cuando las organizaciones buscan proteger los datos de sus usuarios, es necesario que comprendan los datos que necesitan salvaguardar. Los datos personales, en el contexto del GDPR, cubren una gama mucho más amplia de información que la información de identificación personal (PII), comúnmente utilizada en América del Norte. En otras palabras, si bien todos los datos personales se consideran datos personales, no todos los datos personales son PII.
esto requiere alguna explicación.
¿qué es PII?,
la información de identificación personal es definida por la Oficina de privacidad y Gobierno Abierto de los Estados Unidos como :
«información que se puede usar para distinguir o rastrear la identidad de un individuo, como su nombre, número de Seguro social, registros biométricos, etc. solo, o cuando se combina con otra información personal o de identificación que está vinculada o se puede vincular a una persona específica, como la fecha y el lugar de nacimiento, el nombre de soltera de la madre, etc.,»
distinguir a un individuo es identificar a un individuo discerniendo a una persona de otra y rastrear a un individuo es procesar información suficiente para hacer una determinación sobre un aspecto específico de las actividades o el estado de un individuo. Siguiendo esta definición, el nombre, la dirección de correo electrónico, la dirección postal, el número de teléfono, los números de identificación personal (por ejemplo, Seguro social, pasaporte, licencia de conducir, cuenta bancaria) se consideran PII.
la información está diseñada como vinculada si cualquier pieza de información personal se puede utilizar para identificar a un individuo. (E. G.,: nombre de nacimiento). La información se clasifica como información enlazable si, por sí sola, puede no ser suficiente para permitir identificar a una persona, pero cuando se combina con otra información, podría identificar, rastrear o localizar a una persona (por ejemplo: fecha de nacimiento).
tome por ejemplo dos conjuntos de datos que contienen diferentes PII. Cuando ambos conjuntos de datos son accesibles para la misma persona, es posible identificar a las personas que combinan los conjuntos de datos o acceden a información adicional sobre el tema. Aquí es donde la seguridad de la información entra en juego., Si los controles diseñados para mantener las fuentes de datos separadas son insuficientes, los datos se consideran vinculados. Cuando una fuente adicional de información permanece externa o a distancia, como en el caso de las bases de datos aisladas dentro de las organizaciones o a través de un motor de búsqueda en internet de información de acceso público, se considera que esos datos pueden vincularse.
¿qué es la PII sensible?
PII se considera sensible si la pérdida, compromiso o divulgación sin autorización de estos datos podría resultar en daño, vergüenza, inconveniencia o injusticia para un individuo., Por ejemplo, la siguiente información se considera PII sensible:
- médica
- educativa
- financiera
- información de empleo
¿qué son los datos personales bajo GDPR?,
el artículo 4 del RGPD define los datos personales de la siguiente manera:
«datos personales» significa cualquier información relativa a una persona física identificada o identificable («interesado»); una persona identificable es aquella que puede ser identificada, directa o indirectamente, en particular por referencia a un número de identificación o a uno o más factores específicos de su identidad física, fisiológica, mental, económica, cultural o social».,
En esta definición vemos cuatro elementos principales: «cualquier información», «relativas a», «identificadas o identificables» y «persona natural».
primer elemento: «cualquier información»
el término «cualquier información» que figura en la Directiva exige claramente una interpretación amplia del concepto. En cuanto a la naturaleza de la información, esto significa que tanto la información objetiva como la subjetiva de una persona pueden considerarse datos personales. En cuanto al contenido, los datos personales abarcan cualquier tipo de información., La definición también es tecnológicamente neutral, no importa cómo se almacenen los datos personales (por ejemplo: alfabético, numérico, gráfico, fotográfico, acústico). Por ejemplo, las imágenes de individuos capturadas por un sistema de videovigilancia pueden ser datos personales en la medida en que los individuos sean reconocibles.
segundo elemento:»relativo a»
en términos generales, se puede considerar que la información «se relaciona» con un individuo cuando se trata de ese individuo en particular., Para considerar los datos relacionados con alguien, una de las tres características que fluyen debe estar presente: contenido, propósito o resultado. Estas tres características deben considerarse como condiciones alternativas y no como acumulativas. En consecuencia, la misma información puede referirse a diferentes individuos al mismo tiempo, dependiendo de qué elemento esté presente con respecto a cada uno.
tercer elemento:»identificado o identificable»
«identificado» cuando, dentro de un grupo de personas, se «distingue» de todos los demás miembros del grupo., La persona física es «identificable» cuando, aunque la persona aún no ha sido identificada, es posible hacerlo.
