La PII se presenta en dos tipos: identificadores directos e identificadores indirectos. Los identificadores directos son exclusivos de una persona e incluyen cosas como el número de pasaporte o de carné de conducir. Un único identificador directo suele bastar para determinar la identidad de alguien.

Los identificadores indirectos no son únicos. Incluyen datos personales más generales como la raza y el lugar de nacimiento. Aunque un único identificador indirecto no puede identificar a una persona, una combinación sí puede. Por ejemplo, el 87 % de los ciudadanos estadounidenses (enlace externo a ibm.com) podrían ser identificados basándose únicamente en su sexo, código postal y fecha de nacimiento.

No todos los datos personales se consideran PII. Por ejemplo, los datos sobre los hábitos de streaming de una persona no son PII. Esto se debe a que sería difícil, si no imposible, identificar a alguien basándose únicamente en lo que ha visto en Netflix. La PII sólo se refiere a la información que señala a una persona concreta, como el tipo de información que usted podría facilitar para verificar su identidad al ponerse en contacto con su banco.

Entre la PII, algunas piezas de información son más sensibles que otras. La PII sensible es información delicada que identifica directamente a un individuo y que podría causar un daño significativo si se filtrara o fuera robada.

Un número de la seguridad social (NUSS) es un buen ejemplo de PII sensible. Dado que muchas agencias gubernamentales e instituciones financieras utilizan los NUSS para verificar la identidad de las personas, un delincuente que robe uno podría acceder fácilmente a los registros fiscales o a las cuentas bancarias de su víctima. Otros ejemplos de PII sensible son:

• Números de identificación únicos, como números de carné de conducir, números de pasaporte y otros números de identificación emitidos por el gobierno.
• Datos biométricos, como huellas dactilares y escáneres de retina.
• Información financiera, incluidos números de cuentas bancarias y de tarjetas de crédito.
• Historiales médicos

La IPI sensible no suele estar a disposición del público, y la mayoría de las leyes vigentes sobre privacidad de datos exigen a las organizaciones que la protejan mediante su cifrado, el control de quién accede a ella o la adopción de otras medidas de ciberseguridad.

La PII no sensible son datos personales que, de forma aislada, no causarían un daño significativo a una persona si se filtraran o fueran robados. Puede o no ser exclusiva de una persona. Por ejemplo, un nombre de usuario de una red social sería PII no sensible: podría identificar a alguien, pero un actor malicioso no podría cometer un robo de identidad armado únicamente con un nombre de cuenta de una red social. Otros ejemplos de PII no sensible incluyen:

• El nombre completo de una persona
• Apellido de soltera de la madre
• Número de teléfono
• Dirección IP
• Lugar de nacimiento
• Fecha de nacimiento
• Detalles geográficos (código postal, ciudad, estado, país, etc.)
• Información sobre empleo
• Dirección de correo electrónico o dirección postal
• Raza o etnia
• Religión

La PII no confidencial suele estar disponible públicamente. Por ejemplo, los números de teléfono pueden aparecer en una guía telefónica y las direcciones pueden aparecer en los registros de propiedad pública de un gobierno local. Algunas normativas sobre protección de datos no exigen la protección de la PII no sensible, pero muchas empresas establecen medidas de protección de todos modos. Esto se debe a que los delincuentes podrían causar problemas juntando varias piezas de PII no sensible.

Por ejemplo, un pirata informático podría entrar en la aplicación de la cuenta bancaria de alguien con su número de teléfono, su dirección de correo electrónico y el apellido de soltera de su madre. El correo electrónico les proporciona un nombre de usuario. La suplantación del número de teléfono permite a los piratas informáticos recibir un código de verificación. El nombre de soltera de la madre proporciona una respuesta a la pregunta de seguridad.

Es importante señalar que el hecho de que algo cuente como PII sensible o no sensible depende en gran medida del contexto. Un nombre completo por sí solo puede no ser sensible, pero una lista de personas que han visitado a un determinado médico sí lo sería. Del mismo modo, el número de teléfono de una persona puede estar a disposición del público, pero una base de datos de números de teléfono utilizada para la autenticación de dos factores en una red social sería PII sensible.

¿Cuándo se convierte la información confidencial en PII?

El contexto también determina si algo se considera PII o no. Por ejemplo, los datos anónimos agregados de geolocalización suelen considerarse datos personales genéricos porque no se puede aislar la identidad de un único usuario.

Sin embargo, los registros individuales de datos de geolocalización anónimos pueden convertirse en PII, como demuestra una reciente demanda de la Comisión Federal de Comercio (FTC) (enlace externo a ibm.com).

La FTC argumenta que el corredor de datos Kochava vendía datos de geolocalización que contaban como PII porque " las fuentes de datos personalizados de la empresa permiten a los compradores identificar y rastrear a usuarios específicos de dispositivos móviles. Por ejemplo, la ubicación de un dispositivo móvil por la noche es probablemente la dirección del domicilio del usuario y podría combinarse con los registros de la propiedad para descubrir su identidad".

Los avances tecnológicos también están facilitando la identificación de las personas con menos datos, lo que podría reducir el umbral de lo que se considera PII en general. Por ejemplo, investigadores de IBM y de la Universidad de Maryland han ideado un algoritmo (enlace externo a ibm.com). Este algoritmo identifica a personas concretas combinando datos de localización anónimos con información disponible públicamente procedente de redes sociales.

Normativa internacional sobre privacidad

Según McKinsey (enlace externo a ibm.com), el 75 % de los países han implementado leyes de protección de datos que regulan la recopilación, conservación y uso de la PII. El cumplimiento de estas normativas puede resultar difícil porque las distintas jurisdicciones pueden tener normas diferentes o incluso contradictorias.

El auge del cloud computing y del personal a distancia también plantea un reto. En estos entornos, los datos pueden recogerse en un lugar, almacenarse en otro y procesarse en un tercero. Es posible que se apliquen diferentes normativas a los datos en cada etapa, en función de la ubicación geográfica.

Para complicar aún más las cosas, las distintas normativas establecen diferentes estándares sobre qué tipos de datos deben protegerse. El Reglamento General de Protección de Datos (RGPD) de la Unión Europea obliga a las organizaciones a proteger todos los datos personales, definidos (enlace externo a ibm.com) como "cualquier información relativa a una persona física identificada o identificable".

Según el RGPD, las organizaciones deben proteger la PII sensible y no sensible. También deben proteger cosas que en otros contextos ni siquiera se considerarían datos confidenciales. Esta información incluye opiniones políticas, afiliaciones a organizaciones y descripciones de características físicas. 

Regulaciones de privacidad de EE. UU.

La Oficina de Gestión y Presupuesto del gobierno de EE. UU. (OMB) define la PII de forma más estricta (enlace externo a ibm.com):

Información que puede utilizarse para distinguir o rastrear la identidad de un individuo, como su nombre, número de la seguridad social, registros biométricos, etc. por sí sola, o cuando se combina con otra información personal o identificativa que está vinculada o es vinculable a un individuo concreto, como la fecha y el lugar de nacimiento, el apellido de soltera de la madre, etc.

En palabras de Bart Willemsen, analista de Gartner, (enlace externo a ibm.com): "En EE. UU. la PII se refiere históricamente a dos o tres docenas de identificadores como el nombre, la dirección, el NSS, el carné de conducir o el número de la tarjeta de crédito".

Aunque EE. UU. carece de leyes de protección de datos a nivel federal, las agencias gubernamentales están sujetas a la Ley de Privacidad de 1974, que rige la forma en que las agencias federales recopilan, utilizan y comparten la PII. Algunos estados de EE. UU. tienen su propia normativa sobre protección de datos, entre los que destaca California. La California Consumer Privacy Act (CCPA) y la Ley de Derechos de Privacidad de California (CPRA) conceden a los consumidores ciertos derechos sobre la forma en que las organizaciones recopilan, almacenan y utilizan su PII.

Normativas de privacidad específicas para cada sector

Algunos sectores también tienen sus propias normativas sobre protección de datos. En Estados Unidos, la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) regula la forma en que las organizaciones sanitarias recopilan y protegen los historiales médicos y la información personal de los pacientes.

Del mismo modo, el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) es un estándar global del sector financiero sobre cómo las compañías de tarjetas de crédito, los comerciantes y los procesadores de pagos manejan la información confidencial de los titulares de tarjetas.

Los estudios sugieren que las organizaciones han tenido dificultades para navegar por este variado panorama de leyes y normas sectoriales. Según ESG (enlace externo a ibm.com), el 66 % de las empresas que se han sometido a auditorías de protección de datos en los últimos tres años han fracasado al menos una vez, y el 23 % lo han hecho tres o más veces.

El incumplimiento de la normativa pertinente sobre protección de datos puede acarrear multas, daños a la reputación, pérdidas de negocio y otras consecuencias para las organizaciones. Por ejemplo, Amazon fue multada con 888 millones de dólares por violar el RGPD en 2021 (enlace externo a ibm.com).

Los hackers roban la PII por muchas razones: para cometer robos de identidad, para chantajear o para venderla en el mercado negro, donde pueden llegar a alcanzar hasta 1 USD por un número de la seguridad social y 2000 USD por un número de pasaporte (enlace externo a ibm.com). 

Los piratas informáticos también pueden apuntar a la PII como parte de un ataque mayor: pueden tomarla como rehén utilizando ransomware o robar PII para apoderarse de las cuentas de correo electrónico de los ejecutivos para utilizarlas en estafas de spear phishing y ataques de correo electrónico empresarial comprometido (BEC).

Los ciberdelincuentes suelen utilizar ataques de ingeniería social para engañar a víctimas desprevenidas y conseguir que entreguen voluntariamente su información personal, pero también pueden comprarla en la dark web o acceder a ella como parte de una filtración de datos de mayor envergadura. La PII puede robarse físicamente hurgando en la basura de una persona o espiándola mientras utiliza un ordenador.

Los actores maliciosos también pueden vigilar las cuentas de las redes sociales de un objetivo, donde muchas personas comparten a diario PII no sensible sin saberlo. Con el tiempo, un atacante puede reunir suficiente información para hacerse pasar por una víctima o entrar en sus cuentas.

Para las organizaciones, la protección de la PII puede resultar complicada. El crecimiento del cloud computing y de los servicios SaaS implica que la PII puede almacenarse y procesarse en varias ubicaciones en lugar de en una única red centralizada.

Según un informe de ESG (enlace externo a ibm.com), se espera que la cantidad de datos confidenciales almacenados en la nube pública se duplique para 2024, y más de la mitad de las organizaciones creen que estos datos no están suficientemente seguros.

Para salvaguardar la PII, las organizaciones suelen crear marcos para la protección de datos. Estos marcos pueden adoptar diferentes formas en función de la organización, de la PII que recopile y de las normativas sobre protección de datos que deba cumplir. Como ejemplo, el Instituto Nacional de Estándares y Tecnología (NIST) proporciona este marco de muestra (enlace externo a ibm.com):

1. Identifique toda la PII en los sistemas de la organización.

2. Reduzca al mínimo la recopilación y el uso de la PII, y elimine de forma periódica toda aquella que ya no necesite.

3. Clasifique la PII según su nivel de sensibilidad.

4. Aplique controles en materia de seguridad de datos. Algunos ejemplos de controles pueden ser:

• Cifrado: el cifrado de la PII en tránsito, en reposo y en uso mediante el cifrado homomórfico o la computación confidencial puede ayudar a mantener la PII segura y conforme a las normas, independientemente de dónde se almacene o maneje.
  
  
• Gestión de identidades y accesos (IAM): La autenticación de dos factores o multifactor puede poner más barreras entre los piratas informáticos y los datos confidenciales. Del mismo modo, aplicar el principio del menor privilegio mediante una arquitectura zero trust y controles de acceso basados en roles (RBAC) puede limitar la cantidad de IIP a la que pueden acceder los piratas informáticos si penetran en la red.
  
  
• Formación: los empleados aprenden a manipular y eliminar correctamente la PII. Los empleados también aprenden a proteger su propia PII. Esta formación cubre áreas como el antiphishing, la ingeniería social y la concienciación sobre las redes sociales.
  
  
• Anonimización: la anonimización de datos es el proceso de eliminación de las características identificativas de los datos confidenciales. Las técnicas comunes de anonimización incluyen la eliminación de identificadores de los datos, la agregación de datos o la adición estratégica de ruido a los datos.
  
  
• Herramientas de ciberseguridad: las herramientas de prevención de pérdida de datos (DLP) pueden ayudar a rastrear los datos a medida que se mueven por la red, lo que facilita la detección de fugas y brechas. Otras soluciones de ciberseguridad que ofrecen vistas detalladas de la actividad en la red (como las herramientas de detección y respuesta ampliadas [XDR]) también pueden ayudar a rastrear el uso y el uso indebido de la PII.

5. Redacte un plan de respuesta a incidentes para fugas y vulneraciones de la PII.

Vale la pena señalar que el NIST y otros expertos en protección de datos recomiendan a menudo aplicar controles diferentes a los distintos conjuntos de datos en función de su grado de sensibilidad. El uso de controles estrictos para los datos no sensibles puede resultar engorroso y poco rentable.