Què és la informació d'identificació personal (PII)?
La informació d'identificació personal (PII) és informació que, quan s'utilitza sol o amb altres dades rellevants, pot identificar una persona. La PII pot contenir identificadors directes (per exemple, informació del passaport) que poden identificar una persona de manera única o quasi-identificadors (per exemple, raça) que es poden combinar amb altres quasi identifiants (per exemple, data de naixement) per reconèixer amb èxit un individu.
Informació sobre identificació personal (PII)
Les plataformes tecnològiques avançades han canviat la manera de funcionar de les empreses, els governs legislen i les relacions particulars. Amb eines digitals com telèfons mòbils, Internet, comerç electrònic i mitjans socials, hi ha hagut una explosió en el subministrament de tot tipus de dades.
Les dades grans, com s’anomena, s’estan recollint, analitzant i processant per empreses i compartint-les amb altres empreses. La riquesa d’informació proporcionada per les grans dades ha permès a les empreses conèixer millor com interactuar millor amb els clients.
Tanmateix, l’aparició de big data també ha augmentat el nombre d’incompliments de dades i ciberatacs d’entitats que s’adonen del valor d’aquesta informació. Com a resultat, s'han plantejat preocupacions sobre com les empreses gestionen la informació sensible dels seus consumidors. Els organismes reguladors busquen noves lleis per protegir les dades dels consumidors, mentre que els usuaris busquen maneres més anònimes de mantenir-se digitals.
Punts clau
- La informació d'identificació personal (PII) és informació que, quan s'utilitza sol o amb altres dades rellevants, pot identificar un individu. La informació identificable personalment sensible pot incloure el seu nom complet, número de Seguretat Social, permís de conduir, informació financera i registres mèdics. La informació identificable i personal sensible és fàcilment accessible des de fonts públiques i pot incloure el vostre codi postal, raça, sexe i data de naixement.
PII sensible i no sensible
La informació d'identificació personal (PII) pot ser sensible o no sensible. La informació personal sensible inclou estadístiques legals com ara:
- Nom complet: informació de la targeta de crèdit
La llista anterior no és en cap cas exhaustiva. Les empreses que comparteixen dades sobre els seus clients normalment utilitzen tècniques d’anonimització per xifrar i obuscar la PII, de manera que es reben de forma no identificable personalment. Una companyia d’assegurances que comparteix la informació dels seus clients amb una empresa de màrqueting emmascararà la PII sensible inclosa a les dades i deixarà només informació relacionada amb l’objectiu de la companyia de màrqueting.
Els PII no sensibles o indirectes són fàcilment accessibles des de fonts públiques, com a guies de telèfon, Internet i directoris corporatius. Exemples de PII no sensibles o indirectes inclouen:
- Codi postalRaceGender Data de naixementPlaça de naixementReligió
La llista anterior conté quasi identificadors i exemples d'informació no sensible que es pot publicar al públic. Aquest tipus d'informació no es pot utilitzar sola per determinar la identitat d'una persona.
Tot i això, la informació no sensible, encara que no és delicada, es pot enllaçar. Això significa que les dades no sensibles, quan s’utilitzen amb altra informació personal enllaçable, poden revelar la identitat d’un individu. La desanonimització i les tècniques de reidentificació solen tenir èxit quan es combinen diversos conjunts de quasi identificadors i es poden utilitzar per distingir una persona de l’altra.
Salvaguardar PII
Diversos països han adoptat diverses lleis de protecció de dades per crear directrius per a empreses que recullen, emmagatzemen i comparteixen informació personal dels clients. Alguns dels principis bàsics exposats per aquestes lleis afirmen que no s'hauria de recopilar informació sensible tret de situacions extremes.
A més, les directrius reguladores estableixen que les dades han de ser eliminades si no es necessiten per a la seva finalitat indicada, i que la informació personal no s'ha de compartir amb fonts que no garanteixin la seva protecció.
Els ciberdelinqüents incompleixen els sistemes de dades per accedir a la PII, que després es ven als compradors disposats als mercats digitals subterranis. Per exemple, el 2015, l’IRS va patir un incompliment de dades que va provocar el robatori de més de cent mil PII dels contribuents. Utilitzant quasi-informació robada de diverses fonts, els autors van poder accedir a una sol·licitud del lloc web de l'IRS responent a preguntes de verificació personal que només haurien de ser privades per als contribuents.
La regulació i la protecció de la informació identificable personal probablement serà un problema dominant per als individus, les corporacions i els governs en els propers anys.
PII A tot el món
La definició de què inclou la PII difereix en funció del lloc on viviu al món. Als Estats Units, el 2007 el govern va definir "identificable personalment" com a qualsevol cosa que pugui "utilitzar-se per distingir o traçar la identitat d'un individu" com ara el nom, SSN, informació sobre biometria, ja sigui sola o amb altres identificadors, com ara la data de naixement, o lloc de naixement.
A la Unió Europea (UE), la definició s’amplia per incloure quasi identificadors tal com s’exposa al Reglament general de protecció de dades (GDPR) que va entrar en vigor el maig del 2018. El GDPR és un marc legal que estableix regles per a la recollida i el processament d’informació personal. per als residents a la UE.
Exemple de PII
A principis del 2018, Facebook Inc. (FB) es va veure embolicada en una gran infracció de dades. Els perfils de 50 milions d’usuaris de Facebook van ser recollits sense el seu consentiment per una empresa externa anomenada Cambridge Analytica segons va informar The Guardian.
Cambridge Analytica va obtenir les seves dades de Facebook mitjançant un investigador que va treballar a la Universitat de Cambridge. L’investigador va crear una aplicació de Facebook que era un test de personalitat. Una aplicació és una aplicació de programari utilitzada en dispositius mòbils i llocs web.
L'aplicació va ser dissenyada per obtenir la informació dels que es van oferir voluntaris per donar accés a les seves dades per a la prova. Malauradament, l’aplicació no només va recollir les dades dels prenedors, sinó que, a causa d’una llacuna al sistema de Facebook, també va poder recopilar dades dels amics i familiars dels participants.
Com a resultat, més de 50 milions d’usuaris de Facebook van exposar les seves dades a Cambridge Analytica sense el seu consentiment. Tot i que Facebook va prohibir la venda de les seves dades, Cambridge Analytica va donar voltes i va vendre les dades per utilitzar-les per a consultoria política.
Mark Zuckerberg, fundador i conseller delegat de Facebook, va publicar una declaració en el llançament de resultats del primer semestre de la companyia:
Estem concentrats a construir la nostra visió centrada en la privadesa per al futur de les xarxes socials i a treballar col·laborativament per abordar qüestions importants a Internet.
L’incompliment de dades no només va afectar els usuaris de Facebook, sinó també els inversors. Els beneficis de Facebook van disminuir un 50% el primer trimestre del 2016 respecte al mateix període d'un any abans. La companyia va acumular 3.000 milions de dòlars en despeses legals i hauria tingut un benefici per acció superior a 1, 04 dòlars sense les despeses, afirmant:
Estimem que el rang de pèrdues en aquesta qüestió és de 3.000 milions de dòlars a 5.05 milions de dòlars. La qüestió encara no s'ha resolt i no hi pot haver cap seguretat sobre el calendari o els termes del resultat final.
Les empreses invertiran sens dubte en maneres de recollir dades, com ara informació identificable personal per oferir productes als consumidors i maximitzar els beneficis. No obstant això, és probable que la regulació i la salvaguarda de la PII siguin un tema dominant en els propers anys.
