Información personal identificable sensible

Información de identificación personal (PII) es cualquier dato que pueda usarse para identificar a una persona directa o indirectamente. El concepto de PII adquiere una relevancia mayor cuando consideras su subconjunto más sensible, la información de identificación personal sensible (SPII).

SPII representa una selección de elementos de datos que, cuando se manejan de forma incorrecta o se exponen, pueden tener consecuencias graves, como pérdidas financieras, phishing y ataques de ingeniería social. Este subconjunto requiere una protección reforzada debido a su potencial de causar un daño significativo si se utiliza indebidamente.

SPII incluye lo siguiente:

• Datos biométricos incluye información como huellas dactilares y escaneos de retina, que son únicos para cada individuo. Los datos biométricos a menudo se utilizan para el acceso seguro y la autenticación.
• Información financiera incluye números de tarjetas de crédito y detalles de cuentas bancarias. El acceso no autorizado a esta información puede provocar pérdidas económicas y fraude.
• Información médica incluye expedientes de salud, historial médico y datos relacionados con la salud física o mental de una persona. Esta información también se considera información de salud protegida (PHI, por sus siglas en inglés) bajo la Ley de Portabilidad y Responsabilidad de Seguros de Salud de 1996 (HIPAA). El acceso o la exposición no autorizados pueden conducir al robo de identidad médica y a la vulneración de información personal de salud.
• Los números de Seguro Social (SSN) se clasifican como datos PII y SPII; sin embargo, los SSN se consideran un ejemplo principal de SPII debido al potencial de robo de identidad y fraude financiero cuando se usan indebidamente.

SPII se usa comúnmente en contextos donde se requiere un mayor nivel de seguridad, como el procesamiento de transacciones financieras, el acceso a expedientes de salud y el acceso a instalaciones seguras. En estos casos, a menudo se emplean medidas de seguridad mejoradas, como el cifrado y la autenticación multifactor (MFA).

Por ejemplo, los profesionales médicos y las instituciones de salud generalmente necesitan acceder a la SPII de los pacientes para brindar atención y tratamiento adecuados. Además, las estrictas regulaciones de privacidad, como GDPR, CCPA y CPRA, exigen medidas de seguridad sólidas para la información médica. En entornos de alta seguridad, como instalaciones gubernamentales o instituciones de investigación, se puede usar información biométrica como huellas dactilares o escaneos de retina para controlar el acceso.

Si la información SPII no se maneja con cuidado, pueden ocurrir las siguientes situaciones:

• Pérdidas económicas: El acceso no autorizado a SPII financiero, como números de tarjetas de crédito o detalles de cuentas bancarias, puede resultar en pérdidas económicas significativas. Esto puede incluir cargos fraudulentos, vaciamiento de cuentas bancarias y afectaciones al historial crediticio.
• Robo de identidad médica: El robo de SPII médica puede conducir a diagnósticos incorrectos, tratamientos inapropiados y facturas médicas fraudulentas. También puede tener consecuencias a largo plazo para la salud y el bienestar de una persona.
• Incumplimientos de la privacidad personal: El acceso no autorizado a la SPII puede provocar una vulneración de la privacidad y la seguridad de una persona. Esto puede resultar en robo de identidad y acoso.

SPII representa un subconjunto de PII que, si se maneja de forma incorrecta, puede tener consecuencias profundas para las personas y las organizaciones. Reconocer los elementos que entran en la categoría de SPII, entender sus casos de uso comunes y valorar la necesidad de su protección es esencial para salvaguardar la privacidad, la seguridad y el bienestar personal.