Contenido principal
Curso: Seguridad en Internet > Unidad 1
Lección 3: Más sobre la información personal identificablePII (Información personal identificable)
La Información personal identificable (PII) se refiere a datos que pueden identificar a individuos directa o indirectamente.
Identificación directa
La siguiente PII identifica directamente a un individuo:
| Tipo de PII | Ejemplo |
|---|---|
| Nombre | Kavita Hawkins |
| Número de seguro social | 123-45-6789 |
| Datos biométricos |
Identificación indirecta
Un nombre o una huella dactilar son ejemplos obvios de PII. Sin embargo, no siempre es tan claro.
Considera un número de teléfono:
(408)-930-0
¿Podrías identificar directamente a una persona usando solo el teléfono? Probablemente no. Sin embargo, si también tienes un directorio telefónico para el código de área 408, probablemente podrías.
En otras palabras, el número de teléfono cuando está enlazado con el directorio telefónico podría identificar indirectamente a alguien.
Este ejemplo resalta otra forma de PII: PII vinculable, que se refiere a datos que pueden combinarse de fuentes separadas para identificar individuos.
Algunos ejemplos comunes incluyen:
| Tipo de PII | Ejemplo |
|---|---|
| Edad | 25 |
| Raza | Indio americano |
| Ubicación | 116 Broadway, NYC, NY, 10027 |
| Datos médicos | Fecha de visita: 12 de marzo, 2020, Diagnóstico: Gripe |
¿X se considera como PII?
La clasificación de información como PII es un desafío. Por ejemplo, un punto de vista sobre direcciones IP sugiere que no son PII ya que identifican computadoras y no individuos. Por otro lado, las direcciones IP podrían considerarse PII, pues a menudo identifican ubicaciones geográficas y actúan como PII vinculable. La clasificación correcta no es clara.
Incluso si los datos no se consideran PII en el presente, puede serlo en el futuro. Si una futura ley del gobierno impone que una persona sea dueña de un conjunto de direcciones IP, entonces las direcciones IP se convertirán en PII por definición. La clasificación de datos como PII puede cambiar con el tiempo.
La PII vinculable dificulta aún más esta clasificación. Por ejemplo, puedes usar marcas de tiempo de publicaciones en redes sociales de alguien para inferir la zona horaria donde vive. Si esa persona también publica una foto de un restaurante donde comió, podrías usar su zona horaria para averiguar dónde podría estar el restaurante. En este punto ¡podrías formarte una idea aproximada de dónde vive la persona, o quién es! Todo esto a partir de vincular marcas de tiempo con la foto de un restaurante.
🤔 En este ejemplo ficticio, ¿crees que la PII vinculable era la foto del restaurante o las marcas de tiempo? ¿Cuáles son otros ejemplos de datos que podrían clasificarse como PII directo o PII vinculable?
Robo de PII
Los atacantes pueden robar PII a las empresas, lo que a menudo se conoce como una violación de datos.
En 2017, la agencia de crédito de consumidores Equifax fue víctima de una violación de datos y los atacantes tuvieron acceso a PII de 143 millones de estadounidenses. Esos PII incluían números de Seguro Social y números de tarjetas de crédito.
Una vez que los atacantes tuvieron acceso a esos datos, pudieron usar los números de Seguro Social para suplantar a las personas o los números de tarjeta de crédito para hacer compras no autorizadas.
¿Cómo puedes saber si has sido víctima de una violación de datos? Esperaríamos que la organización vulnerada te notificara, pero también hay servicios como HaveIBeenPwned que pueden darte una respuesta.
Aquí hay un ejemplo de HaveIBeenPwned para una dirección de correo electrónico genérica:
Normas de PII
Dado que si la PII cae en manos equivocadas puede dañar la vida de sus propietarios, las leyes regulan cómo las instituciones deben almacenar y procesar PII.
Por ejemplo, en EE.UU., la Ley de Portabilidad y Responsabilidad del Seguro de Salud (HIPAA) reglamenta PII médica, mientras que la Ley de Protección de la Privacidad en Línea del Niño (COPPA) norma PII de menores. En Europa, la mayoría de las formas de PII están reglamentadas por una ley llamada Reglamento General de Protección de Datos (GDPR). Si alguna vez desarrollas un sitio web o aplicación que trate con PII de usuarios en esas jurisdicciones, tendrás que seguir estas normas.
Recomendaciones
Como usuarios, es mejor que solo demos nuestro PII a los servicios en línea cuando sea necesario; y casi nunca es necesario dar identificación gubernamental como un número de seguridad social.
También debemos cuidar nuestras publicaciones en redes sociales. Incluso si ahora no son claramente PII, podría haber cosas acerca de esos datos que todavía no entendemos, pero que podrían convertirse en PII vinculable en el futuro.
🙋🏽🙋🏻♀️🙋🏿♂️¿TIenes alguna pregunta sobre este tema? ¡Nos encantaría responderte; tan solo pregunta en el área de preguntas más abajo!
¿Quieres unirte a la conversación?
Nota: Las PII (información personal identificable), información personal del usuario en torno la web, esta puede ser vinculable, cuando hay datos que se pueden relacionar con nuestra información. Estas tienen normas por que son información privada, tanto en la salud como a los niños.(3 votos)
el fuego quema? y si no quema moja?:o(1 voto)
