Glosario

Información de identificación personal (PII)

¿Qué es la información de identificación personal (PII)?

También abreviada como PII, la información de identificación personal es un término que hace referencia a cualquier información que pueda utilizarse para identificar a personas, ya sea directa o indirectamente. Ejemplos de información que se incluye en la categoría de PII son:

  • nombres y apellidos
  • direcciones de correo electrónico
  • números de pasaporte o de documento de identidad
  • números de la seguridad social
  • matrículas de vehículos
  • números de pasaporte
  • huellas digitales y otros datos biométricos

Todos estos datos pueden utilizarse potencialmente, de forma aislada, para identificar a una persona.

PII es un término legal en algunos países, incluido Estados Unidos, donde se define en la Guía para la Protección de la Confidencialidad de la Información de Identificación Personal (Guide to Protecting the Confidentiality of Personally Identifiable Information), mantenida por el Instituto Nacional de Estándares y Tecnología (NIST). En otros países, la legislación al respecto se refiere simplemente a «información personal».

¿Qué son los cuasi-identificadores?

Aunque no son PII por sí solos, los cuasi-identificadores son grupos de datos que combinados pueden ayudar a identificar a una persona y, por tanto, muchos los consideran igualmente importantes para la protección de la intimidad.

En muchos casos, las combinaciones de diferentes datos como un código postal, una fecha de nacimiento y el sexo, pueden utilizarse conjuntamente para identificar a una persona.

De hecho, un estudio gubernamental estadounidense sugiere que estos datos bastarían para identificar al 87% de la población estadounidense.

Estas combinaciones se conocen como pseudo identificadores o cuasi identificadores. En Europa se clasifican como PII, pero no en Estados Unidos.

Detén el fraude de identidad para siempre

Asóciate con SEON para reducir las tasas de fraude en tu empresa sin que ello afecte a la experiencia del usuario, con enriquecimiento de datos en tiempo real, machine learning y APIs avanzadas.

Pide una Demo

¿Cómo deben tratar las organizaciones los datos personales?

A la hora de determinar cómo gestionar los datos personales, las organizaciones deben tener en cuenta tanto las mejores prácticas como la legislación en materia de privacidad y cumplimiento. 137 de los 194 países del mundo cuentan con legislación específica en materia de protección de datos y privacidad, entre las que se incluyen el GDPR de la UE y la CCPA de California.

Los requisitos exactos para el tratamiento de datos personales son complejos, pero los principios generales son los siguientes:

  1. Las empresas deben practicar la minimización de datos: recopilar y almacenar solo los datos que necesitan para gestionar los servicios que prestan.
  2. Las empresas deben definir la finalidad para la que recogen los datos, documentarla y ponerla a disposición de los clientes.
  3. Los datos deben ser exactos, estar actualizados y conservarse solo el tiempo necesario.
  4. Los datos deben estar codificados, almacenados de forma segura y protegidos contra el acceso no autorizado.
  5. Solo deben recopilarse datos personales cuando sea legal hacerlo.

Vale la pena señalar que, en términos de cumplimiento legal, las empresas a menudo deben tener en cuenta las leyes de todos los países en los que prestan servicios, así como dónde tienen su sede. Por ejemplo, las empresas que operan servicios y sitios web accesibles en la UE tendrán que cumplir con el GDPR, incluso si ellas mismas tienen su sede en los Estados Unidos.

Información de identificación personal (PII) sensible y no sensible

La información de identificación personal se divide a grandes rasgos en sensible y no sensible. La diferencia fundamental es que la PII no sensible es información que está disponible libremente en el dominio público, en fuentes OSINT como guías telefónicas y sitios web públicos. La PII sensible es información que debe mantenerse (y generalmente se mantiene) en privado. Como tal, cuando las empresas hacen uso de ella, debe almacenarse y procesarse de forma segura.

Puede haber matices sobre qué tipos de datos se consideran sensibles y no sensibles en las distintas jurisdicciones.

Ejemplos de PII sensible

  • datos del pasaporte
  • datos de cuentas bancarias
  • contraseñas y datos biométricos
  • números de teléfono personales
  • historiales médicos
  • datos fiscales
  • expedientes personales
 

Ejemplos de PII no sensible

  • direcciones IP
  • números de teléfono profesionales
  • fechas de nacimiento
  • etnias
  • direcciones de casa o del trabajo

En muchos casos, las combinaciones de PII no sensibles facilitan la identificación de las personas, como la combinación de un nombre y una fecha de nacimiento.

