Informazioni di identificazione personale (PII)
Che cosa sono le informazioni di identificazione personale (PII)?
Le informazioni di identificazione personale (PII) sono informazioni che, se utilizzate da sole o insieme ad altri dati rilevanti, possono identificare un individuo. Le informazioni personali possono contenere identificatori diretti (ad es. Informazioni sul passaporto) che possono identificare una persona in modo univoco o quasi identificatori (ad es. Razza) che possono essere combinati con altri quasi-identificatori (ad es. Data di nascita) per riconoscere con successo un individuo.
Punti chiave
- Le informazioni di identificazione personale (PII) sono informazioni che, se utilizzate da sole o insieme ad altri dati rilevanti, possono identificare un individuo.
- Le informazioni sensibili di identificazione personale possono includere il tuo nome completo, numero di previdenza sociale, patente di guida, informazioni finanziarie e cartelle cliniche.
- Le informazioni di identificazione personale non sensibili sono facilmente accessibili da fonti pubbliche e possono includere il codice postale, la razza, il sesso e la data di nascita.
Comprensione delle informazioni di identificazione personale (PII)
Le piattaforme tecnologiche avanzate hanno cambiato il modo in cui le aziende operano, i governi legiferano e gli individui si relazionano. Con strumenti digitali come telefoni cellulari, Internet, e-commerce e social media, c’è stata un’esplosione nella fornitura di tutti i tipi di dati.
I big data, come vengono chiamati, vengono raccolti, analizzati ed elaborati dalle aziende e condivisi con altre società. La ricchezza di informazioni fornite dai big data ha consentito alle aziende di ottenere informazioni su come interagire meglio con i clienti.
Tuttavia, l’emergere di big data ha anche aumentato il numero di violazioni dei dati e attacchi informatici da parte di entità che realizzano il valore di queste informazioni. Di conseguenza, sono state sollevate preoccupazioni sul modo in cui le aziende gestiscono le informazioni sensibili dei propri consumatori. Gli organismi di regolamentazione stanno cercando nuove leggi per proteggere i dati dei consumatori, mentre gli utenti sono alla ricerca di modi più anonimi per rimanere digitali.
Informazioni di identificazione personale sensibili e non sensibili
(PII)
Le informazioni di identificazione personale (PII) possono essere sensibili o non sensibili. Le informazioni personali sensibili includono statistiche legali come:
- Nome e cognome
- Numero di previdenza sociale (SSN)
- Patente di guida
- Indirizzo di posta
- Informazioni sulla carta di credito
- Informazioni sul passaporto
- Informazioni finanziarie
- Cartelle cliniche
L’elenco di cui sopra non è affatto esaustivo. Le aziende che condividono i dati sui propri clienti normalmente utilizzano tecniche di anonimizzazione per crittografare e offuscare le PII, in modo che vengano ricevute in una forma non identificabile personalmente. Una compagnia di assicurazioni che condivide le informazioni dei propri clienti con una società di marketing maschererà le informazioni personali sensibili incluse nei dati e lascerà solo le informazioni relative all’obiettivo della società di marketing.
Le informazioni personali non sensibili o indirette sono facilmente accessibili da fonti pubbliche come rubriche telefoniche, Internet e elenchi aziendali. Esempi di informazioni personali non sensibili o indirette includono:
- Cap
- Gara
- Genere
- Data di nascita
- Luogo di nascita
- Religione
L’elenco di cui sopra contiene quasi identificatori ed esempi di informazioni non sensibili che possono essere rilasciate al pubblico. Questo tipo di informazioni non può essere utilizzato da solo per determinare l’identità di un individuo.
Tuttavia, le informazioni non sensibili, sebbene non delicate, sono collegabili. Ciò significa che i dati non sensibili, se utilizzati con altre informazioni personali collegabili, possono rivelare l’identità di un individuo. Le tecniche di de-anonimizzazione e reidentificazione tendono ad avere successo quando più insiemi di quasi-identificatori vengono messi insieme e possono essere utilizzati per distinguere una persona da un’altra.
Salvaguardia delle informazioni di identificazione personale (PII)
Diverse leggi sulla protezione dei dati sono state adottate da vari paesi per creare linee guida per le aziende che raccolgono, archiviano e condividono le informazioni personali dei clienti. Alcuni dei principi di base delineati da queste leggi affermano che alcune informazioni sensibili non dovrebbero essere raccolte se non per situazioni estreme.
