Glossar PII & Confidențialitate a Datelor
Definiții clare ale termenilor cheie de confidențialitate, conformitate și protecția datelor utilizate în industrie.
Termeni de Confidențialitate & Conformitate
Informații personale identificabile (PII)
Orice date care pot identifica o persoană specifică, cum ar fi numele, adresele de email, numerele de securitate socială sau numerele de telefon.
Anonimizare
Procesul ireversibil de modificare a datelor astfel încât persoanele să nu poată fi identificate, direct sau indirect.
Pseudonimizare
Înlocuirea datelor identificabile cu identificatori artificiali (pseudonime) astfel încât re-identificarea să necesite o cheie păstrată separat.
De-identificare
Eliminarea sau obscurarea identificatorilor personali din date astfel încât acestea să nu mai poată fi legate de o persoană specifică fără informații suplimentare.
Subiect de date
O persoană fizică identificată sau identificabilă ale cărei date personale sunt procesate de un operator sau procesator.
Operator de date
Entitatea care determină scopurile și mijloacele de procesare a datelor personale.
Procesator de date
O entitate care procesează date personale în numele unui operator de date, conform instrucțiunilor acestuia.
Consimțământ
O indicație liber dată, specifică, informată și neambiguu a acordului unui subiect de date pentru procesarea datelor lor personale.
Baza legală
Un temei legal sub care procesarea datelor personale este permisă, cum ar fi consimțământul, necesitatea contractuală, obligația legală sau interesul legitim.
Minimizarea datelor
Principiul conform căruia datele personale colectate ar trebui să fie adecvate, relevante și limitate la ceea ce este necesar pentru scopul său destinat.
Dreptul la ștergere
Dreptul unui subiect de date de a avea datele lor personale șterse atunci când nu mai sunt necesare, cunoscut și sub denumirea de 'dreptul de a fi uitat' conform GDPR.
Portabilitatea datelor
Dreptul subiecților de date de a primi datele lor personale într-un format structurat, utilizat frecvent și de a le transfera către un alt operator.
Ofițer de protecția datelor (DPO)
O persoană desemnată responsabilă pentru supravegherea strategiei de protecție a datelor a unei organizații și asigurarea conformității cu reglementările de confidențialitate.
Evaluarea impactului asupra protecției datelor (DPIA)
Un proces de identificare și minimizare a riscurilor de protecție a datelor ale unui proiect, necesar conform GDPR pentru activități de procesare cu risc ridicat.
Încălcarea datelor
Un incident de securitate în care datele personale sunt accesate, divulgate, modificate sau distruse fără autorizație.
Shadow AI
Utilizarea neautorizată a instrumentelor AI (ChatGPT, Copilot, Gemini) de către angajați fără aprobarea IT. Shadow AI este o cauză principală a scurgerilor de date PII, deoarece utilizatorii lipează date de afaceri sensibile - înregistrările clienților, informații despre pacienți, date financiare - direct în solicitările AI.
Minimizarea datelor
Un principiu GDPR (Art. 5(1)(c)) care impune organizațiilor să colecteze și să prelucreze numai datele personale minime necesare pentru un anumit scop. În sistemele AI, minimizarea datelor înseamnă anonimizarea sau eliminarea PII înainte ca datele să intre în conductele AI, reducând riscul de conformitate și suprafața de încălcare.
Cadre Regulatorii
GDPR (Regulamentul General privind Protecția Datelor)
Regulamentul UE care guvernează procesarea datelor personale ale persoanelor din Spațiul Economic European, în vigoare din mai 2018.
CCPA (Legea privind Confidențialitatea Consumatorilor din California)
O lege a statului California care oferă consumatorilor drepturi asupra informațiilor personale colectate de afaceri, în vigoare din ianuarie 2020.
HIPAA (Legea privind Portabilitatea și Responsabilitatea Asigurărilor de Sănătate)
O lege federală din SUA care stabilește standarde pentru protejarea informațiilor sensibile despre sănătatea pacienților de divulgarea fără consimțământ.
ISO 27001
Un standard internațional pentru sistemele de management al securității informației (ISMS), specificând cerințele pentru stabilirea, implementarea și îmbunătățirea continuă a controalelor de securitate.
SOC 2 (Controale pentru Sisteme și Organizații 2)
Un cadru de audit pentru organizațiile de servicii care evaluează controalele legate de securitate, disponibilitate, integritatea procesării, confidențialitate și confidențialitate.
EU AI Act
Regulamentul Uniunii Europene privind inteligența artificială (aplicat din august 2026). Sistemele AI cu risc ridicat trebuie să implementeze măsuri de guvernare a datelor, inclusiv minimizarea datelor cu caracter personal, documentare și DPIA. Organizațiile care folosesc AI pentru luarea deciziilor privind indivizii trebuie să se asigure că datele de formare sunt anonimizate sau pseudonimizate.
ISO 42001
Standard internațional pentru sistemele de management AI (AIMS), publicat în 2023. Oferă un cadru pentru dezvoltarea și implementarea responsabilă a AI, inclusiv calitatea datelor, controale părtinitoare și garanții ale confidențialității. Adesea asociat cu ISO 27001 pentru organizațiile care operează sisteme AI cu date personale.
India DPDP Act
Legea Indiei privind protecția datelor cu caracter personal digital (2023), aplicată din 2025. Necesită consimțământul explicit pentru prelucrarea datelor cu caracter personal ale rezidenților indieni, localizarea datelor pentru date sensibile și notificarea încălcării în termen de 72 de ore. Se aplică organizațiilor la nivel global care prelucrează datele cetățenilor indieni.
