Los datos personales , también conocidos como información personal o información de identificación personal ( PII ), [1] [2] [3] es cualquier información relacionada con una persona identificable.
La abreviatura PII se utiliza ampliamente en los Estados Unidos , pero la frase que abrevia tiene cuatro variantes comunes basadas en personal o personalmente , e identificable o identificable . No todas son equivalentes y, para efectos legales, las definiciones efectivas varían según la jurisdicción y los fines para los que se utiliza el término. [a] En virtud de los regímenes de protección de datos de la Unión Europea y el Reino Unido , que se centran principalmente en el Reglamento General de Protección de Datos (RGPD), [4] el término "datos personales" es significativamente más amplio y determina el alcance del régimen regulatorio. [5]
La Publicación Especial 800-122 del Instituto Nacional de Estándares y Tecnología [6] define la información de identificación personal como "cualquier información sobre un individuo mantenida por una agencia, incluyendo (1) cualquier información que pueda usarse para distinguir o rastrear la identidad de un individuo, como nombre, número de seguro social, fecha y lugar de nacimiento, apellido de soltera de la madre o registros biométricos; y (2) cualquier otra información que esté vinculada o pueda vincularse a un individuo, como información médica, educativa, financiera y laboral". Por ejemplo, la dirección IP de un usuario no se clasifica como PII por sí sola, sino que se clasifica como PII vinculada. [7]
Los datos personales se definen en el RGPD como «cualquier información relativa a una persona física identificada o identificable». [8] [6] La dirección IP de un abonado a Internet puede clasificarse como dato personal. [9]
El concepto de información de identificación personal (PII) se ha vuelto muy común a medida que la tecnología de la información e Internet han facilitado la recopilación de dicha información, lo que ha dado lugar a un mercado rentable de recopilación y reventa de dicha información. Los delincuentes también pueden aprovechar la PII para acechar o robar la identidad de una persona, o para ayudar a planificar actos delictivos. Como respuesta a estas amenazas, muchas políticas de privacidad de sitios web abordan específicamente la recopilación de información de identificación personal [10], y los legisladores, como el Parlamento Europeo, han promulgado una serie de leyes, como el RGPD, para limitar la distribución y la accesibilidad de la PII [11] .
Surge una importante confusión en torno a si PII significa información que es identificable (es decir, puede asociarse con una persona) o identificable (es decir, asociada de manera única con una persona, de modo que la PII la identifica ). En regímenes prescriptivos de privacidad de datos como la Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPAA) federal de los EE. UU., los elementos PII se han definido específicamente. En regímenes de protección de datos más amplios como el RGPD, los datos personales se definen de una manera no prescriptiva basada en principios. La información que podría no considerarse PII según la HIPAA puede ser datos personales a los efectos del RGPD. Por este motivo, el término "PII" suele estar en desuso a nivel internacional.
El gobierno de los EE . UU. utilizó el término "personalmente identificable" en 2007 en un memorando de la Oficina Ejecutiva del Presidente, Oficina de Administración y Presupuesto (OMB), [12] y ese uso ahora aparece en estándares estadounidenses como la Guía del NIST para la Protección de la Confidencialidad de la Información Personalmente Identificable (SP 800-122). [13] El memorando de la OMB define la PII de la siguiente manera:
La información que se puede utilizar para distinguir o rastrear la identidad de una persona, como su nombre, número de seguro social, registros biométricos, etc., por sí sola o cuando se combina con otra información personal o de reconocimiento vinculada o vinculable, como la fecha y el lugar de nacimiento, así como el apellido de soltera de la madre, en estándares oficiales como la Guía del NIST, demuestra un enfoque proactivo para garantizar sólidas salvaguardas de la privacidad en medio del panorama dinámico de la seguridad de los datos. Esta integración en estándares establecidos es un marco fundamental para que las organizaciones adopten e implementen medidas efectivas para salvaguardar la información personal de las personas.
— NIST, Marco de privacidad del NIST, https://www.nist.gov/privacy-framework
Un término similar a PII, "datos personales", se define en la Directiva 95/46/CE de la UE, a los efectos de la Directiva: [14]
Artículo 2a: «datos personales»: cualquier información relativa a una persona física identificada o identificable (el interesado); se considerará persona identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación o mediante uno o varios elementos propios de su identidad física, fisiológica, psíquica, económica, cultural o social;
En las normas de la UE , se ha incluido una noción más específica de que el interesado puede ser potencialmente identificado mediante el procesamiento adicional de otros atributos (cuasi- o pseudo-identificadores). En el RGPD, los datos personales se definen como:
Toda información relativa a una persona física identificada o identificable (el interesado); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona [15]
Un ejemplo simple de esta distinción: el nombre del color "rojo" en sí mismo no es un dato personal, pero ese mismo valor almacenado como parte del registro de una persona como su "color favorito" es un dato personal; es la conexión con la persona lo que lo convierte en un dato personal, no (como en PII) el valor en sí.
Otro término similar a PII, "información personal", se define en una sección de la ley de notificación de violaciones de datos de California, SB1386: [16]
(e) Para los fines de esta sección, "información personal" significa el nombre de pila o la inicial y el apellido de una persona en combinación con uno o más de los siguientes elementos de datos, cuando el nombre o los elementos de datos no están encriptados: (1) Número de seguro social. (2) Número de licencia de conducir o número de tarjeta de identificación de California. (3) Número de cuenta, número de tarjeta de crédito o débito, en combinación con cualquier código de seguridad, código de acceso o contraseña requerido que permita el acceso a la cuenta financiera de una persona. (f) Para los fines de esta sección, "información personal" no incluye información disponible públicamente que se pone legalmente a disposición del público en general a partir de registros del gobierno federal, estatal o local.
El concepto de combinación de información que se da en la definición de SB1386 es clave para distinguir correctamente la PII, según la definición de OMB, de la "información personal", según la definición de SB1386. No se puede decir que la información, como un nombre, que carece de contexto sea "información personal" según la definición de OMB, pero sí se debe decir que es PII según la definición de OMB. Por ejemplo, el nombre " John Smith " no tiene significado en el contexto actual y, por lo tanto, no es "información personal" según la definición de OMB, sino que es PII. Un número de Seguro Social (SSN) sin un nombre o alguna otra información de identidad o contexto asociada no es "información personal" según la definición de SB1386, sino que es PII. Por ejemplo, el SSN 078-05-1120 por sí mismo es PII, pero no es "información personal" según la definición de SB1386. Sin embargo, la combinación de un nombre válido con el SSN correcto es "información personal" según la definición de SB1386. [16]
La combinación de un nombre con un contexto también puede considerarse información personal identificable; por ejemplo, si el nombre de una persona figura en una lista de pacientes de una clínica de VIH. Sin embargo, no es necesario que el nombre se combine con un contexto para que se trate de información personal identificable. La razón de esta distinción es que algunos datos, como los nombres, aunque por sí solos pueden no ser suficientes para realizar una identificación, pueden combinarse posteriormente con otra información para identificar a las personas y exponerlas a daños.
El alcance del término "datos personales sensibles" varía según la jurisdicción. En el Reino Unido, los datos personales de salud se consideran "sensibles" y requieren medidas de protección de datos adicionales. [17] Según la OMB, en los Estados Unidos no siempre se da el caso de que la información personal de identificación sea "sensible", y se puede tener en cuenta el contexto para decidir si cierta información personal de identificación es o no sensible. [12] [ cita completa requerida ]
Cuando una persona desea permanecer anónima, las descripciones de ella a menudo emplean varios de los términos anteriores, como "un hombre blanco de 34 años que trabaja en Target". La información puede seguir siendo privada , en el sentido de que una persona puede no desear que se haga pública, sin ser personalmente identificable. Además, a veces múltiples piezas de información, ninguna suficiente por sí sola para identificar de forma única a un individuo, pueden identificar de forma única a una persona cuando se combinan; esta es una de las razones por las que se suelen presentar múltiples piezas de prueba en los juicios penales. Se ha demostrado que, en 1990, el 87% de la población de los Estados Unidos podía identificarse de forma única por género, código postal y fecha de nacimiento completa. [18]
En la jerga de los hackers y de Internet , la práctica de encontrar y divulgar dicha información se denomina " doxing ". [19] [20] A veces se utiliza para disuadir la colaboración con las fuerzas del orden. [21] En ocasiones, el doxing puede desencadenar un arresto, en particular si las fuerzas del orden sospechan que el individuo "doxeado" puede entrar en pánico y desaparecer. [22]
En Australia, la Ley de Privacidad de 1988 se ocupa de la protección de la privacidad individual, utilizando los Principios de Privacidad de la OCDE de la década de 1980 para establecer un modelo regulatorio amplio basado en principios (a diferencia de lo que ocurre en los EE. UU., donde la cobertura generalmente no se basa en principios generales sino en tecnologías, prácticas comerciales o elementos de datos específicos). La sección 6 contiene la definición pertinente. [23] El detalle fundamental es que la definición de "información personal" también se aplica a los casos en que se puede identificar indirectamente al individuo:
"información personal" significa información u opinión sobre un individuo identificado, o un individuo que sea razonablemente identificable, independientemente de que la información u opinión sea verdadera o no; y de que la información u opinión esté registrada en forma material o no.
Parece que esta definición es significativamente más amplia que el ejemplo californiano dado anteriormente y, por lo tanto, la ley de privacidad australiana puede cubrir una categoría más amplia de datos e información que algunas leyes estadounidenses.
En particular, las empresas de publicidad conductual en línea con sede en los EE. UU. pero que recopilan subrepticiamente información de personas en otros países en forma de cookies, errores , rastreadores y similares pueden descubrir que su preferencia por evitar las implicaciones de querer construir un perfil psicográfico de una persona en particular utilizando la rúbrica de "no recopilamos información personal" puede descubrir que esto no tiene sentido bajo una definición más amplia como la de la Ley de Privacidad de Australia.
El término "PII" no se utiliza en la legislación de privacidad australiana.
La legislación de protección de datos de la Unión Europea no utiliza el concepto de información personalmente identificable, y su alcance está determinado por el concepto no sinónimo y más amplio de "datos personales".
Se pueden encontrar más ejemplos en el sitio web de privacidad de la UE. [24]
El 1 de junio de 2023, la Oficina del Comisionado de Privacidad de Datos Personales de Hong Kong publicó un informe de investigación sobre una violación de datos que implicó el acceso no autorizado a una plataforma de base de datos de referencia crediticia. El informe destaca la necesidad de que las organizaciones tomen medidas adecuadas para proteger los datos personales, ya que la mera imposición de obligaciones y políticas contractuales es insuficiente si dichas obligaciones y políticas no son efectivas o no se aplican. El informe también aclara que los datos crediticios son una forma de datos personales "sensibles". [25]
Se aplican los doce principios de privacidad de la información de la Ley de Privacidad de 1993. Nueva Zelanda promulgó la Ley de Privacidad en 2020 para promover y proteger la privacidad individual. [28]
La Ley Federal de Protección de Datos de 19 de junio de 1992 (vigente desde 1993) ha establecido una protección de la privacidad al prohibir prácticamente cualquier tratamiento de datos personales que no esté expresamente autorizado por los interesados. [29] La protección está sujeta a la autoridad del Comisionado Federal de Protección de Datos e Información . [29]
Además, cualquier persona podrá solicitar por escrito a una empresa (gestora de ficheros de datos) la rectificación o supresión de cualquier dato personal. [30] La empresa deberá responder en el plazo de treinta días. [30]
La Ley de Privacidad de 1974 (Pub.L. 93–579, 88 Stat. 1896, promulgada el 31 de diciembre de 1974, 5 USC § 552a, una ley federal de los Estados Unidos, establece un Código de Prácticas Justas de Información que rige la recopilación, el mantenimiento, el uso y la difusión de información de identificación personal sobre individuos que se mantiene en sistemas de registros por agencias federales. [31]
Uno de los principales objetivos de la Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPAA, por sus siglas en inglés) es proteger la información médica protegida (PHI, por sus siglas en inglés) de un paciente, que es similar a la información de identificación personal (PII, por sus siglas en inglés). El Senado de los EE. UU. propuso la Ley de Privacidad de 2005, que intentó limitar estrictamente la exhibición, compra o venta de PII sin el consentimiento de la persona. De manera similar, la (propuesta) Ley Anti-Phishing de 2005 intentó evitar la adquisición de PII a través del phishing .
Los legisladores estadounidenses han prestado especial atención al número de seguridad social porque puede utilizarse fácilmente para cometer robos de identidad . La (propuesta) Ley de Protección del Número de Seguridad Social de 2005 y la (propuesta) Ley de Prevención del Robo de Identidad de 2005 buscaron limitar la distribución del número de seguridad social de una persona.
La información personal identificable adicional específica de los EE. UU. [32] incluye, entre otros, registros I-94, números de identificación de Medicaid y documentación del Servicio de Impuestos Internos (IRS). La exclusividad de la información personal identificable relacionada con los EE. UU. resalta las preocupaciones nacionales sobre seguridad de los datos [33] y la influencia de la información personal identificable en los sistemas de gestión de datos federales de los EE. UU.
El Instituto Nacional de Normas y Tecnología (NIST) es un laboratorio de ciencias físicas y una agencia no regulatoria del Departamento de Comercio de los Estados Unidos. Su misión es promover la innovación y la competitividad industrial.
Los siguientes datos, que a menudo se utilizan con el propósito expreso de distinguir la identidad individual, se clasifican claramente como información de identificación personal según la definición utilizada por el NIST (que se describe en detalle a continuación): [13]
Los siguientes datos se utilizan con menos frecuencia para distinguir la identidad individual, porque son rasgos que comparten muchas personas. Sin embargo, son potencialmente información de identificación personal, porque pueden combinarse con otra información personal para identificar a una persona.
En la ciencia forense , en particular en la identificación y el procesamiento de criminales, la información de identificación personal es fundamental para establecer pruebas en el proceso penal . Los criminales pueden hacer grandes esfuerzos para evitar dejar información de identificación personal, [ cita requerida ] por ejemplo:
Los datos personales son un componente clave de la identidad en línea y pueden ser explotados por individuos. Por ejemplo, los datos pueden ser alterados y utilizados para crear documentos falsos, secuestrar buzones de correo y llamadas telefónicas o acosar a personas, como le ocurrió en 2019 a un cliente del operador de telefonía móvil EE en el Reino Unido. [43]
Otra categoría puede denominarse robo de identidad financiera, [44] que generalmente implica el robo de información de cuentas bancarias y tarjetas de crédito, para luego usarla o venderla. [45]
Los datos personales también pueden usarse para crear identidades falsas en línea, incluidas cuentas y perfiles falsos (lo que puede denominarse clonación de identidad [46] o fraude de identidad ) para que las celebridades recopilen datos de otros usuarios más fácilmente. [47] Incluso las personas pueden verse afectadas, especialmente con fines personales (esto se conoce más ampliamente como fraude de identidad ).
La información más crítica, como la contraseña, la fecha de nacimiento, los documentos de identidad o el número de seguridad social, se puede utilizar para iniciar sesión en diferentes sitios web (por ejemplo, reutilización de contraseñas y verificación de cuentas ) para recopilar más información y acceder a más contenido.
Además, varias agencias piden discreción en temas relacionados con su trabajo, por la seguridad de sus empleados. Por esta razón, el Departamento de Defensa de los Estados Unidos (DoD) tiene políticas estrictas que controlan la divulgación de información personal identificable del personal del DoD. [48] Muchas agencias de inteligencia tienen políticas similares, a veces hasta el punto de que los empleados no revelan a sus amigos que trabajan para la agencia.
Existen preocupaciones similares en materia de protección de la identidad en el caso de los programas de protección de testigos , los refugios para mujeres y las víctimas de violencia doméstica y otras amenazas. [49]
Los servicios de eliminación de información personal funcionan identificando y solicitando a los intermediarios de datos que eliminen la información personal de sus clientes. Este proceso puede ser manual o totalmente automatizado, pero es complejo porque implica tratar con numerosos intermediarios de datos, cada uno con diferentes políticas y procedimientos para la eliminación de datos. [50] [51] [52]
Las empresas que ofrecen la eliminación de información personal también enfrentan algunos problemas. Tienen dificultades para garantizar la eliminación completa de datos a medida que surgen nuevos corredores de datos y los existentes no siempre cumplen con las solicitudes de eliminación. La mayoría de ellos también están limitados a ciertas regiones o países. [53]Durante la segunda mitad del siglo XX, la revolución digital introdujo la "economía de la privacidad", o el comercio de datos personales. El valor de los datos puede cambiar con el tiempo y en diferentes contextos. La divulgación de datos puede revertir la asimetría de la información , aunque los costos de hacerlo pueden no estar claros. En relación con las empresas, los consumidores a menudo tienen "información imperfecta sobre cuándo se recopilan sus datos, con qué fines y con qué consecuencias". [54]
En un artículo de 2015, Alessandro Acquisti, Curtis Taylor y Liad Wagman identificaron tres "olas" en el comercio de datos personales:
Un corredor de datos es una persona o empresa que se especializa en recopilar datos personales (como ingresos, etnia, creencias políticas o datos de geolocalización ) o datos sobre personas, principalmente de registros públicos , pero a veces de fuentes privadas, y vender o licenciar dicha información a terceros para una variedad de usos. Las fuentes, generalmente basadas en Internet desde la década de 1990, pueden incluir registros de censos y listas electorales , sitios de redes sociales , informes judiciales e historiales de compras. La información de los corredores de datos puede usarse en verificaciones de antecedentes utilizadas por empleadores y viviendas.
Existen diversas regulaciones en todo el mundo que limitan la recopilación de información sobre las personas; las leyes de privacidad varían. En los Estados Unidos no existe una regulación federal que proteja al consumidor de los intermediarios de datos, aunque algunos estados han comenzado a promulgar leyes de forma individual. En la Unión Europea, el RGPD sirve para regular las operaciones de los intermediarios de datos. Algunos intermediarios de datos informan que tienen una gran cantidad de datos de población o "atributos de datos". Acxiom afirma tener datos de 2.500 millones de personas diferentes.{{cite book}}
: Mantenimiento de CS1: falta la ubicación del editor ( enlace )