Del mismo modo, aunque las simples combinaciones de nombre y apellidos a menudo no permiten identificar a una persona (porque muchas otras personas comparten el mismo nombre), la adición de segundos nombres u otros datos sí permite identificar a una persona.

Cómo proteger la información de identificación personal (PII) de tus clientes

Si diriges una empresa, no proteger la información de identificación personal de tus clientes puede tener graves consecuencias, desde posibles filtraciones de datos hasta sanciones por incumplimiento de la normativa. Además, la privacidad preocupa cada vez más a los consumidores, por lo que las filtraciones de PII pueden afectar a tu reputación.

He aquí algunas medidas clave que debes tomar:

  • Minimiza los datos. Solo recopila y almacena la información esencial para ofrecer tus productos y servicios. 
  • Asegúrate de que los datos están encriptados y de que se toman las precauciones adecuadas al almacenarlos, procesarlos y trasladarlos.
  • Solo permite el acceso a la información personal a aquellos miembros del personal que la necesiten específicamente para realizar su trabajo.
  • Educa a los clientes en los principios de la conciencia cibernética.
  • Garantiza el cumplimiento de la normativa local e internacional sobre seguridad de datos, recurriendo a la ayuda de expertos si es necesario.
 

¿Cómo puede hackearse la información de identificación personal (PII)?

Las filtraciones de datos de identificación personal son una de las principales causas de preocupación para empresas y particulares, ya que la información puede utilizarse para cometer más fraudes, causando pérdidas económicas a la persona o incluso implicándola en actividades criminales.

Dicha información también puede obtenerse mediante el shoulder-surfing, la ingeniería social, el acceso físico no autorizado, la irrupción en sistemas y dispositivos, y otros métodos.

Algunas PII como las huellas digitales constituyen datos biométricos y, de hecho, el hackeo de datos biométricos es un problema cada vez más grave en todo el mundo y a menudo implica la reproducción de las características biométricas utilizadas para identificar a la persona.

Una vez hackeada o robada, la PII es utilizada por los estafadores para permitir el fraude de identidad y varios otros tipos de esquemas. Además, puede combinarse con puntos de datos inventados para crear identidades sintéticas, que se utilizan de forma similar a los documentos de identidad falsos y robados.

Cómo proteger tu propia información de identificación personal (PII)

A continuación te indicamos algunas formas en las que tú, como individuo, puedes proteger tu PII:

  • Mantente alerta en el ciberespacio, sobre todo en lo que se refiere a estafas como el phishing y la ingeniería social.
  • Evita juegos y concursos en redes sociales que te obliguen a facilitar innecesariamente información personal o autorización para acceder a dicha información.
  • Utiliza VPN en redes Wi-Fi públicas.
  • Sé selectivo a la hora de compartir información como datos del pasaporte y números de seguridad social. Adopta una alta vara de confianza cuando compartas estos datos con empresas.
  • Cifra los archivos de datos confidenciales.
  • Utiliza contraseñas complejas y no las escribas ni almacene en formato de texto plano. Considera la posibilidad de utilizar un gestor de contraseñas de confianza.
  • Sé consciente de los métodos físicos que pueden utilizar los estafadores para acceder a la información de identificación personal, desde buscar en papeleras de reciclaje hasta escudriñar detrás de computadoras portátiles y teléfonos inteligentes en lugares públicos.

Cómo intentan los gobiernos proteger tu información

Los gobiernos adoptan dos enfoques clave para ayudar a proteger la información de identificación personal de los ciudadanos:

  • la imposición de legislación de protección de la privacidad, como el GDPR y la Ley de Protección de Datos
  • campañas de concientización para ayudar a las personas a aprender a proteger sus propios datos

Es importante reconocer, en ambos casos, que las autoridades generalmente tienden a trasladar la responsabilidad a las empresas y los individuos.

Las diferentes normativas de cada país -e incluso de cada estado de EE.UU- hacen que no se tomen medidas específicas a escala mundial para proteger la información de identificación personal. En última instancia, son las empresas y los particulares quienes deben hacer todo lo posible para proteger esta información.