Investor's wiki

Informações de identificação pessoal (PII)

Informações de identificação pessoal (PII)

O que são informações de identificação pessoal (PII)?

Informações de identificação pessoal (PII) são informações que, quando usadas sozinhas ou com outros dados relevantes, podem identificar um indivíduo.

As PII podem conter identificadores diretos (por exemplo, informações de passaporte) que podem identificar uma pessoa exclusivamente, ou quase-identificadores (por exemplo, raça) que podem ser combinados com outros quase-identificadores (por exemplo, data de nascimento) para reconhecer um indivíduo com sucesso.

Entendendo as informações de identificação pessoal

O avanço das plataformas de tecnologia mudou a forma como as empresas operam, os governos legislam e os indivíduos se relacionam. Com ferramentas digitais como telefones celulares, internet, comércio eletrônico e mídias sociais, houve uma explosão no fornecimento de todos os tipos de dados.

Big data,. como é chamado, está sendo coletado, analisado e processado por empresas e compartilhado com outras empresas. A riqueza de informações fornecidas pelo big data permitiu às empresas obter insights sobre como interagir melhor com os clientes.

No entanto, o surgimento de big data também aumentou o número de violações de dados e ataques cibernéticos por entidades que percebem o valor dessas informações. Como resultado, surgiram preocupações sobre como as empresas lidam com as informações confidenciais de seus consumidores. Órgãos reguladores estão buscando novas leis para proteger os dados dos consumidores, enquanto os usuários buscam formas mais anônimas de se manterem digitais.

Sensível vs. Informações de identificação pessoal não confidenciais

PII confidenciais

As informações de identificação pessoal (PII) podem ser confidenciais ou não confidenciais. Informações pessoais confidenciais incluem estatísticas legais, como:

A lista acima não é de forma alguma exaustiva. As empresas que compartilham dados sobre seus clientes normalmente usam técnicas de anonimização para criptografar e ofuscar as PII, para que sejam recebidas de forma não pessoalmente identificável. Uma seguradora que compartilha as informações de seus clientes com uma empresa de marketing mascarará as PII confidenciais incluídas nos dados e deixará apenas informações relacionadas ao objetivo da empresa de marketing.

PII não confidenciais

As PII não confidenciais ou indiretas são facilmente acessíveis a partir de fontes públicas, como listas telefônicas, Internet e diretórios corporativos. Exemplos de PII não sensíveis ou indiretas incluem:

  • Código postal

  • Corrida

  • Gênero

  • Data de nascimento

  • Naturalidade

  • Religião

A lista acima contém quase identificadores e exemplos de informações não confidenciais que podem ser divulgadas ao público. Esse tipo de informação não pode ser usado sozinho para determinar a identidade de um indivíduo.

No entanto, informações não confidenciais, embora não sejam delicadas, podem ser vinculadas. Isso significa que dados não confidenciais, quando usados com outras informações pessoais vinculáveis, podem revelar a identidade de um indivíduo. As técnicas de desanonimização e reidentificação tendem a ser bem-sucedidas quando vários conjuntos de quase-identificadores são reunidos e podem ser usados para distinguir uma pessoa da outra.

Regulamentar e proteger informações de identificação pessoal (PII) provavelmente será uma questão dominante para indivíduos, corporações e governos nos próximos anos.

Protegendo informações de identificação pessoal (PII)

Várias leis de proteção de dados foram adotadas por vários países para criar diretrizes para empresas que coletam, armazenam e compartilham as informações pessoais dos clientes. Alguns dos princípios básicos descritos por essas leis estaduais são que algumas informações confidenciais não devem ser coletadas, a menos que em situações extremas.

Além disso, as diretrizes regulatórias estipulam que os dados devem ser excluídos se não forem mais necessários para sua finalidade declarada, e as informações pessoais não devem ser compartilhadas com fontes que não possam garantir sua proteção.

Os cibercriminosos violam os sistemas de dados para acessar as PII, que são vendidas a compradores dispostos em mercados digitais subterrâneos. Por exemplo, em 2015, o IRS sofreu uma violação de dados que levou ao roubo de PII de mais de cem mil contribuintes.

Usando quase-informações roubadas de várias fontes, os criminosos conseguiram acessar um aplicativo do site do IRS respondendo a perguntas de verificação pessoal que deveriam ser reservadas apenas aos contribuintes.

A proteção de PII pode nem sempre ser responsabilidade exclusiva de um provedor de serviços. Em alguns casos, pode ser compartilhado com o indivíduo.

Informações de identificação pessoal em todo o mundo

A definição do que compreende as PII difere dependendo de onde você mora no mundo. Nos Estados Unidos, o governo definiu "pessoalmente identificável" em 2020 como qualquer coisa que possa "ser usada para distinguir ou rastrear a identidade de um indivíduo", como nome, CPF e informações biométricas; sozinho ou com outros identificadores, como data de nascimento ou local de nascimento.

