Información personal

Información biográfica para identificar la identidad de la persona con la que se relaciona.

Los datos personales , también conocidos como información personal o información de identificación personal ( PII ), ^{[1] [2] [3]} son ​​cualquier información relacionada con una persona identificable.

La abreviatura PII es ampliamente aceptada en Estados Unidos , pero la frase que abrevia tiene cuatro variantes comunes basadas en personal o personalmente , e identificable o identificable . No todos son equivalentes y, a efectos legales, las definiciones efectivas varían según la jurisdicción y los fines para los que se utiliza el término. ^[a] Según los regímenes de protección de datos de la Unión Europea y el Reino Unido , que se centran principalmente en el Reglamento General de Protección de Datos (GDPR), ^[4] el término "datos personales" es significativamente más amplio y determina el alcance del régimen regulatorio. ^[5]

La Publicación Especial 800-122 ^[6] del Instituto Nacional de Estándares y Tecnología define la información de identificación personal como "cualquier información sobre un individuo mantenida por una agencia, incluyendo (1) cualquier información que pueda usarse para distinguir o rastrear la identidad de un individuo, como nombre, número de seguro social, fecha y lugar de nacimiento, apellido de soltera de la madre o registros biométricos; y (2) cualquier otra información que esté vinculada o pueda vincularse a un individuo, como información médica, educativa, financiera y laboral". Por ejemplo, la dirección IP de un usuario no se clasifica como PII por sí sola, sino como PII vinculada. ^[7]

Los datos personales se definen según el RGPD como "cualquier información relacionada con una persona física identificada o identificable". ^{[8] [6]} La dirección IP de un abonado de Internet puede clasificarse como dato personal. ^[9]

El concepto de PII se ha vuelto frecuente a medida que la tecnología de la información e Internet han facilitado la recopilación de PII, lo que ha generado un mercado rentable para la recopilación y reventa de PII. Los delincuentes también pueden explotar la PII para acechar o robar la identidad de una persona, o para ayudar en la planificación de actos delictivos. Como respuesta a estas amenazas, muchas políticas de privacidad de sitios web abordan específicamente la recopilación de PII , ^[10] y legisladores como el Parlamento Europeo han promulgado una serie de leyes como el GDPR para limitar la distribución y accesibilidad de la PII. ^[11]

Surge una confusión importante en torno a si PII significa información identificable (es decir, que puede asociarse con una persona) o identificable (es decir, asociada únicamente con una persona, de modo que la PII la identifica ). En los regímenes prescriptivos de privacidad de datos, como la Ley federal de Responsabilidad y Portabilidad del Seguro Médico (HIPAA) de EE. UU., los elementos de PII se han definido específicamente. En regímenes de protección de datos más amplios, como el RGPD, los datos personales se definen de forma no prescriptiva y basada en principios. La información que podría no contar como PII según HIPAA puede ser información personal a los efectos del RGPD. Por este motivo, "PII" suele estar obsoleto a nivel internacional.

Definiciones

Los Estados Unidos . El gobierno utilizó el término "identificable personalmente" en 2007 en un memorando de la Oficina Ejecutiva del Presidente, Oficina de Gestión y Presupuesto (OMB), ^[12] y ese uso aparece ahora en estándares estadounidenses como la Guía del NIST para proteger la confidencialidad. de información de identificación personal (SP 800-122). ^[13] El memorando de la OMB define la PII de la siguiente manera:

Información que se puede utilizar para distinguir o rastrear la identidad de un individuo, como su nombre, número de seguro social, registros biométricos, etc. sola, o cuando se combina con otra información personal o de reconocimiento vinculada o vinculable, como la fecha y el lugar de nacimiento. así como el apellido de soltera de la madre, en estándares oficiales como la Guía NIST, demuestra un enfoque proactivo para garantizar sólidas salvaguardias de privacidad en medio del panorama dinámico de la seguridad de los datos. Esta integración en los estándares establecidos es un marco fundamental para que las organizaciones adopten e implementen medidas efectivas para salvaguardar la información personal de las personas.

—  NIST, Marco de privacidad del NIST, https://www.nist.gov/privacy-framework

Un término similar a PII, "datos personales", se define en la directiva de la UE 95/46/CE, a los efectos de la directiva: ^[14]

Artículo 2 bis: "datos personales" significa cualquier información relativa a una persona física identificada o identificable ("el interesado"); una persona identificable es aquella que puede ser identificada, directa o indirectamente, en particular por referencia a un número de identificación o a uno o más factores específicos de su identidad física, fisiológica, mental, económica, cultural o social;

En las normas de la UE , ha existido una noción más específica de que el interesado puede potencialmente identificarse mediante el procesamiento adicional de otros atributos: cuasi o pseudoidentificadores. En el RGPD, los datos personales se definen como:

Cualquier información relativa a una persona física identificada o identificable ("titular de los datos"); Una persona física identificable es aquella que puede identificarse, directa o indirectamente, en particular mediante un identificador como un nombre, un número de identificación, datos de ubicación, un identificador en línea o uno o más factores específicos del estado físico, fisiológico, identidad genética, mental, económica, cultural o social de esa persona física ^[15]

Un ejemplo simple de esta distinción: el nombre del color "rojo" por sí solo no es información personal, pero el mismo valor almacenado como parte del registro de una persona como su "color favorito" es información personal; es la conexión con la persona lo que los convierte en datos personales, no (como en PII) el valor en sí.

Otro término similar a PII, "información personal", se define en una sección de la ley de notificación de violación de datos de California, SB1386: ^[16]

(e) Para los fines de esta sección, "información personal" significa el nombre o la inicial del nombre y el apellido de una persona en combinación con uno o más de los siguientes elementos de datos, cuando el nombre o los elementos de datos no están cifrados: ( 1) Número de seguro social. (2) Número de licencia de conducir o número de Tarjeta de identificación de California. (3) Número de cuenta, número de tarjeta de crédito o débito, en combinación con cualquier código de seguridad, código de acceso o contraseña requerido que permita el acceso a la cuenta financiera de un individuo. (f) Para los fines de esta sección, la "información personal" no incluye información disponible públicamente que se ponga legalmente a disposición del público en general a partir de registros del gobierno federal, estatal o local.

El concepto de combinación de información dado en la definición SB1386 es clave para distinguir correctamente la PII, según la define OMB, de la "información personal", según la define SB1386. La información, como un nombre, que carece de contexto no se puede decir que sea "información personal" según la SB1386, pero se debe decir que es PII según lo define la OMB. Por ejemplo, el nombre " John Smith " no tiene significado en el contexto actual y, por lo tanto, no es "información personal" según la SB1386, sino que es PII. Un Número de Seguro Social (SSN) sin un nombre o alguna otra identidad asociada o información de contexto no es "información personal" según la SB1386, pero es PII. Por ejemplo, el SSN 078-05-1120 por sí solo es PII, pero no es "información personal" SB1386. Sin embargo, la combinación de un nombre válido con el SSN correcto es "información personal" SB1386. ^[dieciséis]

La combinación de un nombre con un contexto también puede considerarse PII; por ejemplo, si el nombre de una persona está en una lista de pacientes de una clínica de VIH. Sin embargo, no es necesario que el nombre se combine con un contexto para que sea PII. La razón de esta distinción es que fragmentos de información como los nombres, aunque pueden no ser suficientes por sí solos para realizar una identificación, pueden combinarse posteriormente con otra información para identificar a las personas y exponerlas a daños.

Según la OMB, no siempre se da el caso de que la PII sea "sensible" y se puede tener en cuenta el contexto para decidir si cierta PII es o no sensible. ^{[12] [ se necesita cita completa ]}

Cuando una persona desea permanecer en el anonimato, sus descripciones suelen emplear varios de los términos anteriores, como "un hombre blanco de 34 años que trabaja en Target". La información aún puede ser privada , en el sentido de que una persona puede no desear que se haga pública, sin ser personalmente identificable. Además, a veces múltiples piezas de información, ninguna suficiente por sí sola para identificar de manera única a un individuo, pueden identificar de manera única a una persona cuando se combinan; Esta es una de las razones por las que generalmente se presentan múltiples pruebas en los juicios penales. Se ha demostrado que, en 1990, el 87% de la población de Estados Unidos podía identificarse de forma única por género, código postal y fecha de nacimiento completa. ^[17]

En la jerga de los hackers y de Internet , la práctica de encontrar y publicar dicha información se denomina " doxing ". ^{[18] [19]} A veces se utiliza para disuadir la colaboración con las autoridades. ^[20] En ocasiones, el doxing puede desencadenar un arresto, particularmente si las agencias encargadas de hacer cumplir la ley sospechan que el individuo "doxed" puede entrar en pánico y desaparecer. ^[21]

Leyes y estándares

Australia

En Australia, la Ley de Privacidad de 1988 se ocupa de la protección de la privacidad individual, utilizando los Principios de Privacidad de la OCDE de la década de 1980 para establecer un modelo regulatorio amplio basado en principios (a diferencia de Estados Unidos, donde la cobertura generalmente no se basa en principios amplios, sino en sobre tecnologías, prácticas comerciales o elementos de datos específicos). La sección 6 tiene la definición pertinente. ^[22] El detalle crítico es que la definición de 'información personal' también se aplica cuando el individuo puede ser identificado indirectamente:

"información personal" significa información u opinión sobre un individuo identificado, o un individuo que es razonablemente identificable ya sea que la información u opinión sea verdadera o no; y si la información u opinión está registrada de forma material o no.

Parece que esta definición es significativamente más amplia que el ejemplo de California dado anteriormente y, por lo tanto, la ley de privacidad australiana puede cubrir una categoría más amplia de datos e información que algunas leyes estadounidenses.

En particular, las empresas de publicidad conductual en línea con sede en los EE. UU., pero que recopilan subrepticiamente información de personas en otros países en forma de cookies, errores , rastreadores y similares, pueden encontrar que su preferencia por evitar las implicaciones de querer construir un perfil psicográfico de un Una persona concreta que utilice la rúbrica "no recopilamos información personal" puede encontrar que esto no tiene sentido según una definición más amplia como la de la Ley de Privacidad de Australia.

El término "PII" no se utiliza en la ley de privacidad australiana.

Canadá

• La Ley de Privacidad rige las agencias del gobierno federal.
• La Ley de Libertad de Información y Protección de la Privacidad de Ontario y legislación provincial similar rigen las agencias gubernamentales provinciales.
• La Ley de Protección de Datos Personales y Documentos Electrónicos rige para las empresas privadas, salvo que exista legislación provincial equivalente.
• La Ley de Protección de la Información de Salud Personal de Ontario y otras leyes provinciales similares regulan la información de salud.

unión Europea

La ley de protección de datos de la Unión Europea no utiliza el concepto de información de identificación personal y, en cambio, su alcance está determinado por el concepto más amplio y no sinónimo de "datos personales".

• Artículo 8 del Convenio Europeo de Derechos Humanos
• Convenio para la protección de las personas en lo que respecta al tratamiento automatizado de datos personales
• El Reglamento General de Protección de Datos adoptado en abril de 2016; efectivo el 25 de mayo de 2018
  • reemplaza la Directiva de Protección de Datos, 95/46/EC
• La Directiva sobre Privacidad y Comunicaciones Electrónicas , 2002/58/EC (la Directiva de Privacidad Electrónica)
• Directiva de conservación de datos , 2006/24/CE, artículo 5

Se pueden encontrar más ejemplos en el sitio web de privacidad de la UE. ^[23]

Hong Kong

El 1 de junio de 2023, la Oficina del Comisionado de Privacidad de Datos Personales de Hong Kong publicó un informe de investigación sobre una violación de datos que implicaba el acceso no autorizado a una plataforma de base de datos de referencia crediticia. El Informe destaca la necesidad de que las organizaciones tomen medidas adecuadas para proteger los datos personales, ya que la mera imposición de obligaciones y políticas contractuales es insuficiente si dichas obligaciones y políticas no son efectivas o no se aplican. El Informe también aclara que los datos crediticios son una forma de datos personales "sensibles". ^[24]

Reino Unido

• La Ley de Protección de Datos de 2018 , ^[25] que implementa en parte el RGPD
  • reemplaza la Ley de Protección de Datos de 1998
• GDPR del Reino Unido , conserva la ley de la UE, sustancialmente igual que el GDPR de la UE con las modificaciones necesarias debido al Brexit.
• Artículo 8 del Convenio Europeo de Derechos Humanos
• Ley de regulación de los poderes de investigación de 2000
• Código de prácticas de protección de datos de los empleadores
• Contratos modelo para exportación de datos
• Reglamento sobre privacidad y comunicaciones electrónicas (Directiva CE) de 2003
• Reglamento de Telecomunicaciones (prácticas comerciales legales) (interceptación de comunicaciones) de 2000 ^[26]
• Ley contra el terrorismo, la delincuencia y la seguridad de 2001

Nueva Zelanda

Se aplican los doce Principios de Privacidad de la Información de la Ley de Privacidad de 1993 . Nueva Zelanda promulgó la Ley de Privacidad en 2020 para promover y proteger la privacidad individual. ^[27]

Suiza

La Ley federal de protección de datos de 19 de junio de 1992 (en vigor desde 1993) ha establecido una protección de la privacidad al prohibir prácticamente cualquier tratamiento de datos personales que no esté expresamente autorizado por los interesados. ^[28] La protección está sujeta a la autoridad del Comisionado Federal de Protección de Datos e Información . ^[28]

Asimismo, cualquier persona podrá solicitar por escrito a una empresa (gestora de ficheros de datos) la corrección o supresión de cualquier dato personal. ^[29] La empresa deberá responder en el plazo de treinta días. ^[29]

Estados Unidos

La Ley de Privacidad de 1974 (Pub.L. 93–579, 88 Stat. 1896, promulgada el 31 de diciembre de 1974, 5 USC  § 552a, una ley federal de los Estados Unidos, establece un Código de prácticas justas de información que rige la recopilación, el mantenimiento y el uso y difusión de información de identificación personal sobre individuos que se mantiene en sistemas de registros de agencias federales ^{[30] .}

Uno de los enfoques principales de la Ley de Responsabilidad y Portabilidad del Seguro Médico (HIPAA) es proteger la Información de Salud Protegida (PHI) de un paciente, que es similar a la PII. El Senado de Estados Unidos propuso la Ley de Privacidad de 2005, que intentaba limitar estrictamente la exhibición, compra o venta de PII sin el consentimiento de la persona. De manera similar, la (propuesta) Ley Anti-Phishing de 2005 intentó impedir la adquisición de PII a través de phishing .

Los legisladores estadounidenses han prestado especial atención al número de seguridad social porque puede utilizarse fácilmente para cometer robo de identidad . La (propuesta) Ley de Protección del Número de Seguro Social de 2005 y la (propuesta) Ley de Prevención del Robo de Identidad de 2005 buscaban limitar la distribución del número de seguro social de un individuo.

La información de identificación personal adicional específica de EE. UU. ^[31] incluye, entre otros, registros I-94, números de identificación de Medicaid y documentación del Servicio de Impuestos Internos (IRS). La exclusividad de la información de identificación personal afiliada a los EE. UU. destaca las preocupaciones sobre la seguridad de los datos nacionales ^[32] y la influencia de la información de identificación personal en los sistemas federales de gestión de datos de los EE. UU.

Leyes estatales y fallos judiciales importantes

• California
  • La constitución del estado de California declara la privacidad como un derecho inalienable en el Artículo 1, Sección 1.
  • Ley de Protección de la Privacidad en Línea (OPPA) de 2003
  • La SB 1386 exige que las organizaciones notifiquen a las personas cuando se sepa o se crea que la PII (en combinación con uno o más elementos de datos específicos adicionales) ha sido adquirida por una persona no autorizada.
  • En 2011, la Corte Suprema del Estado de California dictaminó que el código postal de una persona es PII. ^[33]
• Nevada
  • Estatutos revisados ​​de Nevada 603A – Seguridad de la información personal ^[34]
• Massachusetts
  • 201 CMR 17.00 : Normas para la protección de la información personal de los residentes del Commonwealth ^[35]
  • En 2013, la Corte Suprema de Massachusetts dictaminó que los códigos postales son PII. ^[36]

Ley Federal

• 18 USC  § 1028(d)(7)
• La Ley de Privacidad de 1974, codificada en 5 USC  § 552a et seq.
• Marco de privacidad de datos UE-EE. UU. , armonización de la UE, adoptado el 10 de julio de 2023 ^[37]
  • reemplaza el Escudo de Privacidad UE-EE. UU ., que fue declarado inválido por el Tribunal de Justicia Europeo en 2020

Definición del NIST

El Instituto Nacional de Estándares y Tecnología (NIST) es un laboratorio de ciencias físicas y una agencia no reguladora del Departamento de Comercio de los Estados Unidos. Su misión es promover la innovación y la competitividad industrial.

Los siguientes datos, a menudo utilizados con el propósito expreso de distinguir la identidad individual, se clasifican claramente como información de identificación personal según la definición utilizada por el NIST (descrita en detalle a continuación): ^[13]

• Número de identificación nacional (por ejemplo, número de Seguro Social en EE. UU.)
• números de cuentas bancarias
• Número de pasaporte
• Número de carnet de conducir
• Números de tarjetas de débito/crédito

Los siguientes se utilizan con menos frecuencia para distinguir la identidad individual, porque son rasgos compartidos por muchas personas. Sin embargo, son potencialmente PII porque pueden combinarse con otra información personal para identificar a un individuo.

• Nombre completo
• Direccion de casa
• Ciudad
• Estado
• Código postal
• País
• Teléfono
• Edad, fecha de nacimiento, especialmente si no es específica.
• Género o raza
• Cookie web ^[38]

forense

En ciencia forense , particularmente en la identificación y enjuiciamiento de delincuentes, la información de identificación personal es fundamental para establecer pruebas en el procedimiento penal . Los delincuentes pueden tomarse grandes molestias para evitar dejar cualquier PII, ^{[ cita necesaria ]} como por ejemplo:

• Usar máscaras, gafas de sol o ropa para oscurecer u ocultar por completo rasgos distintivos, como el color de ojos , piel y cabello, rasgos faciales y marcas personales como tatuajes, marcas de nacimiento, lunares y cicatrices.
• Usar guantes para ocultar las huellas dactilares , que en sí mismas son PII. Sin embargo, los guantes también pueden dejar huellas tan únicas como las huellas dactilares humanas. Después de recolectar huellas de guantes , las autoridades pueden compararlas con los guantes que han recolectado como evidencia. ^[39] En muchas jurisdicciones , el acto mismo de usar guantes mientras se comete un delito puede ser procesado como un delito incipiente . ^[40]
• Evitar escribir cualquier cosa de su puño y letra . ^[41]
• Enmascarar su presencia en Internet con métodos como el uso de un servidor proxy para que parezca que se conectan desde una dirección IP no asociada a uno mismo.

Seguridad personal

Los datos personales son un componente clave de la identidad en línea y pueden ser explotados por individuos. Por ejemplo, los datos pueden alterarse y utilizarse para crear documentos falsos, secuestrar buzones de correo y llamadas telefónicas o acosar a personas, como ocurrió en 2019 con un cliente del operador de telefonía móvil EE en el Reino Unido. ^[42]

Otra categoría puede denominarse robo de identidad financiera, ^[43] que normalmente implica el robo de información de cuentas bancarias y tarjetas de crédito, para luego utilizarla o venderla. ^[44]

Los datos personales también se pueden utilizar para crear identidades en línea falsas, incluidas cuentas y perfiles falsos (que pueden denominarse clonación de identidad ^[45] o fraude de identidad ) para que las celebridades recopilen datos de otros usuarios más fácilmente. ^[46] Incluso los individuos pueden verse afectados, especialmente con fines personales (esto se conoce más ampliamente como títeres ).

La información más importante, como la contraseña, la fecha de nacimiento, los documentos de identificación o el número de seguro social, se puede utilizar para iniciar sesión en diferentes sitios web (por ejemplo, reutilización de contraseña y verificación de cuenta ) para recopilar más información y acceder a más contenido.

Además, varias agencias piden discreción en temas relacionados con su trabajo, por la seguridad de sus empleados. Por este motivo, el Departamento de Defensa de los Estados Unidos (DoD) tiene políticas estrictas que controlan la divulgación de información de identificación personal del personal del DoD. ^[47] Muchas agencias de inteligencia tienen políticas similares, a veces hasta el punto en que los empleados no revelan a sus amigos que trabajan para la agencia.

Existen preocupaciones similares sobre la protección de la identidad para los programas de protección de testigos , los refugios para mujeres y las víctimas de violencia doméstica y otras amenazas. ^[48]

Eliminación de información personal

Los servicios de eliminación de información personal funcionan identificando y solicitando a los intermediarios de datos que eliminen la información personal de sus clientes. Este proceso puede ser manual o completamente automatizado, pero es complejo porque implica tratar con numerosos intermediarios de datos, cada uno con diferentes políticas y procedimientos para la eliminación de datos. ^[49] Empresas como Incogni, DeleteMe o Kanary ^[50] son ​​solo algunos de los muchos servicios de eliminación de datos que se centran en este tema.

Las empresas que ofrecen eliminación de información personal también enfrentan algunos problemas. Luchan por garantizar la eliminación completa de datos a medida que surgen nuevos intermediarios de datos y los existentes no siempre cumplen con las solicitudes de eliminación. La mayoría de ellos también se limitan a determinadas regiones o países. ^[51]

Comercio de datos personales

Durante la segunda mitad del siglo XX, la revolución digital introdujo la "economía de la privacidad" o el comercio de datos personales. El valor de los datos puede cambiar con el tiempo y en diferentes contextos. Revelar datos puede revertir la asimetría de la información , aunque los costos de hacerlo pueden no estar claros. En relación con las empresas, los consumidores suelen tener "información imperfecta sobre cuándo se recogen sus datos, con qué finalidades y con qué consecuencias". ^[52]

En un escrito de 2015, Alessandro Acquisti, Curtis Taylor y Liad Wagman identificaron tres "olas" en el comercio de datos personales:

1. En la década de 1970, la escuela Chicago Boys afirmó que la protección de la privacidad podría tener un impacto negativo en el mercado porque podría conducir a decisiones incorrectas y no óptimas. Otros investigadores como Andrew F. Daughety y Jennifer F. Reinganum sugirieron que era todo lo contrario y que la falta de privacidad también conduciría a esto. ^[53]
2. A mediados de la década de 1990, Varian retomó el enfoque de los Chicago Boys y añadió una nueva externalidad, afirmando que el consumidor no siempre tendría información perfecta sobre cómo se utilizarían sus propios datos. ^[54] Kenneth C. Laudon desarrolló un modelo en el que los individuos poseen sus datos y tienen la capacidad de venderlos como un producto. Creía que ese sistema no debería regularse para crear un mercado libre. ^[55]
3. En la década de 2000, los investigadores trabajaron en discriminación de precios (Taylor, 2004 ^[56] ), mercados bilaterales (Cornière, 2011 ^[57] ) y estrategias de marketing (Anderson y de Palma, 2012 ^[58] ). Las teorías se volvieron complejas y demostraron que el impacto de la privacidad en la economía dependía en gran medida del contexto. ^{[ se necesita aclaración ]}

