¿Qué es la PII (información de identificación personal)?

La información de identificación personal (PII) es cualquier dato que pueda identificar a una persona específica, como el nombre, el número de identificación emitido por el gobierno, la fecha de nacimiento, la ocupación o la dirección.

Objetivos de aprendizaje

Después de leer este artículo podrás:

  • Explicar el significado de "PII".
  • Identificar los dos tipos principales de PII
  • Contrastar el PII con otras definiciones legales de datos personales

Copiar enlace del artículo

¿Qué es la PII (información de identificación personal)?

La Información de identificación personal (IIP) es cualquier dato que pueda utilizarse para identificar a alguien. Toda la información que se relaciona directa o indirectamente con una persona se considera IIP. El nombre, la dirección de correo electrónico, el número de teléfono, el número de cuenta bancaria y el número de identificación emitido por el gobierno son ejemplos de IIP.

En la actualidad, muchas organizaciones recopilan, almacenan y procesan PII. Cuando se producen fugas o filtrados de estas recopilaciones de datos, las personas pueden ser víctimas de robos de identidad u otros ataques. Además, la recopilación de PII a veces socava la privacidad, ya que las personas pierden el control y la visibilidad de lo que ocurre con su información personal. Por estas razones, es importante proteger la PII y limitar su recopilación siempre que sea posible.

¿Cómo define el Instituto Nacional de Tecnología de la Seguridad de EE. UU. la PII?

No existe una única definición de PII, aunque muchas fuentes oficiales hacen referencia a ella. El Instituto Nacional de Tecnología de la Seguridad (NIST) de EE. UU. tiene una de las definiciones de la PII a la que más referencia se ha hecho:

"Cualquier información sobre un individuo que guarde una agencia, incluyendo (1) cualquier información que pueda utilizarse para distinguir o rastrear la identidad de un individuo, como el nombre, el número de la seguridad social, la fecha y el lugar de nacimiento, el nombre de soltera de la madre o los registros biométricos; y (2) cualquier otra información que esté vinculada o sea vinculable a un individuo, como la información médica, educativa, financiera y laboral."

¿Cuáles son los dos tipos principales de PII?

Los dos tipos principales de PII son la información que identifica directamente a alguien y la información que identifica indirectamente a alguien.

Así es como la definición del NIST de la PII distingue entre estos tipos de información.

  • Algunos datos identifican directamente a una persona. Un nombre completo, un número de la Seguridad Social o una dirección física son ejemplos de este tipo de información.
  • La información vinculada o vinculable no identifica directamente a una persona, pero puede identificarla de forma indirecta: es decir, cuando se combina con otra información.
    • Supongamos que Jake vive en 1060 West Addison Street. Es probable que el nombre de pila "Jake" por sí mismo no sea suficiente para identificarlo, porque Jake es un nombre de pila común que comparten muchas personas en EE. UU. Pero si se combina con la dirección 1060 West Addison Street, podría ser posible identificar a la persona en cuestión.

Este concepto, con una terminología ligeramente diferente, también aparece en otras definiciones de PII. Por ejemplo, el Departamento del Trabajo de EE.UU. tiene la siguiente definición para la PII:

"Cualquier representación de información que permita inferir razonablemente, por medios directos o indirectos, la identidad de un individuo al que se aplica la información. Además, la PII se define como información (i) que identifica directamente a una persona (por ejemplo, nombre, dirección, número de la seguridad social u otro número o código de identificación, número de teléfono, dirección de correo electrónico, etc.) o (ii) mediante la cual un organismo pretende identificar a individuos específicos junto con otros elementos de datos, es decir, identificación indirecta [énfasis añadido]."

El punto importante aquí es que toda la información que pueda usarse para identificar directa o indirectamente a una persona debe estar protegida.

(Un concepto similar se aplica a la pseudonimización: los datos pseudonimizados pueden combinarse con otros datos para identificar directamente a un individuo. Consulta ¿Qué es la pseudonimización? para más información).

¿Es la PII lo mismo que "información personal" o "datos personales"?

El concepto general detrás de todos estos términos es similar: cualquier información que haga referencia a una persona concreta puede considerarse "personal."

No obstante, las distintas normativas sobre privacidad de datos utilizan términos diferentes para los datos que pueden utilizarse para identificar a alguien. El término "PII" se utiliza sobre todo en EE. UU., mientras que el Reglamento general de protección de datos (RGPD), un marco de privacidad de la UE, hace referencia a "datos personales," y la Ley de privacidad del consumidor de California (CCPA) utiliza "información personal."

Además, cada legislación en materia de privacidad tiene sus propias definiciones de información personal, datos personales o PII; las organizaciones deben revisar cuidadosamente las descripciones de la legislación que se les aplica.

¿Por qué PII es un concepto importante para la privacidad?

En general, la privacidad hace referncia a la capacidad de una persona para determinar por sí misma cuándo, cómo y hasta qué punto se comparte su información personal (como la PII) con otros. Para proteger su privacidad, las personas necesitan saber quién recopila su PII y qué se hace con esta.

Para proteger la PII y la privacidad de los usuarios, las organizaciones deben saber qué PII tienen y cómo se mantiene segura. Muchas fuentes también recomiendan limitar la recopilación y el uso de la PII. Hacerlo se considera una práctica justa de información (más información).