La PII puede ser de dos tipos: identificadores directos e identificadores indirectos. Los identificadores directos son aquellos que son únicos para cada persona, e incluyen, por ejemplo, el número de pasaporte o el de la licencia de conducir. Un único identificador directo suele ser suficiente para determinar la identidad de alguien.

Los identificadores indirectos no son únicos. Incluyen detalles personales más generales, como la raza y el lugar de nacimiento. Si bien un único identificador indirecto no puede distinguir a una persona, una combinación de estos sí. Por ejemplo, el 87 por ciento de los ciudadanos estadounidenses (PDF, 303 KB) (enlace externo a ibm.com) podría identificarse basándose únicamente en su género, código postal y fecha de nacimiento.

No todos los datos personales se consideran PII. Por ejemplo, los datos sobre los hábitos de consumo de streaming de una persona no son PII, porque sería difícil, si no imposible, saber quién es alguien basándose únicamente en lo que ha visto en Netflix. La PII solo se refiere a la información que apunta a una persona en particular, como el tipo de información que podría proporcionar para verificar su identidad cuando se comunique con su banco.

En la PII, hay información más confidencial que otra. La PII confidencial es información confidencial que identifica directamente a una persona y puede causar un daño significativo en caso de filtración o robo. Un número de seguridad social (NSS) es un buen ejemplo de PII confidencial. Debido a que muchas agencias gubernamentales e instituciones financieras usan el NSS para verificar la identidad de las personas, un delincuente que roba un NSS podría acceder fácilmente a los registros de impuestos o cuentas bancarias de su víctima. Otros ejemplos de PII confidencial incluyen:

• Números de identificación únicos, como números de licencia de conducir, números de pasaporte y otros números de identificación emitidos por el gobierno
• Datos biométricos, como huellas dactilares y escaneos de retina.
• Información financiera, incluidos números de cuentas bancarias y números de tarjetas de crédito
• Registros médicos

Por lo general, la PII confidencial no está disponible a nivel público, y la mayoría de las leyes actuales de protección de datos exigen que las organizaciones los protejan mediante cifrado, controlen quién accede a ellos o adopten otras medidas de ciberseguridad.

La PII no confidencial es información personal que, aisladamente, no causaría un daño significativo a una persona si se filtrara o robara. Puede o no ser exclusivo de una persona. Por ejemplo, los alias de redes sociales serían PII no confidencial: podría identificar a alguien, pero un actor malicioso no podría cometer robo de identidad únicamente con el nombre en una cuenta de redes sociales. Otros ejemplos de PII no confidencial incluyen:

• El nombre completo de una persona
• El apellido de soltera de la madre
• El número de teléfono
• La dirección IP
• El lugar de nacimiento
• La fecha de nacimiento
• Detalles geográficos (código postal, ciudad, estado, país, etc.)
• Información laboral
• E-mail o domicilio postal
• Raza o etnia
• Religión

La PII no confidencial a menudo está disponible públicamente. Por ejemplo, los números de teléfono pueden estar incluidos en una guía telefónica y los domicilios pueden estar incluidas en los registros de propiedad pública del gobierno local. Algunas regulaciones de privacidad de datos no requieren la protección de la PII no confidencial pero, de cualquier forma, muchas empresas implementan medidas. Esto se debe a que los delincuentes pueden causar problemas al reunir varias piezas de PII no confidencial.

Por ejemplo, un hacker podría entrar en la aplicación de la cuenta bancaria de alguien con su número de teléfono, e-mail y el apellido materno. El e-mail les da un nombre de usuario, falsificar el número de teléfono les da una forma de recibir un código de verificación y el apellido materno les da una respuesta a la pregunta de seguridad.

Es importante tener en cuenta que si algo cuenta como PII confidencial o no confidencial depende en gran medida del contexto. Un nombre completo por sí solo puede no ser confidencial, pero una lista de personas que han visitado a un determinado médico sí lo sería. De manera similar, el número de teléfono de una persona puede estar disponible públicamente, pero una base de datos de números de teléfono utilizados para la autenticación de dos factores en un sitio de redes sociales sería considerado como PII confidencial.

¿Cuándo la información confidencial se convierte en PII?