Corredores de datos

Un corredor de datos es un individuo o empresa que se especializa en recopilar datos personales (como ingresos, origen étnico, creencias políticas o datos de geolocalización ) o datos sobre empresas, principalmente de registros públicos pero a veces de origen privado, y vender o otorgar licencias de dicha información a terceros. fiestas para una variedad de usos. Las fuentes, generalmente basadas en Internet desde la década de 1990, pueden incluir registros del censo y del censo electoral , sitios de redes sociales , informes judiciales e historiales de compras. La información de los intermediarios de datos puede usarse en verificaciones de antecedentes utilizadas por empleadores y viviendas.

Existen diversas regulaciones en todo el mundo que limitan la recopilación de información sobre individuos; Las leyes de privacidad varían. En Estados Unidos no existe una regulación federal que proteja al consumidor frente a los intermediarios de datos, aunque algunos estados han comenzado a promulgar leyes individualmente. En la Unión Europea, el RGPD sirve para regular las operaciones de los intermediarios de datos. Algunos intermediarios de datos informan que tienen una gran cantidad de datos de población o "atributos de datos". Acxiom pretende tener datos de 2.500 millones de personas diferentes.

Ver también

• Anonimato
• Bundesdatenschutzgesetz
• Desidentificación
• Reglamento General de Protección de Datos
• Datos no personales
• identificador personal
• Identidad personal
• Agente de información personal
• Información de salud protegida
• Privacidad
• La Ley de privacidad
• Leyes de privacidad de los Estados Unidos
• Seudónimo
• Ofuscación
• Identidad auto-soberana
• Vigilancia

Notas

1. En otros países con leyes de protección de la privacidad derivadas de los principios de privacidad de la OCDE , el término utilizado es más a menudo "información personal", que puede ser algo más amplio: en la Ley de Privacidad de Australia de 1988 (Cth), la "información personal" también incluye información de la cual el la identidad de la persona es "razonablemente comprobable", lo que potencialmente cubre cierta información no cubierta por la PII.

Referencias

1. "Gestión de violaciones de datos que involucran información personal confidencial (SPI)". VA.gov . Washington, DC: Departamento de Asuntos de Veteranos. 6 de enero de 2012. Archivado desde el original el 26 de mayo de 2015 . Consultado el 25 de mayo de 2015 .
2. Stevens, Gina (10 de abril de 2012). "Leyes de notificación de violaciones de seguridad de datos" (PDF) . fas.org . Consultado el 8 de junio de 2017 .
3. Greene, Sari Stern (2014). Programa y políticas de seguridad: principios y prácticas. Indianápolis, IN, EE. UU.: Certificación de TI de Pearson. pag. 349.ISBN​ 978-0-7897-5167-6.
4. Skiera, Bernd; Molinero, Klaus; Jin, Yuxi; Kraft, Lennart; Laub, René; Schmitt, Julia (2022). El impacto del RGPD en el mercado de la publicidad online. Fráncfort del Meno. ISBN 978-3-9824173-0-1. OCLC  1303894344.{{cite book}}: Mantenimiento CS1: falta el editor de la ubicación ( enlace )
5. Schwartz, Paul M; Solove, Daniel (2014). "Conciliación de información personal en Estados Unidos y la Unión Europea". Revisión de la ley de California . 102 (4). doi :10.15779/Z38Z814. S2CID  141313154.
6. "Publicación especial del NIST 800-122" (PDF) . nist.gov . Este artículo incorpora material de dominio público del Instituto Nacional de Estándares y Tecnología.
7. Sección 3.3.3 "Identificabilidad"
8. "Datos personales". Reglamento General de Protección de Datos (RGPD) . Consultado el 23 de octubre de 2020 .
9. "El Tribunal de Justicia de las Comunidades Europeas dictamina que las direcciones IP son datos personales". Los tiempos irlandeses . 19 de octubre de 2016 . Consultado el 10 de marzo de 2019 .
10. Nokhbeh, Razieh (2017). "Un estudio de las políticas de privacidad web en todas las industrias". Revista de privacidad y seguridad de la información . 13 : 169–185.
11. "Propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos)". Consejo Europeo de Datos . 11 de junio de 2015 . Consultado el 3 de abril de 2019 .
12. M-07-16 ASUNTO: Protección y respuesta a la violación de información de identificación personal Archivado el 8 de febrero de 2020 en Wayback Machine DE: Clay Johnson III, Director Adjunto de Gestión (22/05/2007)
13. "Guía para proteger la confidencialidad de la información de identificación personal (PII)" (PDF) . NIST. Publicación especial 800-122.
14. "Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos". Eur-lex.europa.eu . Consultado el 20 de agosto de 2013 .
15. "¿Qué son los datos personales?". TrueVault .
16. "Texto del proyecto de ley del Senado de California SB 1386, párrafo de referencia SEC. 2 1798.29.(e)". California.
17. "Comentarios de Latanya Sweeney, PhD sobre 'Estándares de privacidad de información de salud individualmente identificable'". Universidad de Carnegie mellon. Archivado desde el original el 28 de marzo de 2009.
18. Ragan, Steve (19 de diciembre de 2011). "La advertencia del FBI sobre el doxing llegó demasiado tarde". El heraldo tecnológico . Archivado desde el original el 31 de octubre de 2012 . Consultado el 23 de octubre de 2012 .
19. Sheets, Connor Adams (4 de enero de 2012). "Operación Hiroshima de Anonymous: Dentro del golpe de Doxing que los medios ignoraron (VIDEO)". Tiempos de negocios internacionales . Consultado el 12 de agosto de 2023 .
20. "¿LulzSec engañó a la policía para que arrestara al tipo equivocado?". El cable del Atlántico . 28 de julio de 2011. Archivado desde el original el 29 de octubre de 2013 . Consultado el 23 de octubre de 2012 .
21. Bright, Peter (7 de marzo de 2012). "Doxed: cómo Sabu fue descubierto por ex Anons mucho antes de su arresto". Ars Técnica . Consultado el 23 de octubre de 2012 .
22. "Ley de Privacidad de 1988" . Consultado el 15 de mayo de 2019 .
23. "Protección de datos". Comisión Europea. 11 de abril de 2017.
24. "Menos es (no) más: la necesidad de prácticas adecuadas de protección de datos al monetizar información personal". Mayer Brown. 28 de septiembre de 2023.
25. "Ley de protección de datos de 2018", legislación.gov.uk , Archivos Nacionales , 2018 c. 12 , consultado el 14 de agosto de 2018.
26. "Reglamento de 2000 sobre telecomunicaciones (prácticas comerciales legales) (interceptación de comunicaciones"), legislación.gov.uk , Archivos Nacionales , SI 2000/1
27. "Nueva Zelanda: descripción general de la protección de datos". Guía de datos . 5 de diciembre de 2023 . Consultado el 14 de marzo de 2024 .
28. Ley federal de protección de datos de 19 de junio de 1992 (situación al 1 de enero de 2014), Cancillería Federal de Suiza (página visitada el 18 de septiembre de 2016).
29. (en francés) Cesla Amarelle , Droit suisse , Éditions Loisirs et pédagogie, 2008.
30. "Ley de Privacidad de 1974". www.justicia.gov . 16 de junio de 2014 . Consultado el 6 de diciembre de 2020 .
31. Rana, R.; Zaeem, enfermera registrada; Barber, KS (octubre de 2018). "Información de identificación personal centrada en Estados Unidos e internacional: una comparación utilizando el ecosistema de identidad de UT CID". Conferencia Internacional de Carnahan sobre Tecnología de Seguridad (ICCST) de 2018 . págs. 1 a 5. doi :10.1109/CCST.2018.8585479. ISBN 978-1-5386-7931-9. S2CID  56719139.
