PII (Información personal identificable)

La Información personal identificable (PII) se refiere a datos que pueden identificar a individuos directa o indirectamente.

La siguiente PII identifica directamente a un individuo:

Un nombre o una huella dactilar son ejemplos obvios de PII. Sin embargo, no siempre es tan claro.

Considera un número de teléfono:

(408)-930-0

¿Podrías identificar directamente a una persona usando solo el teléfono? Probablemente no. Sin embargo, si también tienes un directorio telefónico para el código de área 408, probablemente podrías.

En otras palabras, el número de teléfono cuando está enlazado con el directorio telefónico podría identificar indirectamente a alguien.

Este ejemplo resalta otra forma de PII: PII vinculable, que se refiere a datos que pueden combinarse de fuentes separadas para identificar individuos.

Algunos ejemplos comunes incluyen:

La clasificación de información como PII es un desafío. Por ejemplo, un punto de vista sobre direcciones IP sugiere que no son PII ya que identifican computadoras y no individuos. Por otro lado, las direcciones IP podrían considerarse PII, pues a menudo identifican ubicaciones geográficas y actúan como PII vinculable. La clasificación correcta no es clara.

Incluso si los datos no se consideran PII en el presente, puede serlo en el futuro. Si una futura ley del gobierno impone que una persona sea dueña de un conjunto de direcciones IP, entonces las direcciones IP se convertirán en PII por definición. La clasificación de datos como PII puede cambiar con el tiempo.

La PII vinculable dificulta aún más esta clasificación. Por ejemplo, puedes usar marcas de tiempo de publicaciones en redes sociales de alguien para inferir la zona horaria donde vive. Si esa persona también publica una foto de un restaurante donde comió, podrías usar su zona horaria para averiguar dónde podría estar el restaurante. En este punto ¡podrías formarte una idea aproximada de dónde vive la persona, o quién es! Todo esto a partir de vincular marcas de tiempo con la foto de un restaurante.

🤔 En este ejemplo ficticio, ¿crees que la PII vinculable era la foto del restaurante o las marcas de tiempo? ¿Cuáles son otros ejemplos de datos que podrían clasificarse como PII directo o PII vinculable?

Los atacantes pueden robar PII a las empresas, lo que a menudo se conoce como una violación de datos.

En 2017, la agencia de crédito de consumidores Equifax fue víctima de una violación de datos y los atacantes tuvieron acceso a PII de 143 millones de estadounidenses. Esos PII incluían números de Seguro Social y números de tarjetas de crédito. $^1$start superscript, 1, end superscript

Una vez que los atacantes tuvieron acceso a esos datos, pudieron usar los números de Seguro Social para suplantar a las personas o los números de tarjeta de crédito para hacer compras no autorizadas.

¿Cómo puedes saber si has sido víctima de una violación de datos? Esperaríamos que la organización vulnerada te notificara, pero también hay servicios como HaveIBeenPwned que pueden darte una respuesta.

Aquí hay un ejemplo de HaveIBeenPwned para una dirección de correo electrónico genérica:

Dado que si la PII cae en manos equivocadas puede dañar la vida de sus propietarios, las leyes regulan cómo las instituciones deben almacenar y procesar PII.

Por ejemplo, en EE.UU., la Ley de Portabilidad y Responsabilidad del Seguro de Salud (HIPAA) reglamenta PII médica, mientras que la Ley de Protección de la Privacidad en Línea del Niño (COPPA) norma PII de menores. En Europa, la mayoría de las formas de PII están reglamentadas por una ley llamada Reglamento General de Protección de Datos (GDPR). Si alguna vez desarrollas un sitio web o aplicación que trate con PII de usuarios en esas jurisdicciones, tendrás que seguir estas normas.

Como usuarios, es mejor que solo demos nuestro PII a los servicios en línea cuando sea necesario; y casi nunca es necesario dar identificación gubernamental como un número de seguridad social.

También debemos cuidar nuestras publicaciones en redes sociales. Incluso si ahora no son claramente PII, podría haber cosas acerca de esos datos que todavía no entendemos, pero que podrían convertirse en PII vinculable en el futuro.

🙋🏽🙋🏻‍♀️🙋🏿‍♂️¿TIenes alguna pregunta sobre este tema? ¡Nos encantaría responderte; tan solo pregunta en el área de preguntas más abajo!