A Lacuna de Conformidade das Planilhas
As ferramentas de redação de PDF não lidam com planilhas do Excel. Este único fato cria uma lacuna de conformidade sistemática para organizações que armazenam dados pessoais em formato Excel — o que, em ambientes corporativos, significa quase todos os departamentos de RH, equipes financeiras e departamentos operacionais.
Os dados do Relatório Anual do EDPB mostram que os pedidos de acesso ao GDPR aumentaram 180% de 2021 a 2024. As organizações que recebem DSARs devem fornecer os dados pessoais do solicitante em um formato portátil, garantindo que os dados de terceiros incluídos no mesmo conjunto de dados estejam adequadamente protegidos. Para um conjunto de dados de funcionários armazenado em Excel, a resposta padrão — exportar linhas específicas — ainda expõe os dados de outros funcionários no mesmo arquivo. A conformidade adequada com DSAR exige a anonimização por registro dos dados não solicitados.
O tempo médio de processamento de um DSAR é de 12 horas manualmente. Para uma organização que recebe 200 DSARs por mês — um volume modesto para uma empresa de médio porte — isso representa 2.400 horas de trabalho mensal em sobrecarga de conformidade. A abordagem manual não escala para o volume de solicitações que os dados do EDPB projetam para o restante desta década.
O Que a Anonimização do Excel Realmente Exige
A anonimização de planilhas apresenta desafios que as ferramentas de redação de PDF não foram projetadas para lidar.
Linhas e colunas ocultas: Arquivos do Excel comumente contêm linhas ocultas (dados de rascunho, registros filtrados) e colunas ocultas (cálculos intermediários, valores originais antes da transformação). Uma ferramenta de redação que processa apenas células visíveis deixa PII oculto intacto. Um anonimizador de Excel de nível de conformidade deve processar todas as planilhas, incluindo as ocultas.
Fórmulas incorporadas: Células contendo fórmulas que referenciam PII em outras células podem exibir valores derivados enquanto a própria fórmula referencia os dados originais. Anonimizar o valor exibido sem atualizar a referência da fórmula deixa o PII original acessível a qualquer um que inspecione a fórmula.
Cache de tabela dinâmica: Tabelas dinâmicas do Excel armazenam em cache os dados subjacentes usados para gerar a tabela. Anonimizar a planilha de dados de origem não limpa automaticamente o cache da tabela dinâmica. Um usuário adversário que recebe um arquivo do Excel "anonimizado" pode inspecionar o cache da tabela dinâmica para recuperar os dados originais.
Referências entre planilhas: Arquivos do Excel corporativos contêm rotineiramente referências de células entre planilhas. O nome de um funcionário pode aparecer na Planilha 1 e ser referenciado em cálculos na Planilha 3. Anonimizar a Planilha 1 sem atualizar as referências da Planilha 3 deixa uma referência aos dados anonimizados que pode revelar o valor original por meio da inspeção da fórmula.
O Caso de Uso do Departamento de RH
Uma empresa de manufatura alemã deve compartilhar 50.000 registros de funcionários com um consultor externo de compensação para um projeto de benchmarking. O Artigo 28 do GDPR exige que o compartilhamento de dados pessoais com um processador (o consultor externo) envolva controles técnicos apropriados. O arquivo do Excel contém 37 colunas, incluindo nomes, endereços de e-mail pessoais, endereços residenciais, salários, avaliações de desempenho e registros de licença médica.
A anonimização manual de 50.000 linhas em 37 colunas não é viável em nenhum prazo de conformidade. O complemento do Word e Excel processa a planilha nativamente — dentro do Microsoft Excel, sem exportação ou conversão. A detecção de PII em nível de célula identifica dados pessoais em todas as planilhas visíveis e ocultas. Nomes são substituídos por pseudônimos; endereços por marcadores apropriados ao tipo; salários mantidos (não PII) enquanto identificadores pessoais relacionados são removidos. A anonimização processa 50.000 linhas em minutos em vez de dias.
A configuração por entidade permite tratamento diferente para diferentes tipos de dados: nomes substituídos por pseudônimos consistentes (o mesmo nome em diferentes células recebe o mesmo pseudônimo, preservando a utilidade analítica); SSNs substituídos por strings mascaradas; endereços substituídos por aproximações apenas da cidade; endereços de e-mail pessoais substituídos por marcadores baseados em função.
Fontes: