¿qué es PII, no PII y datos personales? [Actualizado]

la información de identificación personal (PII) y los datos personales son dos clasificaciones de datos que a menudo causan confusión para las organizaciones que recopilan, almacenan y analizan dichos datos.

PII se utiliza en los EE.UU., pero ningún documento legal lo define. El sistema legal en los Estados Unidos es una mezcla de numerosas leyes federales y estatales y regulaciones específicas del sector. Todos ellos definen y clasifican diferentes piezas de información bajo el paraguas de PII.,

por otro lado, los datos personales tienen un significado legal, que se define por el Reglamento General de protección de datos (GDPR), aceptado como ley en toda la Unión Europea (UE).

ambos términos cubren un terreno común, clasificando la información que podría revelar la identidad de un individuo directa o indirectamente.

Pero ¿por qué es todo eso tan importante? Como administrador de sitios web, creador de aplicaciones o propietario de productos, debe tener en cuenta que las huellas que los visitantes y usuarios dejan atrás podrían ser de naturaleza sensible., Estos rastros podrían permitirle identificar a las personas, por lo que debe manejar dichos datos con la máxima precaución. Desde el punto de vista jurídico, puede tratarse de infracciones y violaciones con graves consecuencias. Comprender el panorama general es crucial para la seguridad y el cumplimiento legal de su organización.

  1. ¿Qué es la información de identificación personal (PII)?
  2. ¿qué piezas de información se consideran PII?
  3. ¿Qué no es PII?
  4. ¿Qué son los datos personales?
  5. ¿Qué son los datos no personales?,
  6. En qué se diferencia la PII de los datos personales
    1. marco Legal
    2. Dónde se aplican las reglas sobre PII y datos personales
  7. mantenerse actualizado sobre las regulaciones de privacidad de datos

¿qué es la información de identificación personal (PII)?

PII es a menudo referenciada por agencias gubernamentales de los Estados Unidos y organizaciones no gubernamentales. Sin embargo, los EE.UU. carecen de una ley dominante sobre la PII, por lo que su comprensión de la PII puede diferir dependiendo de su situación particular.

La definición más común es proporcionada por el Instituto Nacional de estándares y Tecnología (NIST).,

dice que:

PII es cualquier información sobre un individuo mantenida por una agencia, incluyendo (1) cualquier información que se pueda usar para distinguir o rastrear la identidad de un individuo, como nombre, número de Seguro social, Fecha y lugar de nacimiento, nombre de soltera de la madre o registros biométricos; y (2) cualquier otra información que esté vinculada o pueda vincularse a un individuo, como información médica, educativa, Financiera y laboral.

sin Embargo, la línea entre la PII y otros tipos de información es borrosa., Como subrayó la administración de Servicios Generales de los Estados Unidos, «La definición de IIP no está anclada a ninguna categoría única de información o tecnología. Más bien, requiere una evaluación caso por caso del riesgo específico de que se pueda identificar a una persona».

¿qué información se considera PII?

según el NIST, la PII se puede dividir en dos categorías: información enlazada e información enlazable. la información vinculada es más directa., Podría incluir cualquier detalle personal que se pueda utilizar para identificar a una persona, por ejemplo:

  • Nombre Completo
  • Dirección de domicilio
  • Dirección de correo electrónico
  • Número de Seguro Social
  • Número de pasaporte
  • Número de licencia de conducir
  • números de tarjeta de crédito
  • Fecha de nacimiento
  • Número de teléfono
  • propiedades de propiedad p. ej., número de identificación del vehículo (VIN)
  • detalles de inicio de sesión
  • Número de Serie del procesador o dispositivo *
  • Control de acceso a medios (MAC) *
  • dirección de Protocolo de Internet (IP) *
  • id del dispositivo *
  • Cookies*

* ¡tenga en cuenta!

NIST establece que la información vinculada puede ser «Información de activos, como la dirección de Protocolo de Internet (IP) o control de acceso a medios (MAC) u otro identificador estático persistente específico del host que se vincula consistentemente a una persona en particular o a un grupo pequeño y bien definido de personas»., Eso significa que las cookies y el ID del dispositivo entran en la definición de PII.

la información enlazable es indirecta y por sí sola puede no ser capaz de identificar a una persona, pero cuando se combina con otra pieza de información podría identificar, rastrear o localizar a una persona.

Aquí hay algunos ejemplos de información enlazable:

  • nombre o apellido (si es común)
  • país, estado, ciudad, código postal
  • Género
  • raza
  • edad no específica (P., 30-40 en lugar de 30)
  • puesto de trabajo y lugar de trabajo

Aprenda cómo proteger la PII, la no PII y los datos personales

Todo, desde la definición detallada de cada uno hasta enfoques prácticos para recopilar y trabajar con diferentes tipos de datos

la información de identificación no personal (non-PII) es información que no se puede utilizar por sí sola para rastrear o identificar a una persona.,Los ejemplos de IPI no incluyen, pero no se limitan a:

  • estadísticas agregadas sobre el uso de productos / servicios
  • direcciones IP parcialmente o totalmente enmascaradas

Sin embargo, la clasificación de IPI y no PII es vaga. Además, NIST no hace referencia a los ID de cookies y los ID de dispositivos, por lo que muchas empresas de AdTech, anunciantes y editores los consideran como no PII. Como veremos, esto contrasta con la definición de datos personales, que trata a estos tackers digitales como información que podría identificar a un individuo.

¿qué son los datos personales?,p> «datos personales» significa cualquier información relativa a una persona física identificada o identificable («interesado»); una persona física identificable es aquella que puede ser identificada, directa o indirectamente, en particular por referencia a un identificador como un nombre, un número de identificación, datos de ubicación, un identificador en línea o a uno o más factores específicos de la identidad física, fisiológica, genética, mental, económica, cultural o social de esa persona física;

esta definición se aplica no solo al nombre y apellido de una persona, sino a detalles que podrían identificar persona., Ese es el caso cuando, por ejemplo, puede identificar a un visitante que regresa a su sitio web con la ayuda de una cookie o información de inicio de sesión.

bajo el GDPR puede considerar las cookies como datos personales porque según

considerando 30:

las personas físicas pueden estar asociadas con identificadores en línea proporcionados por sus dispositivos, aplicaciones, herramientas y protocolos, como direcciones de protocolo de internet, identificadores de cookies u otros identificadores como etiquetas de identificación de radiofrecuencia., Esto puede dejar rastros que, en particular cuando se combina con identificadores únicos y otra información recibida por los servidores, pueden utilizarse para crear perfiles de las personas físicas e identificarlas.

y la definición de datos personales abarca varias piezas de información como:

  • historial de transacciones
  • direcciones IP
  • historial de navegación
  • publicaciones en redes sociales

básicamente, es cualquier información relacionada con un individuo o persona identificable, directa o indirectamente.

¿qué son los datos no personales?,

siguiendo las disposiciones del RGPD, los datos no personales son datos que no le permitirán identificar a una persona. El mejor ejemplo son los datos anónimos. De conformidad con

considerando 26:

los principios de protección de datos no deben aplicarse, por tanto, a la información anónima, es decir, a la información que no se refiera a una persona física identificada o identificable o a los datos personales convertidos en anónimos de manera que el interesado no sea o ya no sea identificable.,

otros ejemplos de datos no personales incluyen, pero no se limitan a:

  • datos generalizados, por ejemplo, rango de edad, por ejemplo.,uch como datos censales o recibos fiscales recopilados para obras financiadas con fondos públicos
  • estadísticas agregadas sobre el uso de un producto o servicio
  • direcciones IP parcialmente o totalmente enmascaradas

para obtener más información sobre la anonimización de datos, lea nuestras otras publicaciones de blog:

  • La guía definitiva para la anonimización de datos en analytics
  • seguimiento anónimo: cómo hacer análisis útiles sin datos personales

cómo difiere la PII de los datos personales

como ya hemos mencionado, en ciertos contextos las diferencias entre estos dos tipos de datos parecen bastante vagas., Si tenemos que trazar una línea clara aquí, entonces aplicaríamos el marco jurídico y a quién se aplican estos datos.

marco Legal

todas las normas y responsabilidades relativas a los datos personales están establecidas por el GDPR, que tiene como objetivo fortalecer y unificar la recopilación de datos de los residentes de la UE. Esto también significa que hay un enfoque más unificado para la aplicación, que ha ido en constante aumento desde mayo de 2018, cuando el RGPD entró en vigor.

fuente: enforcementtracker.com, proporcionado por la ley CMS.,Tax

es mucho más difícil definir una sola pieza de legislación que controle la PII debido a la falta de una sola ley federal que rija su uso. Sin embargo, entre las diversas leyes que rigen la recopilación y el uso de PII, las más destacadas son:

  • LA U. S.,l Trade Commission (FTC) y su departamento de protección del consumidor
  • Departamentos Locales de Asuntos del consumidor
  • La Comisión Federal de comunicaciones (FCC)
  • El Instituto Nacional de estándares y Tecnología (NIST)
  • La Network Advertising Initiative (Nai), una organización autorreguladora

donde se aplican las reglas sobre PII y datos personales

dado que los datos personales están estrictamente relacionados con el GDPR, estados del Espacio Económico Europeo-los 28 Estados miembros de la UE más Islandia, Liechtenstein y Noruega., Nos referiremos a este grupo como residentes de la UE, para abreviar.

aún así, el alcance del GDPR no se limita realmente a la UE. Afecta no solo a las entidades con sede en la UE, sino a prácticamente todas las empresas que tratan con los datos de los residentes de la UE.

por el contrario, es mucho más difícil determinar las jurisdicciones donde la PII es aplicable.

incluso en los Estados Unidos, donde la PII es ciertamente aplicable, la forma en que se aplica varía de un estado a otro y de un sector a otro. Varios documentos legales y estándares de la industria tienen su propia opinión sobre qué es PII.,

como resultado, determinar a quién se aplica la IIP y cómo es bastante difícil.

lea también
lea también

Aprenda cómo proteger PII, no PII y datos personales

Todo, desde la definición detallada de cada uno hasta enfoques prácticos para recopilar y trabajar con diferentes tipos de datos

asta la fecha en las regulaciones de privacidad de datos

las definiciones generales de PII y datos personales están evolucionando para abarcar cada vez más tipos de datos., Las diferencias entre los dos también son cada vez menos claras. Los requisitos legales son cada vez más estrictos a ambos lados del Atlántico.

esos cambios traerán nuevos desafíos. Para las organizaciones de todo tipo, esto significa echar un vistazo más de cerca a los datos que recopilan y mantenerse al día con el cambiante panorama legal para mantenerse en cumplimiento.

esperamos que nuestra publicación de blog haya respondido al menos a algunas de sus preguntas sobre PII y datos personales. Pero si desea obtener más información, no dude en contactarnos en cualquier momento. Nuestros expertos estarán encantados de rellenar!

Share

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *