Definizione di informazioni di identificazione personale (PII)

Che cosa sono le informazioni di identificazione personale (PII)?

Le informazioni di identificazione personale (PII) sono informazioni che, se utilizzate da sole o con altri dati rilevanti, possono identificare un individuo. Le PII possono contenere identificatori diretti (ad es. informazioni sul passaporto) che possono identificare una persona in modo univoco o quasi-identificatori (ad es. razza) che possono essere combinati con altri quasi-identificatori (ad es. data di nascita) per riconoscere con successo un individuale.

Comprensione delle informazioni di identificazione personale (PII)

Le piattaforme tecnologiche avanzate hanno cambiato il modo in cui le aziende operano, i governi legiferare e gli individui si relazionano. Con strumenti digitali come telefoni cellulari, Internet, e-commerce e social media, c'è stata un'esplosione nella fornitura di tutti i tipi di dati.

Grandi dati, come viene chiamato, viene raccolto, analizzato ed elaborato dalle aziende e condiviso con altre aziende. La ricchezza di informazioni fornite dai big data ha consentito alle aziende di ottenere informazioni su come interagire meglio con i clienti.

Tuttavia, l'emergere dei big data ha anche aumentato il numero di violazioni dei dati e attacchi informatici da parte di entità che si rendono conto del valore di queste informazioni. Di conseguenza, sono state sollevate preoccupazioni sul modo in cui le aziende gestiscono le informazioni sensibili dei loro consumatori. Gli organismi di regolamentazione stanno cercando nuove leggi per proteggere i dati dei consumatori, mentre gli utenti cercano modi più anonimi per rimanere digitali.

Sensibile vs. Informazioni di identificazione personale non sensibili

(PI)

Le informazioni di identificazione personale (PII) possono essere sensibili o non sensibili. Le informazioni personali sensibili includono statistiche legali come:

• Nome e cognome
• Numero di Social Security (SSN)
• Patente di guida
• Indirizzo di posta
• Informazioni sulla carta di credito
• Informazioni sul passaporto
• Informazioni finanziarie
• Cartelle cliniche

L'elenco di cui sopra non è affatto esaustivo. Le aziende che condividono i dati sui loro clienti normalmente usano anonimizzazione tecniche per crittografare e offuscare le PII, in modo che vengano ricevute in una forma non identificabile personalmente. Una compagnia di assicurazioni che condivide le informazioni dei propri clienti con una società di marketing maschererà le PII sensibili incluse nei dati e lascerà solo le informazioni relative all'obiettivo della società di marketing.

Le PII non sensibili o indirette sono facilmente accessibili da fonti pubbliche come rubriche telefoniche, Internet e directory aziendali. Esempi di PII non sensibili o indirette includono:

• Cap
• Gara
• Genere
• Data di nascita
• Luogo di nascita
• Religione

L'elenco di cui sopra contiene quasi-identificatori ed esempi di informazioni non sensibili che possono essere divulgate al pubblico. Questo tipo di informazioni non può essere utilizzato da solo per determinare l'identità di un individuo.

Tuttavia, le informazioni non sensibili, pur non essendo delicate, sono collegabili. Ciò significa che i dati non sensibili, se utilizzati con altre informazioni personali collegabili, possono rivelare l'identità di un individuo. De-anonimizzazione e le tecniche di reidentificazione tendono ad avere successo quando più insiemi di quasi-identificatori sono messi insieme e possono essere usati per distinguere una persona dall'altra.

Tutela delle informazioni di identificazione personale (PII)

Diverse leggi sulla protezione dei dati sono state adottate da vari paesi per creare linee guida per le aziende che raccolgono, archiviano e condividono le informazioni personali dei clienti. Alcuni dei principi di base delineati da queste leggi affermano che alcune informazioni sensibili non dovrebbero essere raccolte se non per situazioni estreme.

Inoltre, le linee guida normative stabiliscono che i dati dovrebbero essere cancellati se non sono più necessari per la loro dichiarazione scopo e le informazioni personali non devono essere condivise con fonti che non possono garantirne la protezione.

criminali informatici violare i sistemi di dati per accedere alle PII, che vengono poi vendute ad acquirenti disponibili nei mercati digitali sotterranei. Ad esempio, nel 2015, l'IRS ha subito una violazione dei dati che ha portato al furto di oltre centomila PII dei contribuenti.Utilizzando quasi informazioni rubate da più fonti, gli autori sono stati in grado di accedere a un IRS applicazione del sito Web rispondendo a domande di verifica personale che avrebbero dovuto essere a conoscenza del solo contribuenti.

Informazioni di identificazione personale (PII) in tutto il mondo

La definizione di ciò che comprende le PII varia a seconda di dove vivi nel mondo. Negli Stati Uniti, il governo ha definito "identificabile personalmente" nel 2020 tutto ciò che può "essere utilizzato per distinguere o tracciare l'identità di un individuo" come nome, SSN e dati biometrici informazione; da solo o con altri identificatori come data di nascita o luogo di nascita.

Nel Unione Europea (UE), la definizione si espande per includere i quasi-identificatori come delineato nella Regolamento generale sulla protezione dei dati (GDPR) entrato in vigore nel maggio 2018. Il GDPR è un quadro giuridico che stabilisce le regole per la raccolta e il trattamento delle informazioni personali per coloro che risiedono nell'UE.

Esempio di informazioni di identificazione personale (PII)

All'inizio del 2018, Facebook Inc. (FB) è stato coinvolto in una grave violazione dei dati. I profili di 50 milioni di utenti di Facebook sono stati raccolti senza il loro consenso da una società esterna chiamata Cambridge Analytica.

Cambridge Analytica ha ottenuto i suoi dati da Facebook attraverso un ricercatore che ha lavorato presso l'Università di Cambridge. Il ricercatore ha creato un'app Facebook che era un quiz sulla personalità. Un'app è un'applicazione software utilizzata su dispositivi mobili e siti Web.

L'app è stata progettata per prendere le informazioni da coloro che si sono offerti volontari per dare accesso ai propri dati per il quiz. Sfortunatamente, l'app ha raccolto non solo i dati dei partecipanti al quiz ma, a causa di una scappatoia nel sistema di Facebook, è stata in grado di raccogliere anche i dati degli amici e dei familiari dei partecipanti al quiz.

Di conseguenza, oltre 50 milioni di utenti di Facebook hanno esposto i propri dati a Cambridge Analytica senza il loro consenso. Sebbene Facebook abbia vietato la vendita dei propri dati, Cambridge Analytica si è voltata e ha venduto i dati per essere utilizzati per consulenze politiche.

Mark Zuckerberg, fondatore e CEO di Facebook, ha rilasciato una dichiarazione all'interno del comunicato sugli utili Q1-2019 della società:

Siamo concentrati sulla costruzione della nostra visione incentrata sulla privacy per il futuro del social networking e sul lavoro collaborativo per affrontare questioni importanti su Internet.

La violazione dei dati non ha interessato solo gli utenti di Facebook, ma anche gli investitori. I profitti di Facebook sono diminuiti del 50% nel primo trimestre del 2019 rispetto allo stesso periodo dell'anno precedente. La società ha accumulato $ 3 miliardi di spese legali e avrebbe avuto un utile per azione di $ 1,04 in più senza le spese, affermando:

Stimiamo che l'intervallo di perdita in questa materia sia compreso tra $ 3,0 miliardi e $ 5,0 miliardi. La questione rimane irrisolta e non vi può essere alcuna garanzia sui tempi o sui termini di un esito finale.

Le aziende investiranno senza dubbio in modi per raccogliere dati, come informazioni di identificazione personale (PII), per offrire prodotti ai consumatori e massimizzare i profitti, ma sarà soddisfatta con una regolamentazione più severa negli anni a venire.