Los datos personales , también conocidos como información personal o información de identificación personal ( PII ), [1] [2] [3] son cualquier información relacionada con una persona identificable.
La abreviatura PII es ampliamente aceptada en Estados Unidos , pero la frase que abrevia tiene cuatro variantes comunes basadas en personal o personalmente , e identificable o identificable . No todos son equivalentes y, a efectos legales, las definiciones efectivas varían según la jurisdicción y los fines para los que se utiliza el término. [a] Según los regímenes de protección de datos de la Unión Europea y el Reino Unido , que se centran principalmente en el Reglamento General de Protección de Datos (GDPR), [4] el término "datos personales" es significativamente más amplio y determina el alcance del régimen regulatorio. [5]
La Publicación Especial 800-122 [6] del Instituto Nacional de Estándares y Tecnología define la información de identificación personal como "cualquier información sobre un individuo mantenida por una agencia, incluyendo (1) cualquier información que pueda usarse para distinguir o rastrear la identidad de un individuo, como nombre, número de seguro social, fecha y lugar de nacimiento, apellido de soltera de la madre o registros biométricos; y (2) cualquier otra información que esté vinculada o pueda vincularse a un individuo, como información médica, educativa, financiera y laboral". Por ejemplo, la dirección IP de un usuario no se clasifica como PII por sí sola, sino como PII vinculada. [7]
Los datos personales se definen según el RGPD como "cualquier información relacionada con una persona física identificada o identificable". [8] [6] La dirección IP de un abonado de Internet puede clasificarse como dato personal. [9]
El concepto de PII se ha vuelto frecuente a medida que la tecnología de la información e Internet han facilitado la recopilación de PII, lo que ha generado un mercado rentable para la recopilación y reventa de PII. Los delincuentes también pueden explotar la PII para acechar o robar la identidad de una persona, o para ayudar en la planificación de actos delictivos. Como respuesta a estas amenazas, muchas políticas de privacidad de sitios web abordan específicamente la recopilación de PII , [10] y legisladores como el Parlamento Europeo han promulgado una serie de leyes como el GDPR para limitar la distribución y accesibilidad de la PII. [11]
Surge una confusión importante en torno a si PII significa información identificable (es decir, que puede asociarse con una persona) o identificable (es decir, asociada únicamente con una persona, de modo que la PII la identifica ). En los regímenes prescriptivos de privacidad de datos, como la Ley federal de Responsabilidad y Portabilidad del Seguro Médico (HIPAA) de EE. UU., los elementos de PII se han definido específicamente. En regímenes de protección de datos más amplios, como el RGPD, los datos personales se definen de forma no prescriptiva y basada en principios. La información que podría no contar como PII según HIPAA puede ser información personal a los efectos del RGPD. Por este motivo, "PII" suele estar obsoleto a nivel internacional.
Los Estados Unidos . El gobierno utilizó el término "identificable personalmente" en 2007 en un memorando de la Oficina Ejecutiva del Presidente, Oficina de Gestión y Presupuesto (OMB), [12] y ese uso aparece ahora en estándares estadounidenses como la Guía del NIST para proteger la confidencialidad. de información de identificación personal (SP 800-122). [13] El memorando de la OMB define la PII de la siguiente manera:
Información que se puede utilizar para distinguir o rastrear la identidad de un individuo, como su nombre, número de seguro social, registros biométricos, etc. sola, o cuando se combina con otra información personal o de reconocimiento vinculada o vinculable, como la fecha y el lugar de nacimiento. así como el apellido de soltera de la madre, en estándares oficiales como la Guía NIST, demuestra un enfoque proactivo para garantizar sólidas salvaguardias de privacidad en medio del panorama dinámico de la seguridad de los datos. Esta integración en los estándares establecidos es un marco fundamental para que las organizaciones adopten e implementen medidas efectivas para salvaguardar la información personal de las personas.
— NIST, Marco de privacidad del NIST, https://www.nist.gov/privacy-framework
Un término similar a PII, "datos personales", se define en la directiva de la UE 95/46/CE, a los efectos de la directiva: [14]
Artículo 2 bis: "datos personales" significa cualquier información relativa a una persona física identificada o identificable ("el interesado"); una persona identificable es aquella que puede ser identificada, directa o indirectamente, en particular por referencia a un número de identificación o a uno o más factores específicos de su identidad física, fisiológica, mental, económica, cultural o social;
En las normas de la UE , ha existido una noción más específica de que el interesado puede potencialmente identificarse mediante el procesamiento adicional de otros atributos: cuasi o pseudoidentificadores. En el RGPD, los datos personales se definen como:
Cualquier información relativa a una persona física identificada o identificable ("titular de los datos"); Una persona física identificable es aquella que puede identificarse, directa o indirectamente, en particular mediante un identificador como un nombre, un número de identificación, datos de ubicación, un identificador en línea o uno o más factores específicos del estado físico, fisiológico, identidad genética, mental, económica, cultural o social de esa persona física [15]
Un ejemplo simple de esta distinción: el nombre del color "rojo" por sí solo no es información personal, pero el mismo valor almacenado como parte del registro de una persona como su "color favorito" es información personal; es la conexión con la persona lo que los convierte en datos personales, no (como en PII) el valor en sí.
