PII masking¶
PII masking é o mascaramento automático de dados pessoais e sensíveis (CPF, e-mail, telefone, endereço, nome, ou qualquer outro campo que a organização classifique como sensível) — pensado para reduzir o risco de exposição indevida sem exigir que cada workflow implemente sua própria lógica de proteção.
por que isso importa para LGPD/GDPR
a LGPD e o GDPR exigem que dados pessoais sejam tratados com minimização de exposição — ou seja, só mostrar o dado pessoal a quem realmente precisa dele, na forma que realmente precisa. configurar regras de mascaramento uma única vez, no nível da coluna, é muito mais seguro (e mais fácil de demonstrar em uma auditoria) do que confiar que cada pessoa que constrói um workflow vai lembrar de tratar aquele campo manualmente.
onde a configuração se aplica hoje¶
as regras de PII configuradas na plataforma se aplicam à exploração de dados feita pelos agentes de IA: quando um agente consulta uma tabela do lakehouse para responder uma pergunta em linguagem natural, ele aplica as regras de mascaramento configuradas para aquela coluna antes de expor qualquer valor — seja para o próprio usuário, seja para o modelo de linguagem usado na síntese da resposta.
escopo atual
a configuração de PII protege especificamente o fluxo de exploração e resposta dos agentes de IA. a visualização direta de registros no catálogo e no SQL editor não passa hoje pelas mesmas regras de mascaramento — o controle de quem pode ver esses dados brutos continua sendo feito via RBAC no nível do workspace.
configurando uma regra de PII¶
a configuração é restrita a administradores da organização e é feita por coluna, informando:
- o workspace, o lakehouse e a tabela onde a coluna vive;
- o tipo de PII: CPF, e-mail, telefone, endereço, nome ou personalizado;
-
o modo de exploração — como o valor aparece quando um agente examina a coluna:
modo comportamento nonecoluna tratada normalmente, sem mascaramento maskedvalores mascarados preservando o formato (ex.: joão silva→j*** s***)aggregateapenas estatísticas agregadas são expostas (contagem de distintos, % de nulos, valores mais frequentes) — nenhum valor individual é revelado excludeda coluna é completamente ocultada da exploração -
o modo de resultado — como a resposta final é gerada quando a pergunta envolve essa coluna:
modo comportamento pass_througha resposta pode ser gerada normalmente, inclusive usando um modelo de linguagem externo templatea resposta final é montada por um modelo de texto fixo, sem enviar nenhum dado a um modelo de linguagem externo local_llmforça o uso de processamento local para gerar a resposta, evitando que o dado saia do perímetro da organização
quando uma pergunta toca mais de uma coluna com regras diferentes, a plataforma sempre aplica a regra mais restritiva entre as colunas envolvidas — ou seja, o mascaramento nunca é "amolecido" por uma coluna menos sensível presente na mesma consulta.
exemplo de mascaramento por tipo¶
| tipo | exemplo original | exemplo mascarado |
|---|---|---|
| CPF | 123.456.789-00 |
***.***.***-** |
joao@empresa.com |
***@***.com |
|
| telefone | (11) 98888-7777 |
(XX) *****-**** |
| nome | João Silva |
J*** S*** |
quem pode configurar¶
somente usuários com papel de admin na organização podem criar, editar ou remover regras de PII — refletindo que essa é uma decisão de governança de dados, não uma configuração de workflow individual. veja RBAC para entender os papéis disponíveis.