Na União Europeia (UE), a definição se expande para incluir quase-identificadores conforme descrito no Regulamento Geral de Proteção de Dados (GDPR) que entrou em vigor em maio de 2018. O GDPR é uma estrutura legal que define regras para coleta e processamento de dados pessoais informação para quem vive na UE.

Informações de identificação pessoal vs. dados pessoais

Os dados pessoais abrangem uma gama mais ampla de contextos do que as PII. Por exemplo, seu endereço IP, números de identificação do dispositivo, cookies do navegador, aliases online ou dados genéticos. Certos atributos, como religião, etnia, orientação sexual ou histórico médico, podem ser classificados como dados pessoais, mas não como informações de identificação pessoal.

Exemplo de informações de identificação pessoal

No início de 2018, o Facebook Inc. (META), agora Meta, se envolveu em uma grande violação de dados. Os perfis de 30 milhões de usuários do Facebook foram coletados sem seu consentimento por uma empresa externa chamada Cambridge Analytica. A Cambridge Analytica obteve seus dados do Facebook por meio de um pesquisador que trabalhou na Universidade de Cambridge. O pesquisador construiu um aplicativo do Facebook que era um teste de personalidade. Um aplicativo é um aplicativo de software usado em dispositivos móveis e sites.

O aplicativo foi desenvolvido para pegar as informações de quem se voluntariou para dar acesso aos seus dados para o quiz. Infelizmente, o aplicativo coletou não apenas os dados dos respondentes, mas, devido a uma brecha no sistema do Facebook, também conseguiu coletar dados dos amigos e familiares dos respondentes.

Como resultado, mais de 50 milhões de usuários do Facebook tiveram seus dados expostos à Cambridge Analytica sem seu consentimento. Embora o Facebook tenha proibido a venda de seus dados, a Cambridge Analytica deu a volta por cima e vendeu os dados para serem usados para consultoria política. Mark Zuckerberg,. fundador e CEO do Facebook, divulgou um comunicado na divulgação de resultados do primeiro trimestre de 2019 da empresa:

Estamos focados em desenvolver nossa visão focada em privacidade para o futuro das redes sociais e trabalhar de forma colaborativa para abordar questões importantes em torno da Internet.

A violação de dados não afetou apenas os usuários do Facebook, mas também os investidores. Os lucros do Facebook diminuíram 50% no primeiro trimestre de 2019 em relação ao mesmo período do ano anterior. A empresa acumulou US$ 3 bilhões em despesas legais e teria um lucro por ação de US$ 1,04 maior sem as despesas, afirmando:

Estimamos que o intervalo de perda nesse assunto seja de US$ 3,0 bilhões a US$ 5,0 bilhões. O assunto permanece sem solução e não há garantia quanto ao momento ou aos termos de qualquer resultado final.

No dia seguinte, em 25 de abril de 2019, a Meta anunciou que estava banindo os questionários de personalidade de sua plataforma.

As empresas, sem dúvida, investirão em maneiras de coletar dados, como informações de identificação pessoal (PII), para oferecer produtos aos consumidores e maximizar os lucros. Ainda assim, eles serão atendidos com regulamentos mais rigorosos nos próximos anos.

##Destaques

  • Informações de identificação pessoal não confidenciais são facilmente acessíveis a partir de fontes públicas e podem incluir seu CEP, raça, sexo e data de nascimento.

  • Os sites de mídia social podem ser considerados informações de identificação pessoal não confidenciais.

  • Os passaportes contêm informações de identificação pessoal.

  • Informações confidenciais de identificação pessoal podem incluir seu nome completo, CPF, carteira de motorista, informações financeiras e registros médicos.

  • Informações de identificação pessoal (PII) usam dados para confirmar a identidade de um indivíduo.

##PERGUNTAS FREQUENTES

O que não é PII?

Os dados pessoais não são classificados como PII e dados não pessoais, como a empresa para a qual você trabalha, dados compartilhados ou dados anônimos.

O que se qualifica como PII?

As informações de identificação pessoal são definidas pelo governo dos EUA como: “Informações que podem ser usadas para distinguir ou rastrear a identidade de um indivíduo, como seu nome, número do seguro social, registros biométricos, etc. sozinho, ou quando combinado com outras informações pessoais ou de identificação que estejam vinculadas ou vinculáveis a um indivíduo específico, como data e local de nascimento, nome de solteira da mãe, etc.”

Quais leis protegem as PII?

Várias leis federais e estaduais de proteção ao consumidor protegem as PII e sancionam seu uso não autorizado; por exemplo, o Federal Trade Commission Act e o Privacy Act de 1974.

O que você deve fazer ao enviar PII por e-mail?

Como o e-mail nem sempre é seguro, evite enviar PII por e-mail. Se for necessário, use técnicas de criptografia ou verificação segura.

O que é uma violação de PII?

As violações de PII são ilegais e geralmente envolvem fraudes, como roubo de identidade. As violações também podem resultar de acesso, uso ou divulgação não autorizados de PII. A falha em relatar uma violação de PII também pode ser uma violação.