Otro término similar a PII, "información personal", se define en una sección de la ley de notificación de violación de datos de California, SB1386: [16]
(e) Para los fines de esta sección, "información personal" significa el nombre o la inicial del nombre y el apellido de una persona en combinación con uno o más de los siguientes elementos de datos, cuando el nombre o los elementos de datos no están cifrados: ( 1) Número de seguro social. (2) Número de licencia de conducir o número de Tarjeta de identificación de California. (3) Número de cuenta, número de tarjeta de crédito o débito, en combinación con cualquier código de seguridad, código de acceso o contraseña requerido que permita el acceso a la cuenta financiera de un individuo. (f) Para los fines de esta sección, la "información personal" no incluye información disponible públicamente que se ponga legalmente a disposición del público en general a partir de registros del gobierno federal, estatal o local.
El concepto de combinación de información dado en la definición SB1386 es clave para distinguir correctamente la PII, según la define OMB, de la "información personal", según la define SB1386. La información, como un nombre, que carece de contexto no se puede decir que sea "información personal" según la SB1386, pero se debe decir que es PII según lo define la OMB. Por ejemplo, el nombre " John Smith " no tiene significado en el contexto actual y, por lo tanto, no es "información personal" según la SB1386, sino que es PII. Un Número de Seguro Social (SSN) sin un nombre o alguna otra identidad asociada o información de contexto no es "información personal" según la SB1386, pero es PII. Por ejemplo, el SSN 078-05-1120 por sí solo es PII, pero no es "información personal" SB1386. Sin embargo, la combinación de un nombre válido con el SSN correcto es "información personal" SB1386. [dieciséis]
La combinación de un nombre con un contexto también puede considerarse PII; por ejemplo, si el nombre de una persona está en una lista de pacientes de una clínica de VIH. Sin embargo, no es necesario que el nombre se combine con un contexto para que sea PII. La razón de esta distinción es que fragmentos de información como los nombres, aunque pueden no ser suficientes por sí solos para realizar una identificación, pueden combinarse posteriormente con otra información para identificar a las personas y exponerlas a daños.
Según la OMB, no siempre se da el caso de que la PII sea "sensible" y se puede tener en cuenta el contexto para decidir si cierta PII es o no sensible. [12] [ se necesita cita completa ]
Cuando una persona desea permanecer en el anonimato, sus descripciones suelen emplear varios de los términos anteriores, como "un hombre blanco de 34 años que trabaja en Target". La información aún puede ser privada , en el sentido de que una persona puede no desear que se haga pública, sin ser personalmente identificable. Además, a veces múltiples piezas de información, ninguna suficiente por sí sola para identificar de manera única a un individuo, pueden identificar de manera única a una persona cuando se combinan; Esta es una de las razones por las que generalmente se presentan múltiples pruebas en los juicios penales. Se ha demostrado que, en 1990, el 87% de la población de Estados Unidos podía identificarse de forma única por género, código postal y fecha de nacimiento completa. [17]
En la jerga de los hackers y de Internet , la práctica de encontrar y publicar dicha información se denomina " doxing ". [18] [19] A veces se utiliza para disuadir la colaboración con las autoridades. [20] En ocasiones, el doxing puede desencadenar un arresto, particularmente si las agencias encargadas de hacer cumplir la ley sospechan que el individuo "doxed" puede entrar en pánico y desaparecer. [21]
En Australia, la Ley de Privacidad de 1988 se ocupa de la protección de la privacidad individual, utilizando los Principios de Privacidad de la OCDE de la década de 1980 para establecer un modelo regulatorio amplio basado en principios (a diferencia de Estados Unidos, donde la cobertura generalmente no se basa en principios amplios, sino en sobre tecnologías, prácticas comerciales o elementos de datos específicos). La sección 6 tiene la definición pertinente. [22] El detalle crítico es que la definición de 'información personal' también se aplica cuando el individuo puede ser identificado indirectamente:
"información personal" significa información u opinión sobre un individuo identificado, o un individuo que es razonablemente identificable ya sea que la información u opinión sea verdadera o no; y si la información u opinión está registrada de forma material o no.
Parece que esta definición es significativamente más amplia que el ejemplo de California dado anteriormente y, por lo tanto, la ley de privacidad australiana puede cubrir una categoría más amplia de datos e información que algunas leyes estadounidenses.
En particular, las empresas de publicidad conductual en línea con sede en los EE. UU., pero que recopilan subrepticiamente información de personas en otros países en forma de cookies, errores , rastreadores y similares, pueden encontrar que su preferencia por evitar las implicaciones de querer construir un perfil psicográfico de un Una persona concreta que utilice la rúbrica "no recopilamos información personal" puede encontrar que esto no tiene sentido según una definición más amplia como la de la Ley de Privacidad de Australia.
El término "PII" no se utiliza en la ley de privacidad australiana.
La ley de protección de datos de la Unión Europea no utiliza el concepto de información de identificación personal y, en cambio, su alcance está determinado por el concepto más amplio y no sinónimo de "datos personales".
Se pueden encontrar más ejemplos en el sitio web de privacidad de la UE. [23]
El 1 de junio de 2023, la Oficina del Comisionado de Privacidad de Datos Personales de Hong Kong publicó un informe de investigación sobre una violación de datos que implicaba el acceso no autorizado a una plataforma de base de datos de referencia crediticia. El Informe destaca la necesidad de que las organizaciones tomen medidas adecuadas para proteger los datos personales, ya que la mera imposición de obligaciones y políticas contractuales es insuficiente si dichas obligaciones y políticas no son efectivas o no se aplican. El Informe también aclara que los datos crediticios son una forma de datos personales "sensibles". [24]
Se aplican los doce Principios de Privacidad de la Información de la Ley de Privacidad de 1993 . Nueva Zelanda promulgó la Ley de Privacidad en 2020 para promover y proteger la privacidad individual. [27]
La Ley federal de protección de datos de 19 de junio de 1992 (en vigor desde 1993) ha establecido una protección de la privacidad al prohibir prácticamente cualquier tratamiento de datos personales que no esté expresamente autorizado por los interesados. [28] La protección está sujeta a la autoridad del Comisionado Federal de Protección de Datos e Información . [28]
Asimismo, cualquier persona podrá solicitar por escrito a una empresa (gestora de ficheros de datos) la corrección o supresión de cualquier dato personal. [29] La empresa deberá responder en el plazo de treinta días. [29]
La Ley de Privacidad de 1974 (Pub.L. 93–579, 88 Stat. 1896, promulgada el 31 de diciembre de 1974, 5 USC § 552a, una ley federal de los Estados Unidos, establece un Código de prácticas justas de información que rige la recopilación, el mantenimiento y el uso y difusión de información de identificación personal sobre individuos que se mantiene en sistemas de registros de agencias federales [30] .
Uno de los enfoques principales de la Ley de Responsabilidad y Portabilidad del Seguro Médico (HIPAA) es proteger la Información de Salud Protegida (PHI) de un paciente, que es similar a la PII. El Senado de Estados Unidos propuso la Ley de Privacidad de 2005, que intentaba limitar estrictamente la exhibición, compra o venta de PII sin el consentimiento de la persona. De manera similar, la (propuesta) Ley Anti-Phishing de 2005 intentó impedir la adquisición de PII a través de phishing .
Los legisladores estadounidenses han prestado especial atención al número de seguridad social porque puede utilizarse fácilmente para cometer robo de identidad . La (propuesta) Ley de Protección del Número de Seguro Social de 2005 y la (propuesta) Ley de Prevención del Robo de Identidad de 2005 buscaban limitar la distribución del número de seguro social de un individuo.
La información de identificación personal adicional específica de EE. UU. [31] incluye, entre otros, registros I-94, números de identificación de Medicaid y documentación del Servicio de Impuestos Internos (IRS). La exclusividad de la información de identificación personal afiliada a los EE. UU. destaca las preocupaciones sobre la seguridad de los datos nacionales [32] y la influencia de la información de identificación personal en los sistemas federales de gestión de datos de los EE. UU.
El Instituto Nacional de Estándares y Tecnología (NIST) es un laboratorio de ciencias físicas y una agencia no reguladora del Departamento de Comercio de los Estados Unidos. Su misión es promover la innovación y la competitividad industrial.
Los siguientes datos, a menudo utilizados con el propósito expreso de distinguir la identidad individual, se clasifican claramente como información de identificación personal según la definición utilizada por el NIST (descrita en detalle a continuación): [13]
Los siguientes se utilizan con menos frecuencia para distinguir la identidad individual, porque son rasgos compartidos por muchas personas. Sin embargo, son potencialmente PII porque pueden combinarse con otra información personal para identificar a un individuo.
