Información de identificación personal (PII)

¿Qué califica como información de identificación personal?

La información de identificación personal (PII) es cualquier cosa que pueda contener identificadores directos, que pueden identificar con precisión la identidad de alguien, como los datos necesarios para una licencia de manejar o un pasaporte. La información en dichas tarjetas de identificación, libros u otra documentación puede incluir su dirección particular y número de seguro social o licencia de manejar.

Los cuasiidentificadores, como la información sobre la herencia racial, se pueden combinar y usar con otros cuasiidentificadores, incluida la fecha de nacimiento (DOB), para identificar a un individuo con éxito.

Estos son los principales tipos de PII que emplean las compañías para identificar a las personas:

• Nombre completo
• Dirección postal
• Número de teléfono
• Dirección de email
• Registros médicos
• Información financiera, como números de tarjetas de crédito, cuentas bancarias o información de reportes crediticios
• Información del pasaporte, como lugares y fechas de viaje
• Números de cuenta de Internet y contraseñas
• Información biométrica

La PII indirecta y no sensible incluye la información cuasi-identificable mencionada anteriormente, que a menudo es un asunto de registro público o se recopila de forma tan anónima que no se vincula fácilmente a un individuo por sí sola.

Estos son algunos ejemplos de PII no confidencial:

• Código postal
• Raza
• Género
• Fecha de nacimiento
• Lugar de nacimiento
• Religión

Si bien cada uno de estos cuasi-identificadores puede servir como una herramienta para identificar a un individuo junto con identificadores directos, son de poco valor para los malos actores por sí solos. Muchos PII no confidenciales son componentes de una licencia de manejar, pasaporte o registro de facturación. Aún así, sin un identificador directo, los mejores piratas informáticos a menudo se encuentran con un callejón sin salida cuando intentan usarlos con fines fraudulentos.

¿Quién recopila oficialmente la información de identificación personal disponible?

Casi todas las compañías de hoy recopilan, almacenan, transmiten y procesan PII hasta cierto punto. Sin embargo, algunas organizaciones tienen información más confidencial que otras, como las organizaciones de atención médica y un departamento u oficina de vehículos motorizados.

Con eso, big data se convirtió en una fuerza importante en los negocios de hoy, ofreciendo a las compañías información sobre los patrones de compra de los clientes, los comportamientos de navegación, la ubicación geográfica y más. Eso significa que los datos se convirtieron en un componente de los negocios modernos y los consumidores proporcionan más PII todo el tiempo.

Algunos malos actores no oficiales quieren acceder a información de identificación personal

El problema de compartir información tan vital es que las violaciones de datos aumentan continuamente. Los ciberatacantes reconocen el valor de esta información, que sirve como un atajo para conocer la historia de vida de alguien, incluida la información financiera.

Si los piratas informáticos no pueden robar directamente a una víctima de violación de datos, pueden comprometer su reputación personal al intentar usar su número de seguro social para abrir cuentas de tarjetas de crédito y mucho más.

¿Por qué la información de identificación personal es valiosa para los piratas informáticos y los estafadores?

Los ciberatacantes nunca dejan de buscar formas de extraer todos los posibles beneficios mal habidos de una violación de datos. La PII es rica en detalles y hace una tarea rápida y fácil de identificar y aterrorizar a las personas que necesitaban depositar su confianza en un hospital, banco o el IRS.

¿Cómo obtienen los ladrones acceso a la información de identificación personal?

El robo de datos y las violaciones de datos a gran escala se volvieron tan comunes que las personas apenas prestan atención a menos que les afecte directamente.

Hay riesgos más cercanos a casa que todos deben considerar. El hecho es que el peligro acecha a todos, ya que todos compartimos PII a diario y, una vez que está en manos de un tercero, se siente como esperar a que caiga el otro zapato.

Aquí hay algunas formas en que los ladrones conocen a las personas a través de su PII, les guste o no:

• Robo de buzones. Muchas personas dejan el correo en el buzón postal durante días, gracias a la banca en línea y al pago de facturas. Cada pieza de correo es rica en datos, incluida la notificación de la Oficina de Vehículos Motorizados, facturas médicas y estados de cuenta de tarjetas de crédito.
• Buceo en basureros. El contenedor de basura o el contenedor de basura es la siguiente atajada luego del buzón, por lo que si un delincuente no quiere arriesgar a ir al porche de alguien, el contenedor de basura es una apuesta más segura. Pueden encontrar la misma información en piezas de correo desechadas sin llamar tanto la atención.

Otras formas en que los delincuentes obtienen acceso a la PII incluyen acceso inalámbrico no seguro, incidentes de objetos perdidos, phishing y estafas de pretexting, redes sociales y maniobras de ingeniería social.

Estas son solo algunas formas alternativas en que los ladrones obtienen acceso a la identidad de un individuo. Aún así, son tan peligrosos para las personas como las violaciones de datos lanzadas para robar información personal o de identificación.

¿Cómo aborda el RGPD la PII?

El Reglamento General de Protección de Datos GDPR entró en vigencia en mayo de 2019 con el objetivo principal de proteger la privacidad de los consumidores de la Unión Europea (UE) y salvaguardar los datos. El RGPD requería que las compañías de la UE y de todo el mundo cumplieran con sus amplios requisitos para proteger sus datos, empleados, clientes y proveedores externos.

La información que las compañías deben proteger incluye PII, y todas tienen la obligación legal de mantenerla segura y protegida.

El Parlamento Europeo diseñó el GDPR para proteger a los consumidores de la UE, en primer lugar, esencialmente dándoles rienda suelta sobre su PII. Estas son algunas formas en que los consumidores de la UE pueden controlar su información personal al hacer negocios:

• Aplicar que las compañías eliminen la PII
• Solicitud de corrección de errores de hecho
• Aplicar acceso a los datos personales almacenados
• Aplicar la exportación de datos personales para su revisión y uso si así lo desean

¿Cuáles son las mejores formas en que las compañías pueden proteger la PII?

Todas las compañías pueden tomar medidas especiales para proteger la PII de los clientes en beneficio de todos. Estas son algunas de las mejores formas de mantener esta información vital a salvo de los delincuentes, en línea y en cualquier otro lugar:

• Cifrar datos al compartir o almacenar electrónicamente
• Implemente políticas de contraseñas seguras para teléfonos inteligentes, tabletas y computadoras portátiles
• Anime a los empleados a usar contraseñas diferentes para cada sitio web, aplicación y cuenta
• Crear protocolos de seguridad adicionales, como preguntas de seguridad del sitio web
• Tenga especial cuidado con las computadoras y otros dispositivos retirados, retirando y destruyendo los discos duros antes de desecharlos o donarlos. El último paso a realizar es restaurar el dispositivo a su configuración original para cerciorar de que esté limpio antes de desecharlo.
• Use una trituradora para desechar las copias impresas de los documentos correctamente. Triture completamente cada documento para cerciorar de que no se pueda discernir ninguna PII.
• Recuerde a los empleados y a la gerencia que no dejen documentos ricos en PII en la fotocopiadora, o en cualquier otro lugar donde puedan detener mientras trabajan en un archivo.

Cuanto más hagan las compañías para permanecer atentas a la PII, más posibilidades tendrán de mantenerla a salvo de violaciones de datos y cualquier otra amenaza.