Información de identificación personal (PII)
¿Qué es la información de identificación personal (PII)?
La información de identificación personal (PII) es información que, cuando se usa sola o con otros datos relevantes, puede identificar a una persona. La PII puede contener identificadores directos (p. Ej., Información de pasaporte) que pueden identificar a una persona de forma única, o cuasi-identificadores (p. Ej., Raza) que pueden combinarse con otros cuasi-identificadores (p. Ej., Fecha de nacimiento) para reconocer con éxito a una persona.
Conclusiones clave
- La información de identificación personal (PII) es información que, cuando se usa sola o con otros datos relevantes, puede identificar a una persona.
- La información de identificación personal sensible puede incluir su nombre completo, número de seguro social, licencia de conducir, información financiera y registros médicos.
- La información de identificación personal no confidencial es fácilmente accesible desde fuentes públicas y puede incluir su código postal, raza, sexo y fecha de nacimiento.
Comprensión de la información de identificación personal (PII)
Las plataformas tecnológicas avanzadas han cambiado la forma en que operan las empresas, los gobiernos legislan y las personas se relacionan. Con herramientas digitales como teléfonos móviles, Internet, comercio electrónico y redes sociales, ha habido una explosión en el suministro de todo tipo de datos.
Los grandes datos, como se le llama, están siendo recopilados, analizados y procesados por empresas y compartidos con otras empresas. La gran cantidad de información proporcionada por los macrodatos ha permitido a las empresas obtener información sobre cómo interactuar mejor con los clientes.
Sin embargo, la aparición de big data también ha aumentado el número de violaciones de datos y ciberataques por parte de entidades que se dan cuenta del valor de esta información. Como resultado, han surgido preocupaciones sobre cómo las empresas manejan la información confidencial de sus consumidores. Los organismos reguladores buscan nuevas leyes para proteger los datos de los consumidores, mientras que los usuarios buscan formas más anónimas de mantenerse digitales.
Información de identificación personal sensible frente a no sensible
(PII)
La información de identificación personal (PII) puede ser sensible o no sensible. La información personal sensible incluye estadísticas legales como:
- Nombre completo
- Número de seguro social (SSN)
- Licencia de conducir
- Dirección de envio
- Información de tarjeta de crédito
- Información del pasaporte
- Información financiera
- Registros médicos
La lista anterior no es de ninguna manera exhaustiva. Las empresas que comparten datos sobre sus clientes normalmente utilizan técnicas de anonimización para cifrar y ocultar la PII, por lo que se recibe de forma no identificable personalmente. Una compañía de seguros que comparte la información de sus clientes con una compañía de marketing enmascarará la PII sensible incluida en los datos y dejará solo información relacionada con el objetivo de la compañía de marketing.
La PII indirecta o no sensible es fácilmente accesible desde fuentes públicas como guías telefónicas, Internet y directorios corporativos. Entre los ejemplos de PII indirectos o no sensibles se incluyen:
- Código postal
- Raza
- Género
- Fecha de nacimiento
- Lugar de nacimiento
- Religión
La lista anterior contiene cuasi-identificadores y ejemplos de información no sensible que se puede divulgar al público. Este tipo de información no se puede utilizar solo para determinar la identidad de una persona.
Sin embargo, la información no sensible, aunque no delicada, es enlazable. Esto significa que los datos no sensibles, cuando se utilizan con otra información personal vinculable, pueden revelar la identidad de un individuo. Las técnicas de desanonimización y reidentificación tienden a tener éxito cuando se juntan varios conjuntos de cuasi-identificadores y se pueden utilizar para distinguir a una persona de otra.
Protección de la información de identificación personal (PII)
Varios países han adoptado múltiples leyes de protección de datos para crear pautas para las empresas que recopilan, almacenan y comparten la información personal de los clientes. Algunos de los principios básicos descritos por estas leyes establecen que cierta información confidencial no debe recopilarse a menos que se trate de situaciones extremas.