En ciencia forense , particularmente en la identificación y enjuiciamiento de delincuentes, la información de identificación personal es fundamental para establecer pruebas en el procedimiento penal . Los delincuentes pueden tomarse grandes molestias para evitar dejar cualquier PII, [ cita necesaria ] como por ejemplo:
Los datos personales son un componente clave de la identidad en línea y pueden ser explotados por individuos. Por ejemplo, los datos pueden alterarse y utilizarse para crear documentos falsos, secuestrar buzones de correo y llamadas telefónicas o acosar a personas, como ocurrió en 2019 con un cliente del operador de telefonía móvil EE en el Reino Unido. [42]
Otra categoría puede denominarse robo de identidad financiera, [43] que normalmente implica el robo de información de cuentas bancarias y tarjetas de crédito, para luego utilizarla o venderla. [44]
Los datos personales también se pueden utilizar para crear identidades en línea falsas, incluidas cuentas y perfiles falsos (que pueden denominarse clonación de identidad [45] o fraude de identidad ) para que las celebridades recopilen datos de otros usuarios más fácilmente. [46] Incluso los individuos pueden verse afectados, especialmente con fines personales (esto se conoce más ampliamente como títeres ).
La información más importante, como la contraseña, la fecha de nacimiento, los documentos de identificación o el número de seguro social, se puede utilizar para iniciar sesión en diferentes sitios web (por ejemplo, reutilización de contraseña y verificación de cuenta ) para recopilar más información y acceder a más contenido.
Además, varias agencias piden discreción en temas relacionados con su trabajo, por la seguridad de sus empleados. Por este motivo, el Departamento de Defensa de los Estados Unidos (DoD) tiene políticas estrictas que controlan la divulgación de información de identificación personal del personal del DoD. [47] Muchas agencias de inteligencia tienen políticas similares, a veces hasta el punto en que los empleados no revelan a sus amigos que trabajan para la agencia.
Existen preocupaciones similares sobre la protección de la identidad para los programas de protección de testigos , los refugios para mujeres y las víctimas de violencia doméstica y otras amenazas. [48]
Los servicios de eliminación de información personal funcionan identificando y solicitando a los intermediarios de datos que eliminen la información personal de sus clientes. Este proceso puede ser manual o completamente automatizado, pero es complejo porque implica tratar con numerosos intermediarios de datos, cada uno con diferentes políticas y procedimientos para la eliminación de datos. [49] Empresas como Incogni, DeleteMe o Kanary [50] son solo algunos de los muchos servicios de eliminación de datos que se centran en este tema.
Las empresas que ofrecen eliminación de información personal también enfrentan algunos problemas. Luchan por garantizar la eliminación completa de datos a medida que surgen nuevos intermediarios de datos y los existentes no siempre cumplen con las solicitudes de eliminación. La mayoría de ellos también se limitan a determinadas regiones o países. [51]Durante la segunda mitad del siglo XX, la revolución digital introdujo la "economía de la privacidad" o el comercio de datos personales. El valor de los datos puede cambiar con el tiempo y en diferentes contextos. Revelar datos puede revertir la asimetría de la información , aunque los costos de hacerlo pueden no estar claros. En relación con las empresas, los consumidores suelen tener "información imperfecta sobre cuándo se recogen sus datos, con qué finalidades y con qué consecuencias". [52]
En un escrito de 2015, Alessandro Acquisti, Curtis Taylor y Liad Wagman identificaron tres "olas" en el comercio de datos personales:
Un corredor de datos es un individuo o empresa que se especializa en recopilar datos personales (como ingresos, origen étnico, creencias políticas o datos de geolocalización ) o datos sobre empresas, principalmente de registros públicos pero a veces de origen privado, y vender o otorgar licencias de dicha información a terceros. fiestas para una variedad de usos. Las fuentes, generalmente basadas en Internet desde la década de 1990, pueden incluir registros del censo y del censo electoral , sitios de redes sociales , informes judiciales e historiales de compras. La información de los intermediarios de datos puede usarse en verificaciones de antecedentes utilizadas por empleadores y viviendas.
Existen diversas regulaciones en todo el mundo que limitan la recopilación de información sobre individuos; Las leyes de privacidad varían. En Estados Unidos no existe una regulación federal que proteja al consumidor frente a los intermediarios de datos, aunque algunos estados han comenzado a promulgar leyes individualmente. En la Unión Europea, el RGPD sirve para regular las operaciones de los intermediarios de datos. Algunos intermediarios de datos informan que tienen una gran cantidad de datos de población o "atributos de datos". Acxiom pretende tener datos de 2.500 millones de personas diferentes.{{cite book}}
: Mantenimiento CS1: falta el editor de la ubicación ( enlace )