La recopilación de información de identificación personal (PII) se refiere a la recopilación de datos personales públicos y privados que pueden utilizarse para identificar a personas con diversos fines, tanto legales como ilegales. Los propietarios de datos suelen considerar que la recopilación de PII constituye una amenaza para la privacidad, mientras que entidades como empresas de tecnología, gobiernos y organizaciones utilizan estos datos para analizar el comportamiento de los consumidores, las preferencias políticas y los intereses personales.
Con los avances en la tecnología de la información, el acceso a la información personal identificable y su intercambio se han vuelto más fáciles. Los teléfonos inteligentes y las redes sociales han contribuido significativamente a la recopilación generalizada de datos personales, lo que la convierte en un problema generalizado y controvertido. [1]
Casos recientes de recopilación ilegal de información personal, como el escándalo de Cambridge Analytica que involucró los datos de más de 87 millones de usuarios de Facebook, han aumentado las preocupaciones sobre la violación de la privacidad y han aumentado las demandas de leyes de protección de datos más estrictas . Grandes infracciones en empresas como Equifax , Target , Yahoo , Home Depot y la Oficina de Gestión de Personal de los Estados Unidos han puesto en peligro los datos personales y financieros de millones de estadounidenses, lo que ha dado lugar a demandas de una mayor seguridad de la información y protección de la información personal. [2]
Actualmente, no existe una definición universalmente aceptada de recopilación de información de identificación personal (PII). Según el Instituto Nacional de Normas y Tecnología (NIST) de los Estados Unidos, la PII se define como: [3]
(1) Cualquier información que pueda utilizarse para distinguir o rastrear la identidad de un individuo, como un nombre, número de seguro social, fecha y lugar de nacimiento, apellido de soltera de la madre o registros biométricos. (2) Cualquier otra información que esté vinculada o pueda vincularse a un individuo, como información médica, educativa, financiera y laboral.
La recopilación de PII se refiere a la recopilación, organización, manipulación, análisis, intercambio o distribución de dichos datos.
Los gobiernos recopilan información de identificación personal para brindar beneficios sociales y legales, mejorar los servicios y cumplir con las obligaciones legales. [4] Dependiendo del tipo de gobierno, ya sea democrático o autoritario, los métodos para recopilar información de identificación personal pueden variar, pero los objetivos son generalmente similares. [5]
En Estados Unidos, la información de identificación personal se recopila a través de procesos como la presentación de declaraciones de impuestos, el registro de propiedades y las solicitudes de licencias de conducir. [6] El gobierno también recopila información de identificación personal con fines de prevención del delito y seguridad nacional, aunque dichas prácticas, especialmente por parte de la Agencia de Seguridad Nacional (NSA), siguen siendo controvertidas. [7]
China utiliza los macrodatos para mejorar la gobernanza, empleando redes de vigilancia avanzadas como el sistema "Skynet" con 20 millones de cámaras. Aunque las regulaciones protegen la información de identificación personal recopilada por empresas privadas, no existen limitaciones a la recopilación de dichos datos por parte del gobierno, ni se han hecho planes para implementar tales limitaciones. [8] [9]
Los países de la Unión Europea tienen estrictas regulaciones nacionales e internacionales sobre información personal identificable. [10] Por ejemplo, el Reglamento General de Protección de Datos (RGPD) proporciona protecciones integrales para los datos personales. [11]
Con los avances en Internet y las tecnologías móviles, las empresas privadas recopilan información de identificación personal a través de registros de usuarios, seguimiento de ubicación, cookies y otros métodos. Los corredores de datos compran, venden y analizan información de identificación personal de diversas fuentes, a menudo sin el consentimiento del usuario. [12] El escándalo de datos de Facebook y Cambridge Analytica es un ejemplo de uso indebido de datos, en el que solo una fracción de los usuarios cuyos datos fueron recopilados habían dado su consentimiento. [13]
Los piratas informáticos recopilan información personal de forma ilegal para obtener beneficios económicos o políticos. Entre los ejemplos más destacados se incluyen los piratas informáticos norcoreanos que atacaron a Sony Pictures y la filtración a gran escala de datos en Equifax que expuso datos confidenciales de millones de usuarios.
La recopilación de información de identificación personal suele asociarse con la violación de la privacidad y los defensores de la privacidad suelen oponerse a ella. Los países democráticos, como Estados Unidos y los de la Unión Europea, tienen leyes de privacidad más desarrolladas contra la recopilación de información de identificación personal. Las leyes de la Unión Europea ofrecen una protección más integral y uniforme de los datos personales. En Estados Unidos, las leyes federales de protección de datos se aplican por sectores. [14] Los países autoritarios a menudo carecen de protección para los ciudadanos en materia de recopilación de información de identificación personal. Por ejemplo, los ciudadanos chinos gozan de protección legislativa contra las empresas privadas, pero no tienen protección contra las violaciones del gobierno. [15]
El RGPD entrará en vigor el 25 de mayo de 2018 y ofrece una protección integral de la privacidad en todos los sectores e industrias. El reglamento se aplica a todas las empresas y agencias gubernamentales de los países de la Unión Europea. También regula a todas las empresas y organizaciones extranjeras que ofrecen servicios en Europa. La violación y el incumplimiento del RGPD pueden dar lugar a sanciones de hasta el 4 por ciento de los ingresos anuales mundiales de la empresa. El RGPD exige que las empresas y las agencias gubernamentales obtengan el consentimiento para el procesamiento de datos, hagan anónima la recopilación de datos, proporcionen notificaciones rápidas en caso de violaciones de datos, gestionen de forma segura la transferencia de datos a través de las fronteras y designen responsables de protección de datos. [16]
La Sección 5 de la Ley de la Comisión Federal de Comercio (FTC Act) se utiliza para obligar a las empresas a proteger los datos de identificación personal recopilados. [17] Una empresa en los Estados Unidos no está obligada a tener una política de privacidad, pero está obligada a cumplirla si la empresa divulga una política de privacidad. La empresa tampoco puede cambiar retroactivamente su política de recopilación de datos sin ofrecer una oportunidad para que los usuarios opten por no hacerlo. La FTC impuso una multa de 100 millones de dólares a LifeLock por no proteger los datos de identificación personal de los clientes, como números de seguro social, números de tarjetas de crédito y números de cuentas bancarias, y violó los términos de una orden judicial federal de 2010. [18]
La FTC también utiliza el Principio de Publicidad Conductual para proporcionar directrices y sugerencias a los operadores de sitios web sobre prácticas de recopilación de datos, seguimiento de actividades y mecanismos de exclusión voluntaria. Se solicita al operador de un sitio web que obtenga el consentimiento expreso antes de recopilar y utilizar datos personales confidenciales, como números de seguridad social, datos financieros, información de salud y datos de menores. El Principio de Publicidad Conductual también exige una seguridad razonable para proteger los datos personales recopilados y una duración limitada de la retención de datos, pero durante el tiempo que sea necesario para satisfacer una necesidad comercial o de aplicación de la ley legítima. El principio también es autorregulatorio y tiene como objetivo fomentar un mayor debate y un mayor desarrollo por parte de todas las partes interesadas. [19]
La preocupación pública por la recopilación de información de identificación personal se centra en las violaciones de la privacidad y la posible discriminación. La recopilación y el uso no autorizados de datos, como se vio en el escándalo de Cambridge Analytica, han alimentado la desconfianza en las principales plataformas como Facebook, y muchos usuarios exigen una regulación gubernamental más estricta. [20] [21] Los riesgos de la recopilación de información de identificación personal incluyen la discriminación, la pérdida de la libertad individual y colectiva, el riesgo monetario, el riesgo social, el riesgo físico y el riesgo psicológico. [22]