Termeni Tehnici
Recunoașterea Entităților Nume (NER)
O tehnică NLP care identifică și clasifică entitățile numite în text în categorii predefinite, cum ar fi nume de persoane, locații și organizații.
Procesarea Limbajului Natural (NLP)
O ramură a inteligenței artificiale care permite calculatoarelor să înțeleagă, să interpreteze și să genereze limbaj uman.
Recunoașterea Modelului
Un detector bazat pe reguli care folosește expresii regulate și indicii de context pentru a identifica modele specifice de date, cum ar fi numerele de carduri de credit sau numerele de securitate socială.
Scor de Încredere
O valoare numerică între 0 și 1 care indică cât de sigur este un motor de detecție că un text se potrivește cu un anumit tip de entitate.
Expresie Regulată (Regex)
O secvență de caractere care definește un model de căutare, utilizată frecvent pentru a valida și a detecta formate de date structurate, cum ar fi numerele de telefon sau adresele de email.
AES-256-GCM
Un algoritm de criptare autentificat care folosește o cheie de 256 de biți cu modul Galois/Counter, oferind atât confidențialitate, cât și verificarea integrității datelor criptate.
Criptare Zero-Knowledge
O arhitectură de criptare în care doar utilizatorul deține cheia de decriptare, ceea ce înseamnă că nici măcar furnizorul de servicii nu poate accesa datele în format clar.
Tokenizare
Înlocuirea datelor sensibile cu token-uri de substituție non-sensibile care pot fi mapate înapoi la datele originale printr-o căutare sigură.
Mascararea Datelor
Obscurarea unor date specifice dintr-un set de date astfel încât informațiile sensibile să fie ascunse, în timp ce datele rămân utilizabile pentru testare sau analiză.
Redactare
Eliminarea permanentă a informațiilor sensibile dintr-un document sau set de date, înlocuindu-le cu un marcaj, cum ar fi [REDACTAT].
Date sintetice
Date generate de AI care imită statistic datele reale fără a conține înregistrări reale. În comparație cu anonimizarea: datele anonimizate păstrează o acuratețe analitică mai mare pentru ML în aval; datele sintetice elimină riscul de reidentificare, dar introduc o deriva statistică. Anonimizarea reversibilă este de preferat atunci când înregistrările originale pot fi necesare pentru auditurile de conformitate.
LLM Prompt Injection
O tehnică de atac în care intrările rău intenționate manipulează un model de limbaj mare pentru a ignora instrucțiunile sau a scurge informații sensibile. În contextele de protecție a PII, injectarea promptă poate determina ca un model AI să dezvăluie modele de date anonime sau informații despre utilizator. Pre-anonimizarea intrărilor înainte de a ajunge la LLM reduce suprafața de atac.
Confidențialitate prin proiectare
Un principiu GDPR Art. 25 care necesită ca protecția datelor să fie integrată în sisteme de la bază, mai degrabă decât adăugată ca o idee ulterioară. Pentru sistemele AI, confidențialitatea prin proiectare înseamnă anonimizarea datelor înainte ca acestea să intre în conductele AI, implementarea criptării fără cunoștințe și minimizarea reținerii datelor.
Metode de Anonimizare
Înlocuire
Substituie PII detectat cu un marcator generic de același tip de entitate, cum ar fi înlocuirea 'John Smith' cu '<PERSON>'.
Mascare
Obscurează parțial PII prin înlocuirea caracterelor cu simboluri de mască, de exemplu, transformând '123-45-6789' în '***-**-6789'.
Redactare
Elimină complet PII detectat din text, lăsând fără urmă valoarea originală.
Hash
Transformă PII într-un hash criptografic de lungime fixă, permițând înlocuirea constantă, făcând totodată reversibilitatea computațional imposibilă.
Criptare
Transformă PII folosind criptarea AES-256-GCM cu o cheie deținută de utilizator, permițând reversibilitatea autorizată (de-anonimizare) atunci când este necesar.
Întrebări Frecvente
Care este diferența dintre anonimizare și pseudonimizare?
Anonimizarea elimină ireversibil toate informațiile identificabile, astfel încât re-identificarea este imposibilă. Pseudonimizarea înlocuiește identificatorii cu unii artificiali, păstrând o cheie separată care permite re-identificarea atunci când este autorizată. Conform GDPR, datele pseudonimizate sunt încă considerate date personale.
De ce detectarea PII folosește atât NLP cât și recunoașterea modelului?
Modelele NLP detectează entități dependente de context, cum ar fi numele persoanelor și locațiile care nu au un format fix. Recunoașterile de model folosesc expresii regulate pentru a prinde identificatori structurați, cum ar fi numerele de securitate socială, numerele de carduri de credit și numerele de telefon. Combinarea ambelor abordări maximizează acuratețea detecției pentru toate tipurile de entități.
Ce este criptarea zero-knowledge și de ce este importantă?
Criptarea zero-knowledge înseamnă că doar tu deții cheia de decriptare — furnizorul de servicii nu poate citi datele tale. Acest lucru este important deoarece chiar și în cazul unei breșe de server, datele tale criptate rămân ilizibile fără cheia ta, oferind cea mai puternică protecție posibilă a datelor.
Cum diferă criptarea reversibilă de hashing?
Hashing-ul este o transformare unidirecțională — odată ce datele sunt hash-uite, originalul nu poate fi recuperat. Criptarea reversibilă (folosind AES-256-GCM) permite utilizatorilor autorizați cu cheia corectă să decripteze și să recupereze datele originale, permițând fluxuri de lucru în care de-anonimizarea este necesară.