¿Qué es la información de identificación personal (PII)?
La información de identificación personal (PII) es información que, cuando se usa sola o con otros datos relevantes, puede identificar a un individuo. La PII puede contener identificadores directos (p. Ej., Información de pasaporte) que pueden identificar a una persona de manera única, o cuasi identificadores (p. Ej., Raza) que se pueden combinar con otros cuasi identificadores (p. Ej., Fecha de nacimiento) para reconocer con éxito a un individuo.
Comprender la información de identificación personal (PII)
Las plataformas tecnológicas avanzadas han cambiado la forma en que operan las empresas, los gobiernos legislan y las personas se relacionan. Con herramientas digitales como teléfonos celulares, Internet, comercio electrónico y redes sociales, ha habido una explosión en el suministro de todo tipo de datos.
Big Data, como se le llama, está siendo recopilado, analizado y procesado por las empresas y compartido con otras empresas. La gran cantidad de información proporcionada por Big Data ha permitido a las empresas obtener información sobre cómo interactuar mejor con los clientes.
Sin embargo, la aparición de big data también ha aumentado el número de violaciones de datos y ataques cibernéticos por parte de entidades que se dan cuenta del valor de esta información. Como resultado, han surgido preocupaciones sobre cómo las empresas manejan la información sensible de sus consumidores. Los organismos reguladores buscan nuevas leyes para proteger los datos de los consumidores, mientras que los usuarios buscan formas más anónimas de mantenerse digitales.
Para llevar clave
- La información de identificación personal (PII) es información que, cuando se usa sola o con otros datos relevantes, puede identificar a un individuo. La información de identificación personal sensible puede incluir su nombre completo, número de Seguro Social, licencia de conducir, información financiera y registros médicos. Se puede acceder fácilmente a información confidencial de identificación personal desde fuentes públicas y puede incluir su código postal, raza, sexo y fecha de nacimiento.
PII sensible frente a no sensible
La información de identificación personal (PII) puede ser sensible o no sensible. La información personal confidencial incluye estadísticas legales como:
- Nombre completo Información de la tarjeta de crédito Información del pasaporte
La lista anterior no es exhaustiva. Las empresas que comparten datos sobre sus clientes normalmente usan técnicas de anonimato para cifrar y ofuscar la PII, por lo que se recibe en una forma de identificación no personal. Una compañía de seguros que comparte la información de sus clientes con una compañía de marketing enmascarará la PII sensible incluida en los datos y solo dejará información relacionada con el objetivo de la compañía de marketing.
Se puede acceder fácilmente a PII no sensible o indirecta desde fuentes públicas como guías telefónicas, Internet y directorios corporativos. Los ejemplos de PII no sensible o indirecta incluyen:
- Código postal Raza Género Fecha de nacimiento Lugar de nacimiento Religión
La lista anterior contiene cuasi identificadores y ejemplos de información no confidencial que se puede divulgar al público. Este tipo de información no se puede usar solo para determinar la identidad de un individuo.
Sin embargo, la información no confidencial, aunque no delicada, es enlazable. Esto significa que los datos no confidenciales, cuando se usan con otra información personal enlazable, pueden revelar la identidad de un individuo. Las técnicas de anonimización y reidentificación tienden a tener éxito cuando se agrupan múltiples conjuntos de cuasi-identificadores y se pueden utilizar para distinguir a una persona de otra.
Salvaguardar la PII
Varios países han adoptado múltiples leyes de protección de datos para crear pautas para las empresas que recopilan, almacenan y comparten información personal de los clientes. Algunos de los principios básicos esbozados por estas leyes establecen que no se debe recopilar información confidencial a menos que sea para situaciones extremas.
Además, las pautas regulatorias estipulan que los datos deben eliminarse si ya no son necesarios para su propósito declarado, y la información personal no debe compartirse con fuentes que no puedan garantizar su protección.
Los ciberdelincuentes violan los sistemas de datos para acceder a PII, que luego se vende a compradores dispuestos en mercados digitales subterráneos. Por ejemplo, en 2015, el IRS sufrió una violación de datos que condujo al robo de más de cien mil contribuyentes PII. Utilizando cuasi-información robada de múltiples fuentes, los autores pudieron acceder a una aplicación del sitio web del IRS respondiendo preguntas de verificación personal que deberían haber estado al alcance de los contribuyentes únicamente.
La regulación y salvaguarda de la información de identificación personal probablemente será un tema dominante para los individuos, las corporaciones y los gobiernos en los próximos años.
PII alrededor del mundo
La definición de lo que comprende PII difiere según el lugar donde viva en el mundo. En los Estados Unidos, el gobierno definió "identificable personalmente" en 2007 como cualquier cosa que pueda "usarse para distinguir o rastrear la identidad de un individuo", como el nombre, el SSN, la información biométrica, ya sea solo o con otros identificadores como la fecha de nacimiento, o lugar de nacimiento.
En la Unión Europea (UE), la definición se amplía para incluir cuasi identificadores como se describe en el Reglamento General de Protección de Datos (RGPD) que entró en vigencia en mayo de 2018. El RGPD es un marco legal que establece reglas para recopilar y procesar información personal para los que residen en la UE.
Ejemplo de PII
A principios de 2018, Facebook Inc. (FB) se vio envuelto en una importante violación de datos. Los perfiles de 50 millones de usuarios de Facebook fueron recopilados sin su consentimiento por una compañía externa llamada Cambridge Analytica, según informó The Guardian.
Cambridge Analytica obtuvo sus datos de Facebook a través de un investigador que trabajó en la Universidad de Cambridge. El investigador creó una aplicación de Facebook que era un cuestionario de personalidad. Una aplicación es una aplicación de software utilizada en dispositivos móviles y sitios web.
La aplicación fue diseñada para tomar la información de aquellos que se ofrecieron como voluntarios para dar acceso a sus datos para el cuestionario. Desafortunadamente, la aplicación recopiló no solo los datos de los encuestados, sino que, debido a una laguna en el sistema de Facebook, también pudo recopilar datos de los amigos y familiares de los encuestados.
Como resultado, más de 50 millones de usuarios de Facebook tuvieron sus datos expuestos a Cambridge Analytica sin su consentimiento. Aunque Facebook prohibió la venta de sus datos, Cambridge Analytica se dio la vuelta y vendió los datos para ser utilizados para consultas políticas.
Mark Zuckerberg, fundador y CEO de Facebook, emitió un comunicado en el comunicado de resultados del primer trimestre de 2019 de la compañía:
Estamos enfocados en desarrollar nuestra visión centrada en la privacidad para el futuro de las redes sociales y trabajar en colaboración para abordar problemas importantes en Internet.
La violación de datos no solo afectó a los usuarios de Facebook sino también a los inversores. Las ganancias de Facebook disminuyeron un 50% en el primer trimestre de 2019 en comparación con el mismo período del año anterior. La compañía acumuló $ 3 mil millones en gastos legales y habría tenido una ganancia por acción de $ 1.04 más alta sin los gastos, declarando:
Estimamos que el rango de pérdida en este asunto es de $ 3.0 mil millones a $ 5.0 mil millones. El asunto sigue sin resolverse y no se puede garantizar el momento ni los términos de ningún resultado final.
Sin duda, las empresas invertirán en formas de recopilar datos, como información de identificación personal para ofrecer productos a los consumidores y maximizar las ganancias. Sin embargo, regular y salvaguardar la PII probablemente será un tema dominante en los años venideros.
