Qué es la PII

La información de identificación personal (PII) hace referencia a unos datos importantes de la empresa que permiten gestionar las identidades digitales. La PII incluye datos que pueden identificar a una persona, como un número de DNI, fechas de nacimiento o direcciones. Si la PII no se gestiona de manera adecuada, se puede producir un robo de identidades que puede afectar a los usuarios o clientes. Esto también puede conllevar importantes sanciones económicas y provocar el deterioro de la reputación de tu organización.

Lo más probable es que no puedas evitar tener que gestionar la PII en tu organización. Por tanto, necesitarás unas prácticas y unos sistemas que te ayuden a hacerlo correctamente. En esta publicación, analizaremos más detenidamente la PII. Veremos las leyes de protección de datos relevantes y las amenazas habituales para la PII, y ofreceremos unas pautas para que tu organización pueda adoptar medidas de protección.

¿Qué es la PII?

La PII hace referencia a cualquier dato que pueda utilizarse para identificar a una persona. Estos datos se clasifican en dos tipos: identificadores directos e indirectos.

Los identificadores directos pueden identificar explícitamente a una persona. Incluyen datos como:

• Números de DNI
• Números de pasaporte
• Números de carné de conducir

Estos identificadores suelen ser únicos para cada individuo. Por ello, pueden revelar directamente la identidad de una persona sin necesidad de más contexto.

Los identificadores indirectos, en cambio, podrían no identificar a una persona por sí solos, pero sí pueden hacerlo cuando se combinan con otros datos. Es el caso, por ejemplo, de una fecha de nacimiento y un lugar de nacimiento. Por separado, puede que no sean suficientes para revelar la identidad de una persona. Sin embargo, cuando se conocen ambos datos, puede que sí sea posible identificar a una persona.

Asimismo, los datos que no pueden considerarse PII también pueden convertirse en PII en función del contexto en el que se utilicen o si aparecen con otra información. Por ejemplo, un código postal por sí solo no se considera PII. Sin embargo, si se combina con el puesto de trabajo de una persona y la empresa para la que trabaja, podría ayudar a identificar a la persona en cuestión, sobre todo en zonas menos pobladas.

Marcos legales y normativos

Existen varias leyes y reglamentos de privacidad cuyo objetivo es garantizar la privacidad de las personas y que determinan cómo debes gestionar la PII. A continuación, mencionamos algunas de las leyes y reglamentos más importantes:

El Reglamento General de Protección de Datos (RGPD) de la Unión Europea (UE) es una de las leyes de privacidad de datos más estrictas del mundo. Impone obligaciones a las organizaciones de cualquier parte del mundo que interactúen con o recopilen datos de residentes de la UE. El RGPD hace especial hincapié en la transparencia, la seguridad y la responsabilidad de cualquier entidad que procese estos datos, al tiempo que otorga a las personas derechos significativos sobre sus datos.

La Ley de Privacidad del Consumidor de California (CCPA), al igual que el RGPD, otorga a los residentes de California derechos específicos sobre sus datos:

• El derecho a saber qué datos personales se están recopilando sobre ellos.
• El derecho a solicitar la eliminación de sus datos.
• El derecho a renunciar a la venta de su información personal.

La CCPA también exige a las empresas que protejan los datos de los californianos con unas medidas de seguridad razonables.

Por último, la Ley de Responsabilidad y Portabilidad del Seguro Médico (HIPAA) de los Estados Unidos vela por la protección de toda la información sanitaria personal almacenada o transmitida por las entidades cubiertas o sus socios empresariales. Esta ley obliga a proteger y a tratar de manera confidencial la información sanitaria protegida.

El incumplimiento de estas leyes puede acarrear graves sanciones. Las organizaciones pueden enfrentarse a repercusiones legales, multas y daños a la reputación. Si tu organización gestiona PII, debes familiarizarte con estas leyes y reglamentos e implementar las directivas y procedimientos necesarios para garantizar su cumplimiento.

Amenazas para la PII

Los ciberataques actuales amenazan la seguridad de la PII que gestionas. Es importante que conozcas estas amenazas para que tu organización pueda implementar unas medidas de seguridad eficaces. Las amenazas habituales para la PII incluyen:

• Brechas de datos: cuando se accede a o se divulgan datos confidenciales, privados o protegidos sin autorización. Las brechas de datos pueden ser el resultado de ciberataques sofisticados o derivarse de un simple error humano. Sin embargo, el alcance de una brecha de datos puede ser muy amplio y puede causar graves perjuicios económicos y reputacionales.
• Ataques de phishing: intentos de engaño realizados normalmente por correo electrónico para obtener información confidencial haciéndose pasar por una entidad de confianza. A menudo, el objetivo de un ataque de phishing es obtener PII como nombres de usuario, contraseñas o datos de tarjetas de crédito. El phishing es uno de los métodos más empleados por los atacantes para recopilar PII con fines maliciosos.

Malware: un programa de software diseñado para provocar daños en un ordenador, servidor, cliente o red informática. Cuando los ciberdelincuentes consiguen infectar un sistema con malware, pueden causar daños posteriores, como robar información personal, impedir el acceso a los usuarios legítimos, etc.

Prácticas recomendadas para proteger la PII

Tu organización debería tener en cuenta estas prácticas recomendadas para proteger la PII frente a las ciberamenazas mencionadas y otras que puedan surgir.

Minimización de los datos

Recopila solo los datos necesarios para el propósito en cuestión. Si no tienes una buena razón para recopilar ciertos datos, entonces no los recopiles. Cuanta menos información confidencial manejes, menos probabilidades tendrás de que se produzca un accidente. Además, tendrás menos información de la que preocuparte y, por tanto, será más fácil cumplir con las leyes y reglamentos de protección de datos.

Anonimización y pseudonimización de los datos

Siempre que sea posible, anonimiza o pseudonimiza los datos para mejorar la privacidad. La anonimización, también conocida como desidentificación, consiste en eliminar ciertos datos de la información de identificación personal. De esta forma, será imposible identificar a la persona si no se dispone de información adicional.

La pseudonimización consiste en sustituir los identificadores por etiquetas ficticias. Esto permite procesar los datos sin que se conozca la identidad de la persona a la que pertenecen.

Cifrado

Utiliza el cifrado para proteger los datos en reposo, en movimiento y en uso. De esta forma, te asegurarás de que los datos sigan siendo indescifrables para cualquiera que no disponga de la clave de descifrado adecuada si alguien llegara a interceptarlos.

Almacenamiento seguro

Emplea soluciones de almacenamiento seguro, como bases de datos seguras o contenedores de almacenamiento en la nube, para proteger los datos contra el acceso no autorizado y brechas. Protege estas soluciones de almacenamiento con unos controles de acceso adecuados.

Auditorías de seguridad periódicas

Realiza auditorías de seguridad y evaluaciones de vulnerabilidades periódicas para identificar y mitigar posibles brechas de seguridad en el sistema.

La adopción de estas prácticas ayuda a garantizar la seguridad de la PII que manejas contra el acceso no autorizado y el uso indebido. Esto reducirá el riesgo de brechas de datos y te ayudará a cumplir con las leyes de privacidad.

Enfoque de CrowdStrike para la protección de la PII

En esta publicación, hemos tratado la PII, las leyes y reglamentos que regulan su protección y las amenazas que la ponen en riesgo. También hemos analizado las prácticas recomendadas para informarte sobre cómo puedes proteger la PII en tu organización. 

CrowdStrike Falcon® Data Protection proporciona monitorización continua y visibilidad en tiempo real de los datos confidenciales en tus aplicaciones y sistemas nativos de la nube. Te ayuda a controlar dónde se almacena la PII y cómo se accede a ella en toda tu organización. CrowdStrike Falcon® Data Protection es una plataforma con IA nativa que protege tus sistemas de manera ininterrumpida, aplica directivas de seguridad de los datos de forma dinámica y ajusta sus medidas de protección a medida que detecta nuevas amenazas o los datos se mueven dentro de la red.