Por Que o Excel É o Seu Tipo de Arquivo Mais Arriscado
Os arquivos Excel estão entre os maiores riscos do RGPD na maioria das empresas. Os registros médicos podem conter dados mais sensíveis por linha. Mas as planilhas acumulam dados pessoais silenciosamente — e as equipes de conformidade frequentemente as ignoram.
Três coisas tornam os arquivos Excel difíceis de gerenciar.
Volume: Um único arquivo XLSX pode conter 50.000 linhas e 100 colunas. Isso são cinco milhões de células. Nenhuma revisão manual consegue verificar todas elas.
Layout em grade: O texto flui em uma única direção. O Excel distribui dados em linhas e colunas. Dados pessoais podem se esconder em qualquer lugar dessa grade.
Conteúdo misto: Faixas salariais, códigos de departamento e avaliações de desempenho estão no mesmo arquivo que CPFs e endereços de e-mail. Apagar tudo torna o arquivo inútil.
Retenção prolongada: Listas de funcionários e bases de clientes ficam no Excel por anos. O RGPD artigo 5(1)(e) exige que os dados sejam mantidos "não mais do que o necessário". Arquivos que "podem ser úteis" costumam persistir muito além desse limite.
Por Que as Análises de Texto Padrão Falham em Planilhas
As ferramentas de análise de texto foram criadas para documentos. Elas falham em planilhas de formas previsíveis.
O Problema do CPF como Número
O Excel salva números de CPF sem traços (12345678900) como números simples — não como texto. Um scanner que busca o padrão ###.###.###-## não os encontrará. Uma boa ferramenta deve saber que um número com 9 ou 11 dígitos em uma coluna chamada "CPF" é um número de CPF.
O Problema da Data como Número
O Excel armazena datas como números de série internamente. O dia 6 de fevereiro de 2024 é armazenado como 45329. Uma exportação CSV mostrará "45329" em uma coluna "Data de Nascimento". Um scanner precisa converter esse número em uma data antes de identificá-lo.
O Problema do CPF Parcial
Alguns sistemas exibem apenas os quatro últimos dígitos de um CPF (***-**-1234). O número completo está em uma coluna bloqueada. O valor parcial ainda precisa ser anonimizado — mesmo que não pareça um CPF completo.
O Problema de Dados Pessoais em Fórmulas
Algumas células constroem dados pessoais a partir de outras células. Uma célula com =CONCATENAR(B2;" ";C2) exibe um nome completo. Se você apagar as colunas B e C, esse nome ainda é visível na célula de fórmula. Ferramentas que leem apenas valores armazenados — sem links de fórmula — deixam dados pessoais no lugar após a limpeza.
O Problema de Múltiplas Planilhas
Uma pasta de trabalho grande pode ter cinco abas: Lista de Clientes, Pedidos, Tickets de Suporte, Faturamento e Análises. Nomes de clientes aparecem nas cinco. "João Silva" em uma aba deve se tornar o mesmo token — "PERSON_0047" — em cada outra aba. Dois tokens diferentes quebram os vínculos entre registros.
Cabeçalhos de Coluna como Sinal de Detecção
A melhoria mais importante na detecção de dados pessoais em planilhas é a análise de cabeçalhos de coluna.
Uma coluna chamada "CPF" indica à ferramenta que todos os valores nessa coluna são CPFs. Isso funciona mesmo que os valores sejam parciais, formatados de forma diferente ou armazenados como números.
| Cabeçalho de coluna | Sinal |
|---|---|
| CPF / NIF / ID Fiscal | Tratar números de 9 a 11 dígitos como CPF |
| E-mail / Endereço de e-mail | Sinalizar até padrões parciais de e-mail |
| Telefone / Celular / Móvel | Aceitar qualquer formato de telefone |
| Data Nasc. / Data de Nascimento | Converter números de série em datas |
| Nome / Sobrenome / Nome Completo | Reduzir o limite para detecção de nomes |
| Endereço / Rua / Cidade / CEP | Combinar campos geográficos próximos |
| ID Paciente / Nº Prontuário | Aplicar padrões de ID de saúde |
O contexto de coluna não substitui a análise de conteúdo. Ele a complementa. Uma coluna "CPF" com 100 valores: a análise de conteúdo encontra 99 bem formatados. O contexto de coluna encontra o valor atípico.
