Privacidad descifrada #7: ¿Qué es PII? Si estás investigando las leyes de privacidad de datos, eventualmente encontrarás los términos «información de identificación personal» y «datos personales». Explicamos qué significan esos términos, en qué se diferencian y qué puedes hacer para proteger tu PII en línea.

Si bien son conceptos similares con una gran cantidad de superposición, la información de identificación personal (PII) cubre una gama más limitada de datos y es el enfoque principal de las leyes de privacidad de datos en los EE.UU., mientras que los datos personales cubren una gama más amplia de datos y es el principal enfoque del RGPD.

Una forma sencilla de mantenerlos en orden es recordar que toda la PII se considera información personal, pero no toda la información personal se considera PII .   

Es importante conocer estos términos porque los datos que describen califican para protecciones especiales. Según el RGPD, puedes solicitar que una organización elimine tus datos personales de sus sistemas o que te envíen una copia para que puedas llevársela a otra organización. Y según las leyes de privacidad de datos en los EE.UU., las organizaciones tienen prohibido recopilar o compartir ciertos tipos de PII.

También puedes mejorar tu privacidad simplemente limitando la cantidad de PII que compartes y sabiendo cómo eliminar o proteger los datos que ya existen. 

¿Qué es la información de identificación personal?

Esto es un poco complicado, ya que lo que califica como «datos personales» o «información de identificación personal» puede variar según el país en el que vivas. Veremos cómo los EE.UU. definen la PII y cómo la UE define los datos personales, ya que esas dos definiciones el mayor impacto en Internet. 

Según el Instituto Nacional de Estándares y Tecnología (NIST) de EE.UU., PII se refiere a cualquier información que se pueda usar para distinguir o rastrear la identidad de una persona o cualquier otra información que esté vinculada o pueda vincularse a una persona. 

Una lista no exhaustiva de información que se puede utilizar para distinguir o rastrear su identidad incluye:

  • Información de identificación personal: nombre, número de Seguro Social (en los EE.UU.), número de pasaporte, número de licencia de conducir o número de identificación fiscal. 
  • Dirección personal: domicilio o dirección de correo electrónico.
  • Número de teléfono personal.
  • Información de salud protegida: números de registros médicos, historiales médicos, resultados de pruebas o número de seguro médico.
  • Registros financieros: números de tarjetas de crédito o débito, números de cuentas bancarias u otra información bancaria o financiera.
  • Fotografías: particularmente con tu cara u otras características de identificación visibles.
  • Datos biométricos: huellas dactilares, escaneos de retina, firmas de voz o geometría facial.
  • Números de identificación de los objetos que posee:s Número de identificación del vehículo (VIN), número de título de propiedad o del vehículo.

La información vinculable es esencialmente información que por sí sola no puede identificarte, pero puede revelar tu identidad cuando se combina con otros datos. Los tipos de datos vinculables incluyen tu:

  • Fecha de nacimiento.
  • Lugar de nacimiento.
  • Nombre de soltera de la madre.
  • Número de teléfono laboral.
  • Direcciones IP.
  • Dirección postal o de correo electrónico de la empresa.
  • Raza.
  • Religión.
  • Indicadores geográficos.
  • Información de Empleo.
  • Información médica.
  • Información sobre Educación.
  • Información financiera.

En los EE.UU., la PII se rige a nivel federal por la Ley de privacidad de 1974. Como cabría esperar de la legislación de la década de 1970, no se redactó pensando en Internet y es ambigua en muchas situaciones. Las leyes más recientes cubren partes específicas de la PII (HIPAA cubre la «información de salud protegida», COPPA cubre la PII de los niños, la Ley de privacidad del consumidor de California cubre la PII de los californianos, etc.), pero actualmente no existe un equivalente estadounidense para el RGPD de la UE. 

Este enfoque fragmentario es solo una razón más por la que EE. UU. necesita una nueva legislación sobre privacidad de datos.

¿Qué son los datos personales?

Una definición de sentido común de datos personales es cualquier información que se relaciona con un individuo identificado o identificable que está vivo.

Si vives en la Unión Europea, el RGPD rige cómo se pueden recopilar y utilizar tus datos personales. El RGPD explica lo que legalmente considera datos personales en el Artículo 4.(1). Su definición es muy inclusiva y abarca cualquier información que se relacione con una persona en particular. 

Este RGPD instruye a los reguladores a interpretar «cualquier información» de la manera más amplia posible, lo que cubre más información de la que la mayoría de los países reconocen. Esto significa que, según el RGPD, los datos personales incluyen la lista de PII anterior, así como:

  • Afiliación sindical.
  • Información genética.
  • Opiniones políticas.
  • Convicciones religiosas e ideológicas.

Los datos personales también pueden incluir datos inocuos si actúan como un cuasi-identificador. Por ejemplo, «pizza de pepperoni», por sí solo, no es un dato personal. Sin embargo, si se almacena en un archivo como su comida favorita, se trata de datos personales. Se convierte en datos personales debido a su conexión contigo.

El contexto en el que se utiliza una parte de los datos puede afectar si también se consideran datos personales. En este ejemplo, supón que estás en el fondo de una foto de un paisaje. Si esa foto está impresa en un libro de fotografía privado, no es un dato personal. Sin embargo, esa misma foto en manos de un investigador podría ser considerada como dato personal. 

Más información sobre lo que el RGPD considera datos personales

¿Cómo afecta la anonimización a los datos personales?

La anonimización es el procesamiento de datos para que no se puedan utilizar para identificar directa o indirectamente a una persona. («Identificar indirectamente» significa que no debería poder combinarlo con otros datos para identificar a una persona). Para que los datos sean realmente anónimos, este proceso también debe ser irreversible. Este proceso es importante porque los datos personales que han sido anonimizados ya no califican como datos personales y ya no requieren protecciones especiales bajo el RGPD o las leyes de privacidad de EE.UU.

¿Dónde podría un ladrón de identidad acceder a mis datos personales? 

Desafortunadamente, hay muchos lugares donde se puede acceder a tus datos personales en Internet, a menudo sin su conocimiento. Estos son algunos de los lugares más comunes en los que tus datos pueden estar expuestos en Internet.

Redes sociales

Este es el lugar obvio para comenzar. Incluso si no lo indicas directamente en tu perfil de Facebook o Twitter cuál es tu nombre, cumpleaños o dirección, un atacante generalmente puede deducir esta información revisando tus publicaciones y las de tus amigos. Por ejemplo, al encontrar la foto de un amigo tuyo apagando las velas de un pastel frente a los globos que dicen «¡Tienes 30 años!», alguien puede averiguar tu edad, cuándo es tu cumpleaños, quiénes son tus amigos cercanos y familiares, y si prefieres glaseado de chocolate o vainilla.

Corredores de datos

Hay docenas de corredores de datos, como Whitepages, Intelius y Spokeo, que recopilan datos en Internet sobre ti y los combinan con registros públicos y otros conjuntos de datos disponibles públicamente. Luego venden estos datos, generalmente a los anunciantes, pero a menudo también están disponibles en Internet para cualquier persona con una suscripción.

Violaciones de datos

Si bien la cantidad varía, todas las compañías te solicitan cierta información personal cuando te registras o creas un perfil en Internet. Cualquier dato que compartas con ellos podría quedar expuesto si esa empresa o servicio sufre una violación de datos.

Ataques de phishing

Los atacantes también pueden intentar engañarlo para que reveles datos personales con ataques de phishing. Por lo general, intentan inculcar un sentido de urgencia en un intento de hacerte responder sin pensar, pero puedes evitar que te engañen siempre que estés atento. Si alguna vez tiene dudas, no compartas tus datos personales hasta que hayas verificado quién está al otro lado del correo electrónico o mensaje que recibiste.

¿Cómo puedo eliminar mis datos personales de Internet?

La forma más fácil de proteger tus datos personales es no compartirlos en primer lugar, pero esta no es la única opción. Si deseas proteger tu privacidad, puedes tomar medidas para limitar la cantidad de tus datos personales en Internet.

Eliminar o bloquear sus cuentas de redes sociales

La opción más segura es descargar tus datos de Facebook, Instagram, Twitter, Snapchat, TikTok, Linkedin y cualquier otro servicio de redes sociales que uses y eliminar tus cuentas. Sin embargo, esta no es tu única opción. Todas las principales plataformas de redes sociales te permiten limitar quién ve tus publicaciones y tu perfil. Esta es una alternativa efectiva si no quieres eliminarte por completo de las redes sociales. 

Elimine su perfil de los sitios web de los corredores de datos

Los corredores de datos están legalmente obligados a eliminar tus datos si tu se lo solicitas, por lo que ese debería ser tu próximo paso. El beneficio adicional aquí es que esto también eliminará la mayoría de sus datos personales de los resultados de búsqueda de Google. 

Desafortunadamente, si lo haces tu mismo, deberás comunicarte con cada corredor de datos individualmente. Sin embargo, esta guía te guiará a través de los pasos de exclusión voluntaria para todos los corredores de datos más populares.

Limita la cantidad de datos que compartes con los servicios en Internet

Debes tratar todos los servicios en Internet en los que te registres como si pudieran ser violados. Esto significa limitar la información que compartes al mínimo absoluto que necesita para brindarle el servicio que deseas. Pasos simples, como eliminar un número de tarjeta de crédito guardado o una dirección particular de su perfil, pueden evitar que tus datos personales queden expuestos si se produce una infracción. 

Usa servicios que utilicen un cifrado fuerte y que tengan un buen historial

Si bien es extremadamente difícil prevenir definitivamente todas las violaciones de datos, las empresas pueden tomar medidas proactivas para mitigar el daño que causaría una violación. Por ejemplo, ProtonMail almacena todos los correos electrónicos en sus servidores utilizando cifrado de acceso ceroProtonMail cifra tus mensajes con tu clave pública y solo se pueden descifrar con tu clave privada, a la que no se tiene acceso. Esto significa que si alguna vez ProtonMail sufre una violación de datos, tus mensajes permanecerán seguros.

Esta no es una lista exhaustiva, pero seguir estos cuatro pasos reducirá drásticamente la cantidad de tus datos personales a los que se puede acceder fácilmente en Internet y, en última instancia, mejorará tu privacidad.

Para proteger tus datos personales y asegurar tu correo electrónico, prueba ProtonMail gratis. Creemos que deberías poder elegir lo que sucede con tus datos. Únate a nosotros en nuestra lucha por una Internet donde la privacidad sea la norma.