PII - Información de identificación personal
Lectura de 2 min aprox.
La información de identificación personal (PII: Personally Identifiable Information) es un término general para la información que puede identificar a una persona concreta, ya sea por sí sola o combinada con otra información. Su alcance varía mucho según la jurisdicción y el contexto, desde datos que identifican directamente a una persona, como el nombre o la dirección, hasta datos que solo identifican a una persona al combinarse con otros, como una dirección IP o un ID de Cookie. Es la categoría más básica de la clasificación de datos y un concepto que constituye el punto de partida de toda medida de seguridad.
Identificadores directos y cuasi-identificadores
Pueden identificar a una persona por sí solos
- Nombre completo
- Número de identidad / SSN
- Número de pasaporte
- Dirección de correo electrónico
- Fotografía del rostro
Pueden identificar a una persona en combinación
- Fecha de nacimiento
- Código postal
- Sexo
- Ocupación
- Dirección IP
Un estudio de la profesora Latanya Sweeney, de la Universidad Carnegie Mellon (2000), demostró que, con datos del censo de EE. UU., solo tres datos (código postal, fecha de nacimiento y sexo) bastaban para identificar de forma única a cerca del 87 % de la población. Este estudio evidenció lo vulnerables que pueden ser los «datos que se creían anonimizados» y fue un logro innovador que alertó al mundo sobre el peligro de los cuasi-identificadores.
Diferencias de definición según la jurisdicción
| Aspecto | RGPD (UE) | CCPA (California, EE. UU.) | Ley de Protección de Información Personal (Japón) |
|---|---|---|---|
| Término | Datos personales (Personal Data) | Información personal (Personal Information) | Información personal |
| Dirección IP | Se considera dato personal | Puede considerarse | No se considera por sí solo (sí al combinarse con registros de comunicación) |
| ID de Cookie | Se considera dato personal | Puede considerarse | Información relacionada con la persona (regulación reforzada en la reforma de 2022) |
| Sanciones por infracción | El 4 % de la facturación mundial o 20 millones de euros | Hasta 7500 dólares por infracción | Hasta 1 año de prisión o una multa de hasta 1 millón de yenes por incumplir una orden |
Cabe destacar que el RGPD adopta la definición más amplia. Según el RGPD, «toda información sobre una persona física identificada o identificable» se considera dato personal, e incluye claramente los identificadores en línea (cookies, ID de publicidad). Al ofrecer un servicio a escala global, definir la PII conforme al estándar de la jurisdicción más estricta es la opción segura en la práctica.
Técnicas de anonimización - la k-anonimidad y más allá
La anonimización es la técnica de procesar un conjunto de datos que contiene PII de modo que no se pueda identificar a las personas cuando los datos se usan para análisis o intercambio. Existen tres métodos representativos.
k o más comparten los mismos atributos
l o más valores sensibles distintos
Mantener el sesgo de distribución en t o menos
La k-anonimidad garantiza que «al menos k registros comparten la misma combinación de cuasi-identificadores», pero si un atributo sensible (como el nombre de una enfermedad) tiene el mismo valor para todos, aún se puede inferir información individual. La l-diversidad subsana esta debilidad y la t-cercanía va más allá controlando incluso el sesgo en la distribución de los valores de los atributos. En la práctica, lo habitual es ofrecer una protección por capas combinándolas con el enmascaramiento de datos y la tokenización.
El principio de minimización de datos
La estrategia más eficaz para proteger la PII es, en primer lugar, no recopilar ni conservar PII innecesaria. El «principio de minimización de datos» establecido en el artículo 5 del RGPD exige recopilar y tratar únicamente los datos mínimos necesarios para la finalidad. En la práctica, es importante volver a preguntarse en la fase de diseño «¿es realmente necesario este campo?». Por ejemplo, si el objetivo es verificar la edad, basta con un indicador de «mayor o no de 18 años» en lugar de la fecha de nacimiento. Cuanta menos PII se conserve, más limitado será naturalmente el daño en caso de una fuga de datos.libros sobre protección de datos personales (Amazon) son una buena forma de aprender patrones concretos de implementación para la minimización de datos.
Impacto y respuesta ante una fuga de PII
Cuando se filtra PII, la organización tiene la obligación legal de informar a la autoridad de control y notificar a las personas afectadas. El RGPD exige notificar a la autoridad de control en un plazo de 72 horas, y la Ley de Protección de Información Personal de Japón también se reformó en 2022 para hacer obligatorios el informe a la Comisión de Protección de Información Personal y la notificación a los afectados. El impacto de una fuga no se limita al daño económico; existe el riesgo de que la información se utilice de forma indebida como datos objetivo para el relleno de credenciales o el phishing dirigido. Consulta también la guía de respuesta ante fugas de datos y la guía de configuración de privacidad.
¿Te resultó útil este artículo?