outros dados relevantes, podem identificar um indivíduo. As PII podem conter identificadores diretos (por exemplo, informações de passaporte) que podem identificar uma pessoa de forma única, ou quase identificadores (por exemplo, raça) que podem ser combinados com outros quase identificadores (por exemplo, data de nascimento) para reconhecer um indivíduo com sucesso.
Principais vantagens
- Informações de identificação pessoal (PII) são informações que, quando usadas sozinhas ou com outros dados relevantes, podem identificar um indivíduo.
- As informações confidenciais de identificação pessoal podem incluir seu nome completo, número do seguro social, carteira de motorista, informações financeiras e registros médicos.
- As informações não confidenciais de identificação pessoal são facilmente acessíveis a partir de fontes públicas e podem incluir seu CEP, raça, sexo e data de nascimento.
Compreendendo as informações de identificação pessoal (PII)
O avanço das plataformas de tecnologia mudou a maneira como as empresas operam, os governos legislam e os indivíduos se relacionam. Com ferramentas digitais como telefones celulares, Internet, e-commerce e mídias sociais, houve uma explosão no fornecimento de todos os tipos de dados.
Big data, como é chamado, está sendo coletado, analisado e processado por empresas e compartilhado com outras empresas. A riqueza de informações fornecidas pelo big data permitiu que as empresas obtivessem insights sobre como interagir melhor com os clientes.
No entanto, o surgimento de big data também aumentou o número de violações de dados e ataques cibernéticos por entidades que percebem o valor dessas informações. Como resultado, surgiram preocupações sobre como as empresas lidam com as informações confidenciais de seus consumidores. Órgãos reguladores estão buscando novas leis para proteger os dados dos consumidores, enquanto os usuários procuram formas mais anônimas de permanecer digitais.
Informações de identificação pessoal sensíveis x não confidenciais
(PII)
As informações de identificação pessoal (PII) podem ser confidenciais ou não confidenciais. As informações pessoais confidenciais incluem estatísticas legais, como:
A lista acima não é de forma alguma exaustiva. As empresas que compartilham dados sobre seus clientes normalmente usam técnicas de anonimato para criptografar e ofuscar as PII, de forma que sejam recebidas de uma forma não identificável pessoalmente. Uma seguradora que compartilha as informações de seus clientes com uma empresa de marketing irá mascarar as PII confidenciais incluídas nos dados e deixar apenas informações relacionadas ao objetivo da empresa de marketing.
PII não confidenciais ou indiretos podem ser acessados facilmente de fontes públicas, como agendas de telefones, Internet e diretórios corporativos. Exemplos de PII não sensíveis ou indiretos incluem:
- Código postal
- Corrida
- Gênero
- Data de nascimento
- Local de nascimento
- Religião
A lista acima contém quase identificadores e exemplos de informações não confidenciais que podem ser divulgadas ao público. Este tipo de informação não pode ser usado sozinho para determinar a identidade de um indivíduo.
No entanto, informações não confidenciais, embora não delicadas, podem ser conectadas. Isso significa que dados não confidenciais, quando usados com outras informações pessoais vinculáveis, podem revelar a identidade de um indivíduo. As técnicas de desanonimização e reidentificação tendem a ser bem-sucedidas quando vários conjuntos de quase-identificadores são reunidos e podem ser usados para distinguir uma pessoa de outra.
Proteção de informações de identificação pessoal (PII)
Várias leis de proteção de dados foram adotadas por vários países para criar diretrizes para empresas que coletam, armazenam e compartilham informações pessoais de clientes. Alguns dos princípios básicos descritos por essas leis afirmam que algumas informações confidenciais não devem ser coletadas, a menos que em situações extremas.
Além disso, as diretrizes regulamentares estipulam que os dados devem ser excluídos se não forem mais necessários para o propósito declarado, e as informações pessoais não devem ser compartilhadas com fontes que não possam garantir sua proteção.
Regulamentar e proteger as informações de identificação pessoal (PII) provavelmente será um problema dominante para indivíduos, empresas e governos nos próximos anos.
Os cibercriminosos violam sistemas de dados para acessar PII, que são então vendidos a compradores dispostos em mercados digitais clandestinos. Por exemplo, em 2015, o IRS sofreu uma violação de dados que levou ao roubo de mais de cem mil PII de contribuintes. Usando quase-informações roubadas de fontes múltiplas, os perpetradores puderam acessar um aplicativo do site do IRS respondendo a perguntas de verificação pessoal que deveriam ter sido privativas apenas dos contribuintes.
Informações de identificação pessoal (PII) em todo o mundo
A definição do que compreende PII difere dependendo de onde você mora no mundo. Nos Estados Unidos, o governo definiu “pessoalmente identificável” em 2020 como qualquer coisa que possa “ser usada para distinguir ou rastrear a identidade de um indivíduo”, como nome, CPF e informações biométricas;sozinho ou com outros identificadores, como data de nascimento ou local de nascimento.
Na União Europeia (UE), a definição se expande para incluir quase identificadores, conforme descrito no Regulamento Geral de Proteção de Dados (GDPR), que entrou em vigor em maio de 2018.3 O GDPR é uma estrutura jurídica que define regras para coleta e processamento de informações pessoais para aqueles que residem na UE.
Exemplo de informações de identificação pessoal (PII)
No início de 2018, oFacebook Inc. (FB) estava envolvido em uma grande violação de dados. Os perfis de 50 milhões de usuários do Facebook foram coletados sem seu consentimento por uma empresa externa chamada Cambridge Analytica.
Cambridge Analytica obteve seus dados do Facebook por meio de um pesquisador que trabalhou na Universidade de Cambridge. O pesquisador construiu um aplicativo do Facebook que era um teste de personalidade. Um aplicativo é um aplicativo de software usado em dispositivos móveis e sites.
O aplicativo foi projetado para levar as informações de quem se ofereceu para dar acesso aos seus dados para o questionário. Infelizmente, o aplicativo coletou não apenas os dados dos participantes do teste, mas, devido a uma lacuna no sistema do Facebook, também foi capaz de coletar dados dos amigos e familiares dos participantes do teste.
Como resultado, mais de 50 milhões de usuários do Facebook tiveram seus dados expostos ao Cambridge Analytica sem seu consentimento. Embora o Facebook tenha proibido a venda de seus dados, a Cambridge Analytica deu meia-volta e vendeu os dados para serem usados em consultoria política.
Mark Zuckerberg, fundador e CEO do Facebook, divulgou um comunicado no relatório de resultados do primeiro trimestre de 19 da empresa:
Estamos focados na construção de nossa visão focada na privacidade para o futuro das redes sociais e no trabalho colaborativo para abordar questões importantes em torno da Internet.
A violação de dados não afetou apenas os usuários do Facebook, mas também os investidores. Os lucros do Facebook diminuíram 50% no primeiro trimestre de 2019 em relação ao mesmo período do ano anterior. A empresa acumulou US $ 3 bilhões em despesas legais e teria um lucro por ação de US $ 1,04 maior sem as despesas, declarando:
Estimamos que a faixa de perda nessa questão é de US $ 3,0 bilhões a US $ 5,0 bilhões. O assunto permanece sem solução e não podemos garantir o momento ou os termos de qualquer resultado final.
As empresas, sem dúvida, investirão em maneiras de colher dados, como informações de identificação pessoal (PII), para oferecer produtos aos consumidores e maximizar os lucros, mas terão regulamentações mais rígidas nos próximos anos.