El contexto también determina si algo se considera PII. Por ejemplo, los datos de geolocalización anónimos agregados a menudo se consideran datos personales genéricos, porque no se puede aislar la identidad de ningún usuario específico. Sin embargo, los registros individuales de datos de geolocalización anónimos pueden convertirse en PII, como lo demuestra un proceso judicial reciente de la Comisión Federal del Comercio (FTC)  (enlace externo a ibm.com). La FTC sostiene que el broker de datos Kochava estaba vendiendo datos de geolocalización considerados PII porque "los canales de información de datos personalizados de la empresa permiten a los compradores identificar y monitorizar a usuarios específicos de dispositivos móviles. Por ejemplo, la ubicación de un dispositivo móvil durante la noche muy probablemente se refiera al domicilio del usuario, y esta combinación podría resultar en registros para descubrir su identidad".

Los avances en la tecnología también hacen que las personas sean identificadas con menos información, lo que potencialmente disminuye el umbral de lo que es considerado PII. Por ejemplo, investigadores de IBM y de la Universidad de Maryland idearon un algoritmo (PDF, 959 KB)  (enlace externo a ibm.com) para identificar a personas específicas mediante la combinación de datos de ubicación anónimos con información disponible públicamente de sitios de redes sociales.

Regulaciones internacionales de privacidad

Según MacKinsey (enlace externo a ibm.com), el 75 por ciento de los países han implementado leyes de privacidad de datos que rigen la recopilación, retención y uso de PII. Cumplir con estas regulaciones puede ser difícil porque diferentes jurisdicciones pueden tener reglas distintas, o incluso contradictorias. El auge de la computación en la nube y el trabajo remoto también representan un desafío. En estos entornos, los datos pueden recopilarse en un lugar, almacenarse en otro y procesarse en un tercero. Se pueden aplicar diferentes regulaciones a los datos en cada etapa, dependiendo de la ubicación geográfica.

Para complicar aún más las cosas, diferentes regulaciones establecen diferentes estándares sobre qué tipo de datos deben protegerse. El Reglamento General de Protección de Datos (GDPR) de la Unión Europea requiere que las organizaciones protejan todos los datos personales, lo que se define (enlace externo a ibm.com) como "cualquier información relacionada con una persona física identificada o identificable". Según el GDPR, las organizaciones deben proteger la PII confidencial y no confidencial, pero también cosas que podrían ni siquiera considerarse datos confidenciales en otros contextos, como opiniones políticas, afiliaciones organizacionales y descripciones de características físicas. 

Regulaciones de privacidad de los EE. UU.

La Oficina de Administración y Presupuesto (OMB) del gobierno de los EE. UU. define más estrechamente la PII (PDF, 227 KB) (enlace externo a ibm.com) como

[I]nformación que se puede utilizar para distinguir o rastrear la identidad de una persona, como su nombre, número de seguridad social, registros biométricos, etc. de forma individual, o cuando se combina con otra información personal o de identificación que está vinculada o puede vincularse a una persona específica, como la fecha y el lugar de nacimiento, el apellido de soltera de la madre, etc.

Tal comoseñala el analista de Gartner Bart Willemsen (enlace externo a ibm.com): "En los EE. UU., la PII históricamente se refiere a dos o tres docenas de identificadores como nombre, dirección, NSS, licencia de conducir o número de tarjeta de crédito".

Si bien los EE. UU. carecen de leyes de privacidad de datos a nivel federal, las agencias gubernamentales están sujetas a la Ley de privacidad de 1974, que rige la forma en que las agencias federales recopilan, usan y comparten PII. Algunos estados de EE. UU. tienen sus propias normas de privacidad de datos, sobre todo California. La Ley de Privacidad del Consumidor de California (CCPA) y la Ley de Derechos de Privacidad de California (CPRA) otorgan a los consumidores ciertos derechos sobre cómo las organizaciones recopilan, almacenan y usan su PII.

Regulaciones de privacidad específicas de las industrias

Algunas industrias también tienen sus propias regulaciones de privacidad de datos. En los EE. UU., la Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPAA) rige cómo las organizaciones de cuidado de la salud recopilan y protegen los registros médicos y la PII del paciente. De manera similar, la Norma de Seguridad de Datos en la Industria de Tarjetas de Pago (PCI DSS) es un estándar de la industria financiera global sobre cómo las compañías de tarjetas de crédito, los comerciantes y los procesadores de pagos manejan la información confidencial del titular de la tarjeta.

La investigación sugiere que las organizaciones han tenido dificultades para operar dentro de este panorama variable de leyes y estándares de la industria. Según ESG (enlace externo a ibm.com), el 66 % de las empresas que se han sometido a auditorías de privacidad de datos en los últimos tres años han fallado al menos una vez, y el 23 % ha fallado tres o más veces. El incumplimiento de las normas de privacidad de datos pertinentes puede dar lugar a multas, daños a la reputación, pérdida monetarias y otras consecuencias para las organizaciones. Por ejemplo, Amazon fue multado con USD 888 millones por violar el GDPR en 2021 (enlace externo a ibm.com).

Los hackers roban la PII por muchas razones: para cometer robo de identidad, para chantajear o para venderla en el mercado negro, donde pueden obtener hasta USD 1 por número de seguridad social y USD 2,000 por número de pasaporte (enlace externo a ibm.com). También puede que lo hagan como parte de un ataque mayor: que la retengan mediante ransomware o la roben para apoderarse de las cuentas de e-mail de los ejecutivos y utilizarlas en estafas de spear phishing y business email compromise (BEC).

Los ciberdelincuentes a menudo usan ataques de ingeniería social para engañar a las víctimas desprevenidas para que entreguen voluntariamente PII, pero también pueden comprarla en la Dark Web u obtener acceso como parte de una brecha de seguridad de datos más grande. La PII puede ser robada físicamente hurgando en la basura de una persona o espiándola mientras usa una computadora. Los actores maliciosos también pueden supervisar las cuentas de redes sociales de un objetivo, donde muchas personas, sin saberlo, comparten PII no confidencial todos los días. Con el tiempo, un atacante puede reunir suficiente información para hacerse pasar por una víctima o entrar en sus cuentas.

Proteger la PII puede ser complicado para las organizaciones. El crecimiento de la computación en la nube y los servicios SaaS significa que la PII puede almacenarse y procesarse en múltiples ubicaciones en lugar de una única red centralizada. De acuerdo con un informe de ESG  (enlace externo a ibm.com), se espera que la cantidad de datos confidenciales almacenados en nubes públicas se duplique para 2024, y más de la mitad de las organizaciones creen que estos datos no son lo suficientemente seguros.

Para proteger la PII, las organizaciones suelen crear estándares de privacidad de datos. Estos estándares pueden tomar diferentes formas según la organización, la PII que recopila y las regulaciones de privacidad de datos que debe seguir. Como ejemplo, el Instituto Nacional de Estándares y Tecnología (NIST) proporciona el siguiente ejemplo (enlace externo a ibm.com):

1. Identificar toda la PII en los sistemas de la organización.

2. Minimizar la recopilación y el uso de PII, y eliminar regularmente cualquier PII que ya no se necesite.

3. Categorizar la PII según el nivel de confidencialidad.

4. Aplicar controles de seguridad de datos. Estos controles pueden incluir:

• Cifrado: cifrar la PII en tránsito, en reposo y en uso a través del cifrado homomórfico o la computación confidencial puede ayudar a mantener la PII segura y compatible, independientemente de dónde se almacene o maneje.
  
  
• Gestión de identidades y accesos (IAM): la autenticación de dos factores o de múltiples factores puede levantar más barreras entre los hackers y los datos confidenciales. De manera similar, hacer cumplir el principio de privilegios mínimos a través de una arquitectura de confianza cero y controles de acceso basados en roles (RBAC) puede limitar la cantidad de PII a la que pueden acceder los hackers si violan la red.
  
  
• Capacitación: esto puede incluir capacitar a los empleados sobre el manejo y la eliminación adecuados de la PII y capacitar a los empleados sobre la protección de su propia PII (p. ej., capacitación contra el phishing, capacitación en ingeniería social, capacitación sobre redes sociales).
  
  
• Anonimización: la anonimización de datos es el proceso de eliminar las características de identificación de los datos confidenciales. Las técnicas comunes de anonimización incluyen la eliminación de identificadores de los datos, la agregación de datos o la adición estratégica de ruido a los datos.
  
  
• Herramientas de ciberseguridad: las herramientas de prevención de pérdida de datos (DLP) pueden ayudar a rastrear los datos a medida que se mueven por la red, lo que facilita la detección de fugas e infracciones. Otras soluciones de ciberseguridad que ofrecen vistas de alto nivel de la actividad en la red, como las herramientas de detección y respuesta extendidas (XDR), también pueden ayudar a rastrear el uso y el mal uso de PII.

5. Redactar un plan de respuesta a incidentes para filtraciones y brechas de PII.

Vale la pena señalar que el NIST y otros expertos en privacidad de datos a menudo recomiendan aplicar diferentes controles a diferentes conjuntos de datos según su confidencialidad. El uso de controles estrictos para datos no confidenciales puede ser engorroso y poco rentable.