el Gobierno de los Estados Unidos utilizó el término «personalmente identificable» en 2007 en un memorando de la Oficina Ejecutiva del Presidente, Oficina de Administración y Presupuesto (OMB), y ese uso ahora aparece en estándares estadounidenses como la Guía del NIST para proteger la confidencialidad de la información de identificación personal (SP 800-122). El memorándum OMB define la PII de la siguiente manera:
información que puede usarse para distinguir o rastrear la identidad de una persona, como su nombre, número de Seguro social, registros biométricos, etc., solo, o cuando se combina con otra información personal o de identificación que está vinculada o se puede vincular a una persona específica, como la fecha y el lugar de nacimiento, el nombre de soltera de la madre, etc.,p>Artículo 2 bis: se entenderá por»datos personales»toda información relativa a una persona física identificada o identificable («interesado»); se entenderá por persona identificable toda persona que pueda identificarse, directa o indirectamente, en particular por referencia a un número de identificación o a uno o más factores específicos de su identidad física, fisiológica, mental, económica, cultural o social;
no obstante, en las normas de la UE se ha procesamiento de otros atributos—cuasi – o pseudo-identificadores.,ifier o a uno o más factores específicos de la identidad física, fisiológica, genética, mental, económica, cultural o social de esa persona física
otro término similar a PII, «información personal» se define en una sección de la Ley de notificación de violación de datos de California, SB1386:
(e) para los fines de esta sección, «Información personal» significa el nombre de o más de los siguientes elementos de datos, cuando el nombre o los elementos de datos no están cifrados: (1) Número de Seguridad social., (2) Número de licencia de conducir o número de tarjeta de identificación de California. (3) Número de Cuenta, número de tarjeta de crédito o débito, en combinación con cualquier código de seguridad requerido, código de acceso o contraseña que permita el acceso a la cuenta financiera de una persona. (f) para los fines de esta sección, la «información personal» no incluye la información disponible públicamente que se pone legalmente a disposición del público en general a partir de registros del gobierno federal, estatal o local.,
El concepto de combinación de información que se da en la definición de SB1386 es clave para distinguir correctamente la PII, según la definición de OMB, de la «información personal», según la definición de SB1386. La información, como un nombre, que carece de contexto no puede decirse que sea SB1386 «información personal», pero debe decirse que es PII según la definición de OMB. Por ejemplo, el nombre John Smith no tiene significado en el contexto actual y, por lo tanto, no es SB1386 «información personal», sino PII., Un número de Seguro Social (SSN) sin un nombre o alguna otra identidad asociada o información de contexto no es SB1386 «información personal», pero es PII. Por ejemplo, el SSN 078-05-1120 en sí mismo es PII, pero no es SB1386 «información personal». Sin embargo, la combinación de un nombre válido con el número de Seguro Social correcto es SB1386 «información personal».
la combinación de un nombre con un contexto también puede considerarse IIP; por ejemplo, si el nombre de una persona está en una lista de pacientes para una clínica de VIH. Sin embargo, no es necesario que el nombre se combine con un contexto para que sea PII., La razón de esta distinción es que partes de la información, como los nombres, aunque pueden no ser suficientes por sí solas para hacer una identificación, pueden combinarse posteriormente con otra información para identificar a las personas y exponerlas a daños.
de acuerdo con la OMB, no siempre es el caso que la PII sea «sensible», y el contexto puede ser tenido en cuenta al decidir si cierta PII es o no sensible.,
Australiaeditar
en Australia, la Ley de Privacidad de 1988 se ocupa de la protección de la privacidad individual, utilizando los principios de Privacidad de la OCDE de la década de 1980 para establecer un modelo regulatorio amplio y basado en principios (a diferencia de los Estados Unidos, donde la cobertura generalmente no se basa en principios amplios sino en tecnologías, prácticas comerciales o elementos de datos específicos). La sección 6 contiene la definición pertinente., El detalle crítico es que la definición de ‘información personal’ también se aplica a donde el individuo puede ser identificado indirectamente:
«información personal» significa información o una opinión sobre un individuo identificado, o un individuo que es razonablemente identificable si la información u opinión es verdadera o no; y si la información u opinión está registrada en una forma material o no.,
esto plantea la cuestión de la razonabilidad: supongamos que es teóricamente posible identificar a una persona a partir de información que no incluye un nombre o dirección, pero sí contiene pistas que podrían buscarse para averiguar con quién se relaciona. ¿Cuánto esfuerzo adicional se necesita para que no sea razonable que se pueda identificar dicha información?, Por ejemplo, si la información involucra una dirección IP, y el ISP relevante almacena registros que podrían ser fácilmente inspeccionados (si usted tenía suficiente justificación legal) para volver a vincular la dirección IP con el titular de la cuenta, ¿se puede «determinar razonablemente»su identidad? Si dicha vinculación solía ser costosa, lenta y difícil, pero se vuelve más fácil, ¿cambia esto la respuesta en algún momento?,
parece que esta definición es significativamente más amplia que el ejemplo californiano dado anteriormente, y por lo tanto que la Ley de privacidad Australiana, si bien en algunos aspectos se aplica débilmente, puede abarcar una categoría más amplia de datos e información que en algunas leyes estadounidenses.,
en particular, las empresas de publicidad conductual en línea con sede en los EE.UU., pero que recopilan subrepticiamente información de personas en otros países en forma de cookies, errores, rastreadores y similares, pueden encontrar que su preferencia por evitar las implicaciones de querer construir un perfil psicográfico de una persona en particular utilizando la rúbrica de «no recopilamos información personal» puede encontrar que esto no tiene sentido bajo una definición más amplia como la de la Ley de Privacidad de Australia.
tenga en cuenta que el término «PII» no se utiliza en la Ley de privacidad de Australia.,la Ley de protección de la información personal y documentos electrónicos rige las corporaciones privadas, a menos que exista una legislación Provincial equivalente
Unión Europeaeditar
La Ley Europea de protección de datos no utiliza el concepto de información de identificación personal, y su alcance está determinado por el concepto no sinónimo y más amplio de «datos personales».,
- Artículo 8 del Convenio Europeo de Derechos Humanos
- El Reglamento General de protección de datos adoptado en abril de 2016. A partir del 25 de mayo de 2018
- sustituye a la directiva de protección de datos – 95/46/CE
- Directiva 2002/58/CE (Directiva de privacidad electrónica)
- Directiva 2006/24/CE Artículo 5 (Directiva de retención de datos)
puede encontrar más ejemplos en el sitio web de privacidad de la UE.,ction Regulation (Europe, 2016)
Nueva zelandiaeditar
se aplican los doce principios de Privacidad de la información de la ley de privacidad de 1993.,
Suizaeditar
La Ley Federal de protección de datos de 19 de junio de 1992 (en vigor desde 1993) ha establecido una protección de la privacidad al prohibir prácticamente cualquier tratamiento de datos personales que no esté expresamente autorizado por los interesados. La protección está sujeta a la autoridad del Comisionado Federal de protección de datos e información.
Además, cualquier persona puede solicitar por escrito a una empresa (gestión de archivos de datos) la corrección o eliminación de cualquier dato personal. La empresa debe responder en un plazo de treinta días.,
Estados UnidosEditar
La Ley de Privacidad de 1974 (Pub.L. 93-579, 88 Stat. 1896, promulgada el 31 de diciembre de 1974, 5 U. S. C. § 552A), una Ley federal de los Estados Unidos, establece un código de Prácticas Justas de información que rige la recopilación, el mantenimiento, el uso y la difusión de información de identificación personal sobre personas que se mantiene en los sistemas de registros de las agencias federales.
uno de los enfoques principales de la Ley de portabilidad y responsabilidad de seguros de salud (HIPAA), es proteger la información de salud protegida (PHI) de un paciente, que es similar a la PII. estadounidense., El Senado propuso la Ley de Privacidad de 2005, que intentó limitar estrictamente la exhibición, compra o venta de PII sin el consentimiento de la persona. Del mismo modo, la (propuesta) Ley Anti-Phishing de 2005 intentó evitar la adquisición de PII a través de phishing.
Los legisladores estadounidenses han prestado especial atención al número de seguro social porque se puede usar fácilmente para cometer robo de identidad. La (propuesta) Ley de protección del número de Seguro Social de 2005 y la (propuesta) Ley de prevención del robo de identidad de 2005 procuraron limitar la distribución del número de Seguro social de una persona.,
la información adicional de identificación personal específica de los Estados Unidos incluye, pero no se limita a, registros I-94, números de identificación de Medicaid, documentación de servicios de Impuestos Internos (IRS). La exclusividad de la información de identificación personal afiliada a los EE.UU. pone de relieve las preocupaciones nacionales de seguridad de datos y la influencia de la información de identificación personal en los sistemas federales de gestión de datos de los EE.UU.,
definición del NISTEDITAR
El Instituto Nacional de estándares y Tecnología (NIST) es un laboratorio de Ciencias Físicas y una agencia no reguladora del Departamento de comercio de los Estados Unidos. Su misión es promover la innovación y la competitividad industrial
los siguientes datos, a menudo utilizados con el propósito expreso de distinguir la identidad individual, clasifican claramente como información de identificación personal bajo la definición utilizada por el NIST (descrita en detalle a continuación):
- Número de identificación nacional (por ejemplo, número de,)
- números de Cuenta Bancaria
- Número de pasaporte
- Número de licencia de conducir
- números de tarjeta de Débito/Crédito
los siguientes son menos utilizados para distinguir la identidad individual, porque son rasgos compartidos por muchas personas. Sin embargo, son potencialmente PII, porque pueden combinarse con otra información personal para identificar a un individuo.,
- Nombre Completo
- domicilio
- ciudad
- Estado
- Código Postal
- país
- Teléfono
- Edad, Fecha de nacimiento, especialmente si no es específica
- género o raza
- cookie Web
Cuando una persona desea permanecer en el anonimato, las descripciones de lo anterior, como «un hombre blanco de 34 años que trabaja en target». Tenga en cuenta que la información todavía puede ser privada, en el sentido de que una persona puede no desear que se haga pública, sin ser personalmente identificable., Por otra parte, a veces múltiples elementos de información, ninguno suficiente por sí solo para identificar de manera única a una persona, pueden identificar de manera única a una persona cuando se combinan; esta es una de las razones por las que se suelen presentar múltiples elementos de prueba en los juicios penales. Se ha demostrado que, en 1990, el 87% de la población de los Estados Unidos podría identificarse de manera única por género, Código Postal y fecha de nacimiento completa.
en la jerga de hackers e Internet, la práctica de encontrar y liberar dicha información se llama «doxing». A veces se utiliza para disuadir la colaboración con las fuerzas del orden., En ocasiones, el doxing puede desencadenar un arresto, particularmente si las agencias policiales sospechan que el individuo «doxed» puede entrar en pánico y desaparecer.
leyes estatales y sentencias judiciales significativaseditar
- California
- La Constitución del Estado de California declara que la privacidad es un derecho inalienable en el artículo 1, Sección 1.,
- La Ley de protección de la privacidad en línea de California (OPPA) de 2003
- SB 1386 requiere que las organizaciones notifiquen a los individuos cuando se sabe o se cree que una persona no autorizada adquirió PII (en combinación con uno o más elementos de datos específicos adicionales).
- En 2011, La Corte Suprema del Estado de California dictaminó que el código postal de una persona es PII.
- Nevada
- Nevada Revised Statutes 603A-Security of Personal Information
- Massachusetts
- 201 CMR 17.,00: normas para la protección de la información Personal de los residentes de la Commonwealth
- En 2013, La Corte Suprema de Massachusetts dictaminó que los códigos postales son PII.
federal lawEdit
- Title 18 of the United States Code, section 1028d (7)
- The Privacy Act of 1974, codified at 5 U. S. C. § 552A et seq.
- normas del «Escudo de Privacidad» de EE. UU. (armonización de la UE)