Glossário de PII e Privacidade de Dados
Definições claras de termos chave de privacidade, conformidade e proteção de dados utilizados na indústria.
Termos de Privacidade e Conformidade
Informações Pessoais Identificáveis (PII)
Qualquer dado que possa identificar um indivíduo específico, como nomes, endereços de e-mail, números de segurança social ou números de telefone.
Anonimização
O processo irreversível de alterar dados para que indivíduos não possam ser identificados, direta ou indiretamente.
Pseudonimização
Substituir dados identificáveis por identificadores artificiais (pseudônimos) de modo que a reidentificação exija uma chave mantida separadamente.
Desidentificação
Remover ou obscurecer identificadores pessoais dos dados para que não possam mais ser vinculados a um indivíduo específico sem informações adicionais.
Titular de Dados
Uma pessoa natural identificada ou identificável cujos dados pessoais são processados por um controlador ou processador.
Controlador de Dados
A entidade que determina os propósitos e meios de processamento de dados pessoais.
Processador de Dados
Uma entidade que processa dados pessoais em nome de um controlador de dados, seguindo as instruções do controlador.
Consentimento
Uma indicação livre, específica, informada e inequívoca do acordo de um titular de dados para o processamento de seus dados pessoais.
Base Legal
Uma base legal sob a qual o processamento de dados pessoais é permitido, como consentimento, necessidade contratual, obrigação legal ou interesse legítimo.
Minimização de Dados
O princípio de que os dados pessoais coletados devem ser adequados, relevantes e limitados ao que é necessário para sua finalidade pretendida.
Direito ao Esquecimento
O direito de um titular de dados de ter seus dados pessoais excluídos quando não forem mais necessários, também conhecido como 'direito ao esquecimento' sob o GDPR.
Portabilidade de Dados
O direito dos titulares de dados de receber seus dados pessoais em um formato estruturado, comumente utilizado, e de transferi-los para outro controlador.
Encarregado de Proteção de Dados (DPO)
Um indivíduo designado responsável por supervisionar a estratégia de proteção de dados de uma organização e garantir a conformidade com as regulamentações de privacidade.
Avaliação de Impacto sobre a Proteção de Dados (DPIA)
Um processo para identificar e minimizar os riscos à proteção de dados de um projeto, exigido sob o GDPR para atividades de processamento de alto risco.
Violação de Dados
Um incidente de segurança onde dados pessoais são acessados, divulgados, alterados ou destruídos sem autorização.
Estruturas Regulatórias
GDPR (Regulamento Geral sobre a Proteção de Dados)
O regulamento da UE que governa o processamento de dados pessoais de indivíduos dentro da Área Econômica Europeia, em vigor desde maio de 2018.
CCPA (Lei de Privacidade do Consumidor da Califórnia)
Uma lei estadual da Califórnia que concede aos consumidores direitos sobre suas informações pessoais coletadas por empresas, em vigor desde janeiro de 2020.
HIPAA (Lei de Portabilidade e Responsabilidade de Seguros de Saúde)
Uma lei federal dos EUA que estabelece padrões para proteger informações sensíveis de saúde de pacientes contra divulgação sem consentimento.
ISO 27001
Um padrão internacional para sistemas de gestão de segurança da informação (ISMS), especificando requisitos para estabelecer, implementar e melhorar continuamente controles de segurança.
SOC 2 (Controles de Sistema e Organização 2)
Uma estrutura de auditoria para organizações de serviços que avalia controles relacionados à segurança, disponibilidade, integridade de processamento, confidencialidade e privacidade.
Termos Técnicos
Reconhecimento de Entidade Nomeada (NER)
Uma técnica de NLP que identifica e classifica entidades nomeadas em texto em categorias predefinidas, como nomes de pessoas, locais e organizações.
Processamento de Linguagem Natural (NLP)
Um ramo da inteligência artificial que permite que os computadores entendam, interpretem e gerem a linguagem humana.
Reconhecedor de Padrões
Um detector baseado em regras que utiliza expressões regulares e pistas de contexto para identificar padrões de dados específicos, como números de cartão de crédito ou números de segurança social.
Pontuação de Confiança
Um valor numérico entre 0 e 1 que indica quão certo um mecanismo de detecção está de que um trecho de texto corresponde a um tipo específico de entidade.
Expressão Regular (Regex)
Uma sequência de caracteres que define um padrão de busca, comumente utilizada para validar e detectar formatos de dados estruturados, como números de telefone ou endereços de e-mail.
AES-256-GCM
Um algoritmo de criptografia autenticada que utiliza uma chave de 256 bits com o modo Galois/Counter, fornecendo tanto confidencialidade quanto verificação de integridade dos dados criptografados.
Criptografia de Conhecimento Zero
Uma arquitetura de criptografia onde apenas o usuário possui a chave de descriptografia, significando que mesmo o provedor de serviços não pode acessar os dados em texto claro.
Tokenização
Substituir dados sensíveis por tokens de espaço reservado não sensíveis que podem ser mapeados de volta para os dados originais por meio de uma busca segura.
Mascaramento de Dados
Obscurecer dados específicos dentro de um conjunto de dados para que informações sensíveis fiquem ocultas, enquanto os dados permanecem utilizáveis para testes ou análises.
Redação
A remoção permanente de informações sensíveis de um documento ou conjunto de dados, substituindo-as por um marcador como [REDACTED].
Métodos de Anonimização
Substituir
Substitui PII detectada por um espaço reservado genérico do mesmo tipo de entidade, como substituir 'John Smith' por '<PERSON>'.
Mascarar
Obscurece parcialmente a PII substituindo caracteres por símbolos de mascaramento, por exemplo, transformando '123-45-6789' em '***-**-6789'.
Redigir
Remove completamente a PII detectada do texto, não deixando vestígios do valor original.
Hash
Converte PII em um hash criptográfico de comprimento fixo, permitindo substituição consistente enquanto torna a reversão computacionalmente inviável.
Criptografar
Transforma PII usando criptografia AES-256-GCM com uma chave mantida pelo usuário, permitindo a reversão autorizada (desanonimização) quando necessário.
Perguntas Frequentes
Qual é a diferença entre anonimização e pseudonimização?
A anonimização remove irreversivelmente todas as informações identificáveis, tornando a reidentificação impossível. A pseudonimização substitui identificadores por artificiais, mantendo uma chave separada que permite a reidentificação quando autorizada. Sob o GDPR, dados pseudonimizados ainda são considerados dados pessoais.
Por que a detecção de PII utiliza tanto NLP quanto reconhecedores de padrões?
Modelos de NLP detectam entidades dependentes de contexto, como nomes de pessoas e locais que não têm um formato fixo. Reconhecedores de padrões usam expressões regulares para capturar identificadores estruturados, como números de segurança social, números de cartão de crédito e números de telefone. Combinar ambas as abordagens maximiza a precisão da detecção em todos os tipos de entidades.
O que é criptografia de conhecimento zero e por que isso é importante?
A criptografia de conhecimento zero significa que apenas você possui a chave de descriptografia — o provedor de serviços não pode ler seus dados. Isso é importante porque, mesmo no caso de uma violação do servidor, seus dados criptografados permanecem ilegíveis sem sua chave, proporcionando a mais forte proteção de dados possível.
Como a criptografia reversível difere do hashing?
O hashing é uma transformação unidirecional — uma vez que os dados são hashados, o original não pode ser recuperado. A criptografia reversível (usando AES-256-GCM) permite que usuários autorizados com a chave correta descriptografem e recuperem os dados originais, possibilitando fluxos de trabalho onde a desanonimização é necessária.