32. "SERIE DE ALTO RIESGO Se necesitan acciones urgentes para abordar los desafíos de ciberseguridad que enfrenta la nación" (PDF) . Oficina de Responsabilidad del Gobierno de Estados Unidos . Septiembre de 2018 . Consultado el 16 de noviembre de 2020 .
33. "La Corte Suprema de California sostiene que el código postal es información de identificación personal". Alerta electrónica sobre asuntos comerciales de Bullivant Houser Bailey . LexisNexis.
34. "Capítulo 603A - Seguridad y privacidad de la información personal".
35. "201 CMR 17.00: Estándares para la protección de la información personal de los residentes del Commonwealth" (PDF) . Mancomunidad de Massachusetts.
36. Tyler contra Michaels Stores, Inc. , 984N.E.2d 737, 739 (2013)
37. "Transferencias de datos UE-EE. UU.". Comisión Europea. 10 de julio de 2023 . Consultado el 12 de agosto de 2023 .
38. "Anonimato y PII". cookieresearch.com . Archivado desde el original el 17 de junio de 2011 . Consultado el 6 de mayo de 2015 .
39. Sawer, Patrick (13 de diciembre de 2008). "La policía utiliza huellas de guantes para atrapar a los delincuentes" . Telégrafo . Archivado desde el original el 11 de enero de 2022 . Consultado el 20 de agosto de 2013 .
40. James WH McCord y Sandra L. McCord, Derecho penal y procedimiento para el asistente legal: un enfoque de sistemas , supra , p. 127.
41. John J. Harris, Escritura disfrazada, 43 J. Crim. L. Criminología y ciencia policial. 685 (1952-1953)
42. Davies, Tom (8 de febrero de 2019). "Las fallas de EE muestran cómo las filtraciones de datos dañan vidas". Informe PrivSec . Archivado desde el original el 5 de febrero de 2021.
43. Molinero, Michael (2008). ¿Es seguro? Protegiendo su computadora, su negocio y a usted mismo en línea. What. pag. 4.ISBN​ 9780132713900.
44. "Datos de tarjetas de 20.000 usuarios de bancos paquistaníes vendidos en la web oscura: informe". Noticias de Dunya. 6 de noviembre de 2018.
45. Molinero, Michael (2008). ¿Es seguro? Protegiendo su computadora, su negocio y a usted mismo en línea. What. pag. 6.ISBN​ 9780132713900.
46. Krombholz, Katharina; Merkl, Dieter; Weippl, Edgar (26 de julio de 2012). "Identidades falsas en las redes sociales: un estudio de caso sobre la sostenibilidad del modelo de negocio de Facebook". Revista de investigación en ciencias de servicios . 4 (2): 175–212. doi :10.1007/s12927-012-0008-z. S2CID  6082130.
47. "Memorando para las oficinas de la FOIA del Departamento de Defensa" (PDF) . Departamento de Defensa de los Estados Unidos. Archivado desde el original (PDF) el 6 de agosto de 2020 . Consultado el 1 de abril de 2019 .
48. "Protección de víctimas de violencia sexual: Lecciones aprendidas" (PDF) . Oficina del Alto Comisionado de las Naciones Unidas para los Derechos Humanos . 2019.
49. "Cómo eliminar información personal de los sitios de intermediarios de datos". McAfee . 24 de agosto de 2022. Archivado desde el original el 27 de febrero de 2024.
50. Osborne, Charlie (8 de diciembre de 2023). "Los mejores servicios para borrarse de Internet en 2024". ZDNET . Consultado el 20 de febrero de 2024 .
51. Fadilpašić, Sead (16 de noviembre de 2023). "¿Qué son los servicios de eliminación de datos y qué datos pueden eliminar?". MUO . Archivado desde el original el 17 de enero de 2024 . Consultado el 29 de noviembre de 2023 .
52. Acquisti, Alessandro; Taylor, Curtis; Wagman, Liad (2015). La economía de la privacidad (PDF) .
53. Daughety, A.; Reinganum, J. (2010). "Bienes públicos, presión social y la elección entre privacidad y publicidad". Revista económica estadounidense: microeconomía . 2 (2): 191–221. CiteSeerX 10.1.1.544.9031 . doi :10.1257/mic.2.2.191. 
54. Varian, recursos humanos (1997). "Aspectos económicos de la privacidad personal". Privacidad y autorregulación en la era de la información .
55. Laudon, K. (1997). Extensiones a la teoría de los mercados y la privacidad: Mecánica de la información de precios (PDF) .
56. Taylor, CR (2004). "Privacidad del consumidor y mercado de la información del cliente". La Revista de Economía RAND . 35 (4): 631–650. doi :10.2307/1593765. hdl : 10161/2627 . JSTOR  1593765.
57. Cornière, AD (2011). "Publicidad de búsqueda". Revista económica estadounidense: microeconomía . 8 (3): 156–188. doi :10.1257/mic.20130138.
58. Anderson, S.; de Palma, A. (2012). "Competencia por la atención en la era de la (sobrecarga) de información". La Revista de Economía RAND . 43 : 1–25. doi :10.1111/j.1756-2171.2011.00155.x. S2CID  11606956.

enlaces externos

• Seis cosas que debes saber sobre el nuevo marco de privacidad de la UE Un análisis legal del nuevo marco regulatorio europeo sobre privacidad de datos
• Gestión de información personal y profesional.
• ¡Poder al Pueblo! Devolver a los ciudadanos sus derechos sobre los datos personales – J Cromack
• Repensar el informe sobre la nueva lente de los datos personales – Foro Económico Mundial
• Por qué el consentimiento es diferente de las preferencias de marketing – K Dewar