¿Qué información puede ser un identificador? El RGPD proporciona una lista no exhaustiva de identificadores comunes que, cuando se utilizan, pueden permitir la identificación de la persona con la que la información en cuestión puede estar relacionada (por ejemplo, nombre, número de identificación, datos de ubicación, identificador en línea).
el concepto de» directa » o «indirectamente» identificable implica que la medida en que ciertos identificadores son suficientes para lograr la identificación es algo dependiente del contexto.,
algunas características son tan únicas que alguien puede ser identificado sin esfuerzo. Si menciono «nuestro jefe», sabrás exactamente de quién estoy hablando.
cuarto elemento: «persona física»
El concepto de persona física se refiere al artículo 6 de la Declaración Universal de los derechos humanos, según el cual «toda persona tiene derecho en todas partes al reconocimiento de su personalidad jurídica». El derecho a la protección de los datos personales es, en ese sentido, un derecho universal que no se limita a los nacionales o residentes en un determinado país., Por lo tanto, una persona física se ocupa del requisito de que los «datos personales» se refieren a » personas vivas «. Bajo el GDPR, los datos personales de personas fallecidas no están cubiertos, pero aún pueden recibir indirectamente cierta protección en ciertos casos, en particular cuando esos datos personales involucran a sujetos de datos que aún están vivos.
¿qué son los datos confidenciales bajo el GDPR?
los siguientes datos personales se consideran categorías especiales de datos personales y están sujetos a condiciones de procesamiento específicas de acuerdo con el Art., 9 del GDPR:
- datos personales que revelen el origen racial o étnico, las opiniones políticas, las creencias religiosas o filosóficas;
- afiliación sindical;
- datos genéticos, datos biométricos procesados únicamente para identificar a un ser humano;
- datos relacionados con la salud;
- datos relativos a la vida sexual de una persona o datos sensibles.
¿qué pasa con los identificadores en línea?,
El considerando 30 del Reglamento aclara la definición de «identificador en línea» mencionada
en el artículo 4:
«las personas físicas pueden estar asociadas a identificadores en línea proporcionados por sus dispositivos, aplicaciones, herramientas y protocolos, como direcciones de protocolo de internet, identificadores de cookies u otros identificadores como etiquetas de identificación por radiofrecuencia. Esto puede dejar rastros que, en particular cuando se combina con identificadores únicos y otra información recibida por los servidores, pueden utilizarse para crear perfiles de las personas físicas e identificarlas.,»
Los ID de dispositivo, las direcciones IP y las Cookies se consideran datos personales en virtud del RGPD. De acuerdo con la definición de la PII, no son PII porque son anónimos y no pueden ser utilizados por sí mismos para identificar, rastrear o identificar a una persona.
¿qué pasa con los datos seudonimizados?
los datos personales se consideran anónimos si no se relacionan con una persona física identificada o identificable o si se han convertido en anónimos de tal manera que el interesado no es o ya no es identificable.,
seudonimización de los datos significa la sustitución de cualquier característica identificativa de los datos por un seudónimo o, en otras palabras, un valor que no permite identificar directamente al interesado. ¿Los datos seudonimizados siguen considerándose datos personales?
de acuerdo con el artículo 29 del dictamen del grupo de trabajo, los datos personales que han sido desidentificados, cifrados o seudonimizados, pero que pueden utilizarse para volver a identificar a una persona, siguen siendo datos personales y entran en el ámbito de aplicación del RGPD., Los datos personales que se han convertido en anónimos de tal manera que el individuo no es o ya no es identificable ya no se consideran datos personales. Para que los datos sean verdaderamente anónimos, la anonimización debe ser irreversible.
PII incluye cualquier información que pueda utilizarse para volver a identificar datos anónimos. La información que es anónima y no se puede utilizar para rastrear la identidad de un individuo no es PII. Los ID de dispositivo, las cookies y las direcciones IP no se consideran PII en la mayoría de los Estados Unidos. Pero algunos estados, como California, clasifican estos datos como PII., California también clasifica los alias y nombres de cuentas como información personal.
en pocas palabras, PII se refiere a cualquier información que se puede utilizar para distinguir a un individuo de otro. La definición de datos personales del RGPD es, deliberadamente, muy amplia. En principio, cubre cualquier información que se relacione con un individuo vivo identificable.
Deja una respuesta