Además, las pautas regulatorias estipulan que los datos deben eliminarse si ya no se necesitan para el propósito indicado, y la información personal no debe compartirse con fuentes que no puedan garantizar su protección.
La regulación y protección de la información de identificación personal (PII) probablemente será un tema dominante para las personas, las empresas y los gobiernos en los próximos años.
Los ciberdelincuentes violan los sistemas de datos para acceder a la PII, que luego se vende a compradores dispuestos en mercados digitales clandestinos. Por ejemplo, en 2015, el IRS sufrió una violación de datos que condujo al robo de más de cien mil PII de los contribuyentes. Usando cuasi información robada de múltiples fuentes, los perpetradores pudieron acceder a una aplicación del sitio web del IRS respondiendo preguntas de verificación personal que deberían haber estado al tanto de los contribuyentes solamente.
Información de identificación personal (PII) en todo el mundo
La definición de lo que comprende la PII difiere según el lugar del mundo en el que viva. En los Estados Unidos, el gobierno definió «identificable personalmente» en 2020 como cualquier cosa que pueda «usarse para distinguir o rastrear la identidad de un individuo», como el nombre, el SSN y la información biométrica;ya sea solo o con otros identificadores como la fecha de nacimiento o el lugar de nacimiento.
En la Unión Europea (UE), la definición se expande para incluir cuasi-identificadores como se describe en el Reglamento General de Protección de Datos (GDPR) que entró en vigencia en mayo de 2018.3 El GDPR es un marco legal que establece reglas para recopilar y procesamiento de información personal para quienes residen en la UE.
Ejemplo de información de identificación personal (PII)
A principios de 2018, Facebook Inc. (FB) se vio envuelto en una importante violación de datos. Los perfiles de 50 millones de usuarios de Facebook fueron recopilados sin su consentimiento por una empresa externa llamada Cambridge Analytica.
Cambridge Analytica obtuvo sus datos de Facebook a través de un investigador que trabajaba en la Universidad de Cambridge. El investigador creó una aplicación de Facebook que era un cuestionario de personalidad. Una aplicación es una aplicación de software que se utiliza en dispositivos móviles y sitios web.
La aplicación fue diseñada para tomar la información de aquellos que se ofrecieron como voluntarios para dar acceso a sus datos para el cuestionario. Desafortunadamente, la aplicación no solo recopiló los datos de los que respondieron el cuestionario, sino que, debido a una laguna en el sistema de Facebook, también pudo recopilar datos de los amigos y familiares de los que respondieron el cuestionario.
Como resultado, más de 50 millones de usuarios de Facebook tuvieron sus datos expuestos a Cambridge Analytica sin su consentimiento. Aunque Facebook prohibió la venta de sus datos, Cambridge Analytica dio la vuelta y vendió los datos para utilizarlos en consultoría política.
Mark Zuckerberg, fundador y director ejecutivo de Facebook, emitió un comunicado dentro del comunicado de ganancias del primer trimestre de 2019 de la compañía:
Estamos enfocados en desarrollar nuestra visión centrada en la privacidad para el futuro de las redes sociales y trabajar en colaboración para abordar problemas importantes en Internet.
La violación de datos no solo afectó a los usuarios de Facebook, sino también a los inversores. Las ganancias de Facebook disminuyeron un 50% en el primer trimestre de 2019 en comparación con el mismo período del año anterior. La compañía acumuló $ 3 mil millones en gastos legales y habría tenido ganancias por acción de $ 1.04 más sin los gastos, indicando:
Estimamos que el rango de pérdida en este asunto es de $ 3 mil millones a $ 5 mil millones. El asunto sigue sin resolverse y no se puede garantizar el momento o los términos de ningún resultado final.
Sin duda, las empresas invertirán en formas de recopilar datos, como información de identificación personal (PII), para ofrecer productos a los consumidores y maximizar las ganancias, pero se cumplirán con una regulación más estricta en los próximos años.