Manter a Estrutura, Remover os Nomes
O objetivo na maioria dos casos Excel com o RGPD não é destruir o arquivo. É remover dados pessoais enquanto se mantêm as partes que tornam o arquivo útil.
Para um arquivo de registros de funcionários com 15.000 linhas, um responsável de conformidade precisa:
Remover:
- Nomes de funcionários → tokens PERSON_XXXX
- CPFs → REDACTED
- Endereços de e-mail → REDACTED
- Números de telefone → REDACTED
- Endereços residenciais → REDACTED
Manter:
- Códigos de departamento
- Cargos (funções gerais apenas)
- Faixas salariais (categorias amplas)
- Pontuações de desempenho (dados de grupo)
- Datas de admissão (para estatísticas de tempo de serviço)
- Códigos de gestores (se pseudonimizados)
Uma ferramenta que distingue "dados que identificam pessoas" de "dados que descrevem cargos" produz um arquivo que ainda é útil para análise de RH — e cumpre as regras de minimização de dados do RGPD.
Caso Real: Transferência de Dados de RH em uma Aquisição
Uma empresa adquirente recebe registros de funcionários da empresa alvo: um XLSX com 15.000 linhas e 40 colunas. O arquivo precisa ir para uma consultoria externa de RH para planejamento de benefícios. O RGPD permite compartilhar apenas os dados necessários para essa tarefa.
Antes do processamento: 40 colunas com nomes completos, CPFs, e-mails, endereços residenciais, contatos de emergência e dados bancários.
Após processamento com contexto de coluna:
- 12 colunas identificam pessoas diretamente (nomes, CPFs, e-mails, telefone, endereços, dados bancários): substituídas por tokens consistentes
- 3 colunas identificam pessoas indiretamente (ID do funcionário, código do gestor, código do cargo): substituídas por tokens pseudônimos consistentes dentro do arquivo
- 25 colunas são dados agregados (faixa salarial, departamento, tempo de serviço, nível): mantidas sem alteração
Tempo: 8 minutos para 600.000 células
Resultado: Mesmo formato XLSX, 40 colunas, 15 anonimizadas, 25 sem alteração
Registro de auditoria: Registro célula por célula de cada ação com tipo de entidade, pontuação de confiança e sinal de coluna utilizado
A consultoria de RH recebe um conjunto completo de dados para seu trabalho — sem nomes ou identificadores. O registro de conformidade obtém a prova de que apenas os dados corretos foram compartilhados.
Esse desafio não é exclusivo do Excel. Cada formato de arquivo falha à sua maneira. Veja como a fragmentação de formatos afeta a detecção de dados pessoais.
Três Regras do Artigo 5 do RGPD, Um Único Processo
A anonimização estruturada de planilhas atende a três regras ao mesmo tempo.
Minimização de dados (art. 5(1)(c)): Apenas as colunas necessárias para a tarefa chegam ao destinatário. As colunas identificadoras são apagadas.
Limitação de armazenamento (art. 5(1)(e)): O arquivo original permanece para os períodos de retenção legal. Uma cópia limpa é criada para compartilhamento — com requisitos de retenção menores ou nenhum.
Integridade e confidencialidade (art. 5(1)(f)): Nenhum dado identificador sai da zona de controle. Apenas cópias limpas são compartilhadas.
O registro de auditoria do processo também é sua prova conforme o artigo 5(2). Ele mostra como cada regra foi cumprida para cada arquivo.
Se sua equipe lida com solicitações de acesso (DSAR) ou grandes exportações de dados, a mesma lógica se aplica no nível da API. Veja como a minimização de dados do RGPD funciona em APIs em tempo real.
Para equipes com grandes volumes e prazos apertados, veja processamento em lote de DSAR do RGPD em escala.