O que são informações de identificação pessoal (PII)?
Informações de identificação pessoal (PII) são informações que, quando usadas sozinhas ou com outros dados relevantes, podem identificar um indivíduo. As PII podem conter identificadores diretos (por exemplo, informações de passaporte) que podem identificar uma pessoa de forma única ou quase identificadores (por exemplo, raça) que podem ser combinados com outros quase identificadores (por exemplo, data de nascimento) para reconhecer com êxito um indivíduo.
Compreendendo informações de identificação pessoal (PII)
As plataformas tecnológicas avançadas mudaram a maneira como as empresas operam, os governos legislam e as pessoas se relacionam. Com ferramentas digitais como telefones celulares, Internet, comércio eletrônico e mídias sociais, houve uma explosão no fornecimento de todos os tipos de dados.
Big data, como é chamado, está sendo coletado, analisado e processado por empresas e compartilhado com outras empresas. A riqueza de informações fornecidas pelo big data permitiu às empresas obter informações sobre como interagir melhor com os clientes.
No entanto, o surgimento de big data também aumentou o número de violações de dados e ataques cibernéticos por entidades que percebem o valor dessas informações. Como resultado, foram levantadas preocupações sobre como as empresas lidam com as informações confidenciais de seus consumidores. Os órgãos reguladores estão buscando novas leis para proteger os dados dos consumidores, enquanto os usuários procuram maneiras mais anônimas de permanecer digital.
Principais Takeaways
- Informações de identificação pessoal (PII) são informações que, quando usadas sozinhas ou com outros dados relevantes, podem identificar um indivíduo. As informações de identificação pessoal sensíveis podem incluir seu nome completo, número do CPF, carteira de motorista, carteira de motorista, informações financeiras e registros médicos. informações confidenciais de identificação pessoal são facilmente acessíveis a partir de fontes públicas e podem incluir seu código postal, raça, sexo e data de nascimento.
PII sensíveis versus não sensíveis
Informações de identificação pessoal (PII) podem ser sensíveis ou não sensíveis. Informações pessoais sensíveis incluem estatísticas legais, como:
- Informações completas sobre cartão de crédito
A lista acima não é de forma alguma exaustiva. As empresas que compartilham dados sobre seus clientes normalmente usam técnicas de anonimato para criptografar e ofuscar as PII, para que sejam recebidas de forma não identificável pessoalmente. Uma companhia de seguros que compartilha as informações de seus clientes com uma empresa de marketing mascara as IIP confidenciais incluídas nos dados e deixa apenas as informações relacionadas à meta da empresa de marketing.
As PII não sensíveis ou indiretas são facilmente acessíveis a partir de fontes públicas, como listas telefônicas, Internet e diretórios corporativos. Exemplos de PII não sensíveis ou indiretos incluem:
- CEPRaceGêneroData de nascimentoLocal de nascimentoReligião
A lista acima contém quase identificadores e exemplos de informações não sensíveis que podem ser divulgadas ao público. Este tipo de informação não pode ser usado sozinho para determinar a identidade de um indivíduo.
No entanto, informações não sensíveis, embora não sejam delicadas, podem ser vinculadas. Isso significa que dados não sensíveis, quando usados com outras informações pessoais vinculáveis, podem revelar a identidade de um indivíduo. As técnicas de des-anonimização e re-identificação tendem a ser bem-sucedidas quando vários conjuntos de quase-identificadores são reunidos e podem ser usados para distinguir uma pessoa da outra.
Protegendo as IIP
Várias leis de proteção de dados foram adotadas por vários países para criar diretrizes para empresas que coletam, armazenam e compartilham informações pessoais de clientes. Alguns dos princípios básicos descritos por essas leis afirmam que algumas informações confidenciais não devem ser coletadas, a menos que em situações extremas.
Além disso, as diretrizes regulatórias estipulam que os dados devem ser excluídos se não forem mais necessários para o objetivo declarado, e as informações pessoais não devem ser compartilhadas com fontes que não possam garantir sua proteção.
Os cibercriminosos violam os sistemas de dados para acessar as PII, que são vendidas a compradores dispostos em mercados digitais clandestinos. Por exemplo, em 2015, o IRS sofreu uma violação de dados que levou ao roubo de mais de cem mil PII dos contribuintes. Usando quase-informações roubadas de várias fontes, os autores conseguiram acessar um aplicativo do site do IRS, respondendo a perguntas de verificação pessoal que deveriam ser do conhecimento dos contribuintes.
A regulamentação e a proteção de informações de identificação pessoal provavelmente serão uma questão dominante para indivíduos, empresas e governos nos próximos anos.
PII no mundo
A definição do que inclui PII difere dependendo de onde você mora no mundo. Nos Estados Unidos, o governo definiu "pessoalmente identificável" em 2007 como algo que pode "ser usado para distinguir ou rastrear a identidade de um indivíduo", como nome, SSN, informações biométricas - sozinho ou com outros identificadores, como data de nascimento, ou local de nascimento.
Na União Europeia (UE), a definição se expande para incluir quase identificadores, conforme descrito no Regulamento Geral de Proteção de Dados (GDPR), que entrou em vigor em maio de 2018. O GDPR é uma estrutura legal que define regras para a coleta e o processamento de informações pessoais para os residentes na UE.
Exemplo de PII
No início de 2018, o Facebook Inc. (FB) se envolveu em uma grande violação de dados. Os perfis de 50 milhões de usuários do Facebook foram coletados sem o consentimento de uma empresa externa chamada Cambridge Analytica, conforme relatado pelo The Guardian.
A Cambridge Analytica obteve seus dados do Facebook através de um pesquisador que trabalhou na Universidade de Cambridge. O pesquisador construiu um aplicativo no Facebook que era um teste de personalidade. Um aplicativo é um aplicativo de software usado em dispositivos móveis e sites.
O aplicativo foi projetado para receber as informações daqueles que se ofereceram para fornecer acesso aos seus dados para o teste. Infelizmente, o aplicativo coletou não apenas os dados dos questionários, mas, devido a uma brecha no sistema do Facebook, também foi capaz de coletar dados de amigos e familiares dos participantes.
Como resultado, mais de 50 milhões de usuários do Facebook tiveram seus dados expostos ao Cambridge Analytica sem o seu consentimento. Embora o Facebook tenha proibido a venda de seus dados, a Cambridge Analytica se virou e vendeu os dados para serem usados em consultoria política.
Mark Zuckerberg, fundador e CEO do Facebook divulgou uma declaração no comunicado da empresa no primeiro trimestre de 2019:
Nosso foco é desenvolver nossa visão voltada à privacidade para o futuro das redes sociais e trabalhar de forma colaborativa para resolver questões importantes na Internet.
A violação de dados não afetou apenas os usuários do Facebook, mas também os investidores. Os lucros do Facebook diminuíram 50% no primeiro trimestre de 2019 em relação ao mesmo período do ano anterior. A empresa acumulou US $ 3 bilhões em despesas legais e teria um lucro por ação de US $ 1, 04 maior sem as despesas, declarando:
Estimamos que o intervalo de perda nesse assunto seja de US $ 3, 0 bilhões a US $ 5, 0 bilhões. O assunto permanece por resolver e não há garantias quanto ao prazo ou aos termos de qualquer resultado final.
As empresas, sem dúvida, investirão em maneiras de coletar dados, como informações de identificação pessoal, para oferecer produtos aos consumidores e maximizar os lucros. No entanto, regulamentar e salvaguardar as IIP provavelmente será uma questão dominante nos próximos anos.
