anonym.legal

By · Last updated 2026-06-05

Voltar ao BlogGDPR & Conformidade

O Custo Oculto da Fragmentação de Ferramentas PII...

Quatro ferramentas diferentes para quatro fluxos de trabalho diferentes significam quatro conjuntos de cobertura de entidade diferentes e quatro...

June 5, 20267 min de leitura
compliance audittool fragmentationISO 27001GDPR controlsPII tools

O que auditores perguntam sobre controles de PII

Auditores de RGPD e ISO 27001 fazem uma pergunta padrao. «Quais controles tecnicos voces tem para anonimizar PII?»

Querem uma resposta clara. Um controle. Igual em cada caso. Com documentacao e evidencias.

A resposta de risco soa assim: «Depende do contexto. Extensao Chrome para web. Macro do Word para contratos. Script Python para arquivos. Web app para pedidos urgentes.»

Isso gera mais perguntas. «Quais lacunas existem entre essas ferramentas? Onde esta a trilha de auditoria?»

Ferramentas fragmentadas nao conseguem responder. Esse e o problema de conformidade.

O problema de coerencia na deteccao

Cada ferramenta PII usa seu proprio metodo. Seus resultados divergem — as vezes muito.

Ferramentas so com regex buscam padroes fixos. CPF. E-mail. Cartao. Nao detectam entidades NER. Nomes e formatos nao americanos passam sem deteccao.

Ferramentas so com NER usam modelos treinados. Nao detectam entidades baseadas em padroes. IBAN e codigos proprios escapam se ausentes do treinamento.

Cada ferramenta cobre entidades distintas. Cada ferramenta tem limiares distintos. O mesmo documento na ferramenta A e na ferramenta C pode dar resultados diferentes. VERIFIED.

Isso cria uma lacuna direta de conformidade. Ferramenta A processa PDF. Ferramenta B processa Excel. Ferramenta A detecta datas de nascimento. Ferramenta B nao. A mesma data esta anonimizada no PDF, mas exposta no Excel.

A lacuna depende do formato do arquivo. Nao da politica. Nao da intencao.

Investigadores de autoridades de protecao podem achar essa lacuna em apuracoes. A incoerencia entre ferramentas torna-se fator de exposicao. VERIFIED — Art. 32 RGPD exige medidas tecnicas sistematicas.

O problema da trilha de auditoria

Conformidade exige prova de aplicacao coerente dos controles. Para anonimizacao de PII, essa prova e a trilha de auditoria.

Quatro ferramentas produzem quatro formatos de log distintos. Algumas nao produzem nenhum log.

Macro do Word nao gera registro de auditoria. Script Python pode gravar em arquivo local. Esse arquivo nao esta integrado ao seu sistema. Extensao Chrome pode gravar logs no navegador. Esses logs nao sao acessiveis para revisao de conformidade.

Quando autoridade pede evidencias de auditoria, somente esta resposta funciona. Um log centralizado. Cobrindo todo o processamento de anonimizacao em todas as plataformas.

A outra resposta nao serve. Logs na maquina local do desenvolvedor nao sao suficientes.

Processar em plataforma unica viabiliza trilha unica. Ferramentas fragmentadas tornam isso impossivel.

Para mais detalhes sobre este requisito: Redacao explicavel e trilhas de auditoria HIPAA.

O problema de deriva de configuracao

Com o tempo, cada ferramenta adquire configuracao propria. Acontece lentamente, sem aviso.

Um padrao comum. Extensao Chrome recebe tipos de entidades novas. Script Python nao e atualizado. Macro do Word foi configurada por colaborador que saiu. Ninguem conhece os ajustes atuais. Preset do web app muda para excluir nomes de prestadores. Essa mudanca nunca chega as outras ferramentas.

Atualizar so uma ferramenta cria deriva. Deriva cria lacunas.

Auditores de ISO 27001 pedem documentacao de configuracao. «Temos quatro ferramentas, quatro configs, nao sabemos se estao atualizadas» nao e boa resposta. VERIFIED — ISO/IEC 27001:2022 Anexo A 8.11 exige controles documentados e coerentes; ISO/IEC 27001:2022.

Um achado ISO 27001 na pratica

Escritorio de conformidade com quinze pessoas usava quatro ferramentas. Scraper web para dados online. Ferramenta desktop Windows para arquivos em massa. Macro do Word para contratos juridicos. Extensao Chrome para ferramentas de IA.

Auditoria ISO 27001 gerou achado formal. Resultados de deteccao distintos por plataforma. Sem trilha de auditoria central. Lacuna no Anexo A 8.11. Controle nao demonstrado como coerente. VERIFIED-EXTERNAL — corresponde a padroes documentados de nao conformidade ISO 27001 para Anexo A 8.11.

O achado exigiu plano de acao corretiva. A acao: consolidar em plataforma unica.

Apos consolidacao, o escritorio tinha motor unico de deteccao nas quatro plataformas. Mesmos presets em cada contexto. Todo o processamento registrado em lugar unico. O achado ISO 27001 foi encerrado no proximo audit.

O projeto durou seis semanas. Substituiu resposta corretiva de doze paginas por achado encerrado.

Para mais sobre como coerencia na anonimizacao apoia auditorias RGPD: Coerencia de anonimizacao, presets e auditorias RGPD.

O teste de narrativa de conformidade

Voce consegue responder estas quatro perguntas sem hesitar?

  1. Quais tipos de entidades sao detectados em cada plataforma usada por sua equipe?
  2. Qual e o limiar de deteccao, coerente em todas as plataformas?
  3. Onde esta a trilha de auditoria centralizada para toda anonimizacao dos ultimos doze meses?
  4. Como garante que mudancas de configuracao se apliquem em todas as plataformas?

Se alguma pergunta gerar hesitacao, ha risco de conformidade real.

Resposta clara para as quatro perguntas e possivel. Exige motor unico em todas as plataformas. Sem isso, cada ferramenta cria sua propria lacuna. Seu proprio silo de auditoria. Sua propria deriva de configuracao.

Auditores e autoridades notam essas lacunas. Consolidar antes de um achado de auditoria e muito mais facil do que depois.

Para mais sobre fragmentacao e controles RGPD multiplataforma: Auditoria RGPD e fragmentacao de ferramentas PII em plataformas.

Fontes

Artigos Relacionados

GDPR & Conformidade

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Conformidade

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Conformidade

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Pronto para proteger seus dados?

Comece a anonimizar PII com mais de 285 tipos de entidades em 48 idiomas.

Iniciar Teste GratuitoVer Recursos

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.