O que é Quasi-PII?
O RGPD Artigo 4 cobre qualquer dado que possa identificar uma pessoa. Os dados não precisam nomear alguém diretamente. Basta que a identificação seja possível por etapas adicionais.
Os identificadores internos de funcionários são um exemplo claro. Considere o valor "EMP-EU-123456." Essa sequência não nomeia ninguém. Mas o sistema de RH contém uma tabela de consulta simples. EMP-EU-123456 aponta para Maria Schmidt, Engenheira Sênior, Munique. Qualquer pessoa com acesso a essa tabela pode encontrá-la. Segundo o RGPD, o identificador é um dado pessoal.
A mesma regra se aplica a outros códigos internos:
- Números de conta de clientes vinculados a registros de CRM
- Códigos de projeto vinculados a nomes de clientes em sistemas de contratos
- Números de referência em processos jurídicos
- Números de prontuário vinculados a registros de pacientes
Remover nomes e endereços de e-mail não é suficiente. Se os identificadores internos permanecerem em um arquivo, a reidentificação está a apenas dois passos.
Por que essa lacuna gera multas
34% de todas as multas do RGPD envolvem medidas técnicas inadequadas sob o Artigo 32. Esse número vem do Relatório Anual RGPD 2025 da DLA Piper. A falha em detectar identificadores internos quase-identificadores se enquadra nessa categoria.
O EDPB processou mais de 900 casos do mecanismo de consistência em 2024. A aplicação transfronteiriça significa que uma lacuna em um conjunto de dados compartilhado pode desencadear ação coordenada em vários Estados-Membros da UE.
Ferramentas PII padrão detectam padrões universais: nomes, e-mails, telefones, identificadores nacionais. Elas não conhecem o formato do seu identificador interno. Nenhuma ferramenta conhece até você configurá-la. Essa é a lacuna.
Como funciona o gerador de padrões sem código
Uma empresa de logística global precisa anonimizar registros de funcionários para uma auditoria externa. Os identificadores de funcionários seguem este formato: EMP-[REGIÃO]-[6 dígitos]. Três exemplos: EMP-EU-123456, EMP-APAC-789012, EMP-AMER-345678.
A equipe de conformidade insere três exemplos no assistente de padrões de IA. A IA retorna:
- Padrão:
EMP-[A-Z]{2,4}-\d{6} - Corresponde aos três exemplos fornecidos
- Nome de entidade sugerido: EMPLOYEE-ID
- Próximo passo recomendado: testar com mais códigos de região
A equipe testa dez amostras adicionais. O padrão funciona em todas.
Eles salvam a entidade personalizada no preset RGPD compartilhado da equipe. Os 47 documentos do pacote de auditoria são processados em um lote. Cada identificador de funcionário é substituído por um rótulo baseado na função. O escritório de auditoria recebe arquivos que não podem mais ser vinculados a nenhum indivíduo.
Não é necessária ajuda técnica. A configuração completa leva menos de uma hora.
O que acontece depois
Depois que a entidade personalizada é salva em um preset compartilhado, todos os membros da equipe usam a mesma configuração. Novos colaboradores a recebem desde o primeiro dia. Processamentos em lote, chamadas de API e uploads manuais aplicam o mesmo padrão.
O registro de auditoria mostra qual preset foi usado para cada arquivo. Se uma autoridade de proteção de dados solicitar evidências, você pode fornecê-las.
Para o fluxo de trabalho completo de configuração de entidades personalizadas, consulte identificadores PII personalizados para anonimização organizacional. Para manter a configuração consistente entre equipes, consulte presets de anonimização para auditorias RGPD.