Informação Pessoalmente Identificável
PII (Personally Identifiable Information) designa toda informação que permite identificar direta ou indiretamente uma pessoa singular. Inclui nome, morada, número de identificação fiscal, dados biométricos e qualquer combinação de elementos que possa conduzir à identificação.
O conceito de PII constitui um pilar fundamental da proteção de dados em todo o mundo. Abrange duas categorias: identificadores diretos (nome completo, número de passaporte, número de identificação fiscal) que permitem identificar uma pessoa por si só, e identificadores indiretos (data de nascimento, código postal, profissão) que, combinados entre si, podem permitir a identificação. O RGPD europeu utiliza o conceito mais abrangente de «dados pessoais», que cobre as PII e se estende ainda a identificadores em linha e dados de localização.
Nos processos de KYC e conformidade, as PII estão no centro de cada verificação de identidade. As empresas recolhem necessariamente PII — cópias de documentos de identidade, comprovativos de morada, dados bancários — para cumprir as suas obrigações regulatórias. Isto cria uma tensão permanente entre o imperativo de verificação e o dever de proteção: cada PII armazenada representa um risco potencial em caso de violação de dados.
As regulamentações internacionais (RGPD na Europa, CCPA na Califórnia, LGPD no Brasil) impõem obrigações rigorosas para o tratamento de PII: base legal documentada, prazos de conservação limitados, medidas de segurança técnicas e organizativas, e direitos de acesso e eliminação para os titulares dos dados. Soluções de verificação modernas como a CheckFile.ai minimizam a exposição de PII extraindo apenas os dados necessários e não conservando cópias de documentos para além do processo de verificação.
Regulações
Exemplos concretos
- 1Um prestador de verificação de identidade classifica os campos extraídos de um passaporte — nome, data de nascimento, número de documento — como PII e aplica encriptação AES-256 para armazenamento, com eliminação automática após 90 dias.
- 2Uma fintech californiana recebe um pedido CCPA de um utilizador que deseja conhecer todas as PII detidas sobre si: deve fornecer um inventário completo incluindo dados KYC, histórico de autenticação e metadados de verificação.
- 3Um departamento de recursos humanos automatiza a anonimização das PII de candidatos não selecionados seis meses após o encerramento do processo de recrutamento, em conformidade com as recomendações da CNPD sobre conservação de dados de candidatura.