Inoltre, le linee guida normative stabiliscono che i dati dovrebbero essere cancellati se non più necessari per lo scopo dichiarato e le informazioni personali non dovrebbero essere condivise con fonti che non possono garantirne la protezione.
La regolamentazione e la salvaguardia delle informazioni di identificazione personale (PII) saranno probabilmente una questione dominante per individui, aziende e governi negli anni a venire.
I criminali informatici violano i sistemi di dati per accedere alle PII, che vengono poi vendute ad acquirenti disponibili nei mercati digitali sotterranei. Ad esempio, nel 2015, l’IRS ha subito una violazione dei dati che ha portato al furto di oltre centomila PII dei contribuenti. Utilizzando quasi-informazioni rubate da più fonti, gli autori sono stati in grado di accedere a un’applicazione del sito web dell’IRS rispondendo a domande di verifica personale che avrebbero dovuto essere a conoscenza solo dei contribuenti.
Informazioni di identificazione personale (PII) in tutto il mondo
La definizione di ciò che comprende le PII varia a seconda di dove vivi nel mondo. Negli Stati Uniti, il governo ha definito “identificabile personalmente” nel 2020 tutto ciò che può “essere utilizzato per distinguere o rintracciare l’identità di un individuo” come nome, SSN e informazioni biometriche;da solo o con altri identificatori come la data di nascita o il luogo di nascita.
Nell’Unione europea (UE), la definizione si espande per includere i quasi identificatori come delineato nel Regolamento generale sulla protezione dei dati (GDPR) entrato in vigore nel maggio 2018.3 Il GDPR è un quadro giuridico che stabilisce le regole per la raccolta e il trattamento delle informazioni personali per coloro che risiedono nell’UE.
Esempio di informazioni di identificazione personale (PII)
All’inizio del 2018, Facebook Inc. (FB) è stata coinvolta in una grave violazione dei dati. I profili di 50 milioni di utenti di Facebook sono stati raccolti senza il loro consenso da una società esterna chiamata Cambridge Analytica.
Cambridge Analytica ha ottenuto i suoi dati da Facebook tramite un ricercatore che ha lavorato presso l’Università di Cambridge. Il ricercatore ha creato un’app Facebook che era un quiz sulla personalità. Un’app è un’applicazione software utilizzata su dispositivi mobili e siti Web.
L’app è stata progettata per prendere le informazioni da coloro che si sono offerti volontari per dare accesso ai propri dati per il quiz. Sfortunatamente, l’app ha raccolto non solo i dati dei partecipanti al quiz ma, a causa di una lacuna nel sistema di Facebook, è stata in grado di raccogliere anche dati dagli amici e dai familiari dei partecipanti al quiz.
Di conseguenza, oltre 50 milioni di utenti di Facebook hanno esposto i propri dati a Cambridge Analytica senza il loro consenso. Sebbene Facebook abbia vietato la vendita dei propri dati, Cambridge Analytica si è voltata e ha venduto i dati da utilizzare per consulenze politiche.
Mark Zuckerberg, fondatore e CEO di Facebook, ha rilasciato una dichiarazione all’interno del comunicato sugli utili della società per il primo trimestre del 2019:
Il nostro obiettivo è sviluppare la nostra visione incentrata sulla privacy per il futuro del social networking e lavorare in modo collaborativo per affrontare questioni importanti su Internet.
La violazione dei dati non ha riguardato solo gli utenti di Facebook ma anche gli investitori. I profitti di Facebook sono diminuiti del 50% nel primo trimestre del 2019 rispetto allo stesso periodo dell’anno precedente. La società ha accumulato $ 3 miliardi in spese legali e avrebbe avuto un guadagno per azione di $ 1,04 in più senza le spese, affermando:
Stimiamo che la gamma di perdite in questa materia sia compresa tra $ 3,0 miliardi e $ 5,0 miliardi. La questione rimane irrisolta e non può esserci alcuna garanzia in merito ai tempi o ai termini di qualsiasi risultato finale.
Le aziende investiranno indubbiamente in modi per raccogliere dati, come le informazioni di identificazione personale (PII), per offrire prodotti ai consumatori e massimizzare i profitti, ma negli anni a venire saranno soggetti a normative più rigorose.