O Problema do Quase-PII
O Artigo 4 do GDPR define dados pessoais como "qualquer informação relacionada a uma pessoa natural identificada ou identificável." A palavra-chave é "identificável" — não apenas atualmente identificada, mas capaz de identificação através de processamento adicional. Um valor que não é diretamente identificável, mas pode ser vinculado a uma pessoa real através de sistemas internos, é considerado dado pessoal sob o GDPR.
IDs internos de funcionários são o exemplo mais comum. "EMP-EU-123456" não identifica diretamente ninguém. Mas o banco de dados de RH possui uma tabela: EMP-EU-123456 → Maria Schmidt, Engenheira Sênior, Munique. Qualquer documento contendo EMP-EU-123456 pode ser vinculado a Maria Schmidt por qualquer pessoa com acesso ao banco de dados de RH. Sob o GDPR, EMP-EU-123456 é dado pessoal — é uma informação relacionada a uma pessoa natural identificável.
A mesma análise se aplica a números de contas de clientes (vinculando a registros de CRM), códigos de projeto (vinculando à identidade do cliente em bancos de dados de contratos), números de referência internos para questões legais (vinculando a participantes de casos no DMS) e números de registros médicos em sistemas externos (vinculando a registros de pacientes no EHR do hospital).
Organizações que anonimizaram os PII óbvios (nomes, endereços de e-mail, IDs nacionais) mas deixaram identificadores internos intocados não conseguiram alcançar uma anonimização em conformidade com o GDPR. Elas alcançaram a desanonimização em duas etapas em vez de uma — exigindo que um atacante (ou um funcionário excessivamente curioso) consultasse o banco de dados de RH em vez de ler o documento diretamente.
A Lacuna de Cobertura na Prática
O Relatório Anual de GDPR de 2025 da DLA Piper descobriu que 34% de todas as multas do GDPR envolvem medidas técnicas inadequadas sob o Artigo 32 — a exigência de implementar salvaguardas técnicas apropriadas. A anonimização inadequada, incluindo a falha em detectar e remover identificadores internos quase identificáveis, é uma categoria documentada de violações do Artigo 32.
O EDPB processou mais de 900 casos de mecanismos de consistência em 2024, refletindo o aumento do volume de coordenação de aplicação entre os Estados-Membros da UE. A aplicação transfronteiriça (onde a autoridade supervisora principal em um país coordena com outras) significa que uma violação do Artigo 32 em um conjunto de dados compartilhado entre fronteiras da UE pode desencadear uma aplicação coordenada.
A Solução do Padrão Sem Código
Para a equipe de conformidade de uma empresa de logística global que está anonimando registros de funcionários para uma auditoria externa de RH:
IDs de funcionários seguem o formato EMP-[REGIÃO]-[0-9]{6} — EMP-EU-123456, EMP-APAC-789012, EMP-AMER-345678. A equipe de conformidade fornece 3 exemplos para o assistente de padrão de IA. A IA retorna: padrão detectado EMP-[A-Z]{2,4}-d{6}; corresponde a todos os exemplos fornecidos; nome da entidade sugerido: EMPLOYEE-ID; teste contra casos extremos, incluindo diferentes códigos de região.
A equipe testa contra 10 amostras adicionais, incluindo EMP-DACH-000001 e EMP-APAC-999999. O padrão valida corretamente. A entidade personalizada é salva na configuração de conformidade do GDPR compartilhada com todos os membros da equipe. Todos os 47 documentos no pacote de auditoria de RH são processados em um único lote. Todos os IDs de funcionários são substituídos por pseudônimos baseados em função. A empresa de auditoria recebe documentos que não podem ser vinculados a funcionários individuais através de qualquer banco de dados interno.
Fontes: