Che cos’è PII, non-PII e dati personali? [AGGIORNATO]

Le informazioni di identificazione personale (PII) e i dati personali sono due classificazioni di dati che spesso causano confusione per le organizzazioni che raccolgono, archiviano e analizzano tali dati.

PII è utilizzato negli Stati Uniti, ma nessun singolo documento legale lo definisce. Il sistema legale negli Stati Uniti è una miscela di numerose leggi federali e statali e regolamenti specifici del settore. Tutti definiscono e classificano diverse informazioni sotto l’ombrello PII.,

D’altra parte, i dati personali hanno un significato legale, che è definito dal Regolamento generale sulla protezione dei dati (GDPR), accettato come legge in tutta l’Unione Europea (UE).

Entrambi i termini coprono un terreno comune, classificando le informazioni che potrebbero rivelare l’identità di un individuo direttamente o indirettamente.

Ma perché tutto ciò è così importante? Come amministratore di un sito web, creatore di app o proprietario di un prodotto, devi essere consapevole che le tracce che i visitatori e gli utenti lasciano potrebbero essere di natura sensibile., Queste tracce potrebbero consentire di identificare le persone, quindi è necessario gestire tali dati con la massima cautela. Dal punto di vista giuridico, potrebbe trattarsi di violazioni e violazioni con gravi conseguenze. Cogliere l’immagine più ampia è fondamentale per la sicurezza e la conformità legale della tua organizzazione.

  1. Che cosa sono le informazioni di identificazione personale (PII)?
  2. Quali informazioni sono considerate PII?
  3. Che cosa è non-PII?
  4. Che cosa sono i dati personali?
  5. Che cosa sono i dati non personali?,
  6. In che modo le PII differiscono dai dati personali
    1. Quadro giuridico
    2. Dove si applicano le norme sulle PII e sui dati personali
  7. Rimanere aggiornati sulle normative sulla privacy dei dati

Che cosa sono le informazioni di identificazione personale (PII)?

PII è spesso referenziato da agenzie governative statunitensi e organizzazioni non governative. Tuttavia, negli Stati Uniti manca una legge prevalente sulle PII, quindi la tua comprensione delle PII può variare a seconda della tua situazione particolare.

La definizione più comune è fornita dal National Institute of Standards and Technology (NIST).,

Si dice che:

informazioni personali sono tutte le informazioni su un individuo gestito da una agenzia, tra cui (1) qualsiasi informazione che può essere utilizzato per distinguere o traccia l’identità di un individuo, come nome, numero di previdenza sociale, data e luogo di nascita, il nome da nubile della madre, o biometrici record; e (2) qualsiasi altra informazione che è collegato o collegabile ad un individuo, come medico, educativo, finanziaria, e l’informazione sull’occupazione.

Tuttavia, la linea tra PII e altri tipi di informazioni è sfocata., Come sottolineato dalla US General Services Administration, la ” definizione di PII non è ancorata a nessuna singola categoria di informazioni o tecnologie. Piuttosto, richiede una valutazione caso per caso del rischio specifico che un individuo può essere identificato”.

Quali informazioni sono considerate PII?

Secondo il NIST, le PII possono essere suddivise in due categorie: informazioni collegate e collegabili.
Le informazioni collegate sono più dirette., È possibile includere qualsiasi di dettagli personali che possono essere utilizzate per identificare un individuo, per esempio:

  • denominazione
  • indirizzo di Casa
  • indirizzo e-Mail
  • numero di previdenza Sociale
  • numero di Passaporto
  • numero di patente di guida
  • numeri di carta di Credito
  • Data di nascita
  • numero di Telefono
  • immobili in proprietà ad es., numero di identificazione del veicolo (VIN)
  • Dettagli di accesso
  • Numero di serie del processore o del dispositivo*
  • Media access control (MAC)*
  • Indirizzo Internet Protocol (IP)*
  • ID del dispositivo*
  • Cookie*

*Da notare!

Il NIST afferma che le informazioni collegate possono essere “Informazioni sulle risorse, come l’indirizzo IP (Internet Protocol) o il MAC (Media Access Control) o altro identificatore statico persistente specifico dell’host che si collega costantemente a una determinata persona o a un piccolo gruppo di persone ben definito”., Ciò significa che i cookie e l’ID del dispositivo rientrano nella definizione di PII.

Le informazioni collegabili sono indirette e di per sé potrebbero non essere in grado di identificare una persona, ma se combinate con un’altra informazione potrebbero identificare, rintracciare o localizzare una persona.

Ecco alcuni esempi di informazioni collegabili:

  • Nome o cognome (se comune)
  • Paese, stato, città, CAP
  • Genere
  • Razza
  • Età non specifica (ad es., 30-40 invece di 30)
  • Posizione lavorativa e luogo di lavoro

Scopri come proteggere PII, non PII e dati personali

Tutto dalla definizione dettagliata di ciascuno agli approcci pratici alla raccolta e al lavoro con diversi tipi di dati

Che cos’è il non-PII?

Le informazioni non identificabili personalmente (non PII) sono dati che non possono essere utilizzati da soli per tracciare o identificare una persona.,Esempi di non-PII includono, ma non sono limitati a:

  • Statistiche aggregate sull’uso di prodotto / servizio
  • Indirizzi IP parzialmente o completamente mascherati

Tuttavia, la classificazione di PII e non-PII è vaga. Inoltre, il NIST non fa riferimento agli ID cookie e agli ID dispositivo, quindi molte aziende AdTech, inserzionisti ed editori li considerano non PII. Come vedremo, questo è in contrasto con la definizione di dati personali, che tratta tali tackers digitali come informazioni che potrebbero identificare un individuo.

Che cosa sono i dati personali?,p> “dati personali”: qualsiasi informazione concernente una persona fisica identificata o identificabile (“interessato”); si considera identificabile la persona fisica è uno che può essere identificata, direttamente o indirettamente, in particolare mediante riferimento ad un identificatore, ad esempio un nome, un numero di identificazione, dati relativi all’ubicazione, a un identificativo on line o a uno o più fattori specifici per il fisico, fisiologico, genetico, psichica, economica, culturale o sociale, l’identità della persona fisica;

Questa definizione non si applica solo a una persona di nome e cognome, ma per i dettagli che potrebbero identificare quella persona., Questo è il caso in cui, ad esempio, sei in grado di identificare un visitatore che ritorna al tuo sito Web con l’aiuto di un cookie o di informazioni di accesso.

Ai sensi del GDPR puoi considerare i cookie come dati personali perché ai sensi del Considerando 30:

Le persone fisiche possono essere associate a identificatori online forniti dai loro dispositivi, applicazioni, strumenti e protocolli, come indirizzi di protocollo Internet, identificatori di cookie o altri identificatori come tag di identificazione a radiofrequenza., Ciò può lasciare tracce che, in particolare se combinate con identificatori univoci e altre informazioni ricevute dai server, possono essere utilizzate per creare profili delle persone fisiche e identificarle.

E la definizione dei dati personali copre vari pezzi di informazioni quali:

  • cronologia delle transazioni
  • indirizzi IP
  • la cronologia del browser
  • i messaggi sui social media

in sostanza, qualunque informazione relativa a persona fisica o persona identificabile, direttamente o indirettamente.

Che cosa sono i dati non personali?,

Seguendo le disposizioni del GDPR, i dati non personali sono dati che non consentono di identificare un individuo. Il miglior esempio sono i dati anonimi. Ai sensi del Considerando 26:

I principi di protezione dei dati non dovrebbero pertanto applicarsi alle informazioni anonime, vale a dire alle informazioni che non riguardano una persona fisica identificata o identificabile o ai dati personali resi anonimi in modo tale che l’interessato non sia o non sia più identificabile.,

Altri esempi di dati non personali includono, ma non sono limitati a:

  • Dati generalizzati, ad es.,uch come i dati del censimento o ricevute fiscali raccolti finanziate opere
  • statistiche Aggregate sull’uso di un prodotto o di un servizio
  • completamente o Parzialmente mascherato indirizzi IP

Per saperne di più circa i dati che la trasformazione in forma anonima, di leggere il nostro post di altri blog:

  • La guida definitiva per la trasformazione in forma anonima dei dati in google analytics
  • il rilevamento Anonimo: come fare utile analytics senza dati personali

Come PII differisce dai dati personali

Come abbiamo già detto, in determinati contesti, le differenze tra questi due tipi di dati sembrano piuttosto vaga., Se abbiamo bisogno di tracciare una linea chiara in questo caso, applicheremo il quadro giuridico e a chi si applicano questi dati.

Quadro giuridico

Tutte le regole e le responsabilità relative ai dati personali sono stabilite dal GDPR, che mira a rafforzare e unificare la raccolta dei dati da parte dei residenti nell’UE. Ciò significa anche che esiste un approccio più unificato all’applicazione, che è in costante aumento da maggio 2018, quando il GDPR è entrato in vigore.

Fonte: enforcementtracker.com, fornito dalla legge CMS.,Tax

È molto più difficile definire un singolo atto legislativo che controlli le PII a causa della mancanza di un’unica legge federale che ne disciplini l’uso. Tuttavia, tra le varie leggi che regolano la raccolta e l’utilizzo delle PII, le più importanti sono:

  • Gli Stati Uniti.,l Trade Commission (FTC) e il suo Dipartimento di Protezione dei Consumatori
  • i Dipartimenti Locali dei Consumatori
  • La Commissione Federale delle Comunicazioni (FCC)
  • Il National Institute of Standards and Technology (NIST)
  • La Network Advertising Initiative (NAI), una organizzazione di autoregolamentazione

Dove regole di informazioni personali e dati personali applicare

Dal momento che i dati personali è strettamente connessa con la GDPR, riguarda tutti i cittadini e i residenti degli stati membri dello spazio Economico Europeo – i 28 Stati membri dell’UE più Islanda, Liechtenstein e Norvegia., Ci riferiremo a questo gruppo come residenti dell’UE, in breve.

Tuttavia, l’ambito del GDPR non è realmente limitato all’UE. Ha un impatto non solo sulle entità con sede nell’UE, ma praticamente su tutte le imprese che trattano i dati dei residenti nell’UE.

Al contrario, è molto più difficile determinare le giurisdizioni in cui è applicabile PII.

Anche negli Stati Uniti, dove il PII è certamente applicabile, il modo in cui viene applicato varia sia da stato a stato che da settore a settore. Diversi documenti legali e standard di settore hanno la propria opinione su cosa sia PII.,

Di conseguenza, determinare a chi si applica PII e come è abbastanza difficile.

leggi anche:
leggi anche:

Imparare a proteggere i dati personali, dati non personali e dati personali

Tutto, dalla definizione dettagliata di ciascuna di approcci pratici per la raccolta e di lavoro con diversi tipi di dati

Rimanere aggiornato sulle normative in materia di privacy

Le definizioni di informazioni personali e dati personali sono in continua evoluzione, per coprire di più e più tipi di dati., Anche le differenze tra i due stanno diventando meno distinte. I requisiti legali sono sempre più severi su entrambe le sponde dell’Atlantico.

Questi cambiamenti porteranno nuove sfide. Per le organizzazioni di tutti i tipi, questo significa dare un’occhiata più da vicino ai dati che raccolgono e tenere il passo con il panorama legale in evoluzione per rimanere conformi.

Speriamo che il nostro post sul blog abbia risposto almeno ad alcune delle tue domande riguardanti PII e dati personali. Ma se volete saperne di più, non esitate a contattarci in qualsiasi momento. I nostri esperti saranno lieti di fornirvi informazioni!

Share

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *