Go Back
¿Qué son PII, non-PII, y Datos Personales?

¿Qué son PII, non-PII, y Datos Personales?

Date January 25, 2019 Author Category Data Privacy & Security

En los últimos años, muchas personas han comenzado a preocuparse por la privacidad de sus datos online y por lo que las empresas saben de ellos, su historial web y su información personal.

Si bien es cierto que los datos se recopilan cada vez que un usuario accede a una web, interactúa con una publicación en las redes sociales, o realiza una compra online, hay diferentes tipos de datos de usuarios que se rastrean, algunos de los cuales se pueden usar para identificar a una persona (conocida como PII) y otros no.

¿Qué es información personal identificable (PII)?

Información Personal Identificable (PII) es un término que se usa regularmente en Ad Tech y MarTech, pero que va mucho más allá de estos dos sectores.

De hecho, a menudo se hace referencia a la PII por parte de las agencias gubernamentales de EEUU, tales como el National Institute of Standards and Technology (NIST).

El NIST proporciona la siguiente definición de PII:

PII es cualquier información sobre un individuo mantenida por una agencia, incluyendo (1) cualquier información que pueda usarse para distinguir o rastrear la identidad de un individuo, tal como nombre, número de seguridad social, fecha y lugar de nacimiento, apellido de soltera de la madre o registros biométricos; y (2) cualquier otra información que esté vinculada o que pueda vincularse con un individuo, como información médica, educativa, financiera y de empleo.

¿Qué elementos de información se consideran PII?

La PII se puede dividir en dos categorías: información vinculada e información vinculable.

La información vinculada es cualquier elemento de información personal que se puede usar para identificar a una persona e incluye, entre otros, lo siguiente:

  • Nombre completo
  • Dirección
  • Dirección e-mail
  • Número Seguridad Social
  • Número de Pasaporte
  • Número de carnet de conducir
  • Números de tarjetas de crédito
  • Fecha de nacimiento
  • Número de teléfono
  • Detalles inicio sesión

La información vinculable, por otro lado, es información que por sí sola puede no ser capaz de identificar a una persona, pero cuando se combina con otra información puede identificar, rastrear o localizar a una persona.

Aquí hay algunos ejemplos de información vinculable:

  • Nombre o apellido (si es común)
  • País, estado, ciudad, código postal
  • Género
  • Raza
  • Edad no específica (por ejemplo, 30-40 en lugar de 30)
  • Puesto de trabajo y lugar de trabajo

¿Qué es Non-PII?

La información no-personal identificable (no PII) es información que no se puede utilizar por sí sola para identificar, rastrear o identificar a una persona, por lo que básicamente es lo opuesto a la PII.

Los ejemplos de non-PII incluyen, pero no se limitan a:

  • Dispositivo IDs
  • Dirección IP
  • Cookies

¿Cuál es la diferencia entre PII y Datos personales?

Si bien la PII es un término comúnmente reconocido, hay otro término con el que muchas personas pueden estar familiarizadas: datos personales.

La diferencia entre PII y datos personales puede explicarse según lo siguiente:

Información personal identificable (PII) es un término utilizado principalmente en los Estados Unidos.

Los datos personales se consideran el equivalente europeo de la PII; sin embargo, no se corresponden completamente con la definición general de PII en los EE. UU. La nueva ley de privacidad de datos de la UE: el Reglamento general de protección de datos (GDPR) define los datos personales de la siguiente forma:

Artículo 4(1): “Datos personales” significa cualquier información relacionada con una persona física identificada o identificable (“sujeto de datos”); Una persona física identificable es una persona que puede ser identificada, directa o indirectamente, en particular, por referencia a un identificador, tal como un nombre, un número de identificación, datos de ubicación, un identificador online, o a uno o más factores específicos de la identidad física, fisiológica, genética, mental, económica, social o cultural de esa persona natural;

¡Nota IMPORTANTE! El GDPR afirma que incluso las cookies pueden considerarse datos personales. Esto se detalla en el considerando 30 de la nueva ley:

Las personas físicas pueden asociarse con identificadores online proporcionados por sus dispositivos, aplicaciones, herramientas y protocolos, como direcciones de protocolo de Internet, identificadores de cookies u otros identificadores, como etiquetas de identificación de radiofrecuencia. Esto puede dejar rastros que, en particular, cuando se combinan con identificadores únicos y otra información recibida por los servidores, pueden usarse para crear perfiles de las personas físicas e identificarlos.

El futuro de PII

La línea que separa la PII y la no PII se está haciendo más fina cada año que pasa y las empresas de publicidad y marketing online ya han visto cómo las organizaciones gubernamentales cambian su postura sobre lo que constituye la PII y lo que no, siendo la FTC y el art. 29 WP dos importantes ejemplos.

La Comisión Federal de Comercio (FTC)

En un post de seguimiento en su discurso en la cumbre NAI 2016 en San Francisco, Jessica Rich, Directora de la Oficina de Protección al Consumidor de la Comisión Federal de Comercio (FTC), abordó el tema de los identificadores persistentes:

…Nosotros [la FTC] consideramos los datos como “personalmente identificables” y, por lo tanto, se garantiza la protección de la privacidad cuando pueden estar razonablemente vinculados a una persona, ordenador o dispositivo en particular. En muchos casos, los identificadores persistentes, como identificadores de dispositivos, direcciones MAC, direcciones IP estáticas o cookies cumplen con esta prueba.

El post continuó diciendo que la Comisión ha modificado la definición de información personal para incluir identificadores persistentes, que incluyen, entre otros:

  • Un número de cliente contenido en una cookie
  • Una dirección de Protocolo de Internet (IP)
  • Un número de serie de procesador o dispositivo
  • Un identificador de dispositivo único

El Grupo de Trabajo de Protección de Datos del Artículo 29(Art. 29 WP)

Esta reciente revelación de la FTC sigue un movimiento similar al que la Unión Europea (EU) comenzó hace unos años cuando el grupo de trabajo de protección de datos del artículo 29 (Art. 29 WP) sugirió que las direcciones IP deben verse como datos personales.

Las implicaciones de estos dos movimientos son sustanciales, especialmente para las industrias de Ad Tech y MarTech.

Para empezar, ahora significa que hay una desconexión entre el Código de conducta de NAI y la definición de información personal de organizaciones gubernamentales como la FTC y la UE, lo que dificulta que las empresas cumplan con los estándares de privacidad y buenas prácticas.

Además, si organizaciones como la FTC y la UE continúan creando una definición más amplia de PII y de los datos personales, podríamos ver áreas emergentes de Ad Tech, como la detección de huellas dactilares del dispositivo, que se basa en la recopilación de identificadores persistentes y las nuevas regulaciones de privacidad.

Author:

Karolina Lubowicka, Content Marketer

Content Marketer and Social Media Specialist at Piwik PRO. An experienced copywriter who takes complex topics of data privacy & GDPR and makes them understandable for all. LinkedIn Profile

